Konference
Program konference B-Sides Las Vegas (3. a 4. srpen 2011) najdete na stránce B-SidesLasVegas 2011. Komentář k němu je pak obsažený v článku Speaker line-up for B-Sides Las Vegas 2011. Jsou v něm zmíněny nejatraktivnější prezentace, například „Thoughts on LulzSec through the historical lens of Russian Nihilism and Motiveless Terrorism“, kterou přednese Moxie Marlinspike, a řada dalších.
Obecná a firemní bezpečnost IT
Třídílný seriál k problematikám, které se dotýkají kybernetické války, si lze přečíst na následujících stránkách:
- Part 1: Cyberwar: Definition, Hype and Reality
- Part 2: What Cyberwar Would Look Like.
- Part 3: Why Cyberwar Is Unlikely
How the Secret Service stalks cyber criminals, aneb jak americká Secret Service bojuje s počítačovými kriminálníky. V tomto článku je komentováno vystoupení Alvina T. Smithe před výborem sněmovny. Smith zde popisoval různé (a zajímavé) podrobnosti, které se týkaly postupů, jakými Secret Service infiltruje undergroundové weby.
Yahoo! čte vaše e-maily oznamuje autor článku Yahoo! reads! your! emails!. Yahoo! je kritizováno kvůli své nové webmailové službě (Ts & Cs), která jí dává nezvyklá práva (číst vaše e-maily).
Spojené státy uvažují o novém, bezpečném internetu – U.S. to consider a new, secure Internet. V článku Former CIA Director: Build a new Internet to improve cybersecurity je komentováno vystoupení bývalého ředitele CIA (Michaela Haydena). Je např. zvažována koncepce internetu .secure (pro banky a další potřebné instituce).
Cyberwar and cyber-isolationism – kybernetická válka a kybernetický izolacionismus, Scott Bradner se vyjadřuje k myšlence nového odděleného internetu, který bude speciálně zabezpečen.
Law-abiding Cyber-folk of the World – Unite! – Eugen Kaspersky komentuje vytvoření nové instituce – ICSPA. Heslo – IT dodržující zákony, spojte se! (resp. jeho přibližnou podobu) – si Kaspersky vybral jako titulek svého článku.
Zajímavé interview Eugena Kasperského si pak přečtěte na stránce I Fear the Net Will Soon Become a War Zone. S titulkem – mám pocit, že internet se brzy stane válečnou zónou. Viz také komentáře v diskuzi na Schneierově blogu – Interview with Evgeny Kaspersky.
Vznikla dohoda o spolupráci USA a Ruska v kybernetické bezpečnosti – U.S., Russia Forge Cybersecurity Pact. Na setkání ve Washingtonu minulý měsíc bylo dohodnuto, že obě země si budou pravidelně vzájemně předávat informace dotýkající se kybernetické bezpečnosti. Viz U.S. and Russia: Expanding the “Reset” to Cyberspace a vzájemné komuniké je pak zde – Joint Statement by Cybersecurity Coordinator Schmidt and Deputy Secretary Klimashin. Spojené státy vítají pokrok dosažený ve spolupráci s Ruskem ohledně problémů s kybernetickou bezpečností – US hails progress with Russia on cybersecurity cooperation. To je komentář k průběhu a výsledkům nedávného jednání.
Americké ministerstvo spravedlnosti: donutíme vás dešifrovat váš notebook – DOJ: We can force you to decrypt that laptop. Případ, který se může stát precedentem. Ramona Fricosu (obviněná z řady podvodů) odmítá sdělit své heslo či s jeho pomocí dešifrovat soubory na svém notebooku. Jak rozhodne soud?
Viz také komentář – US court test for rights not to hand over encryption keys.
CIA John – muž, který „ulovil“ bin Ládina, byl identifikován Bin Laden Hunter ‘CIA John’ Identified. Informace o této nepříjemné události pro CIA a především pro dotyčného pracovníka se objevila v řadě médií.
Harry Potter a čerstvé podvody na internetu s ním související jsou tématem článku Harry Potter and the Cyberthieves: Last Film Attracts Download Scam. Místo stažení filmu je na pořadu dne pokus o krádež ID. Útočníci získají kompletní přístup k počítači oběti.
Deset nejvíce nebezpečných lidí na internetu, kdo jsou – odpoví informace The 10 most dangerous people on the Web. Rumunská společnost BitDefender analyzovala více než 25 miliónů spamových zpráv. Na prvním místě se objevil u nás méně známý moderátor noční talk show Jay Leno, jako druhá se „umístila“ Madonna.
Zpráva z ruské TV: drogový gang unesl počítačového experta a nutil ho hackovat banky – Russian TV Report: Drug Gangs Kidnap Cyber Pros to Hack Into Banks. Stalo se to v Mexiku.
Tajné služby přichází o talenty, ti odchází do velkých firem jako Google či Microsoft – GCHQ losing its ‚internet whizzes‘ to Microsoft, Google. Konstatoval to ředitel britské zpravodajské agentury GCHQ ve výroční zprávě – Annual Report.
Department of Defense Strategy For Operating in Cyberspace – nový dokument amerického ministerstva obrany – DOD Strategy for Operating in Cyberspace má 19 stran a jeho obsahem je definování a zdůvodnění pěti strategických iniciativ:
- Treat cyberspace as an operational domain to organize, train, and equip so that DoD can take full advantage of cyberspace’s potential
- Employ new defense operating concepts to protect DoD networks and systems
- Partner with other U.S. government departments and agencies and the private sector to enable a whole-of-government cybersecurity strategy
- Build robust relationships with U.S. allies and international partners to strengthen collective cybersecurity
- Leverage the nation’s ingenuity through an exceptional cyber workforce and rapid technological innovation
Komentář k této strategii si lze přečíst v článcích U.S. DoD Releases Cyber Security Strategy a Pentagon declares the Internet a war domain.
Viz také komentář, který zmiňuje kritická vyjádření k této strategii – Critics: U.S. cybersecurity plan has holes, few new items.
Další komentáře jsou na stránkách – US military learning cybersecurity lessons from businesses a Pentagon unveils five steps for better cybersecurity.
The Chinese Way of Hacking aneb čínská cesta hackingu, to je interview s Adamem Segalem, odborníkem na čínskou problematiku (Council on Foreign Relations).
Datové průniky
K technikám AET (Advanced Evasion Techniques), jakou cestou útoku zasahují perimetr, se obrací Michael Kassner, autor článku Advanced Evasion Techniques allow stealthy perimeter attacks. Po stručném úvodu k problematice uvádí záznam svého hovoru (na dané téma) se zástupcem firmy Stonesoft. Je zde vysvětleno, co je chápáno pod pojmem evazní technika (evazní = unikající detekci).
Třetina průniků se týká soukromého sektoru, podnikání se přesto vyhýbá auditům – ICO reports that private sector was responsible for a third of data breaches, yet most businesses refuse an audit. V článku jsou citovány výsledky zprávy ICO (Information Commissioner´s Office).
EU zvažuje přísnější pravidla pro oznamování průniků – EU considers stricter data breach notification rules. Jennifer Baker hovoří o dokumentu, který je nyní dán k diskuzi. Je dostupný na odkazu:
Viz také komentář – Steelie Neelie: ´Help us form Brussels data breach policy´.
Pentagon informoval o masivním útoku na svého dodavatele. Útok proběhl letos na jaře – Pentagon: Defense Industry Suffered Massive Spring Cyberattack. Ukradeno bylo více než 20 000 citlivých souborů, William Lynn III (U.S. Deputy Defense Secretary) připouští, že za útokem byla cizí vláda.
Viz také:
- McCain Proposes Panel to Probe Government Cyberattacks
- Pentagon reveals 24,000 files stolen in cyber-attack
Kvůli počítačovému průniku musí Američané přepracovat návrh tajné zbraně – US forced to redesign secret weapon after cyber breach, to je další komentář k nedávnému vystoupení náměstka amerického ministra obrany.
How to Inform Customers of a Data Breach aneb jak své zákazníky informovat o datovém průniku. Eduard Godman uvádí a rozebírá tato čtyři doporučení:
- Pečlivě promyslete tón svého vyjádření
- Zákazníkovi sdělte o datovém průniku vše, co můžete (pokud vám to povoluje zákon)
- Zvažte, s kým komunikujete
- Dbejte na srozumitelnost svého vyhlášení
Sociální sítě
Autor článku Beware: Facebook Scams Use Casey Anthony and Video Chat as Bait varuje před novým typem podvodů, které se objevily na Facebooku (v návaznosti na právě zavedené funkčnosti Video Chat). Popisuje některé příklady.
Sociální sítě by se měly více zabývat problémem kybernetické šikany – Social networks ‚should do more‘ on cyberstalking. První britskou studii, která se problémem kybernetické šikany zabývá, připravil National Centre for Cyberstalking Research at the University of Bedfordshire. Například 61 procent obětí říká, že jim nikdo nepomohl. Studii najdete na této stránce:
- Cyberstalking in the United Kingdom (38 stran)
Další komentář k jejím výsledkům je pak v článku ´Being cyber-stalked is as bad as being raped, or in a war´.
Rodiče jsou na Facebooku často jen kvůli svým dětem – Many parents are only on Facebook to stalk their kids. V tomto článku jsou komentována data z britského přehledu.
Google top brass (and Zuck) hit Google+ privacy button – Google+, mocní chrání své soukromí. Ve svých profilech aktivovali bezpečnostní nastavení, nyní nelze zjistit počty jejich přátel, ani kdo tito přátelé jsou.
Software
Metasploit: The Penetration Tester's Guide, to je recenze stejnojmenné knihy. Metasploit je volně dostupný penetrační nástroj. Tento průvodce naučí uživatele Metasploit, jak vyhledávat zranitelnosti v sítích spouštěním simulovaných útoků. Kniha vyjde nyní v červenci 2011, má 328 stran a jejími autory jsou David Kennedy, Jim O'Gorman, Devon Kearns a Mati Aharoni. Knihu najdete na stránkách Amazonu.
Na konferenci Black Hat bude prezentováno hacknutí Google Chrome prostřednictvím rozšíření ScratchPad – Google Chrome OS Hacked Using ScratchPad Extension in Black Hat Preview. Matt Johansen (WhiteHat Security) ukázal, že to umí, v předběžné prezentaci (před samotnou konferencí Black Hat, která proběhne začátkem srpna v Las Vegas).
Microsoft vydal dokument Mitigating Software Vulnerabilities. Stručný komentář k tomuto materiálu je na stránce Mitigating software vulnerabilities. Dokument má 26 stran, popisuje, jak „zmírňujicí“ technologie mohou pomoci eliminovat rizika, napomoci prevenci před útoky a minimalizovat přerušení práce systémů (vzniklých díky zranitelnostem SW).
Na světě je nová verze PUTTY – Fresh PuTTY. Je to verze s číslem 0,61, v článku jsou popsány změny v této verzi obsažené. PUTTY je klient pro Telnet a SSH.
Většina uživatelů používá nechráněné verze Adobe Reader – Most Users Run Insecure Versions of Adobe Reader, konstatuje to analýza společnosti Avast Software. Na konci článku je odkaz na nástroj Qualys Browser Check, s jehož pomocí můžete ověřit svojí aktuální situaci (ohledně pluginů prohlížeče).
Malware
Americké hostingy jsou zamořené malware a botnety – New Report Finds U.S. Hosting Providers Infested With Malware, Botnets. Podle zprávy společnosti HostExploit Top 50 Bad Hosts & Networks 2011 Q2 mají hostingy v USA toto neblahé prvenství.
Historie Stuxnetu – podrobnosti k ní obsahuje materiál How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History. Tento rozsáhlejší článek (autorem je Kim Zetter) je komentován také na Schneierově blogu – History of Stuxnet.
Pohled na největší sítě-dodavatele malware uvádí článek A Look at the Ten Largest Malware Delivery Networks. V článku jsou citovány výsledky zprávy 2011 Mid-Year Web Security Report (společnosti Blue Coat Systems, 62 stran). Samotná zpráva je dostupná na odkazu – 2011 Security Report (nezbytná je registrace). Kapitoly zprávy:
- Web Update (Operation Aurora, Stuxnet, WikiLeaks, Phishing, Top Web Categories, …)
- DLP Update (Wikileaks in Detail, …)
- Web Mail Update (Declining Use Continues)
- Appendices:
- Cloud-based Community Web Defenses
- K9 Web Protection Profile for Home Users
- 11 Web Security Predictions for 2011
Hackeři
Ahoj hlupáčci! Víte, proč je internetový hacking vaše chyba? Takovýto titulek uvádí prezentaci, jejímž autorem je John R. Quain. Prezentace obsahuje sadu doporučení (většinou je naši čtenáři již dobře znají) – Hey Stupid: Why Internet Hacking Is Your Fault.
AntiSec zaútočil na IRC Federal (tato firma spolupracuje s FBI) – AntiSec Crew Attacks FBI Contractor IRC Federal. Data, která mají patřit této firmě, byla v pátek zveřejněna na Pastebin. Společnost musela pak se svým webem být offline. Viz také – Anonymous releases private emails, government contracts, VPN credentials, and more.
Anonymous hackli společnost Booz Allen (dodavatel americké armády) – Anonymous hacks Booz Allen, posts 90K military email addresses and passwords. Zveřejnili 90 000 e-mailových adres a hesel.
Viz také:
- 90k email accounts exposed in ´Military Meltdown Monday´
- ´Meltdown Monday´ Anonymous hackers leak military mails
- Hackers claim they exposed Booz Allen Hamilton data
- More than 90,000 US military credentials revealed following Anonymous attack on government consultancy
O útocích na americké vládní laboratoře hovoří článek U.S. government-funded labs targeted by cyber attacks.
10 Biggest Data Breaches Of 2011 (So Far) – deset největších průniků roku 2011 (zatím …). Slideshow obsahuje informace k 7.7.2011.
Hacktivists put the entire Intel community in its crosshairs – dalším cílem hacktivistů má být celá zpravodajská komunita? Sabu: „We are working on two of the biggest releases for Anonymous in the last 4 years. Put your helmets on. It is war“.
Anonymous zaútočili na kontroverzního zemědělského giganta Monsanto – Anonymous spaffs Monsanto employees' details. Zveřejněna byla data více než 2 500 zaměstnanců. Viz také komentáře:
- Anonymous switches gears to target oil, ag firms
- Anonymous hacks Monsanto, targets Exxon Mobil, ConocoPhillipshacks Monsanto, targets Exxon Mobil, ConocoPhillips
LulzStorm, nová skupina hacktivistů – kdo jsou? V článku New hacktivism group appears, but is met with criticism following its tactics of impacting innocent users jsou citovány názory Rika Fergusona ze společnosti Trend Micro na tuto skupinu.
Vodafone hacknut – publikováno bylo heslo k jeho rootu – Vodafone Hacked – Root Password published. Útočníci mohou odposlouchávat hovory (Vodafone ve Velké Británii). Technické podrobnosti jsou na stránce http://wiki.thc.org/vodafone.
Viz také komentáře – MAJOR HACK: Voda femtocells open phones up to intercept a Vodafone Sure Signal femto flaws could enable widespread phone hacking.
Ale později se objevila informace od Vodafone – Voda: Femtocell phone-hacking vuln was fixed in 2010. K tomu další komentář – Was the Vodafone Femtocell hack new?
THC však se stanoviskem Vodafone nesouhlasí – THC rebut Vodafone´s femtocell fix claims.
Sega – měsíc po hacku zůstává Sega fórum stále uzavřeno – Sega forums still closed a month after mystery hack. Podle zástupce společnosti se stále pracuje na zabezpečení proti hackerům.
Bezpečnostní šéf PayPal: ukončete kampaň AntiSec a zveřejněte identity zúčastněných hackerů – PayPal CISO hits out at antisec, as Anonymous publishes employee credentials of agricultural company. Prohlásil: pro větší bezpečnost internetu musí být tyto osoby identifikovány a potrestány. V článku se dále hovoří o nedávném útoku Anonymous na zemědělskou firmu Monsanto (součást akce „Project Tarmeggedon“).
K situaci s „hacktivismem“ se vyjadřuje Robert Lemmos v článku Hacktivism moves from pranks to problems. Mimo jiné zmiňuje Daniela Clemense, který říká, že nástroje, které hackeři používají (a jsou s nimi úspěšní), nejsou příliš sofistikované. Některé z nich jmenuje.
Rozhovor s jedniím ze zakládajících členů LulzSec („Topiary“, vystopoval ho the Guardian), je v článku Why hacker group LulzSec went on the attack.
Hardware
Dovezená elektronika prodávaná v Spojených Státech obsahuje malware, spyware a bezpečnost kompromitující součásti – DHS: Imported Consumer Tech Contains Hidden Hacker Attack Tools. Připouští to ve svém vyjádření americké ministerstvo národní bezpečnosti. Řadu zahraničních dílů lze také nalézt v amerických výrobcích.
VoIP
Skype, nalezená zranitelnost umožnuje krádež účtu a v některých případech i ovládnutí systému uživatele – Vulnerability in Skype allows accounts to be hijacked – Update. Zranitelnost zatím nebyla záplatována a týká se i posledních verzí Skype (kromě verze pro Linux). Viz také komentář – Researcher finds dangerous vulnerability in Skype.
Mobilní zařízení
Na internetu jsou pdf, která využívají zranitelnosti nulového dne pro iPhone a iPad – PDFs that exploit iPhone, iPad zero-day available on the Web. Stačí kliknout na takovéto pdf či prohlížet si web, který je obsahuje, a mobilní zařízení je infikováno.
Objevila se verze trojana Zeus určena pro Android (Google) – ZeuS Trojan for Google Android Spotted. Jedná se o novou variantu „Zitmo“, což je označení pro „ZeuS in the mobile“. Maskuje se jako součást SW Rapport, to je bankovní aplikace společnosti Trusteer.
Viz také Banking Trojan hits Android phones.
Jsou iPady nebezpečné pro sítě organizací? Michael Cobb (navazuje na článek Lisy Phifer – iPad security policy pointers for enterprise iPad endpoint integrity) rozebírá, jak nejlépe by měly podniky postupovat při formování bezpečnostních politik souvisejících s využíváním iPad. Uvádí některá doporučení – Understanding iPad security concerns for better iPad enterprise management.
Článek s příbuznou tématikou napsala také Joan Goodchild (pro csoonline.com) – Consumer device use is growing, but IT and security can´t keep up.
První skener malware pro iPhone a iPad – Intego´s VirusBarrier pro iOS – je dostupný na App Store. Je pro iOS 4.0 či pozdější verze – Mac security firm ships first-ever iPhone malware scanner.
Za minulý rok zapomněli cestující na amerických letištích 11 000 mobilních zařízení – Travelers left 11,000 mobile devices at U.S. airports. Celkem měly americké aerolinie v roce 2010 více než 133 miliónů pasažérů. Většina z nich měla u sebe alespoň jedno mobilní zařízení.
Koukání přes rameno (s cílem získat heslo) lze pro tablety automatizovat – Worth Reading: Automated shoulder surfing for tablets. Odborníci (Thinkst) k tomu použili open source knihovnu OpenCV. Další podrobnosti jsou zde – On-screen Keyboards Considered Harmful . Viz také komentář – New iPad Threat: ´Shoulder Surfing´ App.
Android Market: objevily se na něm další infikované aplikace – More malware found in the Android Market. Aplikace Quick FallDown, Scientific Calculator, Bubble Buster, Best Compass & Leveler pochází od vývojáře s označením MobNet.
Byla provedena analýza aplikací pro Android, a to z hlediska zranitelností a bezpečnostních defektů – Analyzing and Dissecting Android Applications for Security defects and Vulnerabilities. 15stránková studie (Rushil Shah, Blueinfy) uvádí podstatné momenty této problematiky. Viz její shrnutí na stránce Analyzing and dissecting Android applications for security defects and vulnerabilities.
Bezpečnost chytrých mobilů a skandál okolo telefonních hacků, Selena Frye v článku Smartphone security and the phone hacking scandal komentuje tento problém. Odkazuje se na pokus Elinor Millsové (Kevin Mitnick demonstroval, jak je snadné hacknout její mobil) a opakuje doporučení Deb Shinderové z článku Smartphone enterprise security risks and best practices (z prosince 2010).
Spam
Chyba v Google+ vedla k rozesílání spamu uživatelům – Google+ hit with spam bug. Společnost Google se omlouvá. Podrobnosti jsou v článku – Google+ runs out of disk space, spams users with notifications.
Studie kalifornských univerzit ukazuje, jak tečou zisky ze spamu – Show Me the Money: Characterizing Spam-advertised Revenue. Výsledky studie komentuje Brian Krebs v článku:
Ukazuje se, že v těchto tzv. online lékárnách (často nemají příslušnou licenci) nakupují zejména Američané.
Role ázerbájdžanské banky při krytí obchodů s falešnými antiviry a lékárenským spamem je předmětem článku Azeri Banks Corner Fake AV, Pharma Market. Brian Krebs v něm k tomu zveřejňuje další podrobnosti.
Elektronické bankovnictví
Virtuální měny: nahradí Camp BX dřívější Bitcoin? Bitcoin má bezpečnostní problémy, ale i problém s nepříliš pevným „kursem“ a také se vztahem k legislativě. Camp BX by měla tyto problémy odstranit – Cleaning up the Bitcoin act.
Autentizace, hesla
140,000 children could be identity fraud victims aneb ID podvody na dětech. Výsledky studie ID Analytics ukazují, že na dětech je každý rok provedeno 140 000 ID podvodů. Nejčastěji se podvody týkají platebních karet a bezdrátového připojení.
Mozilla vyvíjí novou cestu pro identifikaci na internetu – Mozilla outs un-Google site sign-in prototype. Bude vázána na určitou e-mailovou adresu. Prototyp Mozilly nese označení BrowserID a používá kryptografii s veřejným klíčem, která pomůže prokázat, že dotyčný je vlastníkem této e-mailové adresy.
Elektronický podpis
V čem a kdy organizace chybují při práci se šifrovacími klíči a digitálními certifikáty, takovýto poučný přehled připravil Calum MacLeod (Venafi) – Practical steps to improve your corporate security posture.
Biometrie
Budoucnost identifikace, v tomto směru má pomoci zjišťování dynamiky stisků kláves – The future of identity verification through keystroke dynamics. Zeljka Zorz se obrací k jednomu chystanému řešení německé firmy. Vysvětluje, jak identifikace probíhá a na čem spočívá.
Normy a normativní dokumenty
Americký NIST v minulém týdnu vydal následující dokumenty:
- Draft Special Publication (SP) 800–126 Revision 2, The Technical Specification for the Security Content Automation Protocol (SCAP): SCAP Version 1.2.
- Second DRAFT Special Publication 800–56C, Recommendation for Key Derivation through Extraction-then-Expansi
- Draft Interagency Report (IR) 7802, Trust Model for Security Automation Data (TMSAD) Version 1.0
- Draft NIST Interagency Report (IR) 7802, Trust Model for Security Automation Data (TMSAD) Version 1.0
Různé
Kouká, kdo on…je nad jeho počítačem aneb zloději online! Šikovný původní majitel počítače, doufám, že zloděje vypátrají.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
ČLÁNKY DO MAILU