Hlavní navigace

Bezpečnostní střípky: lepší ochrany pro aplikace Google?

Jaroslav Pinkava

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na postupy pro nejlepší archivaci dat, článek na csoonline.com, který pomůže napsat lepší IT bezpečnostní politiku a informaci o chystaném antiviru společnosti Microsoft.

Obecná a firemní bezpečnost IT

Také Velká Británie má v plánu vybudovat nové centrum kybernetické bezpečnosti  – Whitehall plans new cyber security centre to deter foreign hackers. Centrum bude zaměřeno na boj proti zahraničním hackerům. Viz také – UK.gov to create central cybersecurity agency.

Obětí plánů na obranu kybernetické bezpečnosti USA se může stát soukromí – Privacy May Be a Victim in Cyberdefense Plan. Thom Shanker a David E. Sanger komentují plány Obamovy administrace a Pentagonu. O budoucnosti soukromí se široce diskutuje také na Schneierově blogu – The „Hidden Cost“ of Privacy.

Popis nejlepších postupů pro archivaci dat, takový úkol si dal autor studie Best Practices for Data Archiving. Studie (Realtime Publishers) rozebírá implementace systémů, které mají za úkol chránit obsah archivovaných dat. Diskutované postupy třídí do čtyř kategorií:

  • Politiky
  • Procedury
  • Lidé a jejich povědomí
  • Produkty pro archivaci

Článek Protect: Protect Today, Secure Your Future. Best Practices se věnuje problému ochrany dat v koncových bodech. Je to sice P.R. článek společnosti Symantec, obsahuje ale shrnutí důležitých momentů ve vztahu k ochraně dat, k obraně před průniky.

Íránská opozice organizuje kybernetický útok proti vládním stránkám – Iranian opposition launches organized cyber attack against pro-Ahmadinejad sites. Další důkaz toho, jak virtuální svět již zasahuje do světa reálné politiky.

How to Write an Information Security Policy aneb jak napsat efektivní politiku pro informační bezpečnost. Jennifer Bayuk přichází na stránkách csoonline.com s nesporně užitečnými a pro praxi použitelnými informacemi. Článek mj. obsahuje i osm bodů, které popisují ve stručnosti to, co vše by měla taková politika informační bezpečnosti zahrnovat.

Mission Impossible? A Plan to Secure the Federal Cyberspace – USA – zabezpečení vládního kyberprostoru – je to Mission Impossible? První část z chystané třídílné série článků Ariela Silverstona.

Twitter hraje klíčovou roli v útocích DoS v Iránu – Twitter plays key role in DoS attacks in Iran. Jaikumar Vijayan popisuje podrobnosti, sociální síť se ukázala jako efektivní nástroj k mobilizaci kybernetických útoků.

Software

Bezpečnost databází, k této problematice se váže studie Data Discovery and Classification in Database Security Dana Sullivana. Tato studie (první část z třídílné série) se zabývá procesy pro monitorování aktivit databází. Druhá část se pak má věnovat zranitelnostem databází a třetí bude popisovat strategie vhodné k odstranění příslušných rizik a také bude popisovat související kontroly.

New steganographic tool: Virtual Steganographic Laboratory, tento článek ve stručnosti popisuje vlastnosti nového steganografického nástroje. Software lze používat jak pro steganografické účely (samotná steganografie a a její analýza), tak také např. pro vytváření vodoznaků.

Po pěti letech byla vydána nová verze kryptografické knihovny Nettle – Nettle library.

Bezpečnostní kapacity tlačí na Google, aby šifroval – Top Security Minds Urge Google to Encrypt All Services. Bezpečnostní nastavení pro Gmail, Google Docs a Calendar nejsou dostatečná. Objevuje se stále větší množství veřejně dostupných nástrojů, které umožňují hackerům provádět útoky na tyto služby. Viz také článek Google cloud told to encrypt itself. Reakci Google si můžete pak přečíst zde – HTTPS security for web applications. Slovenský článek věnovaný tomuto tématu je na tomto odkazu – Gmail bude štandardne celý zabezpečený.

Byla vydána nové verze programu TrueCrypt s číslem 6.2a – TrueCrypt 6.2a released. Byly opraveny některé chyby. Stáhnout novou verzi si můžete zde – Latest Stable Version – 6.2a.

Na světě je program, který umí analyzovat php kód na XSS a SQL-injection zranitelnosti – MIT/Stanford/Sy­racuse Team Develop New PHP Intepreter-Based XSS and SQL Security Tester. Originální článek je pak zde - Automatic Creation of SQL Injection and Cross-Site Scripting Attacks.

Malware

Prevent malware from spreading by e-mail links and attachments aneb jak se chránit před malware, který je šířen prostřednictvím e-mailů. Michael Kassner v populárním výkladu toho, čeho by si měl být každý vědom.

Bývalí pracovníci Google spustili službu detekující malware na webech – Ex-Googlers behind new security service that flags malware on Web sites. Dasient (název nové firmy) Web Anti-Malware je ale placenou službou (od 50 dolarů měsíčně výše).

Nine-Ball – objevila se nová infekce ohrožující webové stránky – Nine-Ball mass injection attack compromised 40,000 sites. Angela Moscoritolo píše, že již bylo infikováno až 40 000 legitimních webů, které následně infikují uživatele trojanem kradoucím informace.

Viry

O bezpečnostních problémech některých antivirů informuje Symantec – Security problems in multiple anti-virus products.

Jak dobrý bude nový antivir Microsoftu? Ed Bott v článku How good is Microsoft´s free antivirus software? sděluje výsledky své analýzy – pozitivní. Viz také – Bezplatný antivírus od Microsoftu – všetky informácie pokope.

Hackeři

Hackeři IT systémů telefonních společností dopadeni – International telecom hacker group busted. Cílem těchto hackerů bylo získat možnost volání zdarma. Skupina fungovala po celém světě. Viz také – Default Passwords Led to $55 Million in Bogus Phone Charges.

Byla hacknuta služba Cligs – Hacker Hits URL Shortening Service Cligs. Služba, která provádí zkracování url pro Twitter, byla napadena prostřednictvím bezpečnostní díry. Viz také Hacker cracks TinyURL rival, redirects millions of Twitter users.

Útoky zombie jsou na prodej, nekupte to – Zombie attacks on sale for a fiver. Golden Cash a „milestone in the cybercrime evolution“. Pracovníci společnosti Finjan informují o svých zjištěních. Za 5 až 100 dolarů vám (samozřejmě nelegální) síť botnetů nainstaluje malware na 1000 počítačích. Malware umí krást informace a rozesílat spam.

Hardware

Nedostatky v bezpečnosti při využívání tiskáren jsou na denním pořádku – Samsung survey shows poor print security . Vyplývá to z přehledu společnosti Samsung Electronics provedeného v evropskch zemích. Vytištěné dokumenty se snadno dostávají i do rukou těch, kterým nepatří. Také nejdou dostatečně ošetřeny útoky proti samotným tiskárnám (pevné disky z tiskáren lze snadno vyjmout, dále co se týče penetračních útoků v síti proti tiskárnám – jejich možnosti nejsou zjišťovány a tudíž nejsou ani volena vhodná protiopatření.

Objevil se nový nástroj (USB, EnCase Portable) k špionáži v počítačích. Vznikla k němu zajímavá diskuze na Schneierově blogu – New Computer Snooping Toolz.

Bezdrát

Publikován byl SW pro cracknutí šifrování bezdrátové klávesnice – Software for cracking wireless keyboard encryption published. Jeho autory jsou Max Moser a Thorsten Schröder. Týká se to bezdrátových klávesnic Optical Desktop 1000 a 2000.

RFID

Ocelovým pouzdrům na RFID je věnován článek – Stainless steel wallet review. Chad Perrin volně diskutuje využitelnost a vlastnosti takového produktu.

Mobilní telefony

Deset cest k bezpečnějšímu používání iPhone vám poradí Michael Kassner – 10 ways to secure the Apple iPhone.

Zkušenosti z forenzní analýzy zařízení Blackberry jsou obsahem článku Common Pitfalls of Forensic Processing of Blackberry Mobile Devices. Eoghan Casey v něm vysvětluje některé obtíže při prováděné analýze.

Útoky na iPhone jsou zase předmětem článku iPhone Hackers Get a Break. Na konferenci Black Hat příští měsíc budou Charles a Vincenzo Iozzo informovat o své metodě, která umožňuje spouštět neautorizovaný SW i pro verzi 2.0 operačního systému iPhone.

A bezpečnosti nové verze iPhone OS 3.0 je věnován článek The security of iPhone OS 3.0. Tato bezplatná aktualizace přináší vylepšení některých bezpečnostních aplikací a článek o nich poměrně podrobně informuje.

Elektronické bankovnictví

Email Sender Authentication Deployment. Best Practices and Considerations for Financial Institutions aneb bezpečný e-mail ve finančních službách. Rozsáhlá studie se věnuje postupům, které jsou navrhovány jako součást boje proti phishingu. Viz také komentář – BITS releases guide for implementing email authentication protocols.

O jednom podvodu informuje článek An Odyssey of Fraud. Brian Krebs v něm popisuje příběh, který se týkal neoprávněných výběrů z účtů.

Autentizace, hesla

Intellectual property: Do you have a leak?  – intelektuální vlastnictví – ukradli vám něco a umíte to zjistit? Michael Kassner na blogu TechRepublic nejprve rozebírá podstatu problému a uvádí pak několik nástrojů, které by měly v této souvislosti pomoci.

Pět volně dostupných nástrojů pro rozesílání anonymních zpráv v článku An Investigator's To­olkit: 5 Free Tools to Send Anonymous Messages popisuje Brandon Gregg.

Nejlepší bezpečnostní postupy pro OpenID jsou popsány v dokumentu OpenID Security Best Practices (materiál je průběžně upravován). Viz také stručný komentář Eda Bellise – OpenID Publishes Security Best Practices.

Slovensko – Vyhlásili výzvu na elektronický občiansky preukaz. Ministerstvo financií SR (MF) vyhlásilo výzvu na Národný projekt elektronická identifikačná karta, na ktorý vyčlenilo maximálnu sumu 46,5 mil. eur vrátane dane z pridanej hodnoty (DPH). …

Phishing

Zákazníci polského UPC se stali obětí phishingu – Zákaznicí polského UPC obětí phisingu (odkaz je včetně gramatické chyby). Do e-mailových schránek abonentů platformy UPC Polska dorazil podvodný e-mail, který se je snažil přesvědčit, aby klikli na odkaz a následně zadali své přihlašovací údaje do patřičných polí.

O phishingu, jeho metodách informuje na svých stránkách také Tony Bradley – Gone Phishing! Experts Weigh In On Why Phishing „Works“. V závěru článku je několik dalších odkazů, které se také váží k problematice phishingu.

Normy a normativní dokumenty

V uplynulém týdnu se objevily dvě publikace amerického NISTu:

Kryptografie

Tři argumenty k tomu, proč je šifrování přeceňováno, uvádí autor článku 3 Reasons Why Encryption is Overrated:

  • Síla budoucí výpočetní techniky
  • Správa klíčů
  • Legislativa vztahující se k rozkrytí klíčů

Článek vzbudil polemické reakce – viz například – On encryption and why it's overrated.

Bruce Schneier se na svém blogu obrací k poslednímu útoku na SHA-1, nepřehlédněte také diskuzi – Ever Better Cryptanalytic Results Against SHA-1.

Kerckhoffovy principy pro šifry z dnešního pohledu, to je zajímavé téma článku Six principles of practical ciphers. Chad Perrin se pokouší o dnešní upřesnění historických principů Augusta Kerckhoffa (1883).

Různé

Zajímavý článek The Ultimate Lock Picker Hacks Pentagon, Beats Corporate Security for Fun and Profit vyprovokoval také diskuzi na Schneierově blogu – Lockpicking. I české weby mají k tématu co sdělit, např.: Vše o lockpickingu.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

25. 6. 2009 0:10

Tak jasně, ono USA taky není čisté. Já prostě ale východ nikdy nebudu mít rád. Lidé tam uvažují jaksi jinak než jsou mé hodnoty a to já nikdy nepřekousnu. Západ taky budu kritizovat, pokud mi k tomu dá vážný důvod. A ty se také najdou, nebojte. Ale to vy, TurZine, jistě víte dobře a jistě máte příslušnou konspirační teorii ;).

22. 6. 2009 22:11

No, moc bych si srandu z toho nedělal, dnes jsem koukal na video a nepřišlo mi to jako smyšlenka. Islám neodsuzuji, ale Ahmanidežáda a toho jejich „jako duchovního“ taktéž. Jsou to radikálové a cokoliv radikálního je špatné (Hitler, Lenin, ten Čau, nebo jak se jmenuje ze Sev. Korei, Chávez, všechno jsou to těžký hovada a vrazi).

Vitalia.cz: 7 druhů hotových těst na vánoční cukroví

7 druhů hotových těst na vánoční cukroví

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?