Hlavní navigace

Bezpečnostní střípky: konference Black Hat USA 2011

Jaroslav Pinkava 8. 8. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Dnes upozorníme pochopitelně na zajímavou konferenci Black Hat, minulý týden se objevila také celá řada přehledů a v médiích bylo široce rozebíráno oznámení společnosti McAfee o rozsáhlých útocích (tzv. kampaň Shady Rat).

Přehledy

Zpráva společnosti Sophos – Mid-Year 2011 Security Threat Report říká. že každou vteřinu se nyní objevují dva nové unikátní vzorky malware. Stručné shrnutí popisovaných a rozebíraných hrozeb v tomto 34stránkovém dokumentu najdete v komentáři A unique malware file is created every half-second.

The GFI® Software 2011 Parent-Teen Internet Safety Report, tento patnáctistránkový dokument se zabývá situací v rodinách s teenagery, jaký zde existuje vztah k počítačové bezpečnosti. Podle závěrů zprávy má většina rodin falešný pocit bezpečnosti, který vede k rizikům týkajícím se členů rodiny a někdy i k rizikům, která se týkají pracovišť rodičů. Komentář ke zprávě je v článku How Parents Can Curb Teenagers' Risky Online Behavior.

Cisco 2Q11 Global Threat Report shrnující situaci ve druhém čtvrtletí 2011 říká, že do podniků nyní přichází více útoků založených na malware. Jejich počet se oproti počátku roku vzrostl čtyřnásobně. Komentář k výsledkům této zprávy je na stránce Enterprises Hit With More Advanced Malware-Based Attacks in 2011: Report.

APWG – Phishing Attack Trends Report – 2H 2010, zpráva Anti-Phishing Working Group charakterizuje druhé pololetí roku 2010 z pohledu získaných statistik o jednotlivých typech phisherských útoků. Viz také komentář – Spear-phishing and crimeware assembling marked second half of 2010.

When Advanced Persistent Threat Go Mainstream, zpráva společnosti RSA se týká pokročilých setrvávajících hrozeb. Z jejího obsahu:

  • Hlavní charakteristiky APT
  • Jak podniky samy sebe činí zranitelnými
  • Nové přístupy k informační bezpečnosti
  • Sedm defenzivních opatření proti eskalujícím hrozbám

Komentáře k této zprávě obsahují články:

Ponemon Institute připravil zprávu Second ´Annual Cost of Cyber Crime´ Study. Jedná se o 30stránkový dokument sponzorovaný společnosti Arcsight, jeho výsledky jsou založeny na odpovědích z 50 velkých organizací (z USA, různá průmyslová odvětví). Získané výsledky jsou srovnávány s výsledky obdobné studie zpracované před rokem. Například letos činily náklady spojené s počítačovou kriminalitou v průměru (medián) 5,9 miliónu dolarů, a to je oproti loňsku nárůst o 56 procent.
Viz také komentář – Cybercrime Cleanup Costs Spike.

Konference

Co letos nachystala konference Black Hat? Malý přehled dění zpracovala Ellen Messmer, některá vystoupení charakterizuje jako hororová – Black Hat roundup: Let the electric-shock craziness begin.

Jeff Moss, jeho řeč k zahájení konference Black Hat je tlumočena na stránce Black Hat Founder Moss: Recent Attacks Good For IT Security. Charakterizoval v ní současnou situaci, vývoj IT bezpečnostních hrozeb a související s tím dnešní snahy organizací, podniků a firem. Dále hovořil o aktivitách americké vlády.

Co všechno hackli odborníci vystupující na konferenci Black Hat, přehled v tomto smyslu připravil Fahmida Y. Rashid – Researchers Hack Chrome OS, Cars, SCADA Systems, Printers for Black Hat. Viz také jiný přehled (zajímavých vystoupení) – Black Hat: 10 can´t-miss hacks and presentations.

Analýzou cest pro hledání exploitů se zabýval německý nezávislý bezpečnostní konzultant Stefan Esser – Exploit writer spills beans on secret iPhone function.

Brzy bude možné přiřadit obličej k číslu sociálního pojištění či jiným obdobným datům. Svoji techniku v tomto smyslu prezentoval Alessandro Acquisti – Black Hat: System links your face to your Social Security number and other private things.

Každý se může dostat k SW v čipových kartách – Boffins deduce chip's crypto just by looking at it. Karsten Nohl (Security Research Labs, Berlín) demonstroval svůj přístup s využitím nástroje Degate na konferenci.

Jak je obtížné hacknout elektrárnu? Jen málo – How Easily Can a Power Plant Be Hacked? Very. Článek informuje o prezentaci Dillona Beresforda „Exploiting Siemens Simatic S7 PLCs“. Viz také:

Dan Kaminsky na konferenci Black Hat hovořil o svém výzkumu, který se týkal síťové bezpečnosti – Black Hat: Security Researcher Unveils Network Neutrality Tool. Viz také – Black Hat: Security Researcher Unveils Network Neutrality Tool.

K prezentaci špionážního letadélka se obrací článek Researchers show off homemade spy drone at Black Hat. Systém Wi-Fi Aerial Surveillance Platform (WASP) je upgrade platformy, která byla prezentována v loňském roce na Defconu. Viz také diskuzi na Schneierově bligu, která je tomuto zařízení věnována – Home-Made Wi-Fi Hacking, Phone Snooping, UAV.

Lidské tělo je zranitelné vůči útokům hackerů – Human Body Vulnerable to Cyberattack. Jay Radcliffe (sám je diabetik s inzulínovou pumpou) ukázal, jak lze (na dálku) hacknout dvě medicínská zařízení. Viz také komentář – Black Hat demo shows vulnerability of insulin pumps to remote attack.

Odkazy na komentáře k jednotlivým vystoupením na konferenci najdete na stránce:

Shrnující komentář Tima Greenea obsahuje stránka Black Hat: Lots of hacks and a patriotic plea, význam konference je rozebírán v článku Black Hat Organizer Touts Value of Publicizing Cyber-Security Research. K současným iniciativám (vztahujícím se ke kybernetické bezpečnosti) americké vlády vystoupil Peiter Zatko – U.S. to Fund Hacking Projects That Thwart Cyber-Threats (financování menších a rychlých projektů kybernetické bezpečnosti).

Bývalý vysoký činitel CIA vystoupil na konferenci Black Hat a varoval: velký kybernetický útok je nevyhnutelný – Ex-CIA Official Warns Black Hat Attendees of Coming Cyber-War. Cofer Black (dřívější koordinátor CIA v boji proti terorizmu) – ti, co rozhodují o potřebných opatřeních, nejsou dostatečně kompetentní, nechápou plně podstatu hrozeb, sami si je neozkoušeli. Uprostřed jeho vystoupení se spustil z neznámých důvodů požární alarm.

O rozdaných „pwnie“ cenách informuje Stuxnet, RSA and Sony scoop pwnie awards. „Získali“ je (mj.): Stuxnet, RSA a Sony. Viz také komentář – The Pwnies 2011 security award winners announced.

NSA hledá několik skutečně dobrých hackerů – NSA is looking for a few good hackers. NSA a další federálové hledají na Defconu talenty. Viz také – R u h4X0R? n33d @ jo8? NSA wants you (locked up in a cubicle, not a cell).
Některé reakce jsou předmětem komentáře Hackers selling out by working for NSA? I´m not convinced.

Z programu konference Defcon 2011 vybírá Mark Underwood, co z jeho pohledu vidí jako nejzajímavější – Wit and lethality: Preview of DEFCON 2011.

Obecná a firemní bezpečnost IT

Bývalý ředitel CIA a NSA navrhuje najímat žoldnéře jako kyberwarfare – Former NSA & CIA Director Suggests Employing Mercenaries For Cyberwarfare. K článku je připojeno video obsahující záznam diskuze na toto téma.

Pentagon je kritizován za nekompetentnost v oblasti kybernetické bezpečnosti – Is it time for the Pentagon to turn cyberwar over to someone else? Je zmíněn nedávno vydaný dokument DoD Faces Challenges in Its Cyber Activities zpracovaný pro Kongres (79 stran).
Viz také komentář – Defense Department Pretty Much Incompetent In Dealing With Online Threats.

Science Fiction jako prostředek výuky informační bezpečnosti – Science Fiction Prototyping and Security Education: Cultivating Contextual and Societal Thinking in Computer Security Education and Beyond. K zajímavé studii otevírá diskuzi na svém blogu Bruce Schneier – Using Science Fiction to Teach Computer Security.

Telex – nový nástroj v boji proti cenzuře na internetu – New Tool Keeps Censors in the Dark. Brian Krebs popisuje jednotlivé části tohoto systému, odvolává se na studii, kterou pro konferenci Usenix připravil J. Alex Halderman – Telex: Anticensorship in the Network Infrastructure.

KISSmetrics – nebezpečná bezpečnostní firma – Web-Analytics Firm KISSmetrics Reverses Course on Sneaky Tracking. Článek popisuje nedávné problémy této firmy kritizované (a žalované) za nevybíravou politiku sledování. Viz také – Web sites can bypass anti-cookie measures, weby budou umět obejít opatření proti cookies, upozorňují pracovníci z univerzity v Berkeley.

Jak se ve firmách dodržují bezpečnostní postupy? Zpráva 2011 IT Security Best Practices Assessment společností Venafi a Echelon shrnuje analýzu provedenou v 420 organizacích ohledně dodržování bezpečnostních praktik (v závorce uvedené procento značí nedodržení postupu), například:

  • Provádějte čtvrtletní školení ohledně bezpečnosti a dodržování shody (77 %)
  • Zašifrujte všechna data pro cloud a cloudové transakce (64 %)
  • V organizaci používejte šifrování (10 %)
  • Disponujte procesem řízení, který zajistí kontinuitu podnikání v případě kompromitace certifikační autority (55 %)
  • Měňte klíče pro SSH každých 12 měsíců (82 %)

Zpráva pak obsahuje charakterizaci výsledků ohledně dalších sedmi bezpečnostních praktik.

Sociální sítě

Facebook, Zuckerbergova sestra prohlašuje: anonymita online by měla zmizet – Facebook's Randi Zuckerberg: Anonymity Online ‚Has To Go Away‘. Randi Zuckerberg je ředitelem marketingu firmy. Odstranění anonymity by pomohlo vyřešit řadu dnešních problémů na internetu, říká. Posléze bylo oznámeno, že odchází z firmy, bude podnikat samostatně (i když v návaznosti na Facebook).

Integrace Skype do Facebooku zvyšuje možná rizika (ukradení účtu) – Skype/Facebook integration spawns hijack risk. David Vieira-Kurz ukázal na nebezpečí nové verze Skype 5.5 (ta obsahuje nové vlastnosti, které mají pomoci integraci Skype do sociálních sítí).

Jsou uživatelé Facebooku nebezpečnější než útočníci? Pavel Čepský na Lupě: Facebook je proklínán i milován, oba názory mají své zapálené stoupence. Jaké problémy mají na svědomí sami útočníci a za které si vlastně můžeme sami?

Muž byl obviněn z hacknutí půl miliónu účtů Facebooku – Spamford Wallace charged for hacking 500,000 Facebo­okers. Sanford Wallace (43 let) ukradl osobní informace jejich majitelů a rozeslal 27 miliónů spamových zpráv.

Software

Microsoft zmapoval zeměpisné lokace miliónů notebooků, mobilů a dalších bezdrátových zařízení v celém světě – Microsoft's Web map exposes phone, PC locations. K vzniklé databázi je volný přístup přes webové rozhraní. Podrobněji k tomu vystoupil Elie Bursztein s dalšími dvěma spolupracovníky na konferenci Black Hat.

Evropská bezpečnostní organizace vydala varování ohledně HTML5 – European security group issues warning on HTML5. ENISA zveřejnila svoji analýzu HTML 5, našla celkem 51 bezpečnostních problémů – A Security Analysis of Next Generation Web Standards.

Sneaky Trojan exploits e-commerce flaws – k útoku na SW pro elektronický obchod – osCommerce. Společnost Trend Micro zveřejnila k tomuto problému svoji analýzu – osCommerce Mass Compromise Leads to Information Theft.
Viz také komentář – Malware attack spreads to 5 million pages (and counting).

Microsoft nabízí čtvrt miliónu dolarů za inovativní bezpečnostní technologii – Microsoft kicks off $250,000 security contest. BlueHat Prize bude přiznána za něco podstatně většího, než jsou zranitelnosti. Tři vítězové budou oznámeni na konferenci Black Hat USA v příštím roce.

Volně dostupný SW pomůže najít ukradený notebook – Recover a Stolen Laptop with Free LockItTight. V článku jsou popisovány vlastnosti programu LockItTight (jeho použití pro jedno PC je zdarma).

QuickTime ve verzi 7.7 odstranil bezpečnostní díry – QuickTime 7.7 closes security holes. Článek obsahuje i odkazy, odkud si lze nové verze (Windows a Mac OS X v10.5.8 Leopard) stáhnout.

Malware

Chcete si najmout botnet? Kupodivu to není zase tak obtížné – Digital Hit Men for Hire. Brian Krebs informuje o fungujícím trhu v tomto směru. Uvádí i ceny „služeb“ pro DDoS.

The Best Malware and Antivirus Tool is Prevention – Nejlepší ochranou proti malware je prevence, Pam Baker uvádí v tomto směru několik doporučení.

How to Remove “Your computer is infected with Spyware!” Alerts aneb jak odstranit ze svého počítače hlášku „Your computer is infected with Spyware!“. Pokud se jedná pouze o badware, pomůže návod obsažený na této stránce.

Většina „podnikání“ s falešnými antiviry zavřela své obchody – Fake Antivirus Industry Down, But Not Out. Brian Krebs zmiňuje Gagarincash, Gizmo, Nailcash, Best AV, Blacksoftware a Sevantivir.com, které nyní nefungují. Popisuje aktivity, které byly proti tomuto podnikání v nedávných dnech provedeny. Je ale brzy na to konstatovat plný úspěch. Viz také – Huge Decline in Fake AV Following Credit Card Processing Shakeup – podařilo se snížit množství problémů spojených s falešnými antiviry. Pnutí na platební kanály pomohlo.

Hackeři

Anonymous suspect ‚Topiary‘ charged over DDOS attacks  – Podezřelý „Topiary“ byl obviněn z útoků DDoS. Osmnáctiletý mladík čelí nyní pěti obviněním. Viz také – LulzSec, Anonymous Hackers Release Statement on Jake Davis Arrest.

Hackeři zveřejnili utajované informace týkající se tisíců policistů – Hackers dump secret info for thousands of cops. Pronikli do školícího centra, odkud informace (jména, adresy a další osobní data) týkající se 7000 osob vytáhli. K odpovědnosti za útok se přihlásil AntiSec.

New Anonymous YouTube „communication“; posters appear in US cities – výzva Anonymous na You Tube: kybernetičtí bojovníci, připojte se! Vyzývají připojit se k útoku, jaký svět ještě neviděl…

Odborníci informují o největší sérii útoků, jaká kdy byla. Zasaženy byly sítě 72 organizací včetně OSN – „State actor“ behind slew of cyber attacks. S touto informací přišla bezpečnostní firma McAfee. Všechno prý ukazuje na Čínu, Rusko je podstatně méně pravděpodobné, říká Jim Lewis (Center for Strategic and International Studies). Jména hacknutých společností nebyla zveřejněna.
Viz původní zpráva (Dmitri Alperovitch) – Revealed: Operation Shady RAT.
Komentář České televize – Odhalen největší hackerský útok, stopy vedou do Číny.
Komentáře médií:

Čína rázně odmítá obvinění na ní směrovaná – China´s top paper dismisses McAfee hacking report.

Kampaň Shady Rat – každý může být cílem – ‚Shady Rat‘ Cyber-Spying Campaign Makes Everybody a Target. Wayne Rasch napsal další komentář k zveřejněným zjištěním společnosti McAfee. Viz také – GCHQ calls for better defences against Shady RAT.

Útočníci z Velké Británie zveřejňují osobní data, kompromitovaná v útocích na noviny – Sun compo entrants' privates exposed in public. Článek obsahuje několik odkazů na upřesňující informace.

10 Biggest Cyber Attacks Of July – deset největších útoků v červenci 2011, formou slideshow jsou zmíněny útoky, které se týkaly NATO, novin The Sun, italské divize počítačové kriminality, Washington Post, Jižní Koreje, DOE Pacific Northwest National Laboratory, Toshiby, Booz Allen Hamilton, Pfizeru a samotných Anonymous.

Za průnikem do RSA (SecurID) je Čína – RSA's SecurID breach linked to China, researcher says. Konstatuje to Joe Stewart (Dell SecureWorks) na základě jím provedené analýzy. Viz také další komentář k tomuto vyhlášení – Researcher follows RSA hacking trail to China.

Útočníci se chystají na stránku s e-knihami o Harry Potterovi – Cybercrooks exploit interest in Harry Potter ebook site. Fanoušci se těší a počítačová kriminalita s malware také, jak se zdá.

Anonymous chystají novou „lepší“ variantu útoků DDoS – Anonymous unsheathes new, potent attack weapon. Za tímto účelem je vyvíjen nástroj RefRef, k dispozici bude v září. Viz také informaci – Hackers set Oct 24 for fresh attacks (UPDATED WITH VIDEO) – Anonymous chystají nový útok na 24. října.

Americké ministerstvo národní bezpečnosti vydalo stanovisko k hrozbám Anonymous – “Anonymous” and Associated Hacker Groups Continue To Be Successful Using Rudimentary Exploits To Attack Public and Private Organizations. Komentář k tomuto šestistránkovému dokumentu DHS si můžete přečíst zde – DHS equates Anonymous with APTs.

Mobilní telefony a zařízení

Nový trojan pro Android zaznamená telefonní hovory – Android Trojan records phone calls. Podrobnosti popisuje Dinesh Venkatesan na blogu CA – A Trojan spying on your conversations .
Viz také informaci – More Spying Tools Being Seen in Application Markets.

Mitigating security risks of mobile location-based services technology, k službám, které zjišťují lokaci mobilu a bezpečnostní rizika se obrací v tomto článku Michael Cobb. Konstatuje, že v současné době neexistuje legislativa, která by takovéto služby nějak omezovala. Zmiňuje výsledky analýzy, kterou provedl Wall Street Journal – Latest Treasure Is Location Data.

Uživatelé Androidu se nyní setkají s malware dvakrát častěji, než tomu bylo před šesti měsíci – Android users twice as likely to see malware than six months ago. Elinor Mills informuje o výsledcích zprávy bezpečnostní firmy Lookout. Výsledky se netýkají iPhone, ale předpokládá se, že tam bude situace obdobná. Viz také komentář – Report warns of Android security issues, increased malware, Web attacks.

Ochrana mobilních pracovníků – sedm tipů k ní obsahuje materiál společností Ponemon Institute a Sophos (červen 2011) – 7 Tips for Securing Mobile Workers:

  1. Zpracujte podnikovou strategii pro mobilní bezpečnost
  2. Vytvořte důkladnou politiku (včetně podrobné příručky) pro všechny zaměstnance a kontraktory, kteří používají mobilní zařízení
  3. Stanovte odpovědnosti v organizaci
  4. Pořádejte odpovídající školení pro koncové uživatele
  5. Využívejte kontrolu aplikací, záplat a další – prevence hackingu a infekcí malware
  6. Jakmile to lze, použijte dálkový výmaz, šifrování v mobilních zařízeních a technologie proti krádežím tak, aby byla snížena rizika datového průniku
  7. Seznamte se důkladně s problémy dotýkajícími se otázek soukromí a mobilních zařízení

Byla nalezena zranitelnost prohlížeče Androidu (vložení kódu JavaScriptu) – Android browser vulnerable to „Cross Application Scripting“. Článek informuje o výsledcích studie IBM Android browser Cross-Application Scripting.

Elektronické bankovnictví

Podvržené e-maily hlásí uživatelům blokování jejich platební karty – Has my credit card really been blocked? Dotyčný má otevřít připojený soubor – na stránce jsou uvedeny podrobnosti. Viz také komentář Johna Leydena – Scareware scammers now phishing for punters. Blocked credit card spam scam.

Citigroup se stala opět obětí úniku dat – Citigroup Hit Again by Security Breach. Oznámena byla krádež osobních dat 92 000 zákazníků. Jedná se o japonskou pobočku této nadnárodní bankovní instituce. Za krádeží není však průnik online, měla to způsobit osoba spolupracující s firmou (outsourcing).

Biometrie

Bruce Schneier se vyjadřuje k vývoji technologií pro rozpoznávání obličeje – Developments in Facial Recognition. Říká, že například můžete nést kameru, která automaticky rozpozná někoho, kdo jde směrem k vám, do sluchátka pak je zaslána informace, kdo je to a co se o něm ví. Schneier uvádí řadu odkazů na články informující k této problematice.

Normy a normativní dokumenty

Americký NIST vydal:

Kryptografie

Objevil se názor, který říká, že Zodiacova šifra cracknuta nebyla – Zodiac Killer code cracked? Cryptography at its worst . Alex Armstrong k tomu uvádí své argumenty.

Can Homomorphic Encryption be Practical? aneb může být homomorfní šifrování praktické? Autoři (Kristin Lauter, Michael Naehrig a Vinod Vaikuntanathan) nás chtějí přesvědčit o tom, že ano.

Různé

Patnáct podivných a mysteriozních knih, informaci o nich najdete na stránce 15 Weird and Mysterious Books. V poutavém přehledu nemůže chybět pochopitelně ani Voynichův rukopis.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?