Hlavní navigace

Bezpečnostní střípky: nebezpečí sociálních sítí

Jaroslav Pinkava 20. 7. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na další informace ke "korejskému" útoku, rozsáhlou příručku k využívání SSL v podnikání a rozhovor s Joannou Rutkowskou.

Přehledy a konference

85 procent amerických organizací postihl v posledních 12 měsících bezpečnostní průnik – 85% of US organizations hit by one or more data breaches within the last 12 months. Je to jeden z výsledků studie 2009 Annual Study: Enterprise Encryption Trends (Ponemon Institute).

Podle dalšího přehledu Ponemon Institute (Business Case for Data Protection. Study of CEOs and other C-level Executives) šéfové (CEO) podceňují bezpečnostní rizika. Jeho výsledky komentuje na stránkách Computerworldu Jaikumar Vijayan – CEOs underestimate security risks, survey finds.

Obecná a firemní bezpečnost IT

Does Google Know Too Much About You? – ví toho Google o vás příliš mnoho? Ian Paul vyčísluje data, která o vás mohl Google shromáždit. Není toho málo a v budoucnu toho bude ještě více …

Dohady pokračují: DDoS útok asi nepocházel ze Severní Koreje – Computer attack may not have originated in North Korea after all. Hlavní server měl snad být umístěn ve Velké Británii (i když to pochopitelně neznamená, že z Británie pocházel i útočník). Viz také – UK, not North Korea, source of DDOS attacks, researcher says.

A dále také – Congressman calls for ´cyber-reprisals´ against North Korea.

Korejský útok – útočníci sbírali také data z infikovaných počítačů  – Hackers ‚extracted data files‘. Tedy tyto počítače byly použity nejen k útokům na weby, ale zároveň z nich byly kradeny informace.

V článku Probe into cyberattacks stretches around the globe najdete informace o probíhajícím vyšetřování (kde byl umístěn hlavní server, který řídil útok).

Názor Bruce Schneiera: tzv. kybernetický útok byl nafouknut – So-called cyberattack was overblown. Vše je spíše o zabezpečení sítí.

Security Maxims – bezpečnostní maxima – zde jsou zformulovány netradiční, ale zajímavé pohledy. Materiál připravila Open Security Foundation.

Pět cest, kterými zaměstnanci prozrazují citlivá data – Solving the DLP Puzzle: 5 Ways Employees Spill Sensitive Data, to je článek Billa Brennera. Navazuje v něm na svůj předchozí článek – Solving the DLP Puzzle: 5 Technologies That Will Help. Rozebírá následující cesty:

  • E-mail poslaný ve zmatku
  • Rizika IM
  • Sociální sítě
  • Nesprávné použití hesel
  • Příliš mnoho přístupu

Na které věci je třeba si dát pozor při vkládání příspěvků do sociálních sítí, k tomu radí Debra Littlejohn Shinder – 10 ways to stay out of trouble when you post to social networking sites.

Čermák: Deset věcí, které byste na Facebooku neměli dělat, tento článek vyšel na Technetu. Najdete zde ve skutečnosti: Top 5 pravidel na Facebooku podle Miloše Čermáka.

Viz ale také – Na které věci je třeba si dát pozor při vkládání příspěvků do sociálních sítí.

Počítačová kriminalita se organizuje jako výnosné podnikání – Cyber crooks get business savvy. Maggie Shiels komentuje zprávu společnosti Cisco.

Jiný komentář (Joan Goodchild) k této zprávě (Cisco 2009 Midyear Security Report) se věnuje problémům SMS a chytrých mobilů – Cisco: SMS, Smartphone Attacks on the Rise.

Viz také – Criminals use enterprise strategies to conduct attacks.

Také bezpečnostní profesionálové jsou postižení recesí. Podle Information Security – Interim Market Report 2009 narostl počet těchto odborníků, kteří hledají práci o 17 procent, zatímco počet nabízených míst klesl o 57 procent – IT security experts hit by recession .

Deset věcí k ochraně svých dat, které jsou nezbytné pro malé podnikání, popisuje článek Top Ten Things Small Businesses Must Know About Protecting and Securing Their Business Data. Donna R. Childs v něm vybírá podle svého soudu nejdůležitější momenty.

  1. Malé podnikání (MP) musí vědět, která data potřebuje zabezpečit a chránit.
  2. MP musí mít nastaveny procedury k digitalizaci a ukládání důležitých informací (které nemohou existovat pouze ve výlučné papírové podobě).
  3. MP musí mít představu o životním cyklu správy informací.
  4. MP musí zajistit, že dat, která již dále nepotřebuje, se zbaví bezpečnou cestou.
  5. MP musí správně chápat regulační a další ustavení (na shodu), která se týkají zabezpečení a ochrany podnikových dat.
  6. MP musí ustanovit konvence pro jména souborů tak, aby data, která zabezpečuje a chrání, byla správně identifikována.
  7. MP musí zajistit, aby veškerý personál znal správné postupy pro ochranu podnikových informací.
  8. MP musí mít automatizované postupy pro ochranu a zálohování dat.
  9. MP musí chránit svá data na bezpečném místě (mimo vlastní sídlo).
  10. MP musí testovat své zálohy tak, aby byla jistota, že chrání ty informace, o kterých si myslí, že jsou chráněny.

Kybernetická válka je reálnou hrozbou, Michal Černý na Lupě: Nedávný internetový útok na Jižní Koreu znovu ukázal zranitelnost států prostřednictvím čistě virtuálních zbraní. Do slovníku bychom tak měli natrvalo zařadit kyberterorismus. Ale otázkou je, zda přijde opravdová kybernetická válka, a zda se proti ni lze účinně bránit. Nebo už je tu odpověď?

Software

Společnost Verisign přišla se studií, která je věnována problémům bezpečnosti webových aplikací – Best Practices That Improve Web Application Security. Materiál přináší tzv. holistický přístup (v celém komplexu).

Firefox 3.5 obsahuje vážnou DNS zranitelnost – Firefox 3.5 DNS LEAKS like a waterfall. Na stránce najdete její popis i případné její dopady.

Byla vydána příručka věnovaná témat „Bezpečnější podnikáni s SSL“ – The Shortcut Guide to Business Security Measures Using SSL (má celkem 68 stran). Z jejího obsahu:

  • Chapter 1: Security Threats to IT Operations in the Age of Cybercrime
  • Chapter 2: Common Vulnerabilities in Business IT Systems
  • Chapter 3: Developing a High Impact Security Management Strategy
  • Chapter 4: Best Practices for Implementing a Business Centric Security Management Strategy

Byla objevena nová zranitelnost jádra Linuxu – Clever attack exploits fully-patched Linux kernel. Týká se i plně záplatovaných verzí. Viz také – A new fascinating Linux kernel vulnerability.

Bojan Zdrnja: Nmap 5.0 released  – na světě je nová verze Nmap s označením 5.0. Verze obsahuje řadu vylepšení a nových vlastností, viz stručný popis na stránce Nmap 5.00 released

a podrobnosti jsou pak zde – Insecure.Org: Nmap 5.00 Released.

Jednomu využití skeneru Nmap je věnován odkaz NDiff: Comparing two Nmap 5 scans to find changes in your network. Dva různé skeny prostřednictvím Nmap lze použít k posouzení změn, které nastaly ve vaší síti (využitím nové vlastnosti nástroje – Ndiff).

Malware

Rozsáhlé interview s Joannou Rutkowskou najdete na stránkách Exclusive Interview: Going Three Levels Beyond Kernel Rootkits. Joanna odpovídá na široké spektrum otázek, které se týkají problematiky malware, jsou zde uvedena i některá její doporučení.

Byl vydán přehled společnosti Eset: aktuální bezpečnostní hrozby (červen).Mezi nejrozšířenějšími hrozbami se objevil nový trojský kůň, v Česku a na Slovensku je rovněž nejčastěji detekovanou hrozbou. Vyplývá to z pravidelné měsíční zprávy společnosti Eset, která informuje o nejrozšířenějších škodlivých kódech. Informujte své zákazníky a prodejte jim bezpečnostní software.

Infekce z nakaženého PC se může šířit také na webové stránky – PC Infections Often Spread to Web Sites. Brian Krebs – některý dnešní malware (cituje Virut) takovýto potenciál obsahuje.

Hackeři

Hacknutím Twitteru se zabývá článek In Our Inbox: Hundreds Of Confidential Twitter Documents. Hacker „Croll“ získal přístup k většímu množství důvěrných dokumentů Twitteru a svým způsobem je zveřejnil.

Viz také:

Rádoby pirát satelitní TV uvězněn poté, co nabízel 250 000 dolarů za cracknutí přístupové karty  – Feds: Would-be Satellite TV Pirate Offered $250,000 Reward to Smartcard Cracker. Jung Kwak je majitel firmy dovážející satelitní přijímače. Jednalo se mu o kódovací schéma Nagra3.

Hardware

How to use electrical outlets and cheap lasers to steal data aneb jak krást data prostřednictvím elektrického vedení a laciných laserů. Prezentace (jejími autory jsou Andrea Barisani a Daniele Bianco) chystaná pro konferenci Black Hat ukazuje slabiny klávesnic.

Diskuze na Schneierově blogu je věnována problému úniků dat prostřednictvím elektrické sítě – Data Leakage Through Power Lines.

Nebezpečí webových kamer, tiskáren a jiných zařízení s webovým rozhraním popisuje zase ve svém článku John Leyden – Webcams, printers, gizmos – the untold net threats. Ghost in the machine.

RFID

Marek Tichý na Lupě přichází s článkem Ochrana soukromí (nejen) v systémech s RFID čipy: Před pěti lety jsme se obšírně věnovali problémům s ochranou soukromí při nasazení RFID čipů. Jelikož se mezitím realita stala minulostí a budoucnost RFID je dnes, snad neuškodí, když se podíváme na jeden modelový příklad – v podobě pražské OpenCard.

Mobilní telefony

The $99 iphone as an inexpensive tracking device

aneb iPhone jako sledovací zařízení. David Molnar uvádí zajímavý návod (i když, jak se zdá, nebyl z nějakého důvodu funkční až do konce).

Telefonní trojan má potenciál vytvořit botnet mobilů – Phone Trojan ‚has botnet features‘. Jedná se o trojan pro OS Symbian s označením (podle Trend Micro) SYMBOS_YXES.B. Viz také – Zombies bite into Symbian smartphones.

Spam

Spam – jeho současný objem, složení a zdroje jsou rozebrány ve zprávě Marshal8e6 bi-annual TRACElabs report. Komentář k této zprávě je na stránce – Spam now represents 90 percent of inbound email. Kromě problematiky spamu jsou ve zprávě rozebírány také současné webové hrozby a útoky.

Survey: Why do people respond to spam? – přehled se zabýval otázkou: Proč lidé odpovídají na spam? Téměř třetina lidí podle přehledu odpovídá na zprávy,  které podezírá, že jsou spam.

Elektronické finance a online obchodování

Herní finanční instituce přišla na počátku června o množství virtuálních peněz (miliardy). Za incidentem byl jeden ze zaměstnanců EBank – Billions stolen in online robbery .

Podvody v elektronickém obchodu, jaká jsou nejnovější kriminální schémata, to se dozvíte na stránce E-commerce Fraud: The Latest Criminal Schemes. Joan Goodchild zde v rozhovoru s Sebbe Jonesem (2Checkout) rozebírají současné techniky podvodů při online platbách.

Autentizace, hesla

V Česku se objevil nový zločin. Na internetu se krade vaše já: Krádeží identity bude v Česku přibývat. Zatím se pachatelé pokouší jen mstít a roznášet pomluvy, je ale jen otázkou času, kdy dojde i ke krádežím peněz, varují odborníci.

Poznámka (JP): Je připojena docela zajímavá diskuze.

Google researcher presents video Captcha – Bude Google používat video CAPTCHA? Podle článku má být příští týden prezentována na sympoziu.

Elektronický podpis

Nezálohovaná data HSM (soukromý klíč kořenové CA) jsou zdrojem vážného problému – Loss of data has serious consequences for German electronic health card . Stojí před ním v Německu elektronické karty určené pro zdravotnictví. Všechny starší karty (určené zatím pro testování) musí být vyměněny.

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu dokument:

Kryptografie

Byl vytvořen nový rekord při řešení eliptického diskrétního logaritmu – PlayStation 3 computing breaks 2exp60 barrier. 112-bit prime ECDLP . Autory výsledku jsou Joppe W. Bos1 a Marcelo E. Kaihara1, spolupracovali s nimi také Thorsten Kleinjung1, Arjen K. Lenstra1 a Peter L. Montgomery. Byl vyřešen problém nalezení eliptického diskrétního logaritmu pro eliptickou křivku v prvočíselném 112bitovém poli. Bylo použito více než 200 konzolí PlayStation 3.

Didier Stevens přichází s návodem na steganografický trik – skrytí souborů v pdf dokumentech – Embedding and Hiding Files in PDF Documents (je tu také k stažení potřebný SW). Tomuto problému se také věnuje diskuze na Schneierově blogu – Poor Man´s Stegano­graphy.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

21. 7. 2009 14:09

cina reaguje na ten bordel co jim tam udelala CIA a otrokum se to preklada jako kyberentickej utok ze severni koree, koree zeme, ktera ma kompletni hovno, ktere musel rumsfeld dodat pres abb ty odstredivky aby ten jadernej program vypadal aspon trosku realne, jo nic se nemeni jak tenkrat za studene valky rockefeller v rusku zalozil ten ustav na prenos zapadnich technologii do ussr, aby to vypadalo ze ten nepritel fakt existuje ;( nebo jak zastavili americkej program aby byli rusi prvni ve vesmi…

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Vitaminová abeceda

Vitaminová abeceda

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?