Bezpečnostní střípky: je strach z kybernetické války přehnaný?

Přehledy a konference

Prezentace z konference DEFCON 2009 jsou nyní na internetu již také k dispozici – DEFCON 17 Archive. Vyberte si témata, která vás zajímají.

Obecná a firemní bezpečnost IT

FBI zkoumá notebooky zaslané americkým guvernérům – FBI investigating laptops sent to US governors. Jak se však zdá, zatím bez výsledku, malware nebyl nalezen nebyl, alespoň nic v tomto duchu nebylo oznámeno.

USA majú nové pravidlá pre kontrolu notebookov, mobilov na hraniciach – z úvodu: Ministerstvo vnútornej bezpečnosti Spojených štátoch amerických (MVB) na konci tohto týždňa zverejnilo nové pravidlá pre kontrolu notebookov, mobilov, pamäťových kariet a USB kľúčov a akýchkoľvek elektronických zariadení obsahujúcich dáta pri colnej a imigračnej kontrole na hraniciach, letiskách alebo iných vstupných bodoch do USA. Pravidlá platia pri vstupe do USA aj odchode z krajiny a riadia sa podľa nich úrady imigračnej aj colnej kontroly. V zásadě ale platí, že Bushova politika pro cestovatele zůstává zachována – Bush's Search Policy For Travelers Is Kept.

USA – Cybersecurity Act – také upravený návrh zákona dává prezidentovi bezprecedentní pravomoci – Revised Bill Still Gives Obama Unprecedented Cyber-security Powers. I revidovaná verze zákona umožňuje prezidentovi vyhlásit stav pohotovosti pro oblast kybernetické bezpečnosti, přičemž tato opatření mohou zasáhnout i nevládní počítačové sítě a prostředky. A tedy i teoreticky vypnout internet.Viz ale také komentář v článku Umm… Actually Obama Doesn’t Want to Take Over The Internet.

Velká Británie, byla zveřejněna strategie pro boj s e-kriminalitou  – Association of Chief Police Officer of England, Wales & Northern Ireland e-Crime Strategy. Dokument je komentován v článku Police chiefs publish first UK e-crime strategy. Odpovědnými orgány v této souvislosti jsou National Fraud Reporting Centre (NFRC) a Police Central e-crime Unit.

Pozor na podvody v sociálních sítích (Facebook, Twitter) – 5 More Facebook, Twitter Scams to Avoid. Joan Goodchild uvádí pětici „aktuálních“ podvodů. Navazuje na svůj článek z února tohoto roku – 9 Dirty Tricks: Social Engineers´ Favorite Pick-Up Lines.

Book Reviews: The Myths of Security, zde najdete recenzi knihy – The Myths of Security: What the Computer Security Industry Doesn't Want You to Know. Autorem knihy je John Viega (pracovník společnosti McAfee). Kniha má 260 stran a vydalo ji nakladatelství O´Reilly v červnu 2009. Knihu najdete např. na Amazonu.

5 cest, kterými vaše firma může snížit IT rizika a získat tak konkurenční výhodu, rozepisuje ve svém článku Jon Murphy  – 5 Ways to Address IT Risk for Competitive Advantage. Uvádí následujících pět doporučení:

1. Podepřete nejprve základy, investujte do vylepšení infrastruktury.
2. Zabývejte se riziky IT a jejich správou v každém podnikatelském procesu.
3. Umožněte IT managementu proaktivní podporu vedení podnikání.
4. Zvažujte rizika nejen v tradičních pojmech jako jsou důvěrnost, integrita a dostupnost, nýbrž také v pojmech přístupu, přesnosti a agility.
5. Zvyšujte povědomí pracovníků organizace ve vztahu k rizikům.

Cyber-Scare. The exaggerated fears over digital warfare aneb přemrštěný strach z kybernetické války. Ne vždy titulky článků, které souvisí s touto problematikou, jsou v souladu s reálnými skutečnostmi. Jevgenij Morozov podrobně rozebírá existující scénáře, hrozby a rizika. S jeho chápáním vyslovuje souhlas také Bruce Schneier na svém blogu – The Exaggerated Fears of Cyber-War. Schneier shrnuje – reálným rizikem nejsou kybernetická válka či kybernetický terorizmus, je jím kybernetická kriminalita.

Zatímco v současnosti je poukazováno na to, že bezpečnost IT nás nyní ohrožuje především ve vztahu ke kybernetické kriminalitě (viz výše uvedená diskuze na Schneierově blogu), vývoj IT nedává spát těm odborníkům, kteří poukazují na stále rostoucí možné dopady potenciálních útočníků na různé typy počítačových infrastruktur. World War 3.0: 10 Critical Trends for Cybersecurity  – v tomto článku jeho autoři předkládají podrobnější rozbor deseti trendů, které v tomto smyslu mohou mít do budoucna (někde možná mají už nyní) dopady ve sféře kybernetické války.

Bezpečnost údajů ve zdravotnictví, ani v tomto odvětví není situace růžová. Přehled – hacknutá data v roce 2009 (USA) – najdete na stránce Health privacy undermined: Worst breaches of 2009. Je to několik slajdů, které obsahují odkazy na konkrétní datové průniky a dokumentují tak neveselou situaci.

Ženy pracují s hesly bezpečněji než muži, alespoň z přehledu PC Tools vyplývá, že 47 procent mužů má totéž heslo na webových stránkách, které navštěvují, zatímco u žen je to jen 26 procent – Men far worse than women on password security. And Brits rubbish at updating software.

Přehled nově se objevujících bezpečnostních nástrojů najdete na stránkách Security Database. TOOLS WATCH . Kromě odkazů na novinky (ohledně nástrojů) najdete na těchto stránkách také stránky dávající přehled aktuálních zranitelností a hrozeb (IT Vulnerability Dashboard).

Jeff Bardin zformuloval deset hlavních důvodů, proč potřebujeme, aby se organizace zabývaly kybernetickou bezpečností – Top Ten Reasons to Justify the Need for a Cyber Security Organization. Informace obsažené v tomto seznamu by bylo třeba ozřejmit šéfům…

Bezpečnost internetu v roce 2009, ověření a aktualizace předpovědí rozebírá Zulfikar Ramzan. Vrací se k předpovědím Symantecu z prosince 2008 a dokumentuje jednotlivé body konkrétním vývojem – Internet Security Trends 2009: An Interim Update.

Citlivé údaje klientů pojišťovny Uniqa se dostaly na internet , z úvodu článku na Živě : Pojišťovna Uniqa má problém s únikem dat, na jistém slovenském webu se totiž objevil odkaz na weby Ulož.to a Rapidshare.com, na kterých je uložen textový soubor s čísly cestovních smluv, rodnými čísly a jmény několika tisíc pojištěnců.

Byla nalezena nová cesta k útokům na cloud computing – Researchers find a new way to attack the cloud. ‚Side-channel‘ attack techniques could lead to more serious problems. Zatímco Microsoft a Amazon již zahájili poskytování služeb tohoto typu, příslušné produkty mohou mít však vážné bezpečnostní problémy. Ukazuje to i nedávný výsledek práce univerzitních odborníků. V provedeném experimentu poukázali na možnost využití tzv. postranních kanálů. Problémů s tímto typem služeb je věnován také článek Red Hat warns of cloud ´lock-in´. Určitě to nejsou poslední zastavení se k bezpečnostním problémům těchto služeb

Software

Upravte konfigurace firemního firewallu, s třemi doporučeními přichází Joel Snyder – Checklist: Three firewall configuration tips. V této souvislosti najdete na stránce i další odkazy na příbuznou tématiku.

Avoid Windows Encryption  – Nepoužívejte šifrování z Windows, říká v titulku svého článku Lincoln Spector. Upozorňuje na problém, který nastane po reinstalaci Windows. Zašifrované soubory (pomocí EFS – Encrypting File System) již nejsou dále přístupné. Problém je specifický pro domácí (nikoliv však firemní) prostředí. Autor sice ukazuje cestu, jak problém vyřešit (pro Windows Vista, pro Windows XP je to složitější), přesto však raději doporučuje používat TrueCrypt.

Graudit – nástroj pro audit SW, to je jednoduchá utilita, která pomůže najít možné bezpečnostní chyby – Graudit – Code Audit Tool Using Grep.

Ve Spojených státech je voláno po nových pravidlech ohledně bezpečnosti webů – Privacy, consumer groups want news laws to protect Web users. Sbírat osobní data by mělo být možné pouze s výslovným povolením, mělo by být zakázáno sbírat informace o chování dětí do 18 let. Společnosti, které nedodržují pravidla pro sbírání dat, by byly volány k soudní odpovědnosti.

Reakci společnosti Google k problémům Gmailu z minulého týdne najdete na jejich blogu – More on today's Gmail issue.

MySqloit (MySqloit – SQL Injection Takeover Tool For LAMP), to je nástroj k provádění útoků typu SQL injection. Tento nástroj má sloužit k demonstraci těch slabin, které vyplývají z nevhodného spojení s databází (nejsou využívány fronty zásobníku).

Malware

Microsoft říká, že hlavním cílem autorů malware jsou USA – Microsoft says US is top malware target. The United States of infected PCs. Dan Goodin v tomto článku komentuje výsledky využívání nástroje Microsoft´s ma­licious software removal tool.

Web malware: Is the internet burning? aneb malware na webech – hoří nám internet pod nohama (pod rukama)? Mary Landesman (ScanSafe) kriticky shrnuje současnou situaci, situace s útoky, které jsou založeny na využití webů, se nám začíná vymykat z rukou.

Trojan Zeus a IM, tomuto problému je věnován článek Instant messaging speeds up data theft danger. Informace o tomto kousku malware poukazuje na jeho nebezpečnost. Zeus uživatelův počítač nakazí třeba otevřením přílohy e-mailu, která obsahuje tohoto trojana, krade pak přihlašovací data. Je nyní odhadováno, že jen v USA je tímto trojanem infikováno 3,6 miliónů počítačů.

Deset cest k detekci počítačového malware – 10 ways to detect computer malware. Michael Kassner uvádí desítku aplikací, které mohou v tomto směru pomoci. Jsou to následující (podrobnosti v článku):

• Microsoft Process Explorer
• HiJackThis
• GetSystemInfo
• Microsoft Baseline Security Analyzer
• Secunia’s scanners
• Avast, Comodo
• Malicious Software Removal Tool
• SUPERAntiSpyware
• Malwarebytes Anti-Malware
• GMER

Co dělat, pokud vás začne otravovat scareware? Brian Krebs v tomto článku – What To Do When Scareware Strikes – (i na základě zkušeností s počítačem jeho manželky) rozebírá, jaké má uživatel počítače možnosti, pokud se mu do počítače vloudil nějakou cestou programový kód, který uživatele otravuje třeba neustálým vyskakováním pop-up okének.

Hackeři

Chcete si najmout botnet pro DDoS útok? Podle Guntera Ollmanna (DDoS botnets for rent) stačí umět hledat na internetu. Ceny ? Například za 200 dolarů můžete mít botnet s 10 tisíci počítači (na jeden den).

UK Parliament website hack exposes shoddy passwords, hacknuté byly stránky britského parlamentu. Rumunský hacker využil zranitelnosti umožňující útoky typu SQL injection. Poukázal také na to, že používaná hesla nejsou dostatečně kvalitní.

Hardware

Jaká je užitečnost monitorovacích kamer v Londýně ve vztahu ke kriminalitě? Bruce Schneier na svém blogu (On London's Surve­illance Cameras) uvádí odkaz na zprávu – 1,000 cameras solve one crime. Podle ní jedna kamera z tisíce pomůže vyřešit kriminální čin (za rok). Na blogu se pak kolem této problematiky rozvíjí zajímavá diskuze.

Zajímavá myšlenka – detektor pohybu zabudovaný v telefonu, je popsána v článku Motion-detecting phone helps guard home front. Pokud se někdo pohybuje v blízkosti telefonu, tento sám zavolá na předem naprogramované číslo. Navíc volaný slyší po zvednutí telefonu zvuky z místnosti (lze je i nahrát).

VoIP

Trojan umožňující odposlech Skype již pobíhá po internetu – Skype spy Trojan escapes into wild. Stačil jen jeden den po oznámení o jeho existenci a už ho kdosi vypustil do světa. Trojan zatím neinfikoval mnoho počítačů a vzhledem k tomu, že jeho signatura je již v antivirových databázích, je tato hrozba zatím velice nízká. Tvůrci malware jsou však vynalézaví …

Mobilní telefony

S tím projektem na rozbití GSM to nebude tak hrozivé, říká GSM Alliance – GSM Alliance downplays seriousness of GSM project. Podle vydaného prohlášení je ještě dlouhá cesta k praktickým útokům. Uklidnění pro veřejnost?

Spam

TopTen českých hoaxů a řetězových zpráv za srpen 2009 najdete jako vždy na stránkách Hoax.cz.

Elektronické bankovnictví

Soud umožní klientům vznést žalobu na banku pro bezpečnostní nedostatky – Court allows suit against bank for lax security. Citizens Financial Bank should have offered strong authentication, plaintiffs claim. Možná to je jeden z prvních takovýchto postupů.

Kryptografie

Kryptografické párování na hypereliptických křivkách – Pairings on hyperelliptic curves, to je aktuální přehled problematiky, který připravili autoři J. Balakrishnan, J. Belding, S. Chisholm, K. Eisenträger, K. Stange a E. Teske. Součástí studie (31 stran) je také rozsáhlá bibliografie.

Recent Contributions to Cryptographic Hash Functions, to je stručný přehled současného stavu problematiky hashovacích funkcí. Tento materiál na stránkách Dr. Dobb´s připravili pracovníci společnosti Intel (Jesse Walker, Michael E. Kounavis, Shay Gueron, Gary Graunke). Obsahuje přehled významných faktů k hashovacím funkcím a diskutuje současné problémy. Podrobněji jsou zde diskutováni dva kandidáti ve výzvě amerického NISTu – Skein a Vortex (na jejich návrhu se pracovníci Intelu podíleli).

Bruce Schneier chystá nové vydání své knihy věnované kryptologii – The Cult of Schneier. Přibyde spoluautor a hlavně – kniha má obsahovat odraz na změny, které se udály za třináct let od jejího vydání. V novém vydání bude mít kniha název Cryptography Engineering. Kdy vyjde? Schneier uvádí počátek 2009, což je zjevně překlep, viz – Cryptography Engineering: Design Principles and Practical Applications.

Článek Steve Bellovina (One-Time Pads and Vernam's „Cipher Printing Telegraph Systems“ Paper) se věnuje použití jednorázového hesla v praktické kryptografii. Obrací se k němu také diskuze na Schneierově blogu,

Různé

Vyšlo nové číslo (22) (IN)SECURE Magazine. Tentokrát má tento čtvrtletník již 111 stran. Z obsahu:

• Using real-time events to drive your network scans
• Review: Data Locker
• The Nmap project: Open source with style
• Enterprise effectiveness of digital certificates: Are they ready for prime-time?
• A look at geolocation, URL shortening and top Twitter threats
• How „fake stuff“ can make you more secure
• Making clouds secure
• Q&A: Dr. Herbert Thompson on security ROI and RSA Conference
• Cyber Crime Fighters: Tales from the Trenches
• Top 5 myths about wireless protection
• Securing the foundation of IT systems
• A layered approach to making your Web application a safer environment
• In mashups we trust?
• Adopting the security best practice of least privilege
• Is your data recovery provider a data security problem?
• New strategies for establishing a comprehensive lifetime data protection program
• Security for multi-enterprise applications
• EU data breach notification proposals: How will your business be affected?
• 97 Things Every Software Architect Should Know
• Safety in the cloud: How CIOs can ensure the safety of their data as they migrate to cloud applications
• Vulnerability management

Přehled vychází z průběžně publikovaných novinek na Crypto – News.