Přehledy a konference
85 procent amerických organizací postihl v posledních 12 měsících bezpečnostní průnik – 85% of US organizations hit by one or more data breaches within the last 12 months. Je to jeden z výsledků studie 2009 Annual Study: Enterprise Encryption Trends (Ponemon Institute).
Podle dalšího přehledu Ponemon Institute (Business Case for Data Protection. Study of CEOs and other C-level Executives) šéfové (CEO) podceňují bezpečnostní rizika. Jeho výsledky komentuje na stránkách Computerworldu Jaikumar Vijayan – CEOs underestimate security risks, survey finds.
Obecná a firemní bezpečnost IT
Does Google Know Too Much About You? – ví toho Google o vás příliš mnoho? Ian Paul vyčísluje data, která o vás mohl Google shromáždit. Není toho málo a v budoucnu toho bude ještě více …
Dohady pokračují: DDoS útok asi nepocházel ze Severní Koreje – Computer attack may not have originated in North Korea after all. Hlavní server měl snad být umístěn ve Velké Británii (i když to pochopitelně neznamená, že z Británie pocházel i útočník). Viz také – UK, not North Korea, source of DDOS attacks, researcher says.
A dále také – Congressman calls for ´cyber-reprisals´ against North Korea.
Korejský útok – útočníci sbírali také data z infikovaných počítačů – Hackers ‚extracted data files‘. Tedy tyto počítače byly použity nejen k útokům na weby, ale zároveň z nich byly kradeny informace.
V článku Probe into cyberattacks stretches around the globe najdete informace o probíhajícím vyšetřování (kde byl umístěn hlavní server, který řídil útok).
Názor Bruce Schneiera: tzv. kybernetický útok byl nafouknut – So-called cyberattack was overblown. Vše je spíše o zabezpečení sítí.
Security Maxims – bezpečnostní maxima – zde jsou zformulovány netradiční, ale zajímavé pohledy. Materiál připravila Open Security Foundation.
Pět cest, kterými zaměstnanci prozrazují citlivá data – Solving the DLP Puzzle: 5 Ways Employees Spill Sensitive Data, to je článek Billa Brennera. Navazuje v něm na svůj předchozí článek – Solving the DLP Puzzle: 5 Technologies That Will Help. Rozebírá následující cesty:
- E-mail poslaný ve zmatku
- Rizika IM
- Sociální sítě
- Nesprávné použití hesel
- Příliš mnoho přístupu
Na které věci je třeba si dát pozor při vkládání příspěvků do sociálních sítí, k tomu radí Debra Littlejohn Shinder – 10 ways to stay out of trouble when you post to social networking sites.
Čermák: Deset věcí, které byste na Facebooku neměli dělat, tento článek vyšel na Technetu. Najdete zde ve skutečnosti: Top 5 pravidel na Facebooku podle Miloše Čermáka.
Viz ale také – Na které věci je třeba si dát pozor při vkládání příspěvků do sociálních sítí.
Počítačová kriminalita se organizuje jako výnosné podnikání – Cyber crooks get business savvy. Maggie Shiels komentuje zprávu společnosti Cisco.
Jiný komentář (Joan Goodchild) k této zprávě (Cisco 2009 Midyear Security Report) se věnuje problémům SMS a chytrých mobilů – Cisco: SMS, Smartphone Attacks on the Rise.
Viz také – Criminals use enterprise strategies to conduct attacks.
Také bezpečnostní profesionálové jsou postižení recesí. Podle Information Security – Interim Market Report 2009 narostl počet těchto odborníků, kteří hledají práci o 17 procent, zatímco počet nabízených míst klesl o 57 procent – IT security experts hit by recession .
Deset věcí k ochraně svých dat, které jsou nezbytné pro malé podnikání, popisuje článek Top Ten Things Small Businesses Must Know About Protecting and Securing Their Business Data. Donna R. Childs v něm vybírá podle svého soudu nejdůležitější momenty.
- Malé podnikání (MP) musí vědět, která data potřebuje zabezpečit a chránit.
- MP musí mít nastaveny procedury k digitalizaci a ukládání důležitých informací (které nemohou existovat pouze ve výlučné papírové podobě).
- MP musí mít představu o životním cyklu správy informací.
- MP musí zajistit, že dat, která již dále nepotřebuje, se zbaví bezpečnou cestou.
- MP musí správně chápat regulační a další ustavení (na shodu), která se týkají zabezpečení a ochrany podnikových dat.
- MP musí ustanovit konvence pro jména souborů tak, aby data, která zabezpečuje a chrání, byla správně identifikována.
- MP musí zajistit, aby veškerý personál znal správné postupy pro ochranu podnikových informací.
- MP musí mít automatizované postupy pro ochranu a zálohování dat.
- MP musí chránit svá data na bezpečném místě (mimo vlastní sídlo).
- MP musí testovat své zálohy tak, aby byla jistota, že chrání ty informace, o kterých si myslí, že jsou chráněny.
Kybernetická válka je reálnou hrozbou, Michal Černý na Lupě: Nedávný internetový útok na Jižní Koreu znovu ukázal zranitelnost států prostřednictvím čistě virtuálních zbraní. Do slovníku bychom tak měli natrvalo zařadit kyberterorismus. Ale otázkou je, zda přijde opravdová kybernetická válka, a zda se proti ni lze účinně bránit. Nebo už je tu odpověď?
Software
Společnost Verisign přišla se studií, která je věnována problémům bezpečnosti webových aplikací – Best Practices That Improve Web Application Security. Materiál přináší tzv. holistický přístup (v celém komplexu).
Firefox 3.5 obsahuje vážnou DNS zranitelnost – Firefox 3.5 DNS LEAKS like a waterfall. Na stránce najdete její popis i případné její dopady.
Byla vydána příručka věnovaná témat „Bezpečnější podnikáni s SSL“ – The Shortcut Guide to Business Security Measures Using SSL (má celkem 68 stran). Z jejího obsahu:
- Chapter 1: Security Threats to IT Operations in the Age of Cybercrime
- Chapter 2: Common Vulnerabilities in Business IT Systems
- Chapter 3: Developing a High Impact Security Management Strategy
- Chapter 4: Best Practices for Implementing a Business Centric Security Management Strategy
Byla objevena nová zranitelnost jádra Linuxu – Clever attack exploits fully-patched Linux kernel. Týká se i plně záplatovaných verzí. Viz také – A new fascinating Linux kernel vulnerability.
Bojan Zdrnja: Nmap 5.0 released – na světě je nová verze Nmap s označením 5.0. Verze obsahuje řadu vylepšení a nových vlastností, viz stručný popis na stránce Nmap 5.00 released
a podrobnosti jsou pak zde – Insecure.Org: Nmap 5.00 Released.
Jednomu využití skeneru Nmap je věnován odkaz NDiff: Comparing two Nmap 5 scans to find changes in your network. Dva různé skeny prostřednictvím Nmap lze použít k posouzení změn, které nastaly ve vaší síti (využitím nové vlastnosti nástroje – Ndiff).
Malware
Rozsáhlé interview s Joannou Rutkowskou najdete na stránkách Exclusive Interview: Going Three Levels Beyond Kernel Rootkits. Joanna odpovídá na široké spektrum otázek, které se týkají problematiky malware, jsou zde uvedena i některá její doporučení.
Byl vydán přehled společnosti Eset: aktuální bezpečnostní hrozby (červen).Mezi nejrozšířenějšími hrozbami se objevil nový trojský kůň, v Česku a na Slovensku je rovněž nejčastěji detekovanou hrozbou. Vyplývá to z pravidelné měsíční zprávy společnosti Eset, která informuje o nejrozšířenějších škodlivých kódech. Informujte své zákazníky a prodejte jim bezpečnostní software.
Infekce z nakaženého PC se může šířit také na webové stránky – PC Infections Often Spread to Web Sites. Brian Krebs – některý dnešní malware (cituje Virut) takovýto potenciál obsahuje.
Hackeři
Hacknutím Twitteru se zabývá článek In Our Inbox: Hundreds Of Confidential Twitter Documents. Hacker „Croll“ získal přístup k většímu množství důvěrných dokumentů Twitteru a svým způsobem je zveřejnil.
Viz také:
Rádoby pirát satelitní TV uvězněn poté, co nabízel 250 000 dolarů za cracknutí přístupové karty – Feds: Would-be Satellite TV Pirate Offered $250,000 Reward to Smartcard Cracker. Jung Kwak je majitel firmy dovážející satelitní přijímače. Jednalo se mu o kódovací schéma Nagra3.
Hardware
How to use electrical outlets and cheap lasers to steal data aneb jak krást data prostřednictvím elektrického vedení a laciných laserů. Prezentace (jejími autory jsou Andrea Barisani a Daniele Bianco) chystaná pro konferenci Black Hat ukazuje slabiny klávesnic.
Diskuze na Schneierově blogu je věnována problému úniků dat prostřednictvím elektrické sítě – Data Leakage Through Power Lines.
Nebezpečí webových kamer, tiskáren a jiných zařízení s webovým rozhraním popisuje zase ve svém článku John Leyden – Webcams, printers, gizmos – the untold net threats. Ghost in the machine.
RFID
Marek Tichý na Lupě přichází s článkem Ochrana soukromí (nejen) v systémech s RFID čipy: Před pěti lety jsme se obšírně věnovali problémům s ochranou soukromí při nasazení RFID čipů. Jelikož se mezitím realita stala minulostí a budoucnost RFID je dnes, snad neuškodí, když se podíváme na jeden modelový příklad – v podobě pražské OpenCard.
Mobilní telefony
The $99 iphone as an inexpensive tracking device
aneb iPhone jako sledovací zařízení. David Molnar uvádí zajímavý návod (i když, jak se zdá, nebyl z nějakého důvodu funkční až do konce).
Telefonní trojan má potenciál vytvořit botnet mobilů – Phone Trojan ‚has botnet features‘. Jedná se o trojan pro OS Symbian s označením (podle Trend Micro) SYMBOS_YXES.B. Viz také – Zombies bite into Symbian smartphones.
Spam
Spam – jeho současný objem, složení a zdroje jsou rozebrány ve zprávě Marshal8e6 bi-annual TRACElabs report. Komentář k této zprávě je na stránce – Spam now represents 90 percent of inbound email. Kromě problematiky spamu jsou ve zprávě rozebírány také současné webové hrozby a útoky.
Survey: Why do people respond to spam? – přehled se zabýval otázkou: Proč lidé odpovídají na spam? Téměř třetina lidí podle přehledu odpovídá na zprávy, které podezírá, že jsou spam.
Elektronické finance a online obchodování
Herní finanční instituce přišla na počátku června o množství virtuálních peněz (miliardy). Za incidentem byl jeden ze zaměstnanců EBank – Billions stolen in online robbery .
Podvody v elektronickém obchodu, jaká jsou nejnovější kriminální schémata, to se dozvíte na stránce E-commerce Fraud: The Latest Criminal Schemes. Joan Goodchild zde v rozhovoru s Sebbe Jonesem (2Checkout) rozebírají současné techniky podvodů při online platbách.
Autentizace, hesla
V Česku se objevil nový zločin. Na internetu se krade vaše já: Krádeží identity bude v Česku přibývat. Zatím se pachatelé pokouší jen mstít a roznášet pomluvy, je ale jen otázkou času, kdy dojde i ke krádežím peněz, varují odborníci.
Poznámka (JP): Je připojena docela zajímavá diskuze.
Google researcher presents video Captcha – Bude Google používat video CAPTCHA? Podle článku má být příští týden prezentována na sympoziu.
Elektronický podpis
Nezálohovaná data HSM (soukromý klíč kořenové CA) jsou zdrojem vážného problému – Loss of data has serious consequences for German electronic health card . Stojí před ním v Německu elektronické karty určené pro zdravotnictví. Všechny starší karty (určené zatím pro testování) musí být vyměněny.
Normy a normativní dokumenty
Americký NIST vydal v uplynulém týdnu dokument:
Kryptografie
Byl vytvořen nový rekord při řešení eliptického diskrétního logaritmu – PlayStation 3 computing breaks 2exp60 barrier. 112-bit prime ECDLP . Autory výsledku jsou Joppe W. Bos1 a Marcelo E. Kaihara1, spolupracovali s nimi také Thorsten Kleinjung1, Arjen K. Lenstra1 a Peter L. Montgomery. Byl vyřešen problém nalezení eliptického diskrétního logaritmu pro eliptickou křivku v prvočíselném 112bitovém poli. Bylo použito více než 200 konzolí PlayStation 3.
Didier Stevens přichází s návodem na steganografický trik – skrytí souborů v pdf dokumentech – Embedding and Hiding Files in PDF Documents (je tu také k stažení potřebný SW). Tomuto problému se také věnuje diskuze na Schneierově blogu – Poor Man´s Steganography.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.