Přehledy a konference
V uplynulém týdnu proběhly dvě akce významné pro problematiku IT bezpečnosti:
- Black Hat USA 2009 Schedule
- Black Hat USA 2009 Briefings
- DEFCON 17 (probíhal o víkendu)
Pozornost médií k těmto akcím je každým rokem větší:
- nejprve Tim Greene v přehledu očekávaných prezentací – Black Hat set to expose new attacks
- Brian Prince má ve svém článku i odkazy na vybrané přednesené informace – Black Hat '09 Shines Light on Security
- přehled některých komentářů (text, audio, video) je zpracován na stránce Black Hat conference coverage 2009: News, podcasts and videos
Některé další komentáře se věnují konkrétnějším otázkám:
- BlackHat USA 2009: Russian´s Organized Crime Heritage Paved Way For Cybercrime
- Live Blog: BlackHat 2009 Day 1
- Live Blog: Blackhat 2009 Day 2
- Researchers exploit SSL and domain flaws
Na konferenci Black Hat byla oznámena informace o kompromitacích serverů a webů význačných bezpečnostních odborníků – Security elite pwned on Black Hat eve. Mezi oběťmi jsou Dan Kaminsky, Kevin Mitnick, známý komentátor Robert Lemos a další (podrobněji v odstavci Hackeři, v materiálu Zero for Owned).
Americká vláda chce zásadní změny v zabezpečení webů, v jejím zastoupení to ve svém vystoupení prohlásil Robert Lentz – BlackHat USA 2009: Government Calls For Fundamental Changes to Ensure Web Security. Prioritou číslo jedna je zaměřit se na prostředky, které povedou k zabezpečení a záchranu webů a internetu.
Black Hat Researchers Find ‚Free‘ Parking in San Francisco – účastníci Black Hat ukázali, jak je možné si zajistit bezplatné parkování v San Franciscu. Ukazuje se, že městský parkovací automat nerozpozná pravou parkovací kartu od podvržené.
Některé informace z konference jsou umístěny v dalších odstavcích.
Obecná a firemní bezpečnost IT
Menší rozpočty svazují ruce bezpečnostních profesionálů, vylývá to z z nedávného přehledu RSA Conference (What Security Issues Are You Currently Facing?) – RSA® Conference Survey Reveals Disparity between Security Needs and Technology Purchases. Několik čísel a výsledků obsahuje také stručnější shrnutí tohoto přehledu na stránce Shrinking budgets tie hands of security professionals. Například uvádí tato fakta. Přestože v praxi se ukazují jako problém nejvíce otázky spojeny s phishingem (v e-mailech) a otázky okolo zabezpečení mobilních zařízení, tak právě technologie, které se věnují těmto potřebám, jsou v nebezpečí, že se nevejdou do rozpočtových nákladů.
Spojené státy hledají talenty pro kybernetickou bezpečnost – Talent search is on for cybersecurity students. Cílem výzvy U.S. Cyber Challenge je nalézt 10 000 mladých Američanů – aby se z nich stali „kybernetičtí strážci a bojovníci“. Viz také – U.S. seeks ´top guns´ for cybersecurity.
Bruce Schneier přichází s trochou humoru: buďte chráněni při pobytu online – Tips for Staying Safe Online. Mezi doporučení se dostalo cosi, co tam zjevně nepatří.
Best data loss prevention tools – Nate Evans a Benjamin Blakely uvádí několik nástrojů pro prevenci úniku dat (data loss prevency – DLP). Viz také
Se čtyřmi znaky, podle kterých můžeme rozpoznat lháře, seznamuje čtenáře Joan Goodchild na stránkách csoonline.com – 4 Ways to Catch a Liar (rozvádí je podrobněji):
- napjatý výraz v obličeji
- váhavá mluva s přestávkami
- nervózní chování a příliš velký důraz
- chybí kontakt očí anebo oči uhýbají
Rizika cloud computingu vysvětluje ve své eseji JONATHAN ZITTRAIN – Lost in the Cloud. Tato esej je také komentována v diskuzi na Schneierově blogu – Risks of Cloud Computing.
Software
Darknet, který se opírá o využití prohlížečů, vyvinuli odborníci společnosti HP – HP researchers develop browser-based darknet. Současné prohlížeče prostřednictvím JavaScriptu umožňují také šifrovat.
Přehled desítky zálohovacích utilit pro Linux připravil Jack Wallen – 10 outstanding Linux backup utilities.
Šifrování 2. díl: jak používat TrueCrypt, autorem článku je Martin Zachar. Z úvodu: V prvním díle (Šifrování 1. díl: co to je a jak funguje) jsme se podívali na samotné šifrování. Dnes se podíváme na aplikaci, která jej prakticky využívá k uchování vašich dat a k zamezení přístupu nepovolaným osobám. Dokonce je stavěna i proti prozrazení hesla při mučení (JP: raději bez komentáře).
Ve středu na konferenci Black Hat si bylo možné vyslechnout, jak kompletně obejít ochrany Windows – New attack resurrects previously patched security bugs. Coming soon: The Windows killbit bypass manual. Video lze zhlédnout na tomto odkazu – Ryan Smith. Viz dále – Microsoft rushes to fix IE kill-bit bypass attack.
Proč Adobe a Microsoft čekají s opravami na poslední chvíli? Ptá se Michael Kassner kriticky a aktuálně – Adobe and Microsoft: Why wait until the last minute?. Mimochodem – Apple čekal s opravou iPhone také na poslední chvilku.
BIND crash bug prompts urgent update call – exploit pro BIND 9 je v oběhu na internetu. Systémovým administrátorům se doporučuje aktualizace na verze 9.4.3-P3, 9.5.1-P3 anebo 9.6.1-P1.
Windows 7 Ultimate byly cracknuty – Windows 7 Ultimate RTM Cracked, Fully Validated (Already?). David Murphy informuje o oznámení crackerů a vysvětluje jejich postup. Článek Windows 7 Ultimate activation cracked with OEM master key (Updated) obsahuje další podrobnosti a také reakci Microsoftu.
Jaké jsou současné plány s OpenDNSSEC, to popisuje článek Open source project to secure the Domain Name System. Cílem je urychlení širokého přijetí DNSSEC, což by mělo vést k bezpečnějšímu internetu.
Na konferenci Black Hat byl také prezentován (Dino Dai Zovi) demo rootkit paro Mac OS X – Black Hat: Machiavelli – Demo rootkit for Mac OS X.
Malware
Objevil se vyděračský trojan s pornografickým obsahem- Smut page ransomware Trojan ransacks browsers (tento obsah přidá na každý web, který oběť navštíví).
A také byl objeven nový botnet – s charakterem profesionálního zloděje – Researcher reveals massive ‚professional thieving‘ botnet. Ultra-stealthy Clampi Trojan snags ‚tremendous‘ amount of financial info, money. Clampi Trojan je podle Joe Stewarta (SecureWorks) nejprofesionálnějším kouskem malware, který kdy viděl. Infikoval již něco mezi stem tisícem a jedním miliónem počítačů. Malware monitoruje přístup celkem na 4500 (!) webů.
The Business of Rogueware, to je nová zpráva PandaLabs. Komentář k této zprávě je obsažen v článku Fake anti-virus programs set to rule the roost. Množství falešných antivirů, které se v poslední době objevují, vede autory zprávy k závěru, že to je v současnosti taková cesta šíření malware, která může růst až do té míry, že zastíní jiné typy malware.
Bootkit obejde šifrování pevného disku – Bootkit bypasses hard disk encryption. Rakouský specialista Peter Kleissner (18 let!) prezentoval na konferenci Black Hat nástroj, který nazval Stoned Bootkit. Nástroj obsahuje rootkit pro Windows, který umí modifikovat Master Boot Record v PC. Pomocí nástroje lze obejít TrueCrypt
Viry
Falešné podvodné antiviry jsou předmětem článku Following the Money: Rogue Anti-virus Software. Brian Krebs v něm informuje o situaci na tomto „trhu“.
Hackeři
Současné špičkové techniky hackerů a pirátů, o nich se můžete dozvědět na stránce Top cracking software methods and piracy groups. V článku jsou shrnuty závěry zprávy, kterou připravila V.i. Labs. Zpráva je orientována na aplikace, které mají vyšší cenu (nejméně 4000 amerických dolarů za jednu licenci).
Útoky SQL injection stále frekventovanější – Steps need to be taken to consider security as SQL injections become more prevalent. James Rendell (IBM) na konferenci (ISC)2 hovořil o současné explozi útoků těchto typů.
Byl hacknut také web MI5 – MI5 website breached by hacker. Použita k tomu byla zjištěná XSS zranitelnost.
Hacker předkládá výsledky své práce – Zero for Owned 5 Summer of Hax. Komentář k tomu napsal Chad Perrin – ZF05 gives us one more reason to use unique passwords. Nepřehlédněte.
Hardware
Desitku špionážních udělátek představuje Tim Greene pomocí slideshow – 10 cutting-edge spy gadgets.
Mobilní telefony
Na konferenci Black Hat proběhla také informace o útoku na iPhone prostřednictvím SMS. Nezáplatovaná chyba v iPhone vede k tomu, že přístroj může být infikován pomocí pouhé SMS – informace k tomu proběhla včera na konferenci Black Hat (společnost Apple byla o zranitelnosti informována již před několika měsíci, žádná záplata však vydána nebyla):
Viz ale už informaci – iPhone OS 3.0.1 fixes SMS security issue.
Spam
Úroveň spamu v současnosti je rekordní a je to rekord všech dob – E-mail stream spammier than ever, reports say. Dosahuje až 92 procent všech e-mailů (McAfee), resp. 94,6 procent (podle MX Logic).
Elektronické bankovnictví
Nově bylo ukradeno pravděpodobně více než půl miliónu dat k platebním kartám – Network Solutions warns merchants after hack . Týká se to serverů, které hostuje společnost Network Solutions.
UK's national ID card unveiled – UK – již je známo, jaká bude definitivní podoba britské ID karty. Bude zaváděna v letech 2011 až 2012, obsahuje více dat než řidičský průkaz, dále dva otisky prstů a fotografii (vše zakódované v čipu). V článku je i fotografie karty s objasněním jednotlivých vlastností karty.
Autentizace, hesla
Poradíme vám, jak se na internetu schovat a zamést stopy, to je článek Jakuba Dvořáka na Technetu. Z úvodu: Navštívíte-li jakékoliv internetové stránky, okamžitě se o vás jejich provozovatel dozví celou řadu osobních informací. Vaše identita, např. IP adresa, může být navíc zneužita k nelegální činnosti. Pokud chcete surfovat na síti anonymně, vyzkoušet můžete například program JAP.
Elektronický podpis
Efektivnost varování SSL certifikátů uživatelům webů je mizivá – Crying Wolf: An Empirical Study of SSL Warning Effectiveness (autory této studie jsou Joshua Sunshine, Serge Egelman, Hazim Almuhimedi, Neha Atri a Lorrie Faith Cranor z Carnegie Mellon University). Práce je komentována v článku Web users ignoring security certificate warnings.
Také na konferenci Black Hat byly prezentovány útoky na SSL:
- Wildcard certificate spoofs web authentication. SSL felled by null string (Moxie Marlinspike zde demonstroval tzv. univerzální certifikát)
- Hackers target Extended Validation certificates
Normy a normativní dokumenty
Americký NIST v uplynulém týdnu vydal dokument:
Kryptografie
Méně tradičnímu zaměření kryptografie je věnována studie Position Based Cryptography. Jejím předmětem je kryptografie opírající se o využití místa.
Oznámen byl nový útok na AES – Another New AES Attack. Bruce Schneier : „Jedná se fakticky o praktický plně efektivní útok proti AES s deseti cykly“ (kompletní AES má 14 cyklů). Po informaci následuje zajímavá diskuze.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.