Bezpečnostní střípky: konference RSA Europe 2010

Konference a přehledy

Konference RSA Europe 2010 proběhla ve dnech 12. až 14. října v Londýně. Objevilo se několik komentářů, které se věnovaly různým informacím z této akce:

• RSA Europe: Compliance is a bi-product of a well-managed system 
• RSA Conference Europe: Hugh Thompson and Bruce Schneier (video)
• RSA Europe 2010: Cyber war rules of engagement ´should be top priority´ 
• RSA Europe: Defend against cyberwar by re-architecting networks, not buying more technology, says Richard A. Clarke
• RSA Europe – Outsourced Developers Pose Risk if Privileged User Access is Not Controlled 

Akce Mandiant’s Incident Response Conference je věnována, jak z názvu vyplývá, reakcím na incidenty. Vystoupení v prvním dni konference komentuje Gregory Pendergast – Review: Mandiant’s Incident Response Conference (MIRCon) Day 1. Komentář k druhému dni je pak zde – Review: Mandiant’s Incident Response Conference (MIRCon) Day 2.

Microsoft říká: Spojené státy jsou domovem většiny botnetů. V článku Microsoft: U.S. Home to Most Botnet PCs jsou komentována čísla z deváté verze dokumentu Microsoftu Security Intelligence Report. Celkem 2.2 miliónu počítačů v USA je pod kontrolou botnetu. Přitom v Brazílii, která je na druhém místě takovéhoto žebříčku je pod kontrolou botnetů 550 000 počítačů (tj. čtyřikrát méně). Nejčastěji se jako botnet malware vyskytují Rimecud, Alureon a Hamweq. Počty infekcí těmito třemi klesají, zatímco Pushbot, který se nachází na čtvrtém místě má rostoucí tendenci (z hlediska počtu infikovaných počítačů). Zprávu Microsoftu najdete zde – Security Intelligence Report.

Sixth Annual Enterprise IT Security Survey: většina velkých společnosti byly zasažena hackerskými útoky – Most large companies hit by hack attacks, survey shows . Ellen Messmer komentuje výsledky přehledu společnosti Amplitude Research, který byl vydán minulé pondělí. Z čísel: 67 procent velkých společností s 5000 či více zaměstnanci ohlásilo v minulém roce úspěšný průnik (rok předtím to bylo 41 procent). Středně veliké společnosti (1000 až 4999 zaměstnanců) – zde průnik ohlásilo 59 procent (rok předtím to bylo 57 procent).

Přehled říká: narůstá počet útoků na podniky střední velikosti – Hackers Increasingly Targeting Midsize Organizations: Survey . Studie The Security Paradox společnosti McAfee upozorňuje na to, že přes tento fakt, středně veliké společnosti zmrazily svůj bezpečnostní rozpočet. Většina útoků tohoto typu vedla ke ztrátě dat, obvykle jsou to soukromé informace zákazníků, zaměstnanců a partnerů.

Obecná a firemní bezpečnost IT

Evropská komise přichází s novým návrhem zákona proti kybernetické kriminalitě – Commission proposes new EU cybercrime law. Unified botnet bamboozle. Evropská komise chce připravit novou směrnici pro informační systémy a sjednotit tak přístupy jednotlivých členských států v boji proti počítačové kriminalitě. Komise bude kontrolovat, jak jednotlivé země dodržují ustavení směrnice. Opatření budou směrována mj. proti botnetům.

Six enterprise security leaks you should plug now aneb šest děr v bezpečnosti podniku, které je třeba ucpat. John Brandon ukazuje na ty díry, které zůstávají často otevřeny:

1. Neautorizované chytré mobily v bezdrátové síti
2. Otevřené porty v síťové tiskárně
3. Webová aplikace vyhotovená na zakázku se špatným kódem
4. Chytáky ze sociálních sítí
5. Zaměstnanci stahují ilegální filmy a hudbu
6. Podfuky se SMS a infekce prostřednictvím malware

Počítačové warfare je již mezi námi – říká šéf britské špionážní agentury – Cyber warfare already here, UK spy agency chief says. Iain Lobban, ředitel Government Communications Headquarters (GCHQ) říká, že britské vládní systémy jsou cílem útoku tisíckrát do měsíce. Největší hrozbou jsou takové státy jako Rusko a Čína. Viz také komentář – Basic security housekeeping vital, says GCHQ boss. Lobban říká – 80 procent problémů by nemuselo být, kdyby existovalo mezi lidmi dostatečné povědomí o informační bezpečnosti.

Nizozemské hotely se musí registrovat jako poskytovatelé internetu neboť formálně podle nizozemských zákonů již jimi jsou – Dutch Hotels Must Register As ISPs. Informace říká, že něco podobného se může stát i v dalších evropských zemích.

The FBI is Tracking Whom? aneb Schneier k jednomu sledování FBI. Na svém blogu diskutuje okolo jednoho případu, kdy sledovaná osoba své sledování zjistil, a to včetně odkazů na technické podrobnosti (fotografie).

RSA Europe – bývalý bezpečnostní poradce Bílého domu obvinil státy, že sponzorují počítačovou kriminalitu – RSA Europe: Former White House security advisor accuses countries of sponsoring cyber crime. Richard Clarke hovořil o některých východoevropských zemích. Doporučil mj. také, aby se investovalo do bezpečnosti internetových protokolů – Former US official: Invest in secure Internet protocols.

USA : byl vydán dokument DOD-DHS Cybersecurity Memorandum of Agreement, což je smlouva mezi americkými ministerstvy – národní bezpečnosti a obrany, která se vztahuje k problematice kybernetické bezpečnosti. Její obsah v článku Doc of the Day: NSA, DHS Trade Players for Net Defense komentuje Spencer Ackerman. Cílem smlouvy je vyjasnit roli jednotlivých ministerstev v případě kybernetického útoku.

Britové nyní investují více než jednu miliardu liber do kybernetické bezpečnosti – Cameron to spend L1bn+ on cyber security . Je to součástí plánu Strategic Defence and Security Review. Rozhodnutí přichází přitom v době, kdy jiné zdroje jsou naopak omezovány.

Tři časté bezpečnostní chyby IT konzultantů vyjmenovává Eric Eckei  – Three common IT consultant security blunders. Jsou to následující:

• Povolí slabá hesla
• Používání vybavení s defaultními hesly
• Sdílení hesel nešifrovaným e-mailem

Sociální sítě

Schneier: Facebook zabíjí soukromí kvůli obchodním ziskům – Facebook is ‚killing privacy for commercial gain‘. A to vědomě – prohlásil Schneier v minulé úterý na konferenci RSA v Londýně.

Facebook zavádí jednorázová hesla jako obranu proti keyloggerům – To thwart keyloggers, Facebook introduces one-time passwords . Služba by měla být během několika týdnů dostupná v celém světě. Zájemci musí uvést číslo svého mobilního telefonu v účtu Facebooku (pro žádost o heslo je třeba poslat textovou zprávu). Dočasné heslo platí 20 minut.

Facebook: S reklamou unikají skutečná jména uživatelů – Facebook leaked users' real names with advertisers, suit says. Dva Kaliforňané žalují Facebook. Pokud kliknete na reklamu, pak firmě, která zadávala reklamu, se zobrazí určitá data. Nejprve to byla jen stránka, kterou uživatel prohlížel. Od změny politik Facebooku v únoru tohoto roku se tam zobrazuje více informací, a to včetně osobních údajů uživatele.

Software

New Web Code Draws Concern Over Privacy Risks aneb HTML5 a související bezpečnostní rizika. HTML5 se již v omezeném rozsahu používá, v budoucnu se pochopitelně předpokládá podstatně širší jeho využití. HTML5 má podstatně více prostředků pro sledování aktivit uživatele – upozorňují odborníci.

K masivním záplatám minulého týdne – Microsoft Security, Facebook Groups Controversy Lead News – Brian Prince zde rekapituluje informace, které se toho týkají.

Jaké má Symantec plány ve vztahu k šifrovacím metodám? Nyní po akvizici PGP a GuardianEdge přichází Symantec s prvními informacemi, jaké se hodlá držet strategie – Symantec Reveals Encryption Road Map for PGP, GuardianEdge.

Security Monkey přichází v třetí sadě svých doporučení s videem, které demonstruje cesty k využití nástroje Metasploit – Tips & Tricks: Episode Three – Metasploiting MySQL & SSH. K tématu se váže také odkaz na další video – Even MORE Metasploit Tutorial Videos!.

Prověřte bezpečnost svého G-mail účtu – Google's Gmail security checklist. Google k tomu vydal příručku (checklist – najdete ho v účtu v odkazu Help, skládá se z pěti částí).

Získej administrátorská práva bez znalosti hesla – Gain Administrator Access Without a Password. Lincoln Spector uvádí některé cesty – pro Windows XP, ale i pro Windows Vista a Windows 7.

Microsoft vydává svoji v historii dosud největší bezpečnostní záplatu – Microsoft issues its biggest-ever security fix . Mj. se týkají děr, které používá červ Stuxnet. Celkém se jedná o 16 záplat, které adresují 49 problémů.

Indie chce vyvinout vlastní operační systém (pro lepší bezpečnost své počítačové infrastruktury) – India plans to develop its own computer operating system. Oznámil to Ravi Kumar Gupta, mluvčí Defence Research & Development Organization (DRDO). Mělo by to pomoci obraně proti útočícím hackerům.

Šifrování na internetu a v telefonii – k nedávné historii se vrací M. E. Kabay a shrnuje známá i méně známá fakta – Encryption for the Internet and for telephony. Zmiňuje snahy dostat šifrovací postupy pod kontrolu, Zimmermanovo PGP, tlaky exportních zákonů USA.

Ochranný mechanismus Microsoftu EMET – jak ho správně nakonfigurovat si lze přečíst v článku Damage limitation. Mitigating exploits with Microsoft's EMET. Enhanced Mitigation Experience Toolkit (EMET) aktivuje přídavné cesty k ochraně před řadou útoků. V článku je objasněno, jak s tímto nástrojem pracovat.

Wireshark, nová verze záplatuje zjištěnou zranitelnost – Wireshark updates patch vulnerability. Tato mohla způsobit pád aplikace. Wireshark je analyzér síťových protokolů.

Objevil se útok na šifrování disku, které je provedeno pomocí programu TrueCrypt – Evil Maid goes after TrueCrypt!. Joanna Rutkowska a Alex Tereshkin přišli s postupem, kdy pomocí malého bootovatelného USB disku implementují tzv. Evil Maid Attack. Celý proces trvá cca jednu minutu a mohou ho tudíž použít i hotelové pokojské, říká Joanna. Jak podotkl jeden z diskutujících na Joannině blogu – hezký článek.

Malware

ENISA varuje před možnými útoky, které budou obdobou Stuxnetu – Stuxnet ‚a game changer for malware defence‘. Varování se týká především kritických informačních infrastruktur. Článek obsahuje také informaci o tom, že ENISA plánuje první evropské cvičení pro kybernetickou bezpečnost. Má proběhnout na začátku listopadu.

Objevil se trojan, který útočí proti cestě, kterou prohlížeče pracují s hesly –

Malware forces Firefox to save passwords. Analytici společnosti Websense upozorňují na nové triky malware (konkrétně se jedná o Trojan-PWS-Nslog). Viz také články:

• Webroot: Iranian distributes free Firefox password logger
• Trojan forces Firefox to secretly store passwords 

Co je „drive-by malware“ ? A jak s ním bojovat? Samotný pojem „drive-by malware“ nejlépe vysvětlí příslušné části studie BLADE: An Attack-Agnostic Approach for Preventing Drive-By Malware Infections. Pomoci v boji proti němu by měl pak nástroj BLADE, jehož prototyp bude brzy volně dostupný, říká Michael Kassner – BLADE: Can it stop drive-by malware?.

Tři fáze, které musí obsahovat analýza malware najdete v článku 3 Phases of Malware Analysis: Behavioral, Code, and Memory Forensics. Lenny Zeltser zběžně popisuje každou z těchto tří fází, kdy se analyzuje:

• chování malware
• kód malware
• forenze paměti

Nástroj Microsoftu Malicious Software Removal Tool (MSRT) detekuje trojana Zeus – To thwart keyloggers, Facebook introduces one-time passwords. Program je volně dostupný pro uživatele Windows. Význam této aktivity je předmětem komentáře v článku – Focus on ZeuS Malware Clears the Way for Other Threats.

Hackeři

Hackeří stojící za botnetem Zeus mohou také krást další tajemství společností – Zeus hackers could steal corporate secrets too. ZeuS nemusí být používán jen ke kradení osobních (finančních) dat, ale lze ho použít i k špionáži v podnicích. Autor také upozorňuje na skutečnost, že přes desítky zatčených v minulých dnech zůstávají funkční tucty jiných Zeus gangů.

Hackeři mohou přistoupit k útokům vycházejícím ze sociálních realit – Researchers: Criminals could launch ‚social reality‘ attack. John E Dunn napsal komentář ke studii Researchers: Criminals could launch ‚social reality‘ attack, o níž jsme informovali minulý týden.

Gang Ruskije se zmocnil sítě Microsoftu a propagoval touto cestou penisové pilulky – Ruskie gang hijacks Microsoft network to push penis pills. Jako první na to přišel analytik Ronald F. Guilmette.
Viz také články:

• Microsoft confirms Russian pill-pusher attack on its network (Microsoft přiznal tento průnik).
• Human error gave spammers keys to Microsoft systems

Brian Krebs: Pilulkový gang ze stránek Microsoftu napadl moje stránky – Pill Gang Used Microsoft’s Network in Attack on KrebsOnSecuri­ty.com. Minulý měsíc se uskutečnil masivní útok DoS proti KrebsOnSecuri­ty.com. Brian v článku popisuje zjištěné podrobnosti.

Hackeři ukradli dokumenty Jižní Koreje (ministerstva obrany a zahraničních věci)  – Report: Hackers steal SKorean defense documents. Předpokládá se, že hackeři jsou z Číny. Využili e-mail, který měl jakoby pocházet z oficiálních jihokorejských míst v Soulu. E-mail obsahoval přílohu, po jejímž otevření se spustil hackerský program – říká informace.

Hardware

USB zařízení přinášející malware – aktuální novinky jsou v článku The Evolution of Evil: Changes in the Use of USB Devices as Delivery Mechanisms for Malicious Code. Brad Bowers popisuje tyto cesty útoku a ukazuje, čemu musí umět čelit bezpečnostní odborníci. Jako příklad uvádí vlastnosti zařízení Teensy.

Bezdrát

Britské bezdrátové sítě jsou rájem pro hackery – UK WiFi is a hacker paradise says company . Každá čtvrtá soukromá síť není pod heslem. Situaci popisují výsledky provedeného experimentu – UK´s wireless networks open to attack – společností CPP.

VoIP

Varovně narůstá počet útoků proti VoIP systémům – Thousands lost in rising VoIP attacks. Komentář v článku přichází s údaji z Austrálie. Klientům se na účtech objevují sumy v rozměrech statisíce dolarů – díky neautorizovaným voláním prostřednictvím kompromitovaných VoIP serverů.
K VoIP hackerům viz také informaci – Man gets 10 years for VoIP hacking.

Mobilní telefony

Nástroj pro hacknutí iPhone 4 (jailbreak) je na světě – Long-awaited jailbreaking tool released. Nástroj Greenpois0n podporuje iPhone 3GS, iPod Touch 3G, iPad, iPhone 4, iPod Touch 4G, iOS 4.0–4.1.

Spam

Spammeři skrývají podvržené odkazy, využívají k tomu spojovací znaky (soft hyphens) – Spammers Using SHY Character to Hide Malicious URLs. Informuje o tom Symantec. Prohlížeče tyto znaky neinterpretují, což umožňuje skrýt skutečnou podobu url.

Botnety na kompromitovaných počítačích odpovídají za 87 procent spamu – Small but lethal Lethic is biggest junk mail villain. Tato skutečnost byla zmíněna mezi čísly, která uvedl zástupce společnosti Microsoft na konferenci RSA Europe. Další komentář k tomuto vystoupení – Microsoft will look to courts for botnet takedowns – se zabývá úmyslem Microsoftu zesílit boj proti botnetům. Zdá se, že v tomto směru rivalita mezi Google a Microsoftem by mohla být užitečná.

Sophos: největším zdrojem spamu jsou Spojené státy – Spam nation: U.S. tops list of spam-relaying countries. Konstatuje se to ve zprávě Dirty Dozen vydané ve čtvrtek. Některá uvedená čísla (žebříček – množství spamu v procentech):

1. USA – 18,6 %
2. Indie – 7,6 %
3. Brazilie – 5,7 %

Následují – Francie, U.K., Německo, Rusko, Jižní Korea, Vietnam, Itálie, Rumunsko a Španělsko (podíl spamu mezi dvěma a pěti procenty).

Pět doporučení pro ochranu před útoky spamem přináší Cloudmark (5 tips for protecting against spam attacks):

1. Dávejte pozor na spam v sociálních sítích
2. Uvědomte si, jak je třeba správně odpovědět
3. Neklikejte na odkazy v e-mailech, kterým nedůvěřujte
4. Aktualizujte operační systém a bezpečnostní SW svého počítače
5. Nainstalujte si jednoúčelovou antispamovou aplikaci

Elektronické bankovnictví

Šíření bankovního trojana ZeuS se věnuje článek Zeus banking Trojan attacks spread to social networks, smartphones. „Setkat“ se s ním můžete v sociálních sítích, ale i prostřednictvím chytrých mobilů. Pozor si je třeba dát na spam lákající peněžní soumary. Podrobněji se s informacemi tohoto typu můžete seznámit ve zprávě CA – State of the Internet 2010: A Report on the Ever-Changing Threat Landscape.

V Evropě roste počet bankomatových podvodů – Europe's ATM skimming attacks rise, but losses fall. Objem ztrát však klesá. Vyplývá to ze zprávy European ATM Security Team (EAST), která byla zpracována na základě informací od bank. Čísla svědčí o tom, že podvodníci se přeorientovávají na země, kde karty nejsou ve shodě s normou EMV. V Evropě i z tohoto důvodu začínají být vydávány karty, které mají EMV mikročip, neobsahují však již magnetický pásek.

Německá platební firma prý zneužila data z karet až 14 milionů lidí. Německem otřásá skandál. Firma Easycash údajně sbírala data o použití karet svých klientů. Ta pak využívala pro reklamní účely a ty se pokoušela prodat. Z článku však vyplývá, že hodnocení celé situace je sporné.

Autentizace, hesla

Password managery jsou pohodlné, cílenému útoku se ale neubrání, Lukáš Tomek na Lupě: Hesel, která si musí zapamatovat běžný uživatel počítače, jsou dnes desítky – včetně rodného čísla, čísla kreditní karty a řady dalších údajů. Existují programy, které vám tuhle práci ušetří. Jak fungují a jsou bezpečné?

Poor password practices and how to change them – o špatných praktikách při práci s hesly a o tom, jak je změnit. V článku je uvedena celá řada čísel ze zprávy společnosti Webroot.

Phishing

Phisheři zesilují své útoky proti stránkám sociálních médií a proti univerzitám – Social media sites and universities increasingly targeted by phishers. Říkají to výsledky přehledu společnosti Cyveillance: 1H 2010 Cyber Intelligence Report.

Google přidává informaci o phisherských stránkách do svých varování – Phishing URLs and XML Notifications.

Biometrie

The Difference Engine: Dubious security – k bezpečnosti biometrických metod. I když veřejnost (i na základě různých filmů a seriálů) mohla získat dojem, že biometrické metody jsou absolutně bezpečné, není tomu tak, říká autor článku na blogu Babbage. Vysvětluje pak související problémy. K článku si lze pak přečíst komentáře v diskuzi na Schneierově blogu – The Economist on Biometrics.

Kryptografie

Implementing Gentry's Fully-Homomorphic Encryption Scheme – autory popisu k implementacím plně homomorfního šifrování jsou Craig Gentry a Shai Halevi.

S moderními podobami steganografie se můžete seznámit v článku Hidden truths. Collage, to je systém, který vyvinul Nick Feamster se svými kolegy na Georgia Institute of Technology. Při jeho využití je zpráva rozdělena na malé části, které jsou pak součástí souborů na veřejně dostupných stránkách.

Různé

Ve dnech 24.- 25.11.2010 je pořádán kurz Akademie CZ.NIC Problematika infrastruktury veřejných klíčů (PKI).

Přehled vychází z průběžně publikovaných novinek na Crypto – News.