Přehledy
Společností Imperva byla provedena globální analýza 10 miliónů webových útoků – Global analysis of 10 million web attacks. Článek obsahuje řadu výsledných statistik a v závěru pak několik doporučení. Další komentář je pak na stránce – Cyber-Criminals Use Botnets, Automation to Launch Multiple Blended Attacks. Samotná zpráva je na tomto odkazu – Imperva’s Web Application Attack Report. Dokument má 25 stran. Shrnutí výsledků analýzy:
- Na webové aplikace je (díky automatizovaným postupům) útočeno v průměru 27krát během jedné hodiny.
- Dominují čtyři typy útoků (na webové aplikace): Directory Traversal, Cross-Site Scripting, SQL injection, Remote File Inclusion.
- Hlavní zdrojem útoků na aplikace jsou USA.
Výsledky společnosti Imperva cituje také John Leyden – ‚Directory traversal‘ attack becomes premier hack tool. Hlavním nástrojem hackingu se stává probírání adresářů (directory traversal). Tato méně známá metoda se do čela vyšvihla teprve nedávno. Na dalších místech je cross-site scripting a SQL injection.
Přehled společnosti Aleksa říká, že společnosti podhodnocují náklady datových průniků – Companies underestimate costs of security breaches. Přehled byl věnován různým aspektům IT bezpečnosti, článek obsahuje přetištění vydané tiskové zprávy.
Zaměstnavatelé připouští potenciální zneužití privátních dat – 22% in US admit to potential abuse of private data. Autor článku popisuje zjištění z přehledu společnosti SailPoint. Data k přehledu byla získána v USA, Austrálii a Velké Británii. Největší „odvahu“, jak se zdá, mají britští zaměstnavatelé. Viz také komentář – Many employees would sell corporate information, finds study.
eCrime Trends Report: Second Quarter 2011, to je přehled společnosti IID. Hovoří se v něm o velkých průnicích (Sony, Epsilon atd.), o zvýšených aktivitách phisherů a dalších bezpečnostních hrozbách. Komentář k této 10stránkové zprávě je obsažen v článku Phishers becoming sophisticated marketers of fraud.
Většina organizací nedodržuje nejlepší bezpečnostní postupy, to říká přehled společnosti Venafi – Research Study Finds Majority of Enterprises Failing to Apply IT Security Best Practices; Humans are Security Weak Link in Absence of Automated Processes. Komentář k tomuto přehledu je na stránce Most organizations do not follow security best practices, survey finds.
Konference
Hacknutí alarmu automobilu bude demonstrováno na konferenci Black Hat – ‚War Texting‘ Attack Hacks Car Alarm System. Výzkumník Don Bailey (bezpečnostní konzulant iSec Partners) chce ukázat, jak je „strašlivě“ jednoduché odzbrojit alarm a další kontroly automobilu.
Podobně komentuje tuto studii článek ´War Texting´ SMS attack to steal a car or control SCADA systems?, viz také – Exploit demo on tap at Black Hat could ´make your water undrinkable´.
O jiné prezentaci, která je chystána pro konferenci Black Hat, informuje článek – Black Hat: Embedded Web servers open printer, scanner security holes.
Stránky s programem konference najdete zde – Briefings, další informace ke konferenci jsou na stránce Black Hat, DefCon and B-Sides survival guide, 2011. Viz také návod – How to survive Black Hat and Defcon without getting hacked – maybe.
Oznámeny byly nominace na bezpečnostního Oskara 2011 – Nominations for the 2011 security Oscars announced. Výsledky budou vyhlášeny počátkem srpna na konferenci Black Hat. Seznam nominací – Nominations for the pwnie awards.
Viz také – Black Hat Pwnie Award Winner Will Be a Criminal.
Prezentovány budou také možnosti letadélka, které umí krást hesla bezdrátu a odchytávat SMS – Flying Drone Steals Wi-Fi Passwords, Hacks Cellphones.
Elektronické systémy zámků ve vězeních jsou zranitelné vůči hackům – Researchers Say Vulnerabilities Could Let Hackers Spring Prisoners From Cells. John Strauchs bude tuto skutečnost demonstrovat na Defconu.
Bývalý CEO společnosti HBGary stáhnul své vystoupení, které měl mít na konferenci Defcon – Former HBGary Federal CEO bows out of DEFCON talk. Právníci z jeho bývalé firmy mu pohrozili žalobou. Viz komentář k této situaci, který napsal pro csoonline.com Bill Brenner – Defcon, Aaron Barr and legal garbage.
2011 European Digital Forensics and Incident Response Summit, tato akce proběhne ve dnech 21. a 22. září 2011 v Londýně, organizátorem akce je SANS.
Obecná a firemní bezpečnost IT
Pět největších bezpečnostních chyb, takovýto malý přehled připravila Ellen Messmer – The 5 biggest IT security mistakes. Rozebírá v něm následující body:
- Uvažovat, že podnikatelský přístup organizace je týž, jaký byl před pěti lety
- Nepodaří se ustavit funkční vztahy s IT a vrchním managementem
- Nepochopení bezpečnostních aspektů virtualizace
- Nedostatečná příprava na bezpečnostní průnik
- Sebeuspokojení ve vztahu k dodavatelům bezpečnostních řešení
Hysterie okolo kybernetické války pomáhá konzultantům, škodí však USA – Cyberwar Hysteria Aids Consultants, Hurts U.S.: Susan Crawford. Susan Crawford napsala komentář k současné situaci, věnuje se v něm pohledu z Bílého domu.
Jaké byly hlavní bezpečnostní hrozby prvního půlroku 2011? Fahmida Y. Rashid je rozebírá v slideshow podle informací z firem M86, Secunia and BlueCoat – IT Security & Network Security News & Reviews: Data Breaches, Hacker Turf Wars, Major Security Threats of 2011 First Half.
Jak nebezpečné je brouzdání na internetu? Lincoln Spector shrnuje poznatky z diskusního fóra – Antivirus & Security Software. Uvádí klasická doporučení – How Dangerous is Web Surfing?
Seriál Davida Goldmana The Cybercrime Economy, který vycházel v minulých dnech, obsahuje tyto čtyři články:
- LulzSec and Anonymous are the least of your hacker worries
- Low-tech Internet scams harvest billions of dollars
- The cyber Mafia has already hacked you
- China vs. U.S.: The cyber Cold War is raging
Viz také slideshow, která seriál doplňuje – How they've hacked you, obsahuje přehled hacků a útoků, které hackeři nejčastěji používají.
Sony a pojišťovny, případ povede k novým koncepcím pro pojištění – Zurich lawsuit against Sony highlights cyber insurance shortcomings. Náklady související s bezpečnostními incidenty, pokud mají být pojištěny, budou zřejmě předmětem speciálních variant pojištění.
Velká Británie – policie zakládá regionální hackovací útvary – Police set up regional hacking units. V rámci dohledu nad podezřelými osobami budou moci tyto jednotky využívat takové prostředky jako je dálkový hacking, keyloggery atd. Některá vyšetřování mohou vést k odposlechu bezdrátového provozu.
Počítačová kriminalita a měnící se zákony v USA – Taking cybercrime seriously: Rapidly changing laws could trip up the unwary. Deb Shinder se zamýšlí nad myšlením aktérů počítačové kriminality ve vztahu k fungujícím zákonům. Klade otázky v tom smyslu – jaká by tato legislativa měla vlastně být?
USA: počítačová kriminalita je velkou národní hrozbou – U.S. Says Cybercrime a Major National Security Threat. Dennis Fisher komentuje zprávu, kterou nyní vydala americká národní bezpečnostní rada – Strategy to Combat Transnational Organized Crime. Je to další z řady dokumentů, které jsou připravovány jako součást strategických dokumentů týkajících se informační bezpečnosti.
Odkazem na analýzu Wiretapping and Cryptography Today, kterou provedl Matt Blaze, Bruce Schneier na svém blogu otevírá zajímavou diskuzi – Cryptography and Wiretapping.
Desítka bezpečnostních hrozeb, které přišly a zase odešly – 10 Security Threats That Came And Went. To je zajímavá slideshow, která se obrací k ne tak už dávné historii.
Uvěznění hackerů z Anonymous, LulzSec nevyřeší existující bezpečnostní problémy – LulzSec, Anonymous Hacker Arrests Won't Solve Security Attacks. Problémy síťových průniků, botnetů atd. zde budou i v dalším, říká autor článku Wayne Rasch. Apeluje na výchovu lidí, zaměstnanců.
Hacker poslal jednotku rychlého nasazení (SWAT) na nevinnou rodinu Hacker sends SWAT team to B.C. family’s home, aneb hoax (nikoliv neškodný) nazývaný swatting…
Desítku nejčastějších bezpečnostních chyb sepsal Matthew Stibbe (The 10 most common security mistakes):
- Slabá hesla
- Špatná správa záplat
- Nepravidelná politika zálohování
- Chybí plán pro případ pohromy
- Příliš velké spoléhání se na technologie
- Není použito šifrování dat
- Neproběhne varování o nastalém průniku
- Není prováděn audit fyzických aktiv
- Zaměstnanci nejsou proškolováni
- Citlivá data společnosti jsou zasílána e-mailem nezašifrována
A ještě jednu desítku najdete na stránce IT Security & Network Security News & Reviews: 10 Ways to Give Your System Administrators a Break – 10 cest, kterými naděláte problémy svému systémovému administrátoru. Je to další z řady slideshow, které připravil Fahmida Y. Rashid.
Sociální sítě
Facebook – Amy Winehouse death video scams appear on Facebook – podvod s videem o smrti Amy Winehouse. Graham Cluley informuje o dalším v řadě takovýchto podvodů.
Beware of Google+ security threats aneb uživatelé Google+ a bezpečnostní hrozby. Článek indického autora poukazuje na novou situaci a vlastně staronové problémy platící nejen pro indické uživatele.
Software
Zamčené fotky z Xchatu jsou veřejně přístupné, podle serveru SOOM.cz si soukromé fotografie uživatelů na webu fotoalba.centrum.cz může prohlížet kdokoliv, a to i bez znalosti přístupového hesla do zamčených fotoalb. K zobrazení fotografií není dokonce potřeba překonávat žádné bezpečnostní mechanismy, protože tyto fotografie má Centrum holdings volně dostupné na svých serverech. Server SOOM.cz varuje uživatele před uploadováním důvěrných fotografií.
Scroogle – při práci s Google pomůže ochraně soukromí. V článku Scroogle: Adding privacy to Google Search vysvětluje možnosti tohoto nástroje Michael Kassner.
Zranitelnosti ICQ, která může vést ke krádeži účtu je věnován článek ICQ vulnerable to account theft – Update. Je to obdobná chyba, jako ta, která byla nedávno zjištěna u klienta Skype a nebyla zatím opravena.
Jsou prováděny útoky na stránky elektronických obchodů, které jsou založeny na open source – E-commerce sites based on open source code under attack. O tom, že takto bylo infikováno asi 100 000 webů, informuje firma Armorize. Útok iFrame injection má svůj původ na Ukrajině.
Počítače s Windows XP jsou častěji infikovány rootkity – Windows XP PCs breed rootkit infections. Vyplývá to z dat, které zveřejnila společnost Avast.
Také Facebook již nabízí peníze za nalezené chyby – Researchers praise Facebook for paying bug bounties. Facebook v tomto ohledu následuje společnosti Google, Mozilla a Hewlett-Packard.
Malware
Stuxnet, rozsáhlý přehled odkazů k této problematice najdete na stránce Search results: Stuxnet. Je to užitečné pro zájemce o informace, které se dotýkají tohoto červa. Viz také komentáře, které se objevily v posledních dnech:
- Report: Iran Resorts to Rip And Replace To Kill Off Stuxnet
- Iran Rips-and-Replaces Centrifuges Post-Stuxnet
Klony Stuxnetu mohou ohrozit kritické systémy USA (a jiných zemí) – Stuxnet clones may target critical US systems, DHS warns. Varování amerického ministerstva národní bezpečnosti komentuje Dan Goodin. Viz také komentář – Stuxnet Part Deux? US Officials Warn of Stuxnet Variants.
Falešné antiviry, co jsou zač? Tomuto tématu je věnována studie společnosti Sophos – What is FakeAV? Rozsáhlý materiál (37 stran) podrobně informuje o této problematice. Užitečné pro všechny, kdo se chtějí vyhnout takovýmto infekcím. Studie obsahuje množství konkrétních příkladů.
Microsoft otvírá v Mnichově výzkumnou laboratoř pro ochranu před malware – Microsoft Malware Protection Center Research Laboratory Opens in Munich. Místo bylo mj. vybráno pro svou polohu v centru Evropy.
Viry
Byla vydána nová verze virového skenera ClamAV – 0.97.2. Novinky v tomto open source nástroji byly zaměřeny na opravu některých chyb – ClamAV 0.97.2 released.
Hackeři a další internetoví podvodníci
Hackování hlasových zpráv zneužívalo více britských novin – More UK papers in hacking row. Žurnalista, bývalý pracovník Daily Mirror a Sunday Mirror, prohlásil, že tyto noviny tyto praktiky také prováděly. O praktické obtížnosti hackování mobilů a hlasových zpráv se hovoří v článku Murdoch Scandal Fallout: Consumers Make Cell Phone Hacking Easy.
USA – připravovány jsou nové útoky proti armádním dodavatelům. Kelly Jackson Higgins – New Targeted Attack Campaign Against Defense Contractors Under Way – uvádí k tomu příklad. Technická analýza útoku je na této stránce – Dissecting an Active Campaign Targeting America’s Defense Industrial Base and Intel Communities.
Jak útočníci používají vyhledávače a jak tomu čelit, o tom informuje Noa Bar-Yosef – How Attackers Use Search Engines and How You Can Fight Back!. Uvádí některé triky hackerů a vysvětluje, jak by se společnosti a organizace měly proti nim bránit.
Hackeři zveřejnili dokumenty italské jednotky pro počítačovou kriminalitu – Hackers post documents from Italian cybercrime unit. K této „aktivitě“ se přihlásíli Anonymous. Viz také komentáře:
- Anonymous hacks Italy (John Leyden)
- Anonymous hacks Italy´s cybercrime police (Philip William)
- Anonymous offshoot claims Italian cyber-police hack (Tom Espiner)
Spam & Fake AV: Like Ham & Eggs – jaké je propojení mezi falešnými antiviry a internetovými lékárnami? Brian Krebs navazuje na své dřívější články, kde hovořil o finančních souvislostech – obé využívá azerbajdžánské banky. Zde si všímá osobního propojení – zmiňuje souběžné využívání ICQ a jistého ruského hackera Petera severu.
O nedávných útocích na kyberbezpečnostní centra v Itálii a Německu informuje článek Cyber defence centres in Italy and Germany attacked, as US-CERT director resigns following attacks. Je také připomenuta rezignace šéfa U.S CERTu, zřejmě v souvislosti s nedávnými úspěšnými útoky na CIA a americký senát a únikem blíže nespecifikovaných dat Pentagonu.
Nejprve se objevila tato informace: Scotland Yard oznámil zatčení jednoho z čelných představitelů LulzSec – Topiary – Scotland Yard Claims Arrest of LulzSec Frontman ‚Topiary‘. 19letý Topiary vystupoval jako mluvčí skupiny. Jeho skutečné jméno nebylo zatím zveřejněno.
Potom se však objevily pochyby: britská policie to popletla, zatčený není skutečný Topiary? Dan Goodin (UK Cops ‚duped‘ into arresting wrong LulzSec suspect) se odvolává na množství dezinformací, které na internetu kolují a na LulzSec Exposed (blog skupiny Web Ninjas).
Další podrobnosti obsahují články Exclusive: British Police Duped by LulzSec Into Arresting the Wrong Guy a Shetland ´Topiary´ suspect extended in custody for 3 days.
In ‘Anonymous’ Raids, Feds Work From List of Top 1,000 Protesters aneb jak FBI hledá podezřelé Anonymous. Spolupracuje s PayPal, odkud dostala seznam asi tisíce IP adres, odkud přicházel největší provoz při útoku DDoS na PayPal v prosinci 2010. Anonymous na to reagují výzvou k hromadnému opouštění účtů PayPal – Anonymous, LulzSec go legit with PayPal boycott, podrobnosti jsou na stránce Anonymous & Lulz Security Initiate #OpPayPal: Urge Mass PayPal Account Closings (včetně dopisu, který byl publikován na Pastebin).
Průnik SecurID stál společnost RSA celkem 66 miliónů dolarů – SecurID breach cost RSA $66m. V článku Dan Goodin komentuje ohlášené výsledky společnosti za druhé čtvrtletí 2011.
Rozbor jednoho útoku aktivistů Antisec najdete na stránce Unpatched servers and other insurgents: Antisec vs. Booz Allen Hamilton. Mark Underwood rozebírá dostupné informace ohledně nedávného útoku na Booz Allen Hamilton (armádního dodavatele).
Čínští hackeři zaútočily na jihokorejské weby, dopad útoku se týká až 35 miliónů uživatelů – Hackers attack South Korean sites; up to 35 mln users affected. Z portálu a blogu SK Comms byly ukradeny osobní informace těchto uživatelů. Obsahovaly telefonní čísla, e-mailové adresy, jména a další data.
Anonymous oznámili průnik do sítě Mantech (dodavatele FBI) – Anonymous Claims Network Breach of FBI Security Contractor ManTech. Viz také – Anonymous hacks US gov contractor, airs dirty laundry a Anonymous releases documents it says came from ManTech.
Hardware
K útoku na baterie notebooků společnosti Apple – takto lze instalovat i malware – Attack of the Apple laptop battery: Vulnerability could be used to install malware. Selena Frye cituje Charlie Millera:“You could put a whole hard drive in, reinstall the software, flash the BIOS and every time it would re-attack and screw you over. There would be no way to eradicate or detect it other than removing the battery.”
Obdobně – aktualizovatelný firmware se může stát novým cílem hackerů – Updatable firmware could be the new target for hackers. Adrian Kingsley-Hughes se obrací k práci Charlie Millera (hacknutí SW baterie notebooku) a upozorňuje na možný širší dopad výsledků tohoto typu.
How a Security Researcher Discovered the Apple Battery ‘Hack’ aneb jak bezpečnostní odborník přišel na bateriový „hack“. Autor popisuje myšlení a postupy Charlie Millera.
Elektronika a zbraně vytvářející elektromagnetický impuls – The Empire’s Dog Feces: Electromagnetic pulse weapon mania. Autor článku reaguje na nedávný článek U.S. intelligence analysts speculated on China’s use of electromagnetic radiation on Taiwan o spekulacích ohledně čínských zájmů v této problematice.
Nebezpečí FireWire portů u Maců, může dojít ke krádeži přihlašovacích dat – Kit steals Mac login passwords through FireWire port. Problém je znám již delší dobu (Apple postupně FireWire vypojuje u svých počítačů), hackeři o něm vědí, nyní se objevil v prodeji soubor nástrojů Kit Forensic v11, který ho umí využít. V článku je zmíněn také nástroj ruské společnosti Elcomsoft, který je určen pro zařízení s iOS. Viz také – Apple Macintosh Leaks Passwords Through FireWire When in Sleep Mode.
Schneier připomíná problém duplikování fyzických klíčů z jejich fotografií – Duplicating Physical Keys from Photographs (Sneakey). O tomto tématu byla řeč na Schneierově blogu již před dvěma roky. Jak je ale z diskuze patrno, vůbec nezaškodí si ho znovu připomenout.
VoIP
Nedávná aktualizace Skype umožňuje krádež účtu – Skype update enables account theft – Update. Jedná se o verzi Skype 5.5, chyba je však obsažena již ve verzi 5.3.
Mobilní telefony
Sociální inženýrství – tři techniky vztahující se k mobilnímu malware popisuje Joan Goodchild – Social engineering: 3 mobile malware techniques. Vysvětluje, jak se podvodníci pokouší oklamat uživatele chytrých mobilů a tabletů:
- škodící aplikace, které vypadají jako aplikace legálního charakteru
- škodící mobilní aplikace, které pochází z reklam
- aplikace, které tvrdí, že jsou zde kvůli „bezpečnosti“
Zeus a nebezpečí jeho variant pro uživatele mobilních telefonů jsou rozebírány v článku Don't bank on your phone to evade virus. Autor článku cituje Alexe Fidgena (MWR InfoSecurity): „The mobile phone industry is not fit for purpose, especially for financial transactions. The evidence is irrefutable. You cannot be assured of security with modern smartphones. As soon as the handset is compromised, then any data is up for grabs.“
Útoky na mobily budou rozebírány na konferenci Black Hat – Prototype drive-by attack shows mobile threat. Robert Lemos informuje o chystané prezentaci (Neil Daswani), která je věnována útokům na mobily s Androidem.
Elektronické bankovnictví
Nová podoba bankovního trojana SpyEye je nebezpečnější – SpyEye Trojan morphs to defeat online banking defenses. Nová verze se naučila obcházet obrany bank, které se snaží zabránit podvodným transakcím, blokovat je. SpyEye umí pracovat velmi rychle a právě to sloužilo k identifikaci jeho aktivit. Nyní se snaží imitovat chování postupy reálné osoby tak, jak tato pracuje s bankovním webem.
Bulharští hackeři jsou číslem 1 v bankomatových podvodech – Bulgarian Hackers Number 1 in World in ATM Skimming. Zdá se, jako by to bulharský novinář popisoval s jakousi národní hrdostí…
Německá spolková kriminální policie varuje před novým typem bankovního malware – Trojan Tricks Victims Into Transferring Funds. Na počítači se objeví zpráva, že uživateli omylem byl poskytnut úvěr (kredit) a účet bude zmrazen do té doby, dokud peníze nebudou vráceny. Pokud se uživatel podívá na svůj účet, malware ho pozmění tak, že z pohledu uživatele tam jakoby opravdu přibyla velká částka. Oběti je oznamováno, že má okamžitě vrátit peníze a odemknout svůj účet.
Viz také informaci o dalším obdobném triku – Beware of ´wrong transaction´ hotel spam.
Autentizace, hesla
Google+ Users Irked at Surge in Deleted Accounts, co se týče politiky reálných jmen v Google+, objevují se problémy? Autorka se při formulování svých názorů opírá o některé nedávné akty společnosti Google. Viz také článek Daniela Dočekala na Lupě – Pseudonym neznamená anonym, reálná jména nic neřeší.
Dvoufaktorová autentizace účtů Google je nyní dostupná v 150 zemích světa – 2-step verification: stay safe around the world in 40 languages. Má pomoci k většímu bezpečí uživatelů.
Biometrie
S vylepšením vlastností čteček otisků prstů přichází německá firma Dermalog – Fingerprint scans learn to spot chopped-off fingers. Je zde využita ta skutečnost, že když přitisknete prst (k čtečce), mění kůže svoji barvu. To otisk na gumě (či uříznutý prst) nedokáže.
Normy a normativní dokumenty
Americký NIST vydal:
Kryptografie
Z historie kryptografie: nerozluštitelná šifra (jednorázové heslo) byla používána již v roce 1882 telegrafními operátory – Crypto shocker: ‚Perfect cipher‘ dates back to telegraphs. Dan Goodin komentuje článek z New York Times:
Sběratel a známý odborník Steven M. Bellovin (profesor na Columbia University School of Engineering) objevil tuto informaci v kongresové knihovně. Viz také jeho studii Frank Miller: Inventor of the One-Time Pad.
Amatér oznámil, že rozbil šifru Zodiaca (nechvalně proslulého sériového vraha) – Amateur claims crack of final Zodiac Killer cipher. Viz také:
- Has the Code of The Zodiac Killer Been Cracked?
- Meet the man who claims he has CRACKED the code of the Zodiac Killer (and his identity)
- Has Amateur Codebreaker Cracked ´Zodiac Killer´ Letter?
On the Portability of Side-Channel Attacks – studie je věnována šifrování prostřednictvím Xilinx Virtex FPGA a úspěšnému útoku z postranního kanálu. Tento praktický útok komentuje také John Leyden v článku Military chip crypto cracked with power-analysis probe.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
