Hlavní navigace

Bezpečnostní střípky: mýty okolo bezpečnosti webových aplikací

Jaroslav Pinkava

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. V novinkách tohoto týdne se dozvíte, proč je výkonný management nejsnadnějším cílem sociálního inženýrství, jak také dálkově lze špehovat uživatele iPhone a malý přehled ukáže, co je třeba denně udělat pro svoji bezpečnost.

Obecná a firemní bezpečnost IT

Co o vás ví Microsoft? V době, kdy se provalují snahy řady firem (Google, Apple,…) získávat co nejvíce informací o svých uživatelích (a uschovávat je a potom…?), vychází článek What Does Microsoft Know About You? (jeho autorem je Lee Pender), který si bere v těchto souvislostech na mušku samotný Microsoft. Z jeho pohledu nevychází Microsoft zase tak špatně.

Manning nahrával tajné informace Pentagonu na CD maskované označením jako hudební disk (Lady Gaga) – Loophole May Have Aided Theft of Classified Data. Stejně je s podivem, jak velké množství utajované korespondence se tomuto výtečníkovi podařilo nepozorovaně stáhnout. Otázkou také zůstává, zda na pracovišti, kde Manning působil, byly dodržovány všechny bezpečnostní předpisy.

Google a Čína hledají cesty pro koexistenci – Google, China look for way to coexist. Peking (jak bylo v minulých dnech oznámeno) obnovil licenci společnosti Google pro podnikání v Číně.

Co byste každý den měli udělat pro svoji bezpečnost – Daily security checklist. Mike Mullins v stručném přehledu shrnuje nejdůležitější momenty (nezbytná je registrace). Článek obsahuje seznam doporučených aktivit.

Bruce Schneier vydal svou novou esej – Internet Kill Switch. Ptá se, zdali dá nový zákon americkému prezidentovi pravomoc vypnout internet (resp. zastavit jeho podstatné části). Schneier to považuje za nebezpečnou myšlenku. Na blogu je k eseji připojena rozsáhlá diskuze.

Al Qaeda targets American recruits with English magazine aneb Al-Kajda online, je to komentář ke spuštění magazínu Inspire. Publikace vyzývá Američany k provádění malých útoků ve svých domovech – vlastně je to virtuální průvodce k tomu, jak se stát teroristou.

Chystáte se vyhovět některým regulačním ustanovením? Pomůže třináct bodů, které jsou uvedeny v závěru článku na csoonline.com. Autor se pokouší také ukázat cesty, pokud je vaším cílem naplnit více takovýchto regulačních rámců – 13 essential steps to integrating control frameworks.

E-shopy a online kriminalita – top 10 předmětů kradených online najdete na stránce Top 10 Hottest Items Stolen Online. Je to zajímavý přehled přinášející řadu faktů vztahujících se k situaci ve Velké Británii, ale i jinde ve světě.

Pečujte o své PC v omezeném účtu (nikoliv v účtu administrátora). Marco Giuliani vysvětluje, proč je to bezpečnější – Take care of your PC with a limited account.

Doba Darknetu a s tím související revoluce digitálního copyright jsou předmětem materiálu THE DARKNET: A DIGITAL COPYRIGHT REVOLUTION. Zajímavá studie (60 stran) americké autorky (Jessica Wood) se věnuje současné situaci na poli práv k digitální podobě děl z hlediska legislativních ustanovení (a existující praxe).

Čtyři důvody, proč je výkonný management nejsnadnějším cílem sociálního inženýrství na stránkách csoonline.com,  uvádí Joan Goodchild (4 reasons why executives are the easiest social engineering targets) :

  • Nemyslí si, že musí dodržovat bezpečnostní pravidla.
  • Myslí si, že je ochráníte.
  • Používají nejnovější technologie.
  • Mají rodinu, která neví, že oni jsou cílem.

Problematice pojištění proti kybernetickým krádežím je věnován článek The Case for Cybersecurity Insurance, Part II. Brian Krebs v něm navazuje na svůj článek The Case for Cybersecurity Insurance, Part I, který vyšel před měsícem. Ukazuje na konkrétních příkladech, že v době, kdy sofistikovaní počítačoví zloději obchází škálu obranných opatření, je pojištění v tomto smyslu zcela oprávněným opatřením.

Zaměstnanec Microsoftu pocházející z Ruska byl dvanáctým členem špionské skupiny – Microsoft Employee From Russia Linked To Spy Ring. Alexej V. Karetnikov pracoval v Redmondu. Do Ruska byl pro porušení imigračních pravidel poslán v červnu a to bez jakéhokoliv jiného obvinění. Američané zřejmě neměli k takovýmto obviněním důkazy. Viz také článek (Chad Perrin): Have you heard the one about the 21st century Russian spy ring?

Vystoupení, které mělo být věnováno čínské Cyber Army, bylo staženo z programu konference Black Hat – Talk on China Cyber Army pulled after pressure. Podle této informace to bylo na základě tlaku tchajwanských a čínských agentur.

Ne zrovna příjemným tématem jsou negativní zkušenosti dětí na internetu. V článku Many kids have a negative online experience najdete komentář k výsledkům zprávy Norton Online Family Report :

  • 62 procent dětí ve světě má negativní zkušenosti s internetem.
  • Děti stráví na internetu denně v průměru 1,6 hodiny.
  • 30 procentům dětí se vnucoval kdosi, kdo se s nimi chtěl setkat v reálném světě.
  • Děti málo znají některé cesty k ochranám ve vztahu k bezpečnosti (např. používání https místo http atd.).

Sociální sítě

Facebook: The Missing Manual, to je stručná recenze stejnojmenné knihy (jejího druhého vydání). Knihu najdete na Amazonu, vyšla letos v dubnu, má 272 stran. Na „amazonském“ odkazu najdete také další související informace.

Software

Microsoft zpřístupnil zdrojový kód Windows 7 ruské tajné službě – Microsoft opens source code to Russian secret service. Jedná se také o zdrojáky k Microsoft Windows Server 2008 R2, Microsoft Office 2010 a Microsoft SQL Server. Rusové takto také mohou využít svou vlastní kryptografii v produktech Microsoftu.

První zabudovaný Linux prochází certifikací na EAL 4+ – First embedded Linux OS to be accepted for EAL4+ certification. Jedná se o Wind River Linux Secure.

Byl vydán Metasploit Framework ve verzi 3.4.1. V článku jsou uvedeny změny, které jsou v této nové verzi (Metasploit Framework 3.4.1) obsaženy.

Za první pololetí 2010 vede žebříček zranitelností Apple – Apple ranks first in surging security bug count. 3rd party, fire and theft. Následují Oracle a Microsoft – podle zprávy společnosti Secunia. Viz také komentář Gregga Keizera – Third-party software bugs skyrocket in 2010.

Deset mýtů okolo bezpečnosti webových aplikací najdete na stránce 10 Web Application Security Myths. Autor této slideshow chce poukázat na největší nedorozumění okolo bezpečnosti webových aplikací v době Webu 2.0. Např. – webová stránka je bezpečná, pokud je na čele informací, které jsme získali při vyhledávání Googlem; uživatelé nemohou obejít bezpečnostní politiky organizace; pouze pornografické a další stránky s pochybným obsahem mohou šířit malware; uživatel může infikovat svůj počítač pouze tehdy, pokud stahuje soubory atd.

Čínský filtr internetu Green Dam čelí finanční krizi – China Green Dam web filter teams ‚face funding crisis‘. Podle zpráv z Číny se nedostává vládních peněz (původně měl být tento SW instalován na všech počítačích prodávaných v Číně).

Pozor na Mozilla Sniffer (doplněk Firefoxu) – Mozilla snuffs password pilfering Firefox add-on. Beware unreviewed software calling itself Mozilla Sniffer. Na stránce Firefox add-on byl tento SW od 6. června, nyní je již blokován. Pokud jste si ho již nainstalovali, odstraňte ho (sbíral hesla a odesílal je na vzdálený server). Viz také – Firefox security test add-on was backdoored.

20 cest k tomu, jak můžete přijít o svou databázi – 20 ways to lose your database, Tim Pollard rozebírá cesty, kterými vaše citlivá data mohou být neoprávněně zkopírována. V závěru uvádí sadu doporučení.

Objasnění problematiky cloud computingu najdete na odkazu – How to unlock the power of cloud computing. Článek napsal Mike Armistead (VP Corporate Development, Fortify Software), je stručným, ale výstižným popisem tématiky.

Malware

Proč vůbec existuje červ Conficker? Proč byl vůbec vytvořen takovýto náročně konstruovaný červ, který si dokázal obstarat velice slušnou armádu zombie počítačů? Autor článku Conficker, Cyber Emergency, and the Internet Kill Switch Kai Tischen neváhá označit tento botnet jako spící armádu.

A SpyEye – co umí toto malware? Marco Giuliani v SpyEye steals your data. Even in a limited account vysvětluje jeho chování a nebezpečnost.

Zeus ve verzi 3 se specializuje na banky v konkrétních zemích. Přichází ve dvou verzích. Jedna je orientována na banky v Španělsku a Německu, druhá na banky ve Velké Británii a ve Spojených Státech – Zeus baddies unleash nasty new bank Trojan. New generation of infamous cybercrime toolkit targets UK, US and Germany.

Trojan Zeus také přichází s novým trikem – ZeuS Trojan attempts to exploit MasterCard, Visa security programs. Používá vyskakující okénka (pop-up window) s podvrženými oznámeními typu Verified By Visa anebo MasterCard SecureCode Security. Snaží se tak oběti zatáhnout do aktivit, které konec konců povedou k prozrazení jejich citlivých bankovních dat. Viz také – Trojan attacks credit cards of 15 US banks.

Nalezen byl také bizarní vyděračský trojan – Bizarre phone ransom Trojan found by researchers. Trojan Krotten znemožní běh programů na uživatelovu PC a požaduje malou platbu (30 hřiven, tj. asi 4 americké dolary)ukrajinské mobilní síti (za zaslání kódu, který odemkne počítač). Autor však radí postiženým uživatelům, nic neplaťte, stejně vás čeká kompletní přeinstalování systému.

Nový typ malware šířící se USB disky využívá dosud nezjištěnou chybu Windows  – Experts Warn of New Windows Shortcut Flaw. Malware dokáže takto infikovat i plně záplatované Windows 7.

Hackeři

Počítačová kriminalita získává vyšší efektivitu prováděním útoků ve více stadiích – Cybercriminals increase effectiveness with multi-stage attacks. Článek přináší stručné shrnutí výsledků zprávy společnosti Comtouch.

Hackeři naklonovali oficiální stránku francouzského ministerstva zahraničí – Hackers clone French Foreign Ministry website. V tu samou chvíli zkolabovala očekávaná nová stránka tohoto ministerstva, která měla přiblížit zemi turistům a investorům. Adresa podvržené stránky se od té správné příliš nelišila. Na falešné stránce se začaly objevovat informace typu hoax, falešných deklarací a oznámení. Stránka již nefunguje.

Hardware

Redakce iDNES.cz našla ztracený mobil Martina Bursíka. Byl plný důvěrných dat. Redakce iDNES.cz se dostala k mobilnímu telefonu, který kdysi patřil bývalému předsedovi Strany zelených Martinu Bursíkovi. Přístroj zakoupila v bazaru a minulý týden ho původnímu majiteli vrátila. Byl plný důvěrných dat a cenných kontaktů. Poznámka (JP): Stále se upozorňuje na to, jak je důležité zabezpečit HW (pevné disky, flash disky, ostatní paměťová zařízení včetně těch, co jsou uvnitř mobilů) z hlediska důkladného výmazu uložených dat. Příklady kompromitace většinou pochází z ciziny (pevné disky na eBay), tady je bohužel jeden konkrétní příklad z naší domoviny.

VoIP

Pozor na hackery VoIP a podvody prostřednictvím VoIP – Avoid VOIP Hackers and Fraud. Užitečnost článku spočívá především v škále doporučení, která jsou uvedena v jeho závěru.

Mobilní telefony

Aplikace pro chytré mobily – nemusí být tím, čím se tváří – Smartphone apps: They may not be what they claim. Michael Kassner poukazuje na rostoucí význam tohoto segmentu trhu a vysvětluje přístupy společností Apple a Google ohledně určité kontroly těchto aplikací.

Tři snadné kroky k dálkovému špehování iPhone – Three Steps to a Cracked iPhone. Paul Rubens popisuje a rozebírá tyto tři kroky (na základě vystoupení dvojice Roberto Gassira a Roberto Piccirillo na konferenci Hack in the Box):

  • Identifikujte poskytovatele mobilu oběti (podle čísla mobilu).
  • Vytvořte zdánlivě ověřený konfigurační profil .mobileconfig, který vypadá, jako by pocházel od poskytovatele či zaměstnavatele. Tento přehodí provoz http a https na falešné proxy.
  • Zašlete oběti SMS, požadující stáhnutí nového profilu.

Elektronické bankovnictví

Karty, kterým svěřujeme své peníze a osudy, Pavel Čepský na Lupě : Úspory pod polštářem dnes schovává už jen málokdo, vše svěřujeme digitálnímu světu. Karty, a nejen ty platební, se tak stávají častým cílem útočníků, případně prostředkem krádeže identit. Jaké formy autentizace nám vlastně různé typy karet nabízejí a jaká bude jejich budoucnost ?

Autentizace, hesla

Co dělat, když krádež vašeho ID nevznikla díky vaší chybě? Zeljka Zorz v článku When identity theft is not your fault komentuje situaci v USA. Momentálně se v podstatě dělat nedá nic. Naději vkládá do chystaného zákona Data Accountability and Trust Act.

Nástroj vyhodnotí, jak dlouho potrvá cracknutí vašeho hesla – Crypto tool predicts password cracking time. Jedná se o nástroj Thor's Godly Privacy (TGP).

Co dělat s hesly, která jste již vytvořili – What to do with passwords once you create them. Joan Goodchild píše: Bruce Schneier si je psal na kousek papírku a uchovával je v peněžence. Dnes používá volně dostupný SW – Password Safe, který sám navrhl před pěti lety. Jedno heslo zapamatovat si stačí k tomu, aby měl dostupný celý seznam hesel. Joan Goodchild v článku pak popisuje přístupy k tomuto problému dalších bezpečnostních odborníků.

Elektronický podpis

Rozhovor s Ivanem Risticem k jeho výzkumu implementací SSL je na stránce Black Hat 2010: Study tests SSL protocol use, finds SSL errors. Ristic chystá nyní podklady k svému vystoupení na konferenci Black Hat koncem tohoto měsíce. V interview vysvětluje, proč je třeba SSL (ač je považováno za jeden z nejbezpečnějších protokolů) věnovat v organizacích pozornost.

Kryptografie

Náhodná čísla z kvantového šumu, jimi se zabývá studie Truly random number generation via entropy amplification. Komentář k ní je na stránce Quantum Noise Breaks Random Number Generator Record. Vzbudila také pozornost Bruce Schneiera a je diskutována na jeho blogu Random Numbers from Quantum Noise.

Kryptografický útok vede ke cracknutí hesel – Researchers: Authentication crack could affect millions. Jedná se o chybu, která postihuje tucty aplikací včetně např. těch, které jsou napsány podle norem OAuth a OpenID (takové jsou v běhu např. na stránkách Twitter a Digg). Lze zde s úspěchem použít časový útok (timing attack). K provedení útoku jsou třeba velice pečlivá měření. Autoři útoku Nate Lawson a Taylor Nelson vystoupí k němu na konferenci Black Hat.

Různé

Report: Teens Using Digital Drugs to Get High aneb internetová hudba jako droga. Až se skoro nechce věřit, že článek je míněn vážně.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: „Black Friday 2016“: závěrečné zhodnocení

„Black Friday 2016“: závěrečné zhodnocení

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Co pomáhá dítěti při zácpě?

Co pomáhá dítěti při zácpě?

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu