Hlavní navigace

Bezpečnostní střípky: konec roku a přehledy

Jaroslav Pinkava 27. 12. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek předposledního týdne letošního roku upozorníme na některá varování před možnými pokusy o podvody během svátků, informaci k zneužívání sociálních sítí a pokračující diskuzi k možným zadním vrátkům v OpenBSD.

Konference

Na květen 2011 je v Londýně chystána akce Cybercrime Security Forum – UK First in the Battle Against Cyber Crime. Tato dvoudenní událost (s mezinárodní účastí) má dát dohromady špičkové odborníky pro boj s počítačovou kriminalitou. Její příprava má podporu mj. i od Microsoftu a americké armády.

Přehledy

Soukromí, hacktivisté, interní hrozby – bezpečnostní předpovědi pro rok 2011, ve formě slideshow je připravil Brian Prince – Security: Privacy, Hactivists, Insider Threats: Security Predictions for 2011.

Top 5 bezpečnostních událostí roku 2010 vidí Stuart Sumner takto (The top five security stories of 2010):

  • Hacktivism
  • Znovuzrození červa Zeus
  • Obrana proti spamu (částečné úspěchy – Spamit uzavřen)
  • Stuxnet
  • Intel koupil McAfee

To nejlepší z IT bezpečnosti v roce 2010 (výběr článků) najdete na stránce IT Security top 7: Best of 2010. Selena Frye vyjmenovává:

  1. Rescue CDs: Tips for fighting malware
  2. Hackers and crackers: a lesson in etymology and clear communication
  3. Stealing Social Security Numbers is not identity theft?
  4. Is there hope for antivirus programs?
  5. Why you should never trust Facebook
  6. The next front in the cookie wars: Fighting the Evercookie
  7. The many eyes that matter for security are the friendly eyes

Obecná a firemní bezpečnost IT

Taking Heed to NSA's Assumption on Security Breaches Is Sound First Step aneb bezpečnost sítě a předpoklad NSA. V článku autor rozebírá nedávno vyřčenou formulaci pracovníka NSA – systém musí být budován i s předpokladem, že útočník se dostane dovnitř. Obrací se také v této souvislosti k úniku informací (Manning) do WikiLeaks.

Nigel Stanley se ve svém třídílném seriálu věnuje těmto tématům – počítačová kriminalita, kybernetické války, kyberterorizmus a hacktivismus:

Pět kroků k detekování a prevenci podvodů ve veřejném sektoru formuluje Graham Kemp – 5 steps to detect and prevent fraud in the public sector. Článek je určen ministerstvům.

Kyberkriminalita, tři hrozby, na které je třeba si o svátcích dávat pozor – Cybercrime: 3 threats to watch for this holiday season. Autor článku se odkazuje na statistiky vážící se k roku 2008 a nyní zveřejněné v práci – a study from the Department of Justice. Je třeba si dávat pozor zejména:

  • Nepoužívání ochrany heslem
  • Slabá či nezměněná hesla
  • Používání nechráněného bezdrátové či mobilního připojení

Recenzi knihy Cyber War napsal Bruce Schneier. Samotnou knihu lze zakoupit na Amazonu zde – Cyber War: The Next Threat to National Security and What to Do About It. Kniha vyšla v dubnu 2010, má 304 stran a jejími autory jsou Richard A. Clarke a Robert Knake.

Piráti chtějí šířit utajované dokumenty, Martin Vyleťal na Lupě: Tuzemský Internet má své WikiLeaks. Česká pirátská strana spustila projekt, který umožní zveřejnit utajované nebo cenzurované materiály politického, etického či diplomatického významu.

CSO – pět tipů k tomu, abyste zazářil jako bezpečnostní ředitel – CSO resumes: 5 tips to make yours shine. Připravila je Joan Goodchild (nezbytná je registrace).

WikiLeaks

Také Bank of America zastavila své služby pro WikiLeaks – Bank of America hits WikiLeaks with financial ‚Denial of Service‘ attack. Sleduje tedy cestu, kterou již šly Visa, MasterCard, PayPal a Post Finance.

WikiRebels – The Documentary, to je video věnované tématu WikiLeaks, Julian Assange a Pentagon. Komentář k tomuto filmu, který je nyní k dispozici na YouTube (4 díly) je obsažen v článku Video: The Time Julian Assange Hacked the Pentagon.

„W.T.F.“: CIA and NSA respond to WikiLeaks – CIA a NSA odpovídají na WikiLeaks. V článku se hovoří o tom, že SIPRNet (síť ze které nejspíše unikly ony materiály a kterou používá americký stát a silová ministerstva) není dostatečně chráněná. V článku je uvedeno několik dalších odkazů k tématice se vážících.

Sociální sítě

Sociální sítě jsou používání k zjištění profilu, nalezení a uchopení oběti – Using social networks to profile, find and own your victims. Ilustruje to Dave Marcus (McAffee) ve videu z konference Dojocon 2010. Vše co zjistil, je založeno pouze na informacích, které lidi vkládají do sociální sítě.

Software

Falešné bezpečnostní produkty se připojují k falešným antivirům – Malware Posing as Fake Desktop Utilities Instead of Phony Antivirus. Po internetu začínají v posledních dvou měsících obíhat takovéto „utility“, přitom jsou označovány poměrně různorodě. Některé se tváří jako skutečný bezpečnostní SW (např. Microsoft Security Essential, SW od společnosti McAfee atd.).

Volně dostupný bezpečnostní nástroj najde zranitelný a zastaralý SW – Free security tool detects vulnerable and outdated software. Společnost Secunia vydala druhou verzi svého nástroje Personal Software Inspector (PSI).

K novým varováním vyhledávače Google ohledně rizikových stránek se obrací Michael Kassner. V článku Google Search warns about compromised websites rozebírá nedávnou novou snahu společnosti Google (malware detction system).

O existující zranitelnost všech verzí IE najdete informaci v článku All versions of Internet Explorer under threat. Microsoft pro boj s ní přichází s nástrojem EMET ( Enhanced Mitigation Experience Toolkit).

Jak chráněný je cloud? Rozsáhlejší rozbor této problematiky – How Secure Is The Cloud? – publikoval David Strom.

OpenBSD

Diskuze k možným zadním vrátkům v OpenBSD pokračuje – OpenBSD chief believes contractor tried to write backdoors. Šéf OpenBSD připouští, že takováto možnost před deseti lety byla. Pokud tam jsou zadní vrátka, bude obtížné je najít. Ale celá záležitost by mohla mít opačný dopad, snahy najít takovouto zranitelnost by měly vést k větší bezpečnosti kódu. Viz také:

Audit OpenBSD nenašel zadní vrátka – OpenBSD: audits give no indication of back doors. V článku je provedena rekapitulace současného stavu problému.

Malware

Výzkumníci postavili botnet, aby vyzkoušeli, jak funguje – Researchers create botnet to learn how it works. Jedná se o kanadské odborníky z Ecole Polytechnique de Montreal. Použili k tomu izolovanou verzi botnetu Waledac. Byl také simulován útok na tento botnet (podařilo se zastavit jeho fungování během jedné hodiny).

Počítačový virus zřejmě v Íránu poškodil jaderná zařízení. Počítačový virus Stuxnet mohl v íránském Natanzu poškodit až tisíc odstředivek na obohacování uranu. V nové analýze to uvádí americký Institut pro vědu a mezinárodní bezpečnost.

Viry

Každý čtvrtý uživatel vypíná svůj antivir (kvůli výkonu počítače) – Bummed-out users give anti-virus bloatware the boot. Vyplývá to z výsledků přehledu, který zpracovala bezpečnostní firma Avira.

PandaLabs vydaly své shrnutí ´Virus Yearbook 2010´, článek Virus yearbook 2010: Mariposa, Stuxnet and MSNWorm most noteworthy obsahuje z něho výtah.

Telefonicky vám oznámí, že si máte nainstalovat antivir – Cyber-Criminals Cold Calling Users to Distribute Fake Antivirus Services. A dodají k tomu ještě další povídání (např. že jsou od Microsoftu). Ovšem zmíněný antivir je ve skutečnosti něco jiného …

Japonsko – tvorba počítačových virů bude zakázána – Computer virus creation to be banned. Dle současné legislativy nemá vláda možnost trestat lidi za jejich vytváření či vlastnictví.

Hackeři

Hackeři napadli cestovní kancelář z New Yorku, získali přístup k datům ze 110 000 platebních karet – Hackers hit New York tour firm, access 110,00 bank cards. Jak jinak – prostřednictvím útoku typu SQL injection se nabourali do serveru firmy. K útoku zřejmě došlo v září 2010. Viz také článek – SQL Injection Blamed for New Breach.

Vaše organizace se stala obětí průniku hackerů. Co teď? Adam Ely – You've Been Breached: Now What? – vysvětluje, že analýza logů by se měla stát klíčovým momentem pro přípravu plánů na reakci.

Zkrácená url a nebezpečí útoků DDoS – New URL Shortener Hijacks Browsers for DDoS. Autor (Ben Schmidt, University of Tulsa) služby s příznačným názvem d0z.me říká, že implementace tohoto útoku ukazuje, jak není bezpečné spoléhat na zkrácené url.

Studie z Harvardu se věnuje DDoS útokům na stránky obhájců lidských práv – DDoS attacks threaten free speech, says report. Na stránky, které harvardské centrum sledovalo, byla provedena řada útoků, celkem se dotkla až 62 procent sledovaných webů.

Muž z Minnesoty hacknul sousedovo WiFi, útočil na amerického viceprezidenta Bidena – Minnesota Man Hacked Neighbor's WiFi, Threatened Vice President. Distribuoval touto cestou také dětskou pornografii a prováděl další nepřístojnosti.

Hardware

Imobilizéry v autech se dají snadno obejít – Car immobilisers easily circumvented by crafty carjackers. Příčinou je používání slabé proprietární kryptografie, klíče v šifrovacích protokolech se dají zjistit hrubou silou.
Viz také – Car Immobilisers Using Weak Encryption Schemes a také diskuzi na Schneierově blogu – Proprietary Encryption in Car Immobilizers Cracked.

Mobilní telefony

Vaše aplikace (pro iPhone a Android) vás sledují – Your Apps Are Watching You. Vyplývá to z výsledků šetření, které provedl Wall Street Journal.

Spam

Amazon – jeho služba Mechanical Turk je zneužívána ke generování spamu – Amazon's Mecha­nical Turk Used to Generate Massive Amounts of Spam. Vyplývá to z výsledků studie Mechanical Turk: Now with 40.92% spam. Jeden ze závěrů studie: Amazon s tím nic nedělá, protože jednoduše sám z tohoto spamu profituje.

Elektronické bankovnictví

Pět pravidel pro ochranu online bankovních účtů najdete na stránce 5 rules to protect an online bank account. Constance Gustke formuluje pravidla pro ochranu před phishingem a jinými podvody:

  • Pozor na smishing (phishing prostřednictvím SMS)
  • Zažeňte malware
  • Vyhněte se sdílení počítačů a sítí
  • Chraňte své heslo
  • Mějte jasno v tom, jakou bankovní aplikaci stahujete

Autentizace, hesla

The importance of identity in the digital age aneb k významu identity ve věku digitálních technologií. Mirko Zorz zpovídá v rozsáhlejším interview Davida Mahdi, produktového manažera společnosti Entrust.

Hesla jsou nejslabším článkem v online bezpečnosti – Passwords are the weakest link in online security. Podle přehledu (CheckPoint – tvúrce ZoneAlarm) 79 procent uživatelů pracuje s hesly riskantní cestou. Viz také komentář – 79% of web users put personal info in passwords.

Doporučení od CheckPointu pro vytváření silných hesel (tradiční téma) najdete na stránce Tips for creating a strong password. Týkají se délky hesla, obtížnosti ho uhodnout, nepoužívání slov ze slovníků, opakovaných znaků či posloupností. Také je třeba v různých situacích používat různá hesla a dostatečně často je měnit.

Elektronický podpis

Byla zveřejněna databáze zabudovaných soukromých SSL klíčů – Group Publishes Database of Embedded Private SSL Keys . Týká se to řady zařízení, především však domácích routerů.

Normy a normativní dokumenty

Americký NIST v minulém týdnu vydal dva dokumenty

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

27. 12. 2010 11:52

max (neregistrovaný)

škoda že byla zrušena kategorie stuxnet, stále se okolo stuxnetu něco děje a byla to jedna z kategorií, kterou jsem pravidelně sledoval..

28. 12. 2010 10:24

titulor (neregistrovaný)

jsi jen chapadlo ty obrovsky chobotnice, budes useknuto..
--glade titulor linux


120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání