Hlavní navigace

Bezpečnostní střípky: jakou zvolit cestu k odpovědnému rozkrývání zranitelností?

Jaroslav Pinkava 26. 7. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na informace k blížící se konferenci Black Hat, na novou verzi šifrovacího nástroje TrueCrypt a na několik sad doporučení (bezpečné surfování, webové hrozby a k bezpečnosti VoIP).

Obecná a firemní bezpečnost IT

Dohoda 15 států na spolupráci v boji proti kybernetickým hrozbám, první tohoto typu, byla dosažena v uplynulých dnech v OSN – 15 nations agree to start working together to reduce cyberwarfare threat. V této skupině zemí jsou např. Spojené státy, Čína a Rusko, není zde Česká republika.

Špatní hoši nechtějí, abyste znali tato tajemství ohledně bezpečnosti – Security Secrets the Bad Guys Don't Want You to Know. Několik doporučení pro vaši ochranu uvádí Robert McMillan (PC World), např. vyhýbejte se skriptům, pozor na podezřelé nabídky antivirů, nebuďte závislí na MS Wordu či Adobe Readeru, prověřujte dokumenty, které otvíráte.

Desítka nejvíce nebezpečných webů – When Good Goes Bad: 10 Most Dangerous Web Sites – to je další ze slideshow nyní poměrně často uváděných na této stránce. Kdo je zde na prvním místě? Překvapení (?) – je to Facebook.

10 steps for safe web surfing aneb deset kroků k bezpečnému surfování internetem. Článek cituje (a trochu rozebírá) doporučení firmy Verizon:

  1. Výchova (mějte povědomí o existujících cestách k podvodům)
  2. Používejte firewall
  3. Klikejte opatrně
  4. Surfujte bezpečnou cestou (dbejte na to, kam sdělujete citlivé informace)
  5. Praktikujte bezpečné nakupování
  6. Používejte pravidelně aktualizovaný SW
  7. Chráněné bezdrátové sítě (router: heslo, firewall, šifrování)
  8. Silná hesla
  9. Používejte selský rozum
  10. Buďte skeptikem

Profily a kategorie aktérů kybernetické kriminality najdete popsány v článku Profiling and categorizing cybercriminals. Deb Shinder tímto článkem zahajuje sérii článků, které má být věnována různým typům kybernetických „padouchů“. V tomto úvodu charakterizuje typického počítačového kriminálníka, motivy tohoto typu kriminality, počítačové sítě jako nástroj zprostředkující tuto kriminalitu a přístupy těchto „bílých límečků“.

Bezpečný cloud z pohledu selského rozumu, sedm k tomu se vážících doporučeno je uvedeno opět ve formě slideshow – 7 Common Sense Tips For A Secure Cloud.

Společnost Apple zveřejnila svoji politiku ohledně sbíraných a uchovávaných dat – Apple lays out location collection policies. Autor článku komentuje odpověď společnosti (13-page reply) na otázky, které položili člen sněmovny reprezentantů Ed Markey a kongresman Joe Barton.

Problémem USA je malý počet odborníků na počítačovou bezpečnost  – Lack of computer security experts weighs heavy on U.S. cyber defense . Zatímní opatření, která se pro zlepšení situace v tomto směru, nestačí. Nejedná se přitom pochopitelně o kvantitu (množství lidí zabývajících se IT bezpečností), ale zejména o kvalitu (vysoce kvalifikované odborníky).

Strategii Evropské Unie pro boj s terorizmem je věnován dokument EU counterterrorism strategy: value added or chimera?. Tento sedmnáctistránkový materiál je diskutován také na Schneierově blogu.

Pokud kradete, dejte si pozor, aby kradené zařízení nemělo GPS – iPhone thief nabbed by GPS, cops say. Najdete zde popsán případ, ve kterém dopadení zloděje trvalo jen 10 minut.

The modern network security landscape – moderní sítě a měnící se krajina bezpečnosti, to je komentář k nedávné zprávě společnosti Cisco.

E-Guide: Information Security Magazine Essential Guide to Data Protection, vydání této příručky sponzoroval Information Security Magazine: Paradigma informační bezpečnosti se mění. Nestačí již jen chránit infrastrukturu. Je třeba chránit data zákazníků a data společnosti. Příručka vám řekne jak.

Combating Emerging Web Threats, to je zase příručka k tomu, jak bojovat s webovými hrozbami. Obsahuje pět následujících článků:

  • Defending Against RAM Scraper Malware in the Enterprise
  • SMBv2 Security in Question: Disable or Patch?
  • Best Practices for Defending Against (Small) Botnets
  • How SSL-Encrypted Web Connections Are Intercepted
  • Cyberwarfare and the Enterprise: Is the Threat Real?

38 states grill Google on three-year Wi-Fi slurp – celkem 38 amerických států požaduje od společnosti Google vyjasnění okolností okolo sledování bezdrátu při mapování ulic. Všechny tyto státy se připojily k probíhajícímu vyšetřování.

Sociální sítě

Fictitious femme fatale fooled cybersecurity aneb Mata Hari kybernetické bezpečnosti. Už zde o ní byla zmínka. Je to fiktivní osobnost působící na stránkách sociálních sítí (Facebook atd.). Autor článku Shaun Waterman podrobně popisuje celý experiment.

Chcete vědět, zda se vám někdo nenaboural do vašeho účtu na Facebooku? Stačí k tomu jednoduché, v článečku popsané opatření – Get notified of suspicious Facebook access to your account.

Software

Proklatě zranitelný Linux – DVL – nejvíce zranitelný operační systém vůbec – Damn Vulnerable Linux – The most vulnerable and exploitable operating system ever!. Jedná se o Damn Vulnerable Linux (DVL) operační systém určený pro výuku a analýzy studentů počítačové bezpečnosti.

Vydán byl Nmap 5.35DC1. V článku Nmap 5.35DC1 released jsou popsány význačné změny (oproti předešlým verzím).

TrueCrypt 7.0 je zde a s novými vlastnostmi – TrueCrypt 7.0 Gets Intel Hardware Acceleration and Better Automatic Mounting. Umí využívat intelovské HW akcelerátory, automaticky přimountuje zašifrované svazky. Stáhnout si ho lze zde – TrueCrypt, podrobnější popis nových vlastností je pak – zde.

CSI:Internet : Episode 3: PDF time bomb, tentokrát Thorsten Holz rozebírá podezřelý pdf soubor.

Zranitelnost prohlížečů, která umožňuje zjišťovat data uživatelů, bude rozebírána na konferenci Black Hat – E and Safari lets attackers steal user names and addresses. Týká se prohlížečů Explorer, Firefox, Chrome a Safari. Viz také článek – Auto-complete: browsers disclose private data.

Bezpečnostní chyby, které opravuje nová verze Firefoxu 3.6.7, jejich přehled uvádí Ryan Naraine v článku – Firefox hit by drive-by download security holes.

Rebooting Responsible Disclosure: a focus on protecting end users, pracovníci společnosti Google se vyjadřují k odpovědnému rozkrývání zranitelností. Zajímavý článek, který shrnuje různé existující pohledy na tuto problematiku.

Dell KACE Secure Browser – nová technologie použitá v prohlížeči má lépe chránit uživatele – Free secure browser protects against security attacks. Prohlížeč je volně dostupný, stáhnout si ho lze z tohoto odkazu – Dell KACE.

Open source technologie pro detekci průniků byla v minulém týdnu zveřejněna skupinou Open Information Security Foundation (OISF), kterou financuje U.S Department of Homeland Security (DHS) – DHS, vendors unveil open source intrusion detection engine.

Adobe připravuje novou technologii pro větší bezpečnost svého Readeru – Adobe introduces sandboxing technology for Reader in order to fight malicious threats. Má se objevit v příští nové verzi.

Sagan, to je systém pro monitoring v reálném čase (syslog). Na stránce Sagan – Real-time System & Event Log (syslog) Monitoring System najdete podrobnosti k tomu, co program umí a také odkaz, odkud si ho lze stáhnout.

Microsoft za chyby platit nebude – Microsoft: No money for bugs. Nehodlá tak následovat společnosti Google a Mozilla, které k tomuto kroku přistoupily.

Nejvíce zranitelnou platformou je Apple. Článek Apple Most Vulnerable Platform: Report obsahuje komentář k výsledkům zprávy společnosti Secunia – Secunia Half Year Report 2010.

Malware

V Německu byl zjištěn spyware kontrolující webové kamery – German webcam hack perv suspect cuffed. Nejmenovaný hacker ho šířil pomocí ICQ a používal ho ke sledování školaček (schoolgirls). Podobné incidenty v Evropě již byly zjištěny na Kypru, ve Španělsku a ve Spojeném království (mimo jiné).

Nový vir cílí na průmyslovou špionáž – New virus targets industrial secrets. Zákazníky před ním varuje společnost Siemens. Je zaměřen na počítače, kteří spravují rozsáhlé průmyslové kontrolní systémy používané ve výrobě. Vir se šíří infikovanými USB disky. Viz také – Spy rootkit goes after key Indian, Iranian systems – nové malware (spy rootkit) infikuje kritickou infrastrukturu. Společnost F-Secure hovoří o tom, že jím byla zasažena infrastruktura v Indii a Iránu.

Ve vztahu k novému červu Siemens doporučuje, neměňte hesla – After worm, Siemens says don't change passwords. Informace k dalšímu postupu svých zákazníků Siemens připravuje. Viz také:

Objevila se i druhá varianta červa:

A Siemens ještě jednou – Removing SCADA worm could disrupt power plants – dělá další kroky k odstranění nebezpečného červa Sluxnet. Rozesílá svým zákazníkům skener Sysclean (jeho tvůrcem je Trend Micro) v aktualizované verzi, která červa odstraní. Viz také článek – Virus writers are picking up new Microsoft attack.

Hardware

Zranitelnost routerů bude diskutována na konferenci Black Hat – Flaw could expose ‚millions‘ of home routers. Vystoupí k ní Craig Heffner (Seismic). Stručný obsah jeho vystoupení najdete zde – How to Hack Millions of Routers (spolu s obsahy dalších vystoupení).

Dell dodává motherboardy s malware – Dell ships motherboard with malicious code. Společnost Dell potvrdila, že některé motherboardy pro servery PowerEdge obsahují malware na zabudovaném firmwaru pro správu serveru.

VoIP

Příručku k bezpečnosti VoIP najdete na stránce VoIP system security: VoIP security issues, training, best practices (starší článek). Je zde obsažena její stručná charakterizace a odkazy na další články v šesti tématických okruzích:

  • VoIP network security challenges
  • VoIP security best practices
  • VoIP system security protocols: Vulnerability protection
  • VoIP system security: Encryption
  • VoIP system security: Zfone
  • Signal encryption improves VoIP system security

Mobilní telefony

Víte, co vše iPhone uchovává? Tento článek – Latest police weapon: iWitness? – obsahuje několik poznámek na téma forenzní analýza a iPhone.

GSM – Kraken, software pro crackování algoritmu A5/1 bude diskutován na konferenci Black Hat – New ‚Kraken‘ GSM-cracking software is released. Na konci článku je také informace o jiném přístupu k odposlechu GSM (bude předveden na Black Hat).

Spam

Top trendy spamu v roku 2010 (zatím) najdete na stránce Top Spam Trends Of 2010 (So Far) – ve formě slideshow.

Elektronické bankovnictví

E-bankovnictví – podvodníci překonávají existující prostředky dvoufaktorové autentizace – Crooks steal past multi-factor authentication. Rik Ferguson (Trend Micro) uvádí několik příkladů z poslední doby z Belgie.

Florida a krádeže dat platebních karet na benzinových pumpách – Skimming devices on gas pumps sending stolen card numbers via Bluetooth. Detektivové po oznámení zjistili, že na třech pumpách byla používána zřízení (skimming device), která po přečtení dat platební karty je odesílala zlodějům prostřednictvím Bluetooth.
Viz také podrobnější informaci o obdobném problému v okolí Denveru na blogu Briana Krebse – Skimmers Siphoning Card Data at the Pump.

Bankovní trojan používá sociální síť jako řídící a kontrolní centrum – RSA: Banking trojan uses social network as command and control server. Informuje o tom FraudAction Research Lab společnosti RSA. Crimeware je zaměřeno na brazilské banky. Něco takového se neděje zdaleka poprvé.

Autentizace, hesla

Program umožňující obcházet CAPTCHA je porušením amerických zákonů – Violating Terms of Service Possibly a Crime. Na Schneierově blogu se rozvinula diskuze k článku Is Breaking CAPTCHA a Crime?

Problematika bezpečnosti přístupů, co je pro ní důležité? Michael Kassner komentuje studii Do Strong Web Passwords Accomplish Anything?, jejímiž autory jsou Dinei Florencio, Cormac Herley a Baris Coskun. Ve vztahu k různým typům útoků, které dnes kriminální strana používá, se ukazuje, že zabývat se pouze bezpečností hesel nestačí – User IDs and passwords: Equally important for access security.

Kryptografie

A Brief History of Encryption aneb stručná historie moderního šifrování. Přes obecný název článek se autoři věnují pouze americkým normám pro symetrické šifry – DES a AES.

GCHQ , to je kniha o historii britské tajné služby. Recenze k této knize (jejím autorem je Richard Aldrich, kniha má 688 stran a vyšla nyní v červnu) najdete na těchto odkazech:

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

26. 7. 2010 20:24

limit_false (neregistrovaný)

„Vtipna“ situace nastala, kdyz autori malware odcizili klic pro podpisovani windows driveru Realteku. Revokace certifikatu nastala az po medialni masazi, paradoxne pridani signatury malware do databaz antiviru pomohlo vice nezli revokace dotceneho certifikatu.
http://www.wilderssecurity.com/showthread.php?p=1712134
Podobna situace nastala s malware Stuxnet, ktery byl podepsan od jineho vyrobce (JMicron), tenhle malware mel za cil SCADA (=system Siemensu zmineny v clanku; password nemuzou zmenit,…

26. 7. 2010 14:27

vlabra (neregistrovaný)

Hehe, už to tam není, ale žeby novinářský šotek jménem Google Translator? :-)))

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí