Hlavní navigace

Bezpečnostní střípky: Je vaším cílem kariéra v oblasti bezpečnosti?

12. 4. 2010
Doba čtení: 9 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého povelikonočního týdne lze upozornit na články rozebírající neznámá rizika výpočtů v cloudech, dále také na nebezpečí PDF souborů a na nebezpečí cílených útoků (Jaikumar Vijayan).

Obecná a firemní bezpečnost IT

Američtí senátoři s rétorikou, která používá termín kybernetická válka – Senators ramp up cyberwar rhetoric. Jay Rockefeller (D-W.Va) a Olympia Snowe (R-Maine) varují v článku v The Wall Street Journal před riziky kybernetické války. Tyto názory stojí v opozici těm názorům, které se dnes prosazují v americké politice, a které se snaží změkčit bojovnou rétoriku. Kybernetické hrozby jsou dnes již také prostředkem politického boje.

Síť Shadow, to je špionážní síť kompromitovaných počítačů, která je řízena z Číny – Researchers track cyber-espionage ring to China. Její činnost zdokumentovali američtí a kanadští odborníci. Nic však zatím neprokazuje vztah lidí, kteří tuto síť řídí, s čínskou vládou. Viz také – Report: India targeted by spy network.

Vietnam popírá obvinění z hackování účtů Google – Vietnam denies responsibility for hackings. Tato obvinění přišla od společností Google a McAfee a týkala se účtů vietnamských aktivistů.

Sofistikované kybernetické útoky a s tím související rizika americké infrastruktury popisuje článek U.S. infrastructure at risk from sophisticated cyber attacks. Autor v něm komentuje informace z přehledu, který zpracovala organizace Clarus Research Group. Většina (téměř tři čtvrtiny) respondentů z federálních organizací v něm hodnotí pravděpodobnost kybernetického útoku na jejich organizaci v tomto roce jako vysokou.

Jsou Spojené státy zemí, která je nejvíce zranitelná ve vztahu ke kybernetickým útokům? Ellen Messmer v článku Is the U.S. the nation most vulnerable to cyberattack? zkoumá dilema: USA mají nejlepší technologie včetně obran proti kybernetickým útokům, ale jsou také vysoce zranitelné (i díky používání rozvinutých technologií). Rozebírá připravovanou knihu Cyber War, jejím autorem je Richard Clarke.

Špionážní síť Ghostnet 2.0 používá služby pro výpočty v cloudech – GhostNet 2.0 espionage network uses cloud services. Vyplývá to ze studie SHADOWS IN THE CLOUD: Investigating Cyber Espionage 2.0, kterou zveřejnila organizace Munk Centre for International Studies (a také Information Warfare Monitor, SecDev Group a Shadowserver Foundation).

Krádeže z účtů administrací amerických měst se množí – Computer Crooks Steal $100,000 from Ill. Town. Brian Krebs upozorňuje na jednu z posledních. Asistentka starosty se přihlašoval na stránku banky, když se objevila zpráva, že bankovní počítače mají technické problémy (asistentka byla přesměrována na jinou stránku) a byly z ní vylákány přihlašovací údaje. Příští týden banka sice zjistila zvláštní převody peněz, ale zastavit se jí podařilo jen menší část převodů.

Howard Schmidt říká, že klíč k zastavení útoků typu útoku na Google má v rukou soukromý sektor – Schmidt: Private Sector Key to Stopping Google-style Attacks. Článek obsahuje rozhovor s hlavou americké kybernetické bezpečnosti.

Je vaším cílem kariéra v oblasti bezpečnosti? Michael Santarcangelo na stránkách csoonline.com Are You Making a Security Career or Working a Job? uvádí tři podstatné činitele, které byste měli zvážit. Další informace najdete v dlouhé sérii článků na stránce Security Leadership Articles.

Bezpečnostní procedury jsou přespříliš koncentrovány na dosažení shody – Security Programs Focusing Too Much on Compliance, Study Finds. Dennis Fisher zde komentuje výsledky zprávy The Value Of Corporate Secrets společnosti Forrester Consulting.

Bezpečnost výpočtů v cloudech, co je dobré, co je špatné a co příšerné – Cloud security: The good, bad and ugly. Malý přehled této, ještě stále ne zcela zažité problematiky. Viz také článek Cloud Computing Security Policies, Procudures Lacking, který hodnotí výsledky přehledu společnost Symantec a Ponemon Institute, který se touto problematikou také zabýval. Jsou zde uvedena také některá doporučení.

Výsledky dalšího přehledu: rizika související s výpočty v cloudech převažují nad výhodami – Survey: Cloud computing risks outweigh reward. Soudí tak 45 procent dotázaných profesionálů v přehledu, který připravila ISACA – IT Risk/Reward Barometer survey.

Esej Bruce Schneiera tentokrát na téma „Soukromí a kontrola“ najdete opět na jeho blogu  – Privacy and Control. Není pravdou, že v souvislosti s celkovým vývojem lidé přestávají dbát o své soukromí.

Počítačová bezpečnost – pět věcí, které byste měli říci svým rodičům, najdete v článku Five things you need to tell your parents about computer security. James Heary s několika doporučeními, která by se v určitých situacích ve vztahu k starší generaci (a asi nejen k ní) určitě neměla podcenit.

Co se týká bezpečnostních konzultantů a také právníků – nesvěřujte jim správu rizik, říká Scott Wright a také vysvětluje proč – Security Consultants and Lawyers: Don't Trust Them to Manage Risks.

Unifikace technologií zjednodušuje nároky na bezpečnost – How Technology Unification Delivers the Best Security with the Lowest Total Cost of Ownership. Studie společnosti Websense (33 stran) vysvětluje přístup této společnosti k řešení bezpečnostních otázek v rámci komplexního přístupu uvnitř organizace.

Rumunská policie zatkla 70 phisherů a podvodníků – Romanian police arrest 70 phishers and fraudsters. Akce byla provedena ve spolupráci s FBI. Viz také – Police cuff 70 eBay fraud suspects.

Video obsahující vystoupení Bruce Schneiera, odkaz na něj najdete na jeho blogu – Security, Privacy, and the Generation Gap. Bezpečnostní guru vystoupil s touto řečí na RSA konferenci a nyní také na CACR Higher Education Security Summit (Indiana University).

Podvod na Facebooku: 40 000 uživatelů hledá dárek od Ikei – Scam Facebook page attracts 40,000 victims seeking Ikea gift card. Kartu v hodnotě 1 000 dolarů měli získat, pokud se stanou fanoušky stránky Ikea. Pokud se nechali nalákat, byla od nich na stránce GiftDepotDirect.com požadována osobní data: jméno, adresa, datum narození a telefonní číslo.

Software

Free random password generator, na stránce najdete odkaz na volně dostupný generátor náhodných hesel, který zároveň může sloužit také jako jejich úložiště.

Tři cesty k tomu, jak zašifrovat data na přenosných médiích – Three portable data storage encryption methods, Mike Chapple zde uvádí tyto možnosti:

  • Použít zařízení s vestavěným šifrováním
  • Zašifrovat zařízení manuálně (např. pomocí programu TrueCrypt)
  • Zašifrovat jednotlivé soubory (nejjednodušší cestou podle autora je použití takových kompresních programů jako 7zip či Winzip)

Správa práv administrátorem – může pomoci volně dostupný program – Control Windows desktop administration rights for free. Jedná se o program Privilege Authority, s jehož pomocí mohou IT administrátoři spravovat práva ve své síti, přidělovat koncovým uživatelům specifická i časově omezená práva.

Wormy attack could spread via PDF aneb k aktuálním nebezpečím pdf souborů. Robert McMillan doporučuje, aby v cestě : „Edit > Preferences > Categories > Trust Manager > PDF File Attachments“ zůstal tento parametr nezaškrtnut.

Doporučení Adobe k ochraně před útoky prostřednictvím pdf souborů najdete na stránce Adobe Recommends Mitigations for PDF Security Attack. Citována jsou zde vyjádření Steve Gottwalse, manažera společnosti Adobe.

Nebezpečnost zabudovaných vykonatelných podprogramů v pdf souborech je popisována v článku The real dangers of PDF executable trickery. Jeremy Conway rozebírá rizika stávající situace (po zveřejnění výsledků Stevena Didiera). Viz také – PDF—Pretty Dangerous Format?.

Chcete si ověřit bezpečnost nějaké webové aplikace? Zeljka Zorz v Check how secure, private and open an app is nabízí k tomu použití WhatApp (Stanford´s Center for Internet and Society academics).

Malware

Rivalita malware: Zeus versus SpyEye, takto Brian Krebs na svém (nedávno vzniklém) blogu komentuje vlastnosti těchto kitů – SpyEye vs. ZeuS Rivalry.

Jak si vyčistit počítač od malware – The Cleanest Malware Scan.

Analytik botnetů vidí pokroky v kybernetické válce – Botnet research suggests progress in cybercrime war. Článek obsahuje rozhovor s Joe Stewartem ze společnosti SecureWorks.

Viry

Studii, která se věnuje otázce, jak krást informace z online antivirů, najdete na stránce Reverse Honey Trap. Striking Deep inside Online Web Antivirus Engines and Analyzers. Kromě zajímavé koncepce je ukázáno i několik příkladů.

10 obscure antivirus tools worth a look, tedy 10 obskurních antivirů. Larry Dignan poněkud netradiční cestou sestavil žebříček méně známého antivirového SW:

  1. BitDefender
  2. Avira Antivir
  3. ClamAV
  4. Avast
  5. rkhunter
  6. Dr.Web CureIt!
  7. ESET Smart Security
  8. ZoneAlarm
  9. iAntiVirus
  10. Microsoft Security Essentials

Antivir ClamAV je v nové verzi 0.96 a s novým detekčním mechanizmem – ClamAV 0.96 adds new malware detection mechanisms. Jedná se o volně dostupný program, stáhnout si ho lze na tomto odkazu – download.

Hackeři

Charlie Miller je úspěšný hacker ve vztahu k počítačům Apple – The Mac Hacker Strikes Again. Charlie Miller pracoval pět let jako analytik pro NSA. Své zkušenosti nyní využívá jiným směrem. Byl první, kdo hacknul iPhone. Nyní přišel se seznamem 20 chyb, z nichž každá umožňuje útočníkovi převzít kontrolu nad počítačem.

Hacker rozbil iPad za méně než den po jeho vydání – Hacker jailbreaks the iPad less than a day after release. Jedná se o téhož hackera (MuscleNerd), který hacknul iPhone – video.

Hackeři, kteří hackli čínskou špionážní síť Shadow Network – několik informací o nich se můžete dozvědět v článku Hackers: not just geeks, but activists. Good-guy hacking, like that of Hacklab, has become crucial to cyber security. Jedná se o pracovníky Citizen Lab v Torontu, baví se a zároveň dokáží být užiteční.

Nebezpečí cílených útoků popisuje Jaikumar Vijayan v článku Targeted cyberattacks test enterprise security controls. rozebírá současnou situaci ve vztahu k těmto útokům. Ne, není to kybernetická válka, říká, jedná se ale o pokročilou stálou hrozbu (advanced persistent threat – APT). Autor pak rozebírá související rizika a uvádí náměty a doporučení, která by organizace a firmy měly ve vztahu k těmto útokům zvažovat. Viz také další článek téhož autora – Threat of cyberattacks from overseas high, federal IT execs say (k přehledu společnosti Lumension Security Inc.). Dalším materiálem na příbuzné téma je článek In cyberwar, who´s in charge?.

Studii na téma hackování Web 2.0 Java Scriptu najdete na stránce Hacking Web 2.0 JavaScript – Reverse Engineering, Discovery and Revelations. Desetistránkový materiál připravil Rishita Anubhai (BlueInfy).

Hardware

Kamera, která ukáže, zda jste sledováni – JETprotect CS300K Long Range Counter Surveillance Camera. Zajímavý kousek hardware, komentář k němu je na Schneierově blogu – Detecting Being Watched.

iPad – osm bezpečnostních chyb najdete v přehledu osmi slajdů – The Dark Side Of The iPad: 8 Security Flaws.

Spam

Spam: co je to? Dilema, fenomén či oboje? Michael Kassner se zamýšlí nad podstatou spamu, proč vůbec existuje – Is spam a dilemma, phenomenon, or both?.

Elektronické bankovnictví

Bankovní zaměstnanec byl obviněn z účasti na podvodech s bankomaty – Bank insider charged over ATM malware scam. Hacknul systém bankomatů tak, že tyto mohly vydávat peníze bez záznamu o transakci.

Evropa: narůstá počet krádeží karet v pastech bankomatů – Payment card trapping rises in Europe. Podle European ATM Security Team (EAST) vzrostl počet těchto krádeží v roce 2009 o 209 procent oproti roku 2008. Údaje byly sbírány v 23 evropských zemích.

Elektronický podpis

Cross-site scripting using meta information aneb JavaScript v certifikátech. Autor poukazuje na možné budoucí útoky v tomto směru.

Normy a normativní dokumenty

Americký NISt vydal v uplynulém týdnu dokument:

Kryptografie

Bylo rozbito šifrování amerického armádního videa (?) – Cryptography Broken on American Military Attack Video. Kolují dohady okolo toho, jaký zde byl použit algoritmus a co umožnilo toto rozbití. Video, kde je vidět zastřelení novinářů (mj.), bylo ukázáno i na našich televizních kanálech.

Cryptanalysis of the DECT Standard Cipher, studie je věnována kryptoanalýze DECT. Viz také diskuzi na Schneierově blogu – Cryptanalysis of the DECT. DECT je algoritmus používaný pro bezšňůrové telefony. Dále – komentář Dana Goodina najdete na této stránce – Microscope-wielding boffins crack cordless phone crypto.

Speciálně nahraná CD mohou složit jako prostředek pro steganografii – Steganography discovery could help data thieves, but also improve radar, sonograms. Technologií optické steganografie se zabývají na Princetonské univerzitě. Obvyklé přehrávače nic na disku nenajdou.

root_podpora

Různé

(IN)SECURE Magazine – vyšlo 25. číslo. Z obsahu (mj.):

  • The changing face of penetration testing: Evolve or die!
  • Review: SmartSwipe
  • Unusual SQL injection vulnerabilities and how to exploit them
  • Take note of new data notification rules
  • RSA Conference 2010 coverage
  • Corporate monitoring: Addressing security, privacy, and temptation in the workplace
  • Cloud computing and recovery, not just backup
  • EJBCA: Make your own certificate authority
  • Advanced attack detection using OSSIM

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?