Bezpečnostní střípky: konec roku ve znamení rekapitulací a předpovědí

Přehledy

ENISA vydala dokument Introduction to Return on Security Investment. Komentář k tomuto 18stránkovému materiálu najdete v článku An introduction to return on security investment – RoSI. Obtížnost výpočtu návratnosti investic do bezpečnosti spočívá v tom, že tyto investice nezvyšují zisk, ale snižují ztráty.

Byla také vydána další zpráva ENISA – o bezpečnostních opatřením ve vztahu k inteligentním rozvodným sítím – Appropriate security measures for smart grids. Guidelines to assess the sophistication of security measures implementation. Komentář ke zprávě si lze přečíst na stránce ENISA reports on smart grid cyber security measures. Z obsahu zprávy:

1. Introduction
2. Approach to identifying appropriate security measures
3. Appropriate security measures
4. Sophistication levels
5. Catalogue of security measures
6. Mapping with ISO/IEC 27002, NISTIR 7628 and ISO/IEC TR 27019

EU cybersecurity agency says variation between countries adds risk – ENISA – rozdíly mezi jednotlivými zeměmi zvyšují kyberbezpečnostní rizika. Je také třeba eliminovat duplikované činnosti jednotlivých CERTů.

Dále byla vydána zpráva Verizon Data Breach Investigations Report. Rozsáhlý (92 stran) dokument je komentován v článku Cloud exploits and mobile device attacks on the horizon. Jsou zde citovány následující tři nejpravděpodobnější hrozby roku 2013:

• Útoky a chyby vztahující se k autentizaci, včetně zranitelných či ukradených uživatelských jmen a hesel
• Exploity webových aplikací
• Sociální inženýrství

Pohledy na rok 2012

Five Significant Insider Attacks Of 2012 – pětice význačných útoků roku 2012, které byly provedeny zevnitř. Robert Lemos popisuje v této kategorii následující pětici útoků:

• Infrastructure as an Insider: Barnes & Noble
• Bug in the Boardroom: Rapid7 Video Conferencing Research
• Data Walk Out: From Cityville to Kixeye
• The Inadvertent Insider: South Carolina´s Dept. of Revenue Breach
• The Disgruntled Insider: Swiss Intel Leak

Highest profile software failures of 2012 – největší softwarové pády roku 2012, takovýto žebříček (v deseti bodech) připravila společnost SQS.

ISACA vydala svůj 2012 IT Risk/Reward Barometer – ISACA’s 2012 IT Risk/Reward Barometer. Na stránce najdete jednak klíčová zjištění, jednak informace vztahující se k jednotlivým regionům zeměkoule a také srovnání s rokem 2011. Komentář k těmto informacím je obsažen v článku Guidance on cybersecurity, private clouds and privacy.

Rok 2012– velké hacky, úniky a datové průniky – 2012: Looking back at the major hacks, leaks and data breaches – slideshow (20 obrazovek) připravil Zack Whittaker.

A jak bude vypadat rok 2013 ?

Společnost Skybox Security připravila své předpovědi pro rok 2013 – Reinvent your security approach. V článku je rozebráno následujících pět bodů:

1. Next-generation vulnerability management
2. Continuous security monitoring
3. IPS emerges as key component of risk migration strategy
4. Big data for security
5. Emergence of the CIRO

10 Ways to Protect Your Businesses Cybersecurity in 2013 – deset cest k tomu, jak chránit vaši podnikatelskou bezpečnost v roce 2013. Nejsou to předpovědi, ale některá doporučení či většina z nich se již objevila v obdobných článcích.

Mobilní malware – je to s ním špatné již nyní, v roce 2013 to bude ještě horší – Mobile malware: It's bad now, but will be worse in 2013. Článek obsahuje komentář ke zprávě společnosti ESET – Trends for 2013. Astounding growth of mobile malware. Dokument, který má 21 dvoustran, se však netýká jen mobilního malwaru, charakterizuje celkovou situaci. Další komentář k dokumentu společnosti ESET najdete v článku Mobile malware, botnets and attacks on the cloud to rise.

Rok 2013 a bezpečnostní otázky, které vznikají při přechodu na cloud, to je tématem článku Enterprise cloud adoption in 2013 prompts data security questions. Je to téma, které se v článcích objevuje stále častěji, což dokazuje jeho naléhavost. Článek obsahuje tři otázky, na které odpovídá Chester Wisniewski (starší bezpečnostní konzultant společnosti Sophos).

Jak to bude vypadat s kybernetickou bezpečnost v roce 2013, co předpovídají odborníci? Autor článku Cyber Security in 2013: What the Experts Predict David Gilbert tlumočí názory sedmi předních expertů.

Bude rok 2013 rokem kybernetické války nebo rokem kybernetické paniky? Na stránce 2013: The year of cyber war or just cyber panic? se dělí se svými představami odborníci společnosti G Data SecurityLabs.

Předsevzetí číslo 1 pro rok 2013 – zabezpečte svoje databáze – Making Database Security Your No. 1 2013 Resolution. Slavik Markovich (vice president and CTO of database security for McAfee) konstatuje, že většina společností se bezpečností databází vůbec nezabývá. Dokonce ani neví, kde jejich všechny databáze jsou.

Zpráva U.S. Global Trends – její predikce pro rok 2013 zahrnují i sluneční bouři – ‚Black swan‘ predictions for 2013 include solar storm. Je připomínána sluneční bouře z roku 1859 a skutečnost, že sluneční aktivity dosáhnou svého maxima v roce 2013.

Lamar Bailey ze společnosti nCircle zveřejnil svůj žebříček top 5 největších hrozeb roku 2013 – Exploits, security threats and hacks will mutate in 2013. Mají to být následující:

• Adobe Acrobat and Reader security flaws
• SQL injection threats
• Compromised and malicious Web sites
• Exploit kits
• Zero-day Web browser threats

Společnost Pandalabs vydala dokument Security Trends in 2013. Je zde obsaženo celkem sedm předpovědí. Týkají se: zranitelností, sociálních sítí, malwaru pro mobilní zařízení, kybernetické špionáže, nárůstu malwaru, malwaru pro Macy a Windows 8. Komentář k nim najdete na stránce Vulnerabilities in Java and Adobe to become main targets for cybercriminals.

V roce 2013 se bude třeba hlouběji zabývat kybernetickou bezpečností – Predicting more cyber security needed in 2013. V článku jsou shrnuty názory předních bezpečnostních odborníků. Bude více kybernetických hrozeb, více vysoce cílených (osobních) útočných technik a poroste kybernetická špionáž a hacktivismus.

Nekvalitní bezpečnost SCADA bude v roce 2013 zaměstnávat útočníky i odborníky -Poor SCADA security will keep attackers and researchers busy in 2013. Rozsáhlejší článek obsahuje zhodnocení současné situace ohledně zabezpečení systémů SCADA.

Obecná a firemní bezpečnost IT

Vylepšete informační bezpečnost hledáním odpovědi na jedinou prostou otázku – Improving information security with one simple question. Ptejte se proč? a ne pouze kdo, co, kde či kdy. Podle Borise Honana právě takto směrované hledání odpovědí nejlépe vystihne podstatu problému a pomůže při formování protiopatření.

Indická vláda zveřejnila pětiletý plán, jak zlepšit situaci ohledně kybernetické bezpečnosti – India govt unveils five-year plan to revamp cybersecurity. Odpovědnost v tomto směru přebírá agentura National Critical Information Infrastructure Protection Center (NCIIPC).

Instagram says it now has the right to sell your photos – Instagram tvrdí, že má právo prodávat vaše fotografie. A to bez zaplacení či jakéhokoliv oznámení. Jedinou šancí je smazat svůj účet před 16. lednem 2013.
Viz také komentář (Mat Honan) – Why I Quit Instagram.
Následovala omluva (?):

• Instagram apologizes to users: We won´t sell your photos
• Instagram updates privacy policy, inspiring backlash

Die fünf meist unterschätzten Sicherheitsrisiken – pětice většinou podceňovaných bezpečnostních rizik, Andreas Schaffry zmiňuje a rozebírá následující:

• Mobilita podniku
• Virtualizace HW a SW
• Cloud Computing
• Velká data
• Spolupráce

Pět tipů, jak si udržet velký bezpečnostní talent, užitečná doporučení k tomu připravila Joan Goodchild – 5 tips to retain great security talent.

Na vaši společnost bylo právě zaútočeno prostřednictvím malwaru. Co teď? Marc Solomon (Sourcefire) přichází s několika myšlenkami, které určitě nejsou od věci – Your Organization Has Just Been Attacked by Malware – Now What?

Kontrolujte, kdo má přístup do vaší sítě a k vašim datům – Who has access to your network and data? Několik doporučení v tomto směru (zejména ve vztahu k nastávajícím svátkům) připravila společnost GFI Software.

Cesty, kudy k vám proniká kybernetická kriminalita mapuje Dominique Karg (Chief Hacking Officer at AlienVault) – Get ready for invited break-ins, malware-ridden apps and spoof attacks.

From Apple Maps to Epic Hacks: The Year’s Top Tech Fails, top technických pádů roku. Na vrcholu žebříčku jsou mapy iOS 6. Zajímavý žebříček dokumentující problémy současných technologií.

Online bezpečnost dětí – několik tipů pro rodiče připravila společnost Trend Micro – Onlinesicherheit für Kinder: Nützliche Tipps für Eltern.

Poučné video (ESET): Mně se to stát nemůže: Sociální inženýrství. Není nic jednoduššího, že?

Obamova administrace zveřejnila dokument National Strategy for Information Sharing and Safeguarding (NSISS). Obsah dokumentu (ten má 24 stran) je komentován v článku Obama Administration Outlines National Information Sharing Strategy. V dokumentu je stanoveno pět hlavních priorit vládní administrace.
Viz také komentář – National Strategy Could Nudge Security Information Sharing Forward.

Online reputation management tips aneb jak udržet svou dobrou online pověst. Společnost AVG s tímto cílem připravila dvanáct doporučení.

Julian Assange: WikiLeaks zveřejní v roce 2013 milión dokumentů – Julian Assange: Wikileaks to release ‚million more files in 2013‘ a ovlivní všechny země světa. Assange řečnil z okna ecuadorské ambasády v Londýně.

Trh s bezpečnostními odborníky se specializuje – IT security job market is hot but tricky, expert says. Na otázky související s vývojem tohoto trhu odpovídá Lee J. Kushner (jeho firma se specializuje na nábor bezpečnostních profesionálů).

Legislativa, politika

Po neúspěchu konference ITU – co bude dál s internetem? Internet zůstává být svobodným, neregulovaným médiem. Jsou ale země, které volají po změně – Confusion on Internet Future After UN Treaty Split.

Jak to dopadlo s uchvácením Internetu: Konference v Dubaji skončila neúspěšným úspěchem, Jiří Peterka na Lupě: Po dvanácti dnech intenzivní práce skončila konference WCIT-12 úspěchem: přijala výsledný dokument. Neúspěchem je ale jeho obsah, a v neposlední řadě i způsob, jakým byl výsledný dokument přijat – obojí přimělo řadu zemí, včetně České republiky, k rozhodnutí dokument nepodepsat.

Zákony ohledně dodržování soukromí. Proč bylo EU komisi dáno za pravdu? Článek Privacy compliance laws: Why the European Commission has finally got it right obsahuje užitečný pohled na související problematiku.

USA – vytáhneme kyberšpióny z jejich úkrytů, půjdou k soudům – US: We'll drag cyber-spies into COURT from their hideouts. To je informace k plánům agentury ministerstva spravedlnosti – Defense Security Service (DSS).
Viz také komentář – Feds reportedly plan to prosecute hackers sponsored by other nations.

Software

Windows 8 Hacks, to je recenze stejnojmenné knihy. Jejím autorem je Preston Gralla, kniha vychází 19. prosince v nakladatelství O'Reilly Media, má 422 stran. Najdete ji na Amazonu.

Hunting vulnerabilities in SCADA systems, we are still too vulnerable to cyber attacks – k zranitelnostem systémů SCADA, Pierluigi Paganini v článku (na poměry Hacker News nezvykle rozsáhlém) ukazuje na cesty, kterými útočníci pronikají do těchto systémů. Jako příklad uvádí iLON100 echelon SCADA systém. Dává pak několik doporučení.

Nmap 6: Network exploration and security auditing cookbook, to je recenze knihy jejímž autorem je Calderon Pale Paulino, kniha vyšla v říjnu 2012 (Packt Publishing), má 318 stran a najdete ji na Amazonu.

The 12 networking truths applied to information security – dvanáctka pravd k sítím dotýkajících se informační bezpečnosti. Alfonso Barreiro dotváří obsah rfc 1925 (z roku 1996).

ESET informuje o škodlivém modulu Apache – Malicious Apache module used for content injection: Linux/Chapro.A. Je používán pro injekci obsahu. Byl již použit k infikování malwarem Win32/Zbot (Zeus). Komentář k této informaci je obsažen v článku Apache plug-in doles out Zeus attack.
Viz také komentář – Apache malware targeting online banking.

Adobe Shockwave Player – US-CERT varuje před zde existující hrozbou – US-CERT warns of Adobe Shockwave Player threat. Do doby než se objeví aktualizace, není znám postup, jak se hrozbě vyhnout.

Soubory zašifrované PGP, TrueCrypt a BitLocker byly cracknuty nástrojem v ceně 300 britských liber – PGP, TrueCrypt-encrypted files CRACKED by L300 tool. Známá ruská firma ElcomSoft orientovaná na příbuznou problematiku přišla s nástrojem Disk Decryptor. Ten využívá tu skutečnost, že klíč je obsažen v RAM. Po vypnutí počítače je pak stále v hibernačním souboru.

Soubory exploitů – nahradí Sweet Orange současný Blackhole? Nový soubor exploitů je nyní nabízen v prodeji a postupně nabírá popularitu – Will the Sweet Orange exploit kit dethrone Blackhole?.

Indie kvůli bezpečnosti vyvíjí svůj vlastní operační systém – India developing own OS to boost cybersecurity. Indian Defence Research and Development Organization (DRDO) se chce takto vyhnout bezpečnostním rizikům zahraničních OS.

Malware

More data-wiping malware found in Iran – v Íránu byl nalezen další malware, který provádí výmaz dat. Batchwiper není sofistikovaný kousek malwaru, ale může nadělat velké škody – říkají odborníci. Informaci zveřejnil Maher, Iran´s Computer Emergency Response Team Coordination Center (CERTCC). Podle společnosti Kaspersky nemá Batchwiper žádný vztah k dříve nalezenému malwaru – Wiper či Shamoon/DistTrack.

Malware Batchwiper/GrooveMonitor, o zjištěných poznatcích informuje článek Data-Destruction Attack Targeted ‚Few‘ Select Iranian Computers. Cílí na některé íránské počítače, odstraňuje na nich data.
Viz také komentář – New computer virus hitting Iran could be more potent than it looks.

Trojan – co je vlastně zač? A Guide to Trojan Viruses, autor tohoto článku vysvětluje tento pojem populární cestou.

Powerpoint prezentace o konci světa dle Mayů obsahuje malware – PowerPoint about the Mayan „end of the world“ secretly boobytrapped with malware.
Viz také komentář – End of days: Possessed POWERPOINT predicts Mayan Apocalypse.

Sudoku and malware with your coffee?, je libo sudoku s malwarem? Dokument MS Excel se oběti zeptá, zda může spustit makro. Ve skutečnosti však kladnou odpovědí na otázku jsou umožněny instalace a spuštění malwaru.

http://blogs.mcafee.com/mcafee-labs/trojan-locks-computers-demands-ransom-for-bogus-offense, společnost McAfee informuje o nové kampani ransomwaru. Na stránce jsou popsány vlastnosti a aktivity tohoto malwaru.

Špionážní malware

How spyware on rental PCs captured users’ most intimate moments – k spywaru na pronajímaných počítačích. Dálkově ovládané kamery zasahující do soukromí, lokalizování místa, kde je umístěn počítač, zaznamenávání stisků kláves, zaznamenávání obsahu obrazovek počítače – nejméně toto vše umí dnešní spyware.V článku jsou popisovány ”služby“ společností PC Rental Agent, DesignerWare a dalších.

Viry

Imperva odpovídá na reakce na svou kritiku antivirů – From A to V: Refuting Criticism of Our Antivirus Report. Komentář k tomuto vyjádření najdete v článku Imperva Tilts With Security Vendors Over Anti-Virus Study.

Hackeři a jiní útočníci

Projekt Blitzkrieg – jak je nebezpečný? Alliance of Bot Masters Called ‘Credible Threat’ – o této chystané aktivitě informovala společnost RSA 4. října tohoto roku a věnovala se jí nedávná zpráva společnosti McAfee.

Ekonomika botnetové kriminality funguje tyto dny dobře – World of botnet cybercrime paying pretty well these days. Dochází k specializacím, nastaveny jsou více méně pevné ceny atd. V článku jsou citovány výsledky zprávy, kterou připravil FortiGuard (divize společnosti Fortinet).

Hacknuto bylo deset tisíc indických vládních a vojenských e-mailových účtů – 10,000 Indian government and military emails hacked. Útok byl proveden 12. července 2012, oznámen byl v tomto týdnu. Je to označováno jako nejhorší kybernetický útok v historii národa.

Kybernetické útoky, lednový efekt je realita – The ‚January Effect‘ for cyberattacks is real, say experts. Od roku 2009 lze tuto souvislost pozorovat každým rokem, říká Jeffrey Carr (Taia Global).

Anonymous

Hackers target Westboro Baptist Church after Newtown threat, po tom co se stalo v Newtownu, Anonymous zaútočili na extremistickou Westboro Baptist Church. Zveřejnili osobní informace tuctů členů této extremistické skupiny – včetně jmen, e-mailových adres a telefonních čísel. Tato skupina organizuje protesty, které mají narušit organizované pohřby (vojáků, kteří zahynuli v bojových akcích). Někteří členové této skupiny vyjádřili záměr narušit smuteční akce v Newtown.
Viz také komentář – Anonymous hacks Westboro Baptists over Sandy Hook protests.

Mobilní zařízení

Vypínejte chytrý telefon, pokud nechcete být odposloucháváni, radí odborníci, z úvodu: Pokud vlastníte takzvaný chytrý telefon a nechcete být odposloucháváni, nepouštějte ho z dohledu a důležitá jednání veďte poblíž rušičky mobilního signálu. Právě takové je doporučení odborníků na odposlechovou techniku. S nástupem moderních technologií se totiž rozšiřují i možnosti jejich zneužití. Chytré telefony tak mohou kromě běžných funkcí plnit i úlohu nenápadného prostorového odposlechu a na svého majitele mohou vyzradit i mnohem víc.

Byla nalezena bezpečnostní chyba na systémovém čipu Samsungu – Samsung mobes pwned by ANY APP, thanks to chip code hole. Ten je používán v řadě zařízení (např. Galaxy SIII, Galaxy Note, Galaxy Note 2 a Galaxy 10.1 tablety). Chyba umožňuje bez svolení získat přístup k rootu.
Viz také komentáře:

• Samsung devices vulnerable to dangerous Android exploit
• Samsung mobes pwned by ANY APP, thanks to chip code hole

Samsung slíbil opravu – Samsung promises patch for critical smartphone vulnerability.

Deset tipů ohledně mobilní bezpečnosti připravila společnost Stonesoft – Ten tips for mobile security.

Smartphone Security Checker, další bezpečnostní tipy pro uživatele mobilních telefonů. Zvolte svůj OS, na výběr jsou Android, Apple iOS, Blackberry a Windows Phone. Pro každou volbu obdržíte deset doporučení.

Mobilní malware

Botnet rozesílá SMS spam prostřednictvím infikovaných mobilů s Androidem – Android botnet sends SMS spam through Android phones. Oběť, když je spojena s kontrolním a řídícím centrem botnetu, dostane seznam zhruba 50 telefonních čísel spolu s texty spamu. Celé je to nový problém a cesty k jeho řešení nejsou příliš jasné.
Viz také komentář – Android Trojan taints US mobes, spews 500,000 texts A DAY.

Elektronické bankovnictví

Hackeři varují: na americké banky zaútočíme znovu – Hackers warn: We'll hit US banks… again. Z analýz vyplývá, že dřívější útoky byly prováděny většinou s využitím botů a přichází spíše z nezabezpečených webů než z infikovaných počítačů.
Viz také komentáře:

• Improved Carberp malware targets U.S. banks
• Islamic jihackers – coming soon to a bank near you 
• Banks Back Under Attack by Claimed Hacktivists

DDoS útokem byla napadena následující pětice amerických bank: U.S. Bancorp, JP Morgan Chase, Bank of America, PNC Financial Services Group a SunTrust.

V Hamburku se objevily útoky na platební terminály – Skimming-Angriffe auf Hamburger Kartenterminals. Útočníci nahrazují platební terminály vlastními zařízeními. To jim umožňuje získat informace z karet platících zákazníků. Pozměněné terminály jinak fungují zcela jako ty originální a manipulace tudíž není dost dobře rozpoznatelná.
Viz také komentář – Hamburg police warns of manipulated card payment terminals.

Současnému vývoji útoků na americké banky je věnován článek DDoS: Hacktivists Again Target 5 Banks. Informace útočníků (Phase 2/w2 Operation Ababil) se objevily na Pastebin.

Wells Fargo's website buckles under flood of traffic, zde najdete informaci o problémech webových stránek banky Wells Fargo. Mluvčí banky hovořil o nezvykle velkém provozu (útok DDoS).
Současným útokům na americké banky se věnuje také článek Major Banks Under Renewed Cyber Attack Targeting Websites.

Bankovní malware

Eurograbber-Attacke ergaunert 36 Mio. Euro von Konten in Deutschland, Italien, Holland und Spanien – jak fungoval Eurograbber? Článek obsahuje komentář ke studii ”A Case Study of Eurograbber“ (již zde o ní bylo informováno).

Sicheres Online-Banking: Was hilft gegen die Banking-Trojaner-Flut? – co pomáhá proti bankovním trojanům? Článek obsahuje několik doporučení – na co by si online zákazníci bank měli dávat pozor.

Na serverech amerických bank byl nalezen trojan Stabuniq – Stabuniq trojan found on servers at U.S. banks. S touto informací přišla společnost Symantec – infikováno bylo 40 IP adres, z toho 39 procent patří finančním institucím, hlavně v Chicagu a New Yorku.
Viz také komentář – Stabuniq malware found on servers at U.S. financial institutions.

Zákeřný virus se snaží z klientů České spořitelny vylákat peníze, z úvodu: Česká spořitelna varovala na svých internetových stránkách a prostřednictvím služby Servis 24 před počítačovým virem, který se snaží od uživatelů vylákat peníze z jejich bankovních účtů. Vyzrát přitom dokáže i na verifikaci prostřednictvím SMS zprávy.

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu dva dokumenty:

• Trusted Geolocation in the Cloud: Proof of Concept Implementation (Draft)
• Special Publication 800–38F, Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping

Kryptografie

Quantum entanglement, to je obsáhlá studie zabývající se problematikou kvantového provázání (quantum entaglement). 110-stránkový dokument polských autorů obsahuje podrobný popis různých stránek tohoto jevu, mj. i jeho možná využití v kryptografii, v kvantových výpočtech atd.

Cloudové služby a postranní kanály, to je téma, které zatím nebylo příliš často rozebíráno – Cloud services: The threat of side channels. Na otázky, které v tomto směru vznikají, odpovídá Dr. Ari Juels (RSA Lab). Viz v článku zmiňované studie (týkají se např. toho, jak z Cross-VM postranních kanálů lze získat soukromé klíče).

Různé

Cyberkriminelle fälschen QR-Codes auf Werbeplakaten – kybernetická kriminalita falšuje QR kódy na reklamních plakátech (letácích). Pozor si proto dejte na QR kódy neznámého původu.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.