Konference
Minulý týden probíhaly v Las Vegas bezpečnostní konference Black Hat a Defcon. Média samozřejmě těmto událostem věnovala nemalou pozornost. Ke konferenci Black Hat přinesl některé předběžné podrobnosti a sérii dalších odkazů John P. Mello Jr. – Hackers Don Black Hats in Vegas Next Week .
Stránky konference Black Hat jsou na tomto odkazu – Black Hat USA 2010. Vlastní přednášky probíhaly ve dnech 28. a 29 července – Briefings.
Stránky konference Defcon, která probíhala v Las Vegas ve dnech 30. července až 1. srpna 2010 jsou pak zde – Defcon 18.
Co bylo k vidění na konferencích Black Hat a Defcon? Robert McMillan se pokusil vybrat to nejdůležitější – What to watch at Black Hat and Defcon. Žhavému tématu „odpovědné rozkrývání zranitelností“ se diskuze také věnovaly – Bug reporting could be a hot topic at Black Hat, viz také informaci – Mobile threats, SSL weaknesses, Web application bugs at Black Hat 2010.
V budoucnu nebudou informace o kontroverzních vystoupeních zveřejňovány. A budou udržovány v tajnosti až do poslední chvíle tak, aby firmy nemohly vyvíjet nátlak na vystupující – říká Jeff Moss, organizátor konference, vycházeje přitom z existujících zkušeností – Black Hat may keep quiet about plans for controversial talks.
Zástupce amerického ministerstva národní bezpečnosti to na konferenci Black Hat neměl lehké – DHS official fields hard questions at Black Hat. Jane Holl Lute (DHS) musel odpovídat na řadu otázek, které šly tvrdě na tělo.
Security Monkey uvádí svůj pohled na průběh prvního a druhého dne konference:
Viz také jím uváděné video k hackování bankomatu Jackem Barnaby – BlackHat 2010 Video! The ATM Hack and Jackpot.
Dlouhý seznam článků věnovaných konferencím v Las Vegas najdete na této stránce – Black Hat shines light on security (roundup). A fotografie z konference jsou například zde – Black Hat USA 2010: A recession proof conference?.
Další přehledové články k průběhu konference Black hat zpracoval Brian Prince:
- Inside Black Hat: Day One at the Security Conference
- Inside Black Hat: Day 2 at the Security Conference
Přehledy
Se zprávou společnosti Verizon o průnicích v roce 2009 se lze seznámit na tomto odkazu – 2010 Data Breach Investigations Report. Sedmdesátistránkový materiál obsahuje rozsáhlou množinu informací, zahrnuje poprvé například údaje získané od U.S. Secret Service.
Komentáře k jejímu vydání:
- Hacked Companies Hit by the Obvious in 2009 (Brian Krebs na svém blogu)
- Data breaches blamed on organised crime (John Leyden)
- Verizon: Data breaches often caused by configuration errors (Jeremy Kirk)
- Report shows more insiders involved in cyber crime (Stuart Sumner)
Podle společnosti Cisco hackeři vyhrávají – Hackers winning the security battle, says Cisco. Iain Thomson komentuje zprávu společnosti Cisco – Cisco 2010 mid-year security report.
Viz také shrnutí – P2P increasingly favored by malware attackers
a komentář – Employees ignore IT policy, as companies encouraged to get a firmer grip on social networking and web tools (Dan Raywood).
Obecná a firemní bezpečnost IT
Pokud máte chuť, udělejte si test – How effective is your security monitoring? Jak efektivní je váš bezpečnostní monitoring? Hlídáte hlídače? Zaškrtněte příslušné odpovědi na 14 otázek.
Soubor nástrojů pro sociální inženýrství byl prezentován v Las Vegas – Social engineer toolkit coming at BSidesLasVegas . Dave Kennedy popisuje SET (Social Engineer Toolkit) v0.6 („Arnold Palmer“) nástroj, který má napomoci penetračním testerům k nalézání slabin v jejich vlastním firemním prostředí.
E-špionáž je již v našich systémech – The quiet threat: Cyber spies are already in your systems. Bob Violino nás ubezpečuje, že zbytečně nosíme růžové brýle. Tlumočí pana Neila MacDonalda ze společnosti Gartner – 75 procent podniků bylo či je infikováno útoky takovéhoto typu – cílenými, finančně motivovanými.
Chyby lidí jsou číslo jedna příčinou ztráty dat – Human Error the Number One Cause of Data Loss, Survey Says. Alex Woodie komentuje výsledky přehledu – Technology Users Believe Human Error Is the Leading Cause of Data Loss. (Kroll Ontrack). Podle jeho výsledků je lidská chyba zodpovědná za 40 procent případů ztráty dat.
Maloobchod a bezpečnost v éře IT, k tomuto tématu shromáždil Derek Slater na stránkách csoonline.com dlouhou sérii odkazů – A retail security reader. A roundup of strategies for protecting retail inventory, profits and employees.
Wikileaks zveřejnila velké množství souborů k válce v Afghánistánu – Wikileaks releases massive set of Afghan war files. Již před časem byly tato soubory předány k analýze novinám The New York Times (USA), Der Spiegel (Německo) a Guardian (Velká Británie). Zveřejnění některých další souborů bylo zatím pozdrženo tak, aby mohla být vymazána jména a jiné citlivé informace.
Viz také – Wikileaks releases massive set of Afghan war files a další podrobnosti na Cryptome.
Washington Post publikoval v nedávné době dlouhou řadu materiálů k americkým zpravodajským službám – The Washington Post on the U.S. Intelligence Industry. Přehled odkazů na tyto články zveřejnil na svém blogu Bruce Schneier. Připojená diskuze stojí za seznámení.
Technologie činí život špiónů těžším – Technology is Making Life Harder for Spies. Další diskuze na Schneierově blogu je věnována článku A tide turns. Technology used to help spies. Now it hinders them.
Také Velká Británie hledá odborníky na kybernetickou bezpečnost – U.K. seeks cyber experts, offers challenge and educational and job opportunities. Zeljka Zorz informuje o některých výzvách, které se v UK v této souvislosti objevily.
Nový návrh Washingtonu umožní FBI lépe sledovat internetové aktivity – White House proposal would ease FBI access to records of Internet activity. V případech zpravodajského vyšetřování či vyšetřování terorismu nebude nutné povolení soudu.
Google a CIA investují do „budoucna“ monitoringu internetu – Exclusive: Google, CIA Invest in ‘Future’ of Web Monitoring. Nová společnost se jmenuje Recorded Future. Smyslem nových analýz nebude pouhý přehled získaných informací, ale vyhledávání vazeb mezi příbuznými dokumenty, entitami a událostmi.
Bývalý ředitel NSA: potřebujeme mít jasné chápání konceptů okolo kybernetické války – Former NSA Director Calls for Clear Understanding of Cyber-war. Generál Michael Hayden se dotkl ve svém vystoupení otázek, které se dotýkají politických dopadů kybernetické bezpečnosti. Viz také komentáře:
- U.S. understanding of cyberwar still immature, says former NSA director
- U.S. military cyberwar: What´s off-limits?
- Fog of cyberwar: internet always favors the offense
- U.S. should seek world cooperation on cyber conflict, says ex-CIA director
Sociální sítě
Deset věcí na Facebooku nejlepších a nejhorších, co máme rádi a co nás trápí na jeho stránkách – Top 10 best and worst things about Facebook. Podrobně napsaný článek, doporučit ho lze všem uživatelům Facebooku.
Na torrentu byly zveřejněny stránky sta miliónů uživatelů Facebooku – 0 million Facebook pages published on torrent site. Nejsou to stránky, které jsou chráněny (utajovány), každý k nim má na Facebooku přístup. Je však otázkou, zda shromáždění takového množství dat na jednom místě nemůže sloužit k metodám, které využívají prostředky pro vytěžování dat (data mining). Relativně solidní český komentář – Facebooková aféra aneb hloupost českých médií.
Téměř 3/4 účtů Twitteru (ze 100 miliónů) nejsou používány anebo odkazují na stránky s malware – Twitter and Google are riddled with malicious links. Vyplývá to ze zprávy, kterou připravily Barracuda Labs – Barracuda Labs 2010 Midyear Security Report. Také je zde informace k výsledkům vyhledávače Google. Pokud je zadáno populární téma, až 69 procent výsledků je otráveno. Google má dvakrát více malware než Bing, Yahoo a Twitter dohromady, říká další komentář k této osmdesátistránkové zprávě, která si posvítila zejména na Twitter – Google has two times more malware than Bing, Yahoo! and Twitter combined.
Software
Podrobnostem k politice Microsoftu pro rozkrývání zranitelností je věnován článek Microsoft Shifts to ‚Coordinated Vulnerability Disclosure‘ Policy. Podle autora článku přechází Microsoft k novému modelu pro rozkrývání zranitelností, který nazývá koordinovaným (coordinated vulnerability disclosure). Analytik a dodavatel SW v něm spolupracují na podrobnostech k zranitelnosti a je umožněn čas na vydání záplaty. V některých případech, pokud je exploit již na světě, je možné zveřejnit podrobnosti zranitelnosti dříve, než je vydána záplata.
Proč dodavatelé šifrovacího SW mají budoucnost (z dnešního pohledu), Bob Tarzey k tomu uvádí šest důvodů (např. heterogenita používaného prostředí a SW, některé speciální požadavky na tento SW atd.) – Six reasons why encryption vendors have a future – for now.
IPSec – jeho vlastnosti z bezpečnostního pohledu jsou popisovány ve studii Experimental Review of IPSec Features to Enhance IP Security (jejím autorem je Shilpa Nandamuri). Jsou zde vysvětleny základní vlastnosti tohoto protokolu.
Probíhá soudní líčení ohledně zombie cookies – Privacy Lawsuit Targets Net Giants Over ‘Zombie’ Cookies. Celá řada špičkových webů (jako např. MTV, ESPN, MySpace, Hulu, ABC, NBC a Scribd) stojí před federálním soudem kvůli obvinění, že v Adobe Flash Playeru uchovávají informace umožňující obnovu cookies, která si uživatel smazal a tím porušují federální zákon.
Dokud není záplata od Microsoftu pro aktuální zranitelnost Windows, jsou tu zatímní řešení – Anti-virus vendors offer free LNK protection – Update. Jedná se o zranitelnost vztahující se k zkráceným odkazům (.lnk files). V článku je zmíněno několik řešení, žádné však není dokonalé. Nakonec ale Microsoft oznámil, že v úterý vydá mimořádnou záplatu k tomuto problému. Viz také k tématu se vážící informaci – Zeus bot latches onto Windows shortcut security hole.
Schneierův blog se vrací ke kořenovému klíči pro DNSSec – DNSSEC Root Key Split Among Seven People. V diskuzi najdete i jména sedmi nositelů části klíče (za ČR je to Ondřej Surý).
Black Hat: nedostatečná bezpečnost systémů SCADA je tikající bombou – Black Hat: Poor SCADA systems security ‚like a ticking time bomb‘. Komentář připravil Robert Westervelt, jedná se o kritické vystoupení, které na konferenci přednesl Jonathan Pollet (Red Tiger Security).
Bezpečnostnímu testování běžných SW aplikací je věnován výňatek z knihy, zveřejněný na stránkách csoonline.com – Security Testing of Custom Software Applications. Jedná se o osmou kapitolu knihy Secure and Resilient Software Development. Autory knihy jsou Mark S. Merkow a Lakshmikanth Raghavan, knihu vydalo v roce 2010 nakladatelství CRC Press.
Malware
Primárním cílem červu Stuxnet pro SCADA byl Irán – Iran was prime target of SCADA worm. Podle dat, která posbíral Symantec, skoro 60 procent infikovaných systémů se nachází v Iránu.
Viz také diskusi k celému problému na Schneierově blogu – Internet Worm Targets SCADA.
Stuxnet – podrobnosti k vlastnostem tohoto malware (legitimně podepsaném – dnes již tedy v minulém čase), k jeho specifikům se vyjadřuje Peter Silberman – Stuxnet Memory Analysis and IOC creation. Viz také – Details of the first-ever control system malware (FAQ) (Elinor Mills). Dopadům existence tohoto červa na bezpečnost systémů SCADA je věnován článek Stuxnet renews power grid security concerns (Jaikumar Vijayan).
Viry
Falešné antiviry jsou stále úspěšné – Rogue Antivirus Victims Seldom Fight Back. Brian Krebs v článku na svém blogu rozebírá situaci na poli těchto podvodů. Vyslovuje podiv nad tím, jak malé procento podvedených hledá cestu k získání svých peněz zpátky.
Podvodný antivir Masquerade se vám do počítače chce dostat jako aktualizace Firefoxu/Flashe – Rogue AV Masquerades as a Firefox/Flash Update. Pokud nejste dostatečně pozorní, může oklamat.
Hackeři
Na Novém Zélandu byla hacknuta velká databáze zákazníků novozélandské firmy Hell Pizza – Police called over pizza hack. Obsahovala osobní data 230 000 zákazníků včetně některých celebrit.
Hackery máme černé a bílé a kdo jsou tzv. šedí hackeři? Nick Bilton říká, tyto osoby se snaží různými cestami docílit, aby aktiva firmy se stala zranitelnými. A to tak, aby to vedlo ke ztrátám těchto aktiv a k snížení reputace firmy – Hackers With Enigmatic Motives Vex Companies.
Jeden průnik = škody v miliónech dolarů ročně – One Breach = $1 Million To $53 Million In Damages Per Year, Report Says. Kelly Jackson Higgins komentuje výsledky dvojice zpráv (první zprávu připravil Ponemon Institute, druhou pak Digital Forensics Association):
Ruský hackerský gang se specializuje na padělané šeky – Russian hacking ring specialises in counterfeit checks. To je zajímavá informace věnovaná jednomu z vystoupení na konferenci Black Hat (Joe Stewart, SecureWorks). Viz také:
- Russian gang uses botnets to automate check counterfeiting
- Massive check-fraud botnet operation tied to Russia
Byl dopaden autor botnetu Mariposa – Alleged Mariposa Botnet Author Nabbed. Ve Slovinsku v městě Maribor byl zatčen 23letý muž, který má být odpovědný za vytvoření tohoto botnetu. Viz také – Slovinci dopadli nebezpečného hackera, infikoval 12 milionů počítačů.
V Maďarsku budou vyučovat hackerství, Novinky: Na Univerzitě národní obrany Miklóse Zrínyiho budou vyučovat předmět „etické vzdělávání hackerů“. Studenti mohou po úspěšném složení zkoušky dosáhnout mezinárodně uznávané osvědčení „Certified Ethical Hacker“.
Hardware
Každý desátý počítač je zranitelný vůči kybernetickém útoku – Cybercrime: one in 10 computers vulnerable to attack, v článku je obsažen komentář k výsledkům nové zprávy společnosti AVG. Viz zprávu – Internetový zločin, objem a metody monetizace.
Kopírky: jak velká jsou rizika s nimi spojená? Často se v souvislosti s nimi hovoří o jejich pevných discích, ale důležitější je ohlídat jejich operační systémy – říkají odborníci. Například – málokdo hlídá, zda tyto OS jsou dostatečně aktualizovány (záplatovány) – Copiers: How Great Are the Risks?.
Bezdrát
Nalezena byla zranitelnost ve WPA-2 (protokolu pro bezdrát) – WPA2 vulnerability found. Protokol WPA-2 je dosud nejsilnějším ze standardizovaných protokolů pro bezdrát. Zranitelnost, označovaná jako „Hole 196“ umožňuje útoky typu man-in-the-middle a bude demonstrována na konferenci Black Hat.
Viz také – Flaw in top wireless security protocol WPA2 uncovered.
Diskuze na Schneierově blogu se také věnovala těmto útokům na WPA – WPA Cracking in the Cloud. Zatím je málo informací, ale téma zájem přitahuje, viz také komentář Michaela Kassnera – WPA/WPA2 encryption: A possible workaround.
RFID
RFID „Spychips“ jsou dalším velkým problémem pro soukromí – The Next Big Privacy Concern: RFID “Spychips”. Ms. Smith rozebírá vývoj využití této technologie a potenciální související hrozby dokumentuje na příkladech (dnešní RFID čipy lzesledovat i na vzdálenost několika set metrů).
Mobilní telefony
U.S. Declares iPhone Jailbreaking Legal, Over Apple’s Objections – protesty společnosti Apple a hackování iPhone. zv. jailbreaking (hackování iPhone s cílem umožnit spouštění na něm dalších aplikací včetně neautorizovaných) je legální, rozhodli tak američtí regulátoři.
Viz také článek s příbuznou tématikou (aplikace pro iPhone, která není zrovna bezpečná) – Citigroup says its iPhone app puts customers at risk. Warning: contents include account details.
Chystané demonstraci odposlechu GSM na Defconu se věnuje článek Privacy concerns at Defcon. Není k tomu třeba rozbít kryptografický algoritmus – Practical cellphone spying (Chris Paget).
Viz také další komentář – Hackers to get eavesdropping lessons on cell calls.
Three Steps to a Cracked Android Device aneb crackování zařízení s OS Android. Paul Rubens pokračuje ve svém seriálu věnovaném zranitelnostem OS mobilních zařízení. První díl věnovaný iPhone je zde – Three Steps to a Cracked iPhone.
Pět bezpečnostních pohledů na iPhone a iPad v podniků obsahuje článek iPhones, iPads in the enterprise: 5 security views. Své názory v tomto ohledu formuluje v článku pětice odborníků.
Na konferenci Black Hat byla také probírána problematika odposlechu mobilů. Dan Goodin v článku Cell phone eavesdropping enters script-kiddie phase konstatuje, že soubor nástrojů, který odposlechy umožní, je již připravován. Viz také k tématu se vážící informaci – Cell-phone call interception demonstration at Defcon might not be a sure thing.
Spam
Věci znalí lidé jsou ještě stále nejlepším filtrem spamu – Knowledgeable humans are still the best spam filters. Chad Perrin vysvětluje, jaká běžná pravidla je třeba dodržovat při posuzování obdržených e-mailů a jejich správném zařazení do kategorie spam.
Elektronické bankovnictví
Ukrajinský „král“ platebních karet byl vylákán do Turecka (a do vězení) – Ukrainian Carding King ‘Maksik’ Was Lured to Arrest. Dotyčný si podvodným prodejem dat k platebním kartám (ukradených od amerických obchodníků) dokázal vydělat 11 miliónů dolarů. Patřil do gangu, kde byl známý TJX hacker Albert Gonzales. Dostal 30 roků (v Turecku …). Zpráva se objevila v dokumentu společnosti Verizon (viz odstavec Přehledy).
Armed with exploits, ATM hacker hits the jackpot – možná největší zájem na konferenci Black Hat vzbudilo vystoupení k zranitelnostem bankomatů. Barnaby Jack (IOActive) demonstroval svůj útok na dvou bankomatech (nezáplatovaných) dvou největších výrobců bankomatů. Jím použitý SW využil (internetové či telefonní) spojení pro dálkovou správu bankomatu. Instalovaný rootkit mu umožnil získat administrátorské heslo a PINy k účtům a přinutit bankomat vydat proud dolarových účtů. Barnaby měl podobné vystoupení připravené již před rokem, nakonec od něho ustoupil z toho důvodu, že tehdy nebyly připraveny záplaty.
Viz také komentář – Update: ATM hack gives cash on demand.
A upoutalo samozřejmě – z bankomatu se na konferenci sypaly peníze – Security researcher demonstrates ATM hacking. Jsou zde další podrobnosti k vystoupení, viz také – Update: ATM hack gives cash on demand.
Také Schneier se obrací na svém blogu k hackování bankomatů – Hacking ATMs – jako zajímavým námětem do diskuze.
Autentizace, hesla, ID
Passwords in the wild, part I: the gap between theory and implementation, aneb hesla v praxi – rozdíl mezi teorií a implementacemi. Joseph Bonneau komentuje své výsledky (spoluatorem je Sören Preibusch), které prezentoval na nedávné konferenci v Bostonu:
Další pokračování článku jsou zde:
- Passwords in the wild, part II: failures in the market
- Passwords in the wild, part III: password standards for the Web
- Passwords in the wild, part IV: the future
Phishing
Objevil se volně dostupný soubor nástrojů pro phishing určený méně zkušeným internetovým podvodníkům – ‚Freeware‘ phishing kit dupes s'kiddies. Byl zveřejněn na hackerském fóru (vyvinut byl v Alžírsku). Získané výsledky jsou však odesílány tajnými zadními dvířky původním autorům SW, „proxy“ hacker se dostane jen k jejich malé části. Podle Impervy nebezpečnost tohoto přístupu spočívá ve vytvoření jakéhosi cloudu pro phishing.
Elektronický podpis
Dokonce i při SSL/TLS jsou prohlížeče zranitelné vůči útokům – Black Hat 2010: Even with SSL/TLS, browsers still are susceptible to attack. Na konferenci Black Ha to demonstrovali Robert Hansen a Josh Sokol.
S bezplatným online testem SSL pro webové stránky přišla společnost Qualys – Free online SSL test for web sites. Test ověří platnost SSL certifikátu, jeho důvěryhodnost. Použít tento nástroj lze na této – stránce.
Normy a normativní dokumenty
Americký NIST vydal v uplynulém týdnu následující tři dokumenty:
- SP 800–117, Guide to Adopting and Using the Security Content Automation Protocol (SCAP), finální verze
- SP 800–85A-2 PIV Card Application and Middleware Interface Test Guidelines
- draft: NIST Interagency Report (NISTIR) 7275 Revision 4, Specification for the Extensible Configuration Checklist Description Format (XCCDF) Version 1.2
Dále minulý týden vyšel draft
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
ČLÁNKY DO MAILU