Hlavní navigace

Bezpečnostní střípky: konference Black Hat

Jaroslav Pinkava 3. 8. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze kromě informací z významné konference Black Hat upozornit například na informaci k úspěšnému prolomení chystaných Windows 7 a třeba na přehled desítky špionážních udělátek.

Přehledy a konference

V uplynulém týdnu proběhly dvě akce významné pro problematiku IT bezpečnosti:

Pozornost médií k těmto akcím je každým rokem větší:

Některé další komentáře se věnují konkrétnějším otázkám:

Na konferenci Black Hat byla oznámena informace o kompromitacích serverů a webů význačných bezpečnostních odborníků – Security elite pwned on Black Hat eve. Mezi oběťmi jsou Dan Kaminsky, Kevin Mitnick, známý komentátor Robert Lemos a další (podrobněji v odstavci Hackeři, v materiálu Zero for Owned).

Americká vláda chce zásadní změny v zabezpečení webů, v jejím zastoupení to ve svém vystoupení prohlásil Robert Lentz  – BlackHat USA 2009: Government Calls For Fundamental Changes to Ensure Web Security. Prioritou číslo jedna je zaměřit se na prostředky, které povedou k zabezpečení a záchranu webů a internetu.

Black Hat Researchers Find ‚Free‘ Parking in San Francisco – účastníci Black Hat ukázali, jak je možné si zajistit bezplatné parkování v San Franciscu. Ukazuje se, že městský parkovací automat nerozpozná pravou parkovací kartu od podvržené.

Některé informace z konference jsou umístěny v dalších odstavcích.

Obecná a firemní bezpečnost IT

Menší rozpočty svazují ruce bezpečnostních profesionálů, vylývá to z z nedávného přehledu RSA Conference (What Security Issues Are You Currently Facing?)  – RSA® Conference Survey Reveals Disparity between Security Needs and Technology Purchases. Několik čísel a výsledků obsahuje také stručnější shrnutí tohoto přehledu na stránce Shrinking budgets tie hands of security professionals. Například uvádí tato fakta. Přestože v praxi se ukazují jako problém nejvíce otázky spojeny s phishingem (v e-mailech) a otázky okolo zabezpečení mobilních zařízení, tak právě technologie, které se věnují těmto potřebám, jsou v nebezpečí, že se nevejdou do rozpočtových nákladů.

Spojené státy hledají talenty pro kybernetickou bezpečnost – Talent search is on for cybersecurity students. Cílem výzvy U.S. Cyber Challenge je nalézt 10 000 mladých Američanů – aby se z nich stali „kybernetičtí strážci a bojovníci“. Viz také – U.S. seeks ´top guns´ for cybersecurity.

Bruce Schneier přichází s trochou humoru: buďte chráněni při pobytu online – Tips for Staying Safe Online. Mezi doporučení se dostalo cosi, co tam zjevně nepatří.

Best data loss prevention tools  – Nate Evans a Benjamin Blakely uvádí několik nástrojů pro prevenci úniku dat (data loss prevency – DLP). Viz také

Se čtyřmi znaky, podle kterých můžeme rozpoznat lháře, seznamuje čtenáře Joan Goodchild na stránkách csoonline.com – 4 Ways to Catch a Liar (rozvádí je podrobněji):

  • napjatý výraz v obličeji
  • váhavá mluva s přestávkami
  • nervózní chování a příliš velký důraz
  • chybí kontakt očí anebo oči uhýbají

Rizika cloud computingu vysvětluje ve své eseji JONATHAN ZITTRAIN – Lost in the Cloud. Tato esej je také komentována v diskuzi na Schneierově blogu – Risks of Cloud Computing.

Software

Darknet, který se opírá o využití prohlížečů, vyvinuli odborníci společnosti HP – HP researchers develop browser-based darknet. Současné prohlížeče prostřednictvím JavaScriptu umožňují také šifrovat.

Přehled desítky zálohovacích utilit pro Linux připravil Jack Wallen – 10 outstanding Linux backup utilities.

Šifrování 2. díl: jak používat TrueCrypt, autorem článku je Martin Zachar. Z úvodu: V prvním díle (Šifrování 1. díl: co to je a jak funguje) jsme se podívali na samotné šifrování. Dnes se podíváme na aplikaci, která jej prakticky využívá k uchování vašich dat a k zamezení přístupu nepovolaným osobám. Dokonce je stavěna i proti prozrazení hesla při mučení (JP: raději bez komentáře).

Ve středu na konferenci Black Hat si bylo možné vyslechnout, jak kompletně obejít ochrany Windows – New attack resurrects previously patched security bugs. Coming soon: The Windows killbit bypass manual. Video lze zhlédnout na tomto odkazu – Ryan Smith. Viz dále – Microsoft rushes to fix IE kill-bit bypass attack.

Proč Adobe a Microsoft čekají s opravami na poslední chvíli? Ptá se Michael Kassner kriticky a aktuálně – Adobe and Microsoft: Why wait until the last minute?. Mimochodem – Apple čekal s opravou iPhone také na poslední chvilku.

BIND crash bug prompts urgent update call – exploit pro BIND 9 je v oběhu na internetu. Systémovým administrátorům se doporučuje aktualizace na verze 9.4.3-P3, 9.5.1-P3 anebo 9.6.1-P1.

Windows 7 Ultimate byly cracknuty – Windows 7 Ultimate RTM Cracked, Fully Validated (Already?). David Murphy informuje o oznámení crackerů a vysvětluje jejich postup. Článek Windows 7 Ultimate activation cracked with OEM master key (Updated) obsahuje další podrobnosti a také reakci Microsoftu.

Jaké jsou současné plány s OpenDNSSEC, to popisuje článek Open source project to secure the Domain Name System. Cílem je urychlení širokého přijetí DNSSEC, což by mělo vést k bezpečnějšímu internetu.

Na konferenci Black Hat byl také prezentován (Dino Dai Zovi) demo rootkit paro Mac OS X – Black Hat: Machiavelli – Demo rootkit for Mac OS X.

Malware

Objevil se vyděračský trojan s pornografickým obsahem- Smut page ransomware Trojan ransacks browsers (tento obsah přidá na každý web, který oběť navštíví).

A také byl objeven nový botnet – s charakterem profesionálního zloděje – Researcher reveals massive ‚professional thieving‘ botnet. Ultra-stealthy Clampi Trojan snags ‚tremendous‘ amount of financial info, money. Clampi Trojan je podle Joe Stewarta (SecureWorks) nejprofesionál­nějším kouskem malware, který kdy viděl. Infikoval již něco mezi stem tisícem a jedním miliónem počítačů. Malware monitoruje přístup celkem na 4500 (!) webů.

The Business of Rogueware, to je nová zpráva PandaLabs. Komentář k této zprávě je obsažen v článku Fake anti-virus programs set to rule the roost. Množství falešných antivirů, které se v poslední době objevují, vede autory zprávy k závěru, že to je v současnosti taková cesta šíření malware, která může růst až do té míry, že zastíní jiné typy malware.

Bootkit obejde šifrování pevného disku – Bootkit bypasses hard disk encryption. Rakouský specialista Peter Kleissner (18 let!) prezentoval na konferenci Black Hat nástroj, který nazval Stoned Bootkit. Nástroj obsahuje rootkit pro Windows, který umí modifikovat Master Boot Record v PC. Pomocí nástroje lze obejít TrueCrypt

Viry

Falešné podvodné antiviry jsou předmětem článku Following the Money: Rogue Anti-virus Software. Brian Krebs v něm informuje o situaci na tomto „trhu“.

Hackeři

Současné špičkové techniky hackerů a pirátů, o nich se můžete dozvědět na stránce Top cracking software methods and piracy groups. V článku jsou shrnuty závěry zprávy, kterou připravila V.i. Labs. Zpráva je orientována na aplikace, které mají vyšší cenu (nejméně 4000 amerických dolarů za jednu licenci).

Útoky SQL injection stále frekventovanější – Steps need to be taken to consider security as SQL injections become more prevalent. James Rendell (IBM) na konferenci (ISC)2 hovořil o současné explozi útoků těchto typů.

Byl hacknut také web MI5 – MI5 website breached by hacker. Použita k tomu byla zjištěná XSS zranitelnost.

Hacker předkládá výsledky své práce – Zero for Owned 5 Summer of Hax. Komentář k tomu napsal Chad Perrin – ZF05 gives us one more reason to use unique passwords. Nepřehlédněte.

Hardware

Desitku špionážních udělátek představuje Tim Greene pomocí slideshow – 10 cutting-edge spy gadgets.

Mobilní telefony

Na konferenci Black Hat proběhla také informace o útoku na iPhone prostřednictvím SMS. Nezáplatovaná chyba v iPhone vede k tomu, že přístroj může být infikován pomocí pouhé SMS – informace k tomu proběhla včera na konferenci Black Hat (společnost Apple byla o zranitelnosti informována již před několika měsíci, žádná záplata však vydána nebyla):

Viz ale už informaci – iPhone OS 3.0.1 fixes SMS security issue.

Spam

Úroveň spamu v současnosti je rekordní a je to rekord všech dob – E-mail stream spammier than ever, reports say. Dosahuje až 92 procent všech e-mailů (McAfee), resp. 94,6 procent (podle MX Logic).

Elektronické bankovnictví

Nově bylo ukradeno pravděpodobně více než půl miliónu dat k platebním kartám – Network Solutions warns merchants after hack . Týká se to serverů, které hostuje společnost Network Solutions.

UK's national ID card unveiled – UK – již je známo, jaká bude definitivní podoba britské ID karty. Bude zaváděna v letech 2011 až 2012, obsahuje více dat než řidičský průkaz, dále dva otisky prstů a fotografii (vše zakódované v čipu). V článku je i fotografie karty s objasněním jednotlivých vlastností karty.

Autentizace, hesla

Poradíme vám, jak se na internetu schovat a zamést stopy, to je článek Jakuba Dvořáka na Technetu. Z úvodu: Navštívíte-li jakékoliv internetové stránky, okamžitě se o vás jejich provozovatel dozví celou řadu osobních informací. Vaše identita, např. IP adresa, může být navíc zneužita k nelegální činnosti. Pokud chcete surfovat na síti anonymně, vyzkoušet můžete například program JAP.

Elektronický podpis

Efektivnost varování SSL certifikátů uživatelům webů je mizivá – Crying Wolf: An Empirical Study of SSL Warning Effectiveness (autory této studie jsou Joshua Sunshine, Serge Egelman, Hazim Almuhimedi, Neha Atri a Lorrie Faith Cranor z Carnegie Mellon University). Práce je komentována v článku Web users ignoring security certificate warnings.

Také na konferenci Black Hat byly prezentovány útoky na SSL:

Normy a normativní dokumenty

Americký NIST v uplynulém týdnu vydal dokument:

Kryptografie

Méně tradičnímu zaměření kryptografie je věnována studie Position Based Cryptography. Jejím předmětem je kryptografie opírající se o využití místa.

Oznámen byl nový útok na AES  – Another New AES Attack. Bruce Schneier : „Jedná se fakticky o praktický plně efektivní útok proti AES s deseti cykly“ (kompletní AES má 14 cyklů). Po informaci následuje zajímavá diskuze.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

5. 8. 2009 15:11

anon (neregistrovaný)

Je to podle mě stejné jako s jakoukoliv jinou technologií – přináší nové možnosti ale s nimi samosřejmě i spojená rizika. Záleží pak na jednotlivých lidech či firmách jak se k tomu postaví a jestli to dokážou správně využít. Mělo by být samosřejmé že jedinec či firma zváží potenciál bezpečnostního rizika umisťování citlivých dat do cloudu a rozmyslí si co si tam může dovolit provozovat a co ne. Je to podle mě to samé jako rozumně vyvážit outsourcing při provozu firmy s vnitřním provozem, jak spr…

5. 8. 2009 11:01

Petr Hruška (neregistrovaný)

Měříme-li úroveň podílem spamu na celkovém emailovém provozu, jsou letní měsíce pro rekordy naprosto ideální období. Množství legálních emailů klesá díky dovoleným a díky tomu se poměr mezi spamem a hamem zvyšuje.

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie