Přehledy
Byla vydána zpráva McAfee Threats Report: Third Quarter 2011. Komentář k jejím výsledkům je na stránce McAfee threats report: Android is in the crosshairs. Další zpráva, která prokazuje, že Android je na špičce cílů mobilního malware.
Jiný komentář:
Koncem týdne se objevil dokument britské vlády The UK Cyber Security Strategy. Souběžně bylo vydáno i stanovisko vlády – The UK Cyber Security Strategy: Protecting and Promoting the UK in a Digital World.
Komentář k tomuto materiálu (43 stran) je na stránce Cruel new punishment for hackers: Twitter, Facebook bans.
- GCHQ to take hub role in UK cybersecurity
- New UK Cyber Security Strategy revealed
- Government´s cyber security strategy proposes expansion of GCHQ, police training and a national hub
- Britain prepares cyber attacks on rogue states
- GCHQ To Offer British Firms Expertise In Cybercrime
Ponemon Institute připravil studii (financovala ji společnost Kingston Technology)věnovanou bezpečnosti práce s USB disky – UK lags behind Europe in USB drive data security. Výsledky jsou obsažené celkem v 4 dokumentech:
Komentář k výsledkům přehledu je na stránce USB sticks still being used insecurely, Ponemon study finds.
Dále byla vydána zpráva Zscaler State of the Web Q3 2011. Nezbytná je registrace. Podrobný komentář k této zprávě napsala Markéta Pastuchová – Firemní PC lze napadnout přes pluginy v prohlížečích . Škoda jen, že je zde přítomna tradiční chyba některých novinářů – chybí odkaz na originální zdroj.
Obecná a firemní bezpečnost IT
USA, diskuze okolo Stop Online Piracy Act (SOPA) pokračují – Boffins: SOPA breaks DNSSEC, and won’t work anyway. V článku je poukázáno na problémy s DNS, rozebrané v studii Security and Other Technical Concerns Raised by the DNS Filtering Requirements in the PROTECT IP Bill.
Viz také dopis (Sandia).
Problematiku rozebírá i Jiří Peterka v článku na Lupě – Čeká nás cinknuté DNS?.
BSA stáhla svoji podporu rozpornému zákonu Stop Online Piracy Act – A small victory in fight against the Stop Online Piracy Act. Článek obsahuje krátký komentář Billa Brennera.
Americká armáda mění přístup k výchově v IT – Cyber training no longer basic. Rozsáhlý článek komentuje nastávající změny, které se pochopitelně dotýkají především bezpečnostních aspektů problematiky IT.
Čtyři hrozby kyberkriminality, které se objevují stále častěji, John Brandon – Four rising threats from cybercriminals – zmiňuje a rozebírá následující hrozby:
- Malware a textové zprávy
- Hackování inteligentních rozvodů
- Podvody s účty sociálních sítí
- Rušení (přerušování) GPS
UK: detektivové zlikvidovali více než 2 000 podvodných webů tzv. online prodeje – Scotland Yard e-cops ´fighting to save Xmas´. Předvánoční nákupy by tak měli být bezpečnější. Je to varování i zájemcům o online nákupy u nás doma, opatrně vybírejte a ověřujte si, u koho chcete nakupovat.
Sadu doporučení (NCSA) pro bezpečné online nákupy najdete na stránce Secure practices for online shopping.
Další sada doporučení pochází od FBI – FBI´s holiday online shopping tips.
USA, bylo zahájeno vyšetřování čínských firem ohledně kybernetické špionáže – Spyhunting US pols to crawl up Huawei and ZTE´s ass. Jedná se o firmy Huawei a ZTE.
Příbuzným problémem, hackováním amerických satelitů, se zabývá článek Inside the mysterious US satellite hacking case. Odkazuje se na podrobnou zprávu 2011 REPORT TO CONGRESS of the U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION.
Pentagon potvrdil: akceptovatelnou odpovědí na kybernetický útok je i vojenská akce – Pentagon Confirms Military Action Is an Acceptable Response to Cyber-Attacks. Fahmida Y. Rashid komentuje zprávu ministerstva obrany pro americký kongres (zveřejněnou 21. listopadu) – Department of Defense Cyberspace Policy Report.
ID theft prevention tips, na této stránce najde čtenář sadu doporučení pro prevenci před krádežemi ID. Před blížícími se svátky se může rekapitulace následujících (víceméně běžných) doporučení hodit:
- Beware of public WiFi
- Cover your ATM card
- Double check your email inbox
- Watch where you shop online
- Take stock of store credit cards
- Keep receipts
- Protect computer prior to online shopping
- Strengthen passwords
Na stejném webu najdete také sadu doporučení ohledně bezpečných online nákupů – Ten cyber shopping tips.
Dále, společnost Comodo vydala takováto doporučení (sedm otázek, na něž byste měli znát odpovědi) – Seven Questions to Ask to Help Keep Your Electronic Devices Secure and the Holiday Season Hassle-Free.
Viz také komentář – Security and Monitoring Firms Dish Out Tips for E-Commerce Sites, Holiday Shoppers.
Cyberwar explodes in Syria – kybernetická válka v Sýrii, autor článku hodnotí situaci v Sýrii z pohledu internetových a telefonních komunikací.
AVG: Malé firmy jsou pro hackery nejsnazším soustem, Karel Obluk: Bezpečnost dokáže potrápit každého, ale pokud jde o bezpečnost informačních systémů, jsou na tom asi nejhůře malé firmy. Malými firmami myslíme ty skutečně malé – s pěti, maximálně deseti až dvaceti zaměstnanci a jen s několika počítači. Rozpočet na IT je samozřejmě velmi omezený, přitom složitost systémů neustále roste a s tím rostou i nároky na jejich zabezpečení. Podle nedávného globálního průzkumu dvě ze tří malých firem vidí v IT klíč k fungování svého podnikání, ale víc než polovina jich nemá přístup k IT expertům. A celých 77 procent si velmi dobře uvědomuje, že narušení bezpečnosti by mohlo mít významný dopad na jejich podnikání.
Top 10 hloupostí okolo bezpečnostních konceptů a pověr, takovouto slideshow připravil Fahmida Y. Rashid. Rozpracoval seznam, jehož původním autorem byl Charles Pfleeger – IT Security & Network Security News & Reviews: Top 10 Dumb Computer Security Notions and Myths.
Climategate 2.0 – na světě jsou další prozrazení z nově ukradeného emailového archivu – Climategate 2.0: Fresh trove of embarrassing emails. Jak může být věda manipulována …
Viz také – U.K. University Braces For ´Climategate 2´ a British police investigating climate experts´ email hacking .
DDoS útoky o svátcích mohou ohrozit nejen online nakupování – E-Commerce, Retail Websites Alert for DDoS Attacks this Holiday Season. Dotknout se to může e-komerce a podniků celkově a také maloobchodu, uvádí ve svém komentáři Fahmida Y. Rashid.
Viz také popis v článku DDoS: The Message is Often Lost in the Noise.
ENISA bude mít více pravomocí – Kroes pushes for ´more muscular´ EU digital security. Vyplývá to z návrhu, který předložila komisařka Neelie Kroes. Měl by také být vytvořen systém pro celoevropskou elektronickou autentizaci (Pefias). Je zde rovněž tak poznamenáno, že úprav by měla doznat i směrnice EU pro elektronický podpis, i když nebylo řečeno jakých.
Stane se rok 2012 skutečně rokem kybernetické války? Bill Brenner – Will 2012 REALLY be the year of the cyberwar? – se na stránkách csoonline.com (i v odkazech na názory svých kolegů) zamýšlí nad tím, co nás čeká v příštím roce. Cituje v této souvislosti rozumné vyjádření Briana Krebse:
I hope the media will exercise a bit more restraint in tossing around volatile terms like cyberwar, particularly to describe the antics of a group that has a well-earned reputation for attention-grabbing stunts and lampooning just about everything. At best, such flattery may only encourage copycat attacks; at worst, it trivializes the far more serious issues raised by the Wikileaks scandal.
9 Reasons Wired Readers Should Wear Tinfoil Hats aneb cesty odposlechů, autor článku uvádí 9 způsobů, jak funguje tzv. Velký Bratr (USA).
Írán měl uvěznit 12 agentů CIA – Iran Reportedly Arrests Twelve CIA Agents. Cílem práce agentů měl být íránský vojenský a nukleární program.
ČR střeží před kyberútokem čtyři lidé na půl úvazku, to je rozhovor s Andreou Kropáčovou (členkou českého CSIRT.CZ).
Jak chránit děti před hrozbami Internetu, Otakar Hobza: Většina internetových uživatelů zná nebezpečí, kterým čelí děti v online světě. Polovina uživatelů považuje nevhodný internetový obsah přinejmenším za „poměrně velkou hrozbu“. Každý čtvrtý uživatel přitom nevhodný obsah, například erotické stránky či videa plná násilí, pokládá za vůbec nejvážnější hrozbu, které jsou děti na internetu vystaveny.
Zabezpečení počítačů je špatné, shodli se ředitelé, Veronika Horáková: Jižní Morava – Jak zamezit dětem přístup k internetovým stránkám s erotikou a podobně nevhodným obsahem? Otázka, kterou si často kladou ředitelé škol i rodiče. Využít mohou třeba nabídky softwarových firem nabízejících programy blokující přístup k vybraným stránkám.
Software
Cesta, jak překonat Windows 8 Secure Boot, byla demonstrována na Malconu – Security researcher gets root on Windows 8 with bootkit. Rakouský odborník Peter Kleissner zde prezentoval (je otázkou, zda dorazil, měl nějaký problém s žádostí o vízum, důvodem má být obvinění týkající se Stoned Bootkit) první “bootkit” pro Windows 8.
How To Conduct a Firewall Audit aneb jak provést audit firewallu. Michael Hamelin (bezpečnostní šéf Tufin Technologies) rozebírá význam takovéhoto auditu a uvádí cesty k jeho provedení.
Cloud computing: rizika vs. výhody, Mike Small (Senior Analyst at KuppingerCole) – Does risk outweigh the benefits from the cloud? – ukazuje cesty, jak se rozebrat v tomto problému. Formuluje deset otázek, na které by zainteresovaným měl odpovědět poskytovatel cloudových služeb.
Protecting data for the long term with forward secrecy – Google a https, oznámené změny jsou komentovány také na stránce Forward secrecy for Google HTTPS (22 Nov 2011).
Rozsáhlejší a šířeji zaměřený komentář napsal Dan Goodin – Google mail crypto tweak makes eavesdropping harder.
Developer Documentation GPG4Browsers. An OpenPGP Implementation in JavaScript, na této stránce najde čtenář dokumentaci k implementaci OpenPGP v JavaScriptu. Viz také komentář – Browser plugin brings strong crypto to Google webmail. Funguje to jako rozšíření Google Chrome spojené s využíváním Gmailu.
Apache: chyba v SW webového serveru umožňuje průnik do vnitřku systému – Apache HTTP Server Reverse Proxy/Rewrite URL Validation Issue. Vývojáři Apache pracují na jejím odstranění – Apache developers scramble to fix proxy flaw.
The spies behind your screen aneb špioni za vaší obrazovkou. Autor článku ukazuje na cesty, kterými dnes různé aktivity “špionážního” charakteru mohou proniknout do počítačů uživatelů, například využitím SW s označením RCS – Remote Control System. Dá se zabránit tomu, aby se obdobné zbraně nedostaly do špatných rukou? Ptá se autor a to i oficiálních britských úřadů.
Malware
Německé spyware využívá zranitelnost iTunes – German spyware exploits iTunes vulnerability. Podrobnější informace obsahuje článek Spiegelu – Firma will Späh-Software per iTunes installieren. Verze 10.5.1 Tunes má využitou zranitelnost odstranit.
Viz také komentář Cyber-cop Trojan used iTunes flaw to spy on crims. Stejnou chybu v iTunes využíval i botnet Ghost Click.
Trojan FinFisher, společnosti Apple trvalo tři roky, než opravila díru, která umožňovala jeho fungování – Apple Took 3+ Years to Fix FinFisher Trojan Hole. Brian Krebs klade otázku, zda za tím nebyl záměr. K falešným aktualizacím a vzniku tzv. FinFisher dokumentace se obrací článek – Surveillance Company Says It Sent Fake iTunes, Flash Updates.
Velká Británie netuší, kterým “zlým” režimům prodává spyware – UK has no idea if it´s selling spyware to evil regimes, článek je věnován vystoupení britského ministra zahraničí lorda Davida Howella.
No Silver Bullet: 8 Ways Malware Defeats Strong Security Controls aneb osm cest, kterými malware obchází přísné kontroly. Pro přístup k dokumentu je nezbytná registrace. Materiál (17 stran) připravila společnost Trusteer, je rozdělen na úseky podle typu útoků (Prelogin Attacks, Login Attacks, Postlogin Attacks, Transaction Attacks, Post Transaction Attacks).
Hackeři a jiní útočníci
Anonymous hackli e-maily bezpečnostního specialisty – Anonymous Hacks Back at Cybercrime Investigators. Jedná se o G-mailový účet, jehož uživatelem je jistý Alfredo Baclagan. Celkem 38 000 mailů (581 MB) umístili hackeři na torrent. Podle autora článku to je nejvýznamnější hack dotýkající se vyšetřování IT od hacku HBGary. Nepříjemné je zejména zveřejnění archivu e-mailů organizace International Association of Computer Investigation Specialists. Viz také komentáře:
- 38,000 emails from U.S. special agent leaked by Anonymous
- Anonymous leaks cybercrime investigator´s private emails
- Anonymous: ´We hacked cybercop´s email´
Healthcare breaches: Do they even matter? – aneb průniky ve zdravotnictví, zabýváme se jimi dostatečně? Autor článku George V. Hulme zmiňuje některé nedávné incidenty a také výsledky souvisejících přehledů (Privacy Rights Clearinghouse, PwC Health Research Institute).
ATandT Customers Targeted by ‚Organized, Systematic‘ Attack on Website – neúspěšný útok na zákazníky AT & T. Viz také – Update: AT&T says attempted hack of customer accounts failed. Útok se týkal jednoho procenta z více než sta miliónů bezdrátových zákazníků firmy.
Chronology of Data Breaches, zde najdete speciální web věnovaný chronologii datových průniků (Privacy Rights Clearinghouse). Jsou zde informace všemožných typů, které se dotýkají datových průniků. Viz komentář – Warning: This privacy website might depress you.
Je to APT? Či není to APT? Jak se rozebrat v situaci? Robert Lemos (APT Or Not APT? Discovering Who Is Attacking The Network) ukazuje na problematiku boje s těmito hrozbami (APT = advanced persistent threat, tj. pokročilé setrvalé hrozby). Otázka, jak vydělit tento typ hrozeb od ostatních útoků, není jednoduchá. Cituje některé odborníky a vymezuje důležité body obrany – výchova uživatelů a zabezpečení koncových bodů. APT vždy začínají soustředěným útokem na osobu.
DDoS Attack on KrebsOnSecurity.com, proběhl DDoS útok na stránky KrebsOnSecurity.com. Stránky známého bezpečnostního specialisty a publicisty byly 17. a 18. listopadu nedostupné, byly předmětem útoku DDoS. K útoku byl využit botnet vytvořený nástrojem Ruskill.
Proč Rusové jsou dobří ve vztahu k počítačové kriminalitě? Nad touto otázkou se zamýšlí Mark Galeotti na stránkách The Moscow News – Why are Russians excellent cybercriminals?.
Zastaralý SW, s kterým pracuje NASDAQ, pomáhá hackerům – NASDAQ out of date software helped hackers – report. Článek obsahuje předběžné závěry vyšetřování nedávného hacku, toto vyšetřování provádí FBI.
Policie v Austrálii používá materiály hackerského fóra jako manuály pro svá školení – Police use hacker forum material as training manuals (a vlastně, proč ne?). Nový Jižní Wales, jeho policie a popisována je situace s podvody ohledně platebních karet.
Největší letošní DDoS útok měl sílu 45 Gb/sec – Largest DDoS attack so far this year peaked at 45Gbps, says company. Jeho cílem byla asijská firma. Útok trval týden (proběhl ve čtyřech vlnách ve dnech 5. až 12. listopadu 2011), podílelo se na něm 250 000 infikovaných počítačů (převážně z Číny).
Bosenský hacker sbíral a distribuoval obrovská množství nelegálního porna – Bosnian hacker collected, distributed massive amounts of illegal porn. Dostával se také do e-mailových účtů jistých amerických občanů, odkud kopíroval pornografická data, čísla kreditních karet a přihlašovací data k pornografickým webům. Dotyčné občany USA vydíral vyhrožováním, že jejich aktivity oznámí americkým úřadům.
Spojené státy uvěznily 4 filipínské hackery, kteří byli financování teroristickou skupinou sídlící v Saudské Arábii – United States authorities Arrest four Filipino hackers . Aktivity těchto hackerů vedly ke ztrátám telekomunikační společnosti AT&T v objemu dvou miliónů dolarů. Zisky těchto hackerů byly převáděny na účty teroristů.
Anonymous se mstí policistovi, který použil pepřový sprej v rámci služební akce proti demonstrantům – Hacking group Anonymous targets pepper-spraying policeman. Video zveřejněné na YouTube, obsahuje jeho jméno, telefonní číslo, e-mailovou adresu a bydliště.
Systémy SCADA
SCADA Hacking madness – k útokům na systémy SCADA. Bill Brenner uvádí odkazy na materiály (David Marcus ze společnosti McAfee a George V. Hulme) k této tématice a komentuje jejich obsah:
- Is This SCADA Hacking Friday?
- SCADA security arms race underway
- Experts: Pressure SCADA developers on security as you would software vendors
Hacker: město použilo heslo ze tří písmen k přístupu do SCADA systému (South Houston,Texas) – Hacker Says Texas Town Used Three Character Password To Secure Internet Facing SCADA System. Hacker, který toto heslo “rozbil”, kritizuje přístup městské administrativy v e-mailovém interview pro Threatpost.
Použité heslo mohlo být i defaultním od Siemensu – Was The Three Character Password Used To Hack South Houston´s Water Treatment Plant A Siemens Default?.
FAQ: k průniku do systému SCADA, který vedl ke zničení vodní pumpy v Illinois – FAQ: What you should know about the Illinois water-district SCADA breach. Odpovědi na několik otázek upřesňují známé informace.
Viz také diskuzi na Schneierově blogu – Hack Against SCADA System a komentáře:
- SCADA-based water system hacked
- Experts advise caution, information sharing in wake of alleged utility attacks
Za útokem na vodní pumpu v Illinois má být varianta Stuxnetu – Stuxnet Strike on U.S. Utility Signals Disturbing Trend . Další z dohadů (?) médií. Útok měl začít týdny před zničením pumpy. Byly zjištěny vzdálené přístupy do SCADA systému, které proběhly cca před dvěma a třemi měsíci.
DHS Blasts Reports of Illinois Water Station Hack – americké ministerstvo národní bezpečnosti k útoku na vodní pumpu z Illinois. Vzhledem k nynějším rozporným hodnocením celé situace uvádí Brian Krebs kompletní citace jak z vyjádření amerického DHS, stanovisek Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), tak i z blogu Joe Weisse, bezpečnostního konzultanta pro průmyslové kontrolní systémy.
K stanovisku DHS se obrací také článek DHS sees no evidence of cyberattack on Ill. water facility.
Viz dále – FBI: No evidence of water system hack destroying pump a Confusion Center: Feds Now Say Hacker Didn’t Destroy Water Pump.
Popis problému a jeho významu najde čtenář v článku 4 lessons from the Springfield, Ill. SCADA cyberattack (Jaikumar Vijayan, Computerworld).
Viz také komentáře – Illinois water authority hack: Threat has been looming for years a Next DIY Stuxnet Attack Should Worry Utilities
The war over SCADA: An insider's perspective on hype and hyperbole (repost) – pohled zevnitř na Bezpečnost SCADA systémů, anonymní autor přináší informovaný pohled na skutečnosti, které jsou někdy podceňované, někdy přeceňované.
Sourcefire: attacks against SCADA-based systems just the beginning – útoky na systémy SCADA teprve začínají, to je komentář a varování Dana Raywoooda. Cituje vyjádření, jejichž autorem je Dominic Storey (EMEA technical director at Sourcefire).
Anatomy of the Duqu Attacks – k anatomii útoků Duqu, Dennis Fisher v interview s Costin Raiu, odborníkem, který se v rámci KasperskyLab koncentruje právě na problematiky spojené s malware Duqu.
Mobilní zařízení
Dva velcí indičtí mobilní operátoři jsou vyšetřováni – Two top Indian mobile companies under investigation. Jedná se o Bharti Airtel a Vodafone India, jsou obviněny s nesrovnalostmi při rozmístění 2G spektra v roce 2002.
How To Secure Mobile Devices aneb cesty k bezpečné práci s mobilními zařízeními. Troy Gill se tentokrát obrací spíše k poskytovatelům (tvůrcům) řešení mobilních technologií.
Guru Google tvrdí, že antivirové programy pro Android nejsou zapotřebí, kdo je prodává, je šarlatán – Google guru blasts Android virus doomsayers as ‚charlatans‘. Zdá se, že ho vyvedla z míry nedávná zpráva Juniper Networks (bylo zde o ní již informována), která konstatovala raketový nárůst malware pro Android. Mezi firmami, které nabízí antiviry pro Android, jsou Kaspersky Lab, F-Secure a Symantec.
Reakce na toto vystoupení na sebe nedala dlouho čekat – Security experts dispute Google´s attitude toward Android malware.
Viz také komentáře:
- Android Malware Targeting User Data Continues to Proliferate in Market
- Debate erupts over Android malware dangers
The most vulnerable smartphones – nejvíce zranitelné chytré mobily. Určitě užitečný přehled připravila společnost Bit9. Nejčastějšími zástupci jsou produkty společností Samsung, HTC, Motorola a LG.
Viz také komentář – The Dirty Dozen: Why the 12 Most Vulnerable Smartphones All Run Android.
Security takes a backseat on Android in update shambles – k diskuzím o malware pro Android, s rozsáhlejším komentářem k situaci přichází John Leyden. Zmiňuje výsledky společnosti Bit9.
Bezpečnostním vlastnostem Androidu 4 je věnován článek Android 4 Security Better, But Still Lacking. Problematice se také věnuje diskuze na Schneierově blogu – Android Malware.
Jsou antivirové aplikace pro Android vůbec k něčemu? Se zprávami o rostoucím množstvím malware pro Android začíná být věnována poornost i této stránce mince – Do Android Antivirus Apps Actually Do Anything? Autor článku v závěru odpovídá: ano antivirové aplikace mohou pomoci, nejsou však všelékem. Viz ale také informace v článku Risk Expert: Anti-Malware Apps Have Little Value On Android.
Five Ways To Secure The Consumer IT Invasion At Work – pět cest k bezpečnému používání soukromých zařízení v zaměstnání. Množství soukromých zařízení, které mají zaměstnanci k dispozici, narůstá. Robert Lemos k tomu uvádí a rozebírá pět doporučení (pro zaměstnavatele):
- Don´t ban devices
- Find what´s connecting to the network
- Conscript network-analysis tools to identify threats
- Push policy to devices
- Establish privacy policies
Sedm tipů pro administrátory mobilních zařízení – The 7 Security Habits of Highly Successful Mobile IT Administrators – připravila společnost Good Technology, Inc. :
- 7. They start by enforcing strong passwords
- 6. They secure both the device and the applications
- 5. They use strong encryption on the device and OTA
- 4. They respect a user´s privacy on BYOD devices
- 3. They prevent consumer apps from accessing corporate data
- 2. They quickly respond to lost or stolen devices
- 1. They proactively prevent rogue devices from accessing corporate networks and avoid punching holes in firewalls
Americká policie zašifruje svou radiovou komunikaci, aby zatrhla její odposlech prostřednictvím iPhone – US police use radio encryption to stop iPhone eavesdropping. K provedení odposlechů stačila laciná aplikace a samozřejmě kriminální strana patřila mezí její věrné uživatele.
Spam
Spam: žebříček top pěti uváděných předmětů mailu přináší společnost Websense – The top five spam subjects sullying inboxes:
- Vymyšlené online objednávky
- Falešné poplatky
- Lži okolo doručení zásilek
- Testy funkčních adres
- Platební a daňové fígle
Autentizace, hesla
Internet security firm SplashData lists 25 most-hacked passwords – k tradičnímu tématu: 25 nejčastěji hackovaných hesel. Internetová bezpečnostní firma Splash zpracovala rozbor When “Most Popular” Isn´t A Good Thing: Worst Passwords of the Year – And How to Fix Them. V seznamu se objevuji: -password –123456 –12345678 -qwerty -abc123 -monkey –1234567 -letmein -trustno1 -dragon -baseball –111111 -iloveyou -master -sunshine -ashley -bailey -passw0rd -shadow –123123 –654321 -superman -qazwsx -michael -football.
Ceny ukradených ID ukazuje následující infografika – Infographic: The price of a stolen identity. Tyto graficky znázorněné informace připravil ZoneAlarm.
Phishing
Microsoft zkoumá phishingové podvody ve vztahu k Xbox Live – Microsoft Investigates Xbox Live Phishing Scams. Někteří uživatelé Xbox Live sdělili data svých platebních karet podvodníkům, kteří rozeslali e-maily přesměrující uživatelé na podvržené stránky, kde měli vložit svá osobní data (e-mailovou adresu a číslo platební karty). Viz také – Xbox Live Users Scammed in Phishing Attack a Uživatelům konzolí Xbox 360 v desítkách zemí zmizely z účtů peníze.
Elektronický podpis
Electronic Frontier Foundation nabízí nový přístup, který by měl vést k posílení PKI – EFF proposes new method to strengthen Public Key Infrastructure. EFF vyvíjí koncepci tzv. Sovereign Key Cryptography for Internet Domains. Cílem je pochopitelně posílit důvěryhodnost https a řetězců důvěry.
The Weakest Link in the Chain Vulnerabilities in the SSL Certificate Authority System and what Should Be Done About Them – to je užitečné shrnutí (nejslabší článek, zranitelnost SSL certifikačních autorit). Jedenáctistránkový dokument připravila Access (nezisková organizace – https://www.accessnow.org). Je zde obsažena sada doporučení.
Normy a normativní dokumenty
Americký NIST vydal tři dokumenty (Interagency Report):
- NIST Interagency Report (NISTIR) 7815, Access Control for SAR Systems
- NIST Interagency Report (NISTIR) 7791, Conformance Test Architecture and Test Suite for ANSI/NIST-ITL 1–2007
- NIST Interagency Report (NISTIR) 7806, ANSI/NIST-ITL 1–2011 Requirements and Conformance Test Assertions
Různé
Hoax: žertíky, podvody a ohrožení, Jan Handl na Lupě: Většina uživatelů Internetu moc nepřemýšlí nad tím, co sdílí. Stačí zajímavé téma a nesmyslné informace se šíří raketovou rychlostí. Autoři hoaxů jsou skvělými copywritery, na jejich udičku se chytí kde kdo. Někdy nemusí jít jen o čirou legraci, ale o podvod.
Terry Pratchett computer sniper-scope: Spec-ops mini version aneb snipeři a počítač, k programu Pentagonu “One Shot”. Terry Pratchett popsal použitý princip v knize Stráže! Stráže! (Zeměplocha).
Přehled vychází z průběžně publikovaných novinek na Crypto – News.