Hlavní navigace

Bezpečnostní střípky: nereálné nároky na IT bezpečnostní odborníky

3. 12. 2012
Doba čtení: 13 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na zprávy ENISA a ISACA, na předpověď největších hrozeb roku 2013, zaujme zpráva Impervy (kritizující nízkou účinnost antivirů) a elektronické bankovnictví stále více bojuje s útočníky různých typů.

Přehledy

ICO: Anonymised data doesn't HAVE to guarantee your privacy – anonymizovaná data negarantují vaše soukromí. Vyplývá to ze zprávy ICO (Information Commissioner´s Office, Velká Británie) – Anonymisation: managing data protection risk code of practice (tento dokument má 108 stran).

Byla vydána zpráva ISACA´s 2012 IT Risk/Reward Barometer. Komentář k ní si můžete přečíst na stránce Online Privacy Threatened, But Risky Behaviors Persist: ISACA – online soukromí je zraňováno, riskantní chování ale přetrvává.

ENISA vydala zprávu: Good Practice Guide for Addressing Network and Information Security Aspects of Cybercrime. Komentář k tomuto dokumentu (má 87 stran) najdete na stránce Uniting European CERTs And Law Enforcement In Cybercrime Battle. Podílel se na něm i český zástupce (Jan Kolouch – CESNET).

Obecná a firemní bezpečnost IT

Pětici klíčových podnikatelsko-technických trendů roku 2013 pro podniky najdete na stránce – Five key business-tech trends in 2013 for enterprises. Verizon Enterprise Solutions uvádí následující:

  1. The Forecast Is Bright for Hybrid Clouds
  2. The Mobile Majority Is Taking Charge
  3. Connected Machines Drive New Insights
  4. Networks Will Be Smarter Than You and Invisible
  5. Security is the New Arms Race

Desítka doporučení k tomu, jak bezpečně implementovat systém pro prevenci průniků (IPS) je zformulována na tomto odkazu – 10 tips for implementing IPS securely. Phil Lerner rozebírá těchto deset bodů (kterými by se měl zabývat každý IPS):

  1. IDS, IPS and hybrid modes
  2. Advanced evasion techniques protection
  3. Event correlation
  4. Web filtering
  5. Web filtering
  6. Denial-of-service protection
  7. Central management capabilities
  8. Performance
  9. IPv6 ready
  10. Integration with your firewall

Další z řady komentářů se vrací k aféře Petraeuse a bezpečnosti e-mailu – Petraeus scandal holds lessons in email security policy, e-discovery. Autor článku cituje názory Orlanda Scott-Cowley ze společnosti Mimecast.

USA a Evropa, v pondělí bylo kvůli padělkům zabaveno 132 webů – US-EU Counterfeit Crackdown Seizes 132 Websites. Akce probíhala souběžně s Cyber Monday, dnem nákupů. Padělky se týkaly produktů takových firem jako McAfee, Symantec, Armani, Guess, Burberry, Chanel, Gucci, Lacoste, Dior, Tommy Hilfiger, Versace, YSL, Michael Kors A dalších. Zastavené domény byly nejen weby .com, ale také .eu, .be, .dk, .fr, .ro a .uk.
Viz také komentář – Europol and ICE seize 132 domain names on Cyber Monday.

HOAX.CZ a SEZNAM.CZ organizují anonymní výzkum zaměřený na téma HOAXy a antiviry – Výzkum na téma HOAXY. Věnujte chvilku svého času a odpovězte na několik otázek (jsou na v informaci uvedeném odkazu).

Bezpečnost dat v Číně neexistuje – podle pohledu amerických firem – China data security ‚non-existent‘ in eyes of US firms. Na stránce je komentován článek z čínských novin, který charakterizuje bezzubost síťové bezpečnosti v Číně.

7 Risk Management Priorities For 2013 – sedm priorit správy rizik pro rok 2013, Ericka Chickowski shrnuje existující poznatky do následujících bodů:

  • Getting Quantitative
  • Using GRC To Improve Business and IT Processes
  • Supply Chain Risk Management
  • Human Risks
  • Continuous Monitoring
  • Speaking The Language
  • Incident Preparedness

V jakých krocích by mělo probíhat vaše ohodnocení rizik? Jack Danahy (Director for Advanced Security, IBM Security Systems) připravil postup formulovaný do pěti kroků – When doing ‚something‘ isn't better than ‚nothing‘: Risk assessment steps.

IT bezpečnostní profese čelí nereálným očekáváním zaměstnavatelů – Unrealistic expectations, skills gap mire market for IT security jobs. S ideálem, jaký si mnozí představují, s člověkem s více talenty, se však v praxi těžko setkáte, říká se v článku.

Priority amerického ministerstva národní bezpečnosti pro následující dekádu uvádí Booz Allen Hamilton (Five priority areas for future U.S. homeland security focus):

Crystal ball time: Top 2013 risks include cyber war, cloud and BYOD – největší hrozby roku 2013, předpověď Information Security Forum (ISF) zmiňuje následujících top pět hrozeb: cybersecurity, supply chain security, big data, data security in the cloud and mobile devices in the workplace.

Microsoft vás stopuje víc než supermarkety – Microsoft STALKS YOU even more than supermarkets do, says dev. Říkají to vývojáři plug-inu pro prohlížeče Ghostery (sledujícího reklamy).

V Sýrii byly vypnuty internet a mobilní komunikace – Kill switch thrown on Internet in Syria. Pravděpodobně jde o vládní snahu znemožnit rebelům komunikovat.

Legislativa, politika

Obama vydal průvodce interními hrozbami pro vládní agentury – Obama issues insider threat guidance for gov't agencies. Informace k tomu přineslo memorandum Presidential Memorandum – National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs. Normy nejsou přístupné veřejnosti.

Evropská unie plánuje povinné hlášení kybernetických incidentů – EU plans to implement mandatory cyber incident reporting. Hovořila o tom komisařka Neelie Kroes v rozhovoru pro Süddeutschen Zeitung – EU-Kommissarin will Meldepflicht für Hackerangriffe. Návrh evropské kybernetické bezpečnostní strategie se má objevit ještě před koncem roku.

Software

Další firma hlásí, že nalezla chyby v SW pro systémy SCADA (různých firem) – Researcher finds 20-plus flaws in SCADA software. Aaron Portnoy (vicepresident začínající firmy Exodus Intelligence) oznámil, že nalezl celkem 23 zranitelností v programech společností Rockwell Automation, Schneider Electric, Indusoft, RealFlex a Eaton, viz informace na blogu společnosti – What does a flightless bird and SCADA software have in common?
Viz také komentáře:

A patched browser – false feeling of security or a security utopia that actually exists? – existuje bezpečný prohlížeč? Dancho Danchev se zamýšlí na obsahem nedávno vydané zprávy Kaspersky Lab – Global Web Browser Usage and Security Trends".

Obavy o bezpečnost dat mají dopad na využívání cloudu – Data Security Concerns Impact Cloud Deployments. Toto nikoliv nové téma bylo tentokrát předmětem přehledu, který si objednala Aigra a provedla ho organizace TechValidate. V článku jsou také zmíněny výsledky přehledu společnosti IDC, který charakterizoval objem trhu se softwarem pro cloud.
Nebezpečím, která v cloudu číhají, je věnován článek New Hack Abuses Cloud-Based Browsers.

Exploit nulového dne pro Javu je na prodej za pětimístné číslo (v dolarech) – Java Zero-Day Exploit on Sale for ‘Five Digits’. Brian Krebs informuje o nabídce, která se objevila na fóru Underweb (toto fórum je jen pro zvané).
Viz také komentář – New Java Zero-Day Exploit Appears In Underground Market.

CityHash 1.1, tato volně dostupná knihovna obsahuje různé hashovací funkce – CityHash 1.1. Funguje pro Mac OS X, Windows a Linux.

Vydán byl Nmap 6.25 ve verzi pro „sváteční období“ – Nmap 6.25 holiday season release! 85 new scripts, better performance, Windows 8 enhancements, and more . Přidána byla řada nových vlastností, o těch nejdůležitějších pak informuje stránka.

Malware

Malware Citadel předstihl malware Zeus a je králem finančního malwaru – High-end Citadel financial malware overtakes Zeus as king. V článku jsou citována zjištění korejské společnosti Ahnlab.

Win 7 Antispyware Pro 2013 je ransomware. Na stránce Remove Win 7 Antispyware Pro 2013 Ransomware Virus Before It's Too Late – Win 7 Antispyware Pro 2013 Removal Service By Cleanpcguide.com je návod, jak lze tento malware detekovat a jak se ho zbavit.

V oběhu jsou falešné generátory klíče pro Windows 8 – Fake Windows 8 key generators lurk in the wild. Jedná se pochopitelně o malware. Varuje společnost Trend Micro.

Malware uložený v HW krade kontakty ze všech mobilních platforem, stačí mu k tomu jen Audio Jack – Hardware based malware steals contacts from all mobile platforms using only the Audio Jack!. Tento výsledek indických odborníků byl prezentován na nedávné akci International Malware Conference (Malcon).

Špionážní malware

Červ Narilam a Írán – New table-munching worm ravages Iranian biz databases. K oznámení Symantecu podotknul íránský CERT, že se jedná o dva roky starou nevelkou hrozbu. Dokáže poškodit jen databáze určité íránské firmy.
Viz také komentář – Data-Annihilation Malware Still Alive.
Shrnutí najdete pak na stránce Narilam virus targets Middle East, but isn´t like others.

Čínský kyberšpionážní nástroj byl aktualizován, aby sloužil i obvyklé kyberkriminalitě – Chinese Cyberespionage Tool Updated For Traditional Cybercrime. Jedná se o novou verzi nástroje PlugX, informují o ní Kaspersky Lab. Nástroj (zatím) je používán jen jeho tvůrci, kteří byli vysledováni někam do Číny.
Viz také podrobnosti v článku – PlugX is Becoming Mature.

Viry

Antiviry jsou pro podniky vyhozené peníze, říká zpráva společnosti Imperva – Antivirus software a waste of money for businesses, report suggests. Špatná detekce vede k tomu, že volně dostupné programy nabízí lepší hodnotu. Hovořit o tom má nedávná zpráva společnosti – Assessing the Effectiveness of Anti-Virus Solutions (chybí odkaz).
Viz také komentář – Study finds most antivirus products ineffective.

Microsoft Security Essentials ztratily certifikaci AV-testu – Microsoft Security Essentials loses AV-TEST certification. Tento antivirový nástroj detekuje jen 64 procent každodenních hrozeb. Oproti tomu ale Virus Bulletin proti MSE nic nemá. To vše v době, kdy se začíná pochybovat o užitečnosti antivirových nástrojů celkově (viz výše).

Hackeři a jiní útočníci

Pakistánské weby Google, Apple, Yahoo a Microsoft byly hacknuty – Google, Apple, and Microsoft downed in Pakistan. Hacknuto a pozměněno (pakistánskými a tureckými hackery) bylo o minulém víkendu (24. a 25. listopad) celkem 300 různých webů.

Deset důvodů, proč se bát kybernetického Perla Harbour – 10 Reasons to Fear a ‚Cyber Pearl Harbor‘. Stačí jen malý počítač a dnešní kybernetičtí útočníci mají jiné postavení, říká Jesse Emspak. Uvádí a rozebírá následující body:

  • Power plants
  • Air-traffic control systems
  • Financial markets
  • Road-traffic controls
  • Sewage and drinking water systems
  • Food production
  • Pharmaceutical manufacturers
  • Petrochemical plants and distribution systems
  • Mass transit systems
  • Building controls

Pojišťovací a finanční společnost Nationwide hacknuta, unikla řada osobních informací – Nationwide customers notified of breach, PI theft. Nationwide je jedna z největších světových společností tohoto typu. K průniku došlo 3. října 2012 – oznámení. Uniklé osobní informace obsahují: certain individuals´ name and Social Security number, drive´’s license number and/or date of birth and possibly marital status, gender, and occupation, and the name and address of their employer. Ze zveřejněných informací není jasné, kolika klientů společnosti se únik týká.

Ještě k tomu, jak probíhal útok v Jižní Karolině – How South Carolina Failed To Spot Hack Attack. Mathew J. Schwartz podrobně rekapituluje celý průběh.

Evolving DDoS Attacks Force Defenders To Adapt – útoky DDoS současné doby, Robert Lemos poukazuje na změny taktik útočníků a odpovídající nezbytnost změn přístup firem k obraně před těmito útoky. Zdůrazňuje nutnost obrany ve více vrstvách.

Íránští hackeři hackli server mezinárodní agentury pro atomovou energii – UN nuclear watchdog confirms data leak. Zveřejnili podrobnosti a osobní informace jednoho sta osob, které vyšetřují íránský jaderný program. International Atomic Energy Agency (IAEA) patří pod OSN.
Viz také komentáře:

The Hackback Debate – co je to hackback a je legální? Tři diskutující (Stewart Baker, Orin Kerr, Eugene Volokh,) se vyjadřují k problematice odvety za hack. Zajímavá stránka. Viz také diskuzi na Schneierově blogu – Hackback.

LulzSec hacker čelí možným 30 létům vězení – LulzSec hacker faces 30 years to life. Jeremy Hammond stojí před soudem v New Yorku. Obviňován je z úniku dat patřících Stratforu, předání pěti miliónů e-mailů WikiLeaks atd. Vlastní jednání soudu má být někdy v příštím roce.
Viz také komentář – Should LulzSec Suspect Face Life In Prison?.

Další únos (hijack) DNS – tentokrát v Rumunsku – DNS servers filled with wrong Kool-Aid, big names waylaid in Romania. Problém je zřejmě ve „volných“ serverech Google.
Viz také komentář – Attackers hijack the .ro domains of Google, Microsoft, Yahoo, others.

Americká SW firma byla celé roky hacknuta – poté co obvinila Čínu – US software firm hacked for years after suing China. Jedná se o firmu Solid Oak Software ze Santa Barbary. Za útokem byli čínští hackeři, známí jako Comment group (gang, který nedávno útočil na Coca Colu a další).

Rekapitulace kyberkriminality v roce 2012 – útočníci jdou po velkém byznysu, oběti mají velké náklady – Cyber-Crime 2012: Big Business for Attackers, Big Costs for Victims. Slideshow připravil Brian Prince.

USA – top 10 vládních průniků roku 2012 – 10 Top Government Data Breaches Of 2012. Takovouto desítku připravila Ericka Chickowski.

Go Daddy reaguje na útok – Go Daddy responding to malicious DNS entries. Tento DNS útok nevznikl díky softwarové zranitelnosti, ale umožnila ho kompromitovaná přihlašovací data uživatele.

Anonymous

Anonymous zaútočili na texaskou školu (kde je povinné nošení RFID) – ‘Anonymous’ takes down Texan RFID-tracking schoolz. Shodili web této školy.

Anonymous zveřejnily e-maily syrského ministerstva zahraničí – Anonymous Leak Emails from Syrian Ministry of Foreign Affairs. V článku se říká, že dokumenty obsahují mj. oskenované pasy, podrobnosti o dopravě zbraní z Ukrajiny, informace o převozu syrských bankovek do Ruska.

Hardware

Tiskárny Samsung obsahují skrytý účet, útočník s jeho pomocí může získat dálkovou kontrolu nad zařízením – Samsung printers contain hidden, hard-coded management account. Jedná se o účet Simple Network Management Protocol (SNMP), který obsahuje řada tiskáren Samsungu. Je obsažený ve firmwaru. Informaci o této zranitelnosti vydal americký CERT – Vulnerability Note VU#281284. Samsung Printer firmware contains a backdoor administrator account.
Viz také komentář – Hardcoded account in Samsung printers provides backdoor for attackers.

Zloděj patrně hacknul zámek hotelového pokoje – Thief Apparently Hacked Hotel-Room Lock. V Texasu jeden zloděj (tři měsíce po tom, co Cody Brocious informoval o slabině hotelových zámků) nejspíš využil hackerskou techniku k tomu, aby se dostal do hotelového pokoje a ukradl tam notebook (značky Toshiba). Obětí byla bezpečnostní konzultantka společnosti Dell Janet Wolf.
Viz také komentáře:

Mobilní zařízení

Bring Your Own Device (BYOD) Considerations for Executives – jak správně používat BYOD, doporučení australského ministerstva obrany. Existují dvě varianty dokumentu, obě připravil Defence Signals Directorate. Na stránce je veřejně dostupná varianta.

Bezpečnost mobilních aplikací, čtyři oblasti, na které je třeba se soustředit – Approaching Mobile App Security. David Lindner rozebírá tyto okruhy:

  • Understand the Unique Threats
  • Implement Strong Application Security at the Outset
  • Do Not Allow Sensitive Data to be Stored on Devices
  • Understand Mobile Operating Systems

Zranitelnost mobilních prohlížečů umožňuje hackerů krást cloudový čas pro výpočty – Mobile browser vulnerability lets hackers steal cloud computing time. O této nové technice hovoří zjištění bezpečnostních odborníků z North Carolina State University a the University of Oregon.

Elektronické bankovnictví

Na příkladné varování ohledně podvodů v online bankovnictví upozorňuje Brian Krebs (varování připravila Philadelphia Federal Credit Union) – All Banks Should Display A Warning Like This.

Rumunsko rozbilo gang kybernetické kriminality odpovědný za podvody s platebními kartami v rozsahu 25 miliónů dolarů – Romanian authorities dismantle cybercrime ring responsible for $25M credit card fraud. Uvězněno bylo 16 lidí, kteří mají být členy tohoto gangu. Dalších 20 lidí bude v souvislosti s těmito podvody předvoláno.

Bankovní hackeři popírají, že jsou agenty Íránu – Bank Hackers Deny They’re Agents of Iran. Jedná se o nedávné hacky serverů řady amerických bank a vyhlášení skupiny s názvem „Izz ad-Din al-Qassam Cyber Fighters“.

Jak nejlépe odpovědět na útok DDoS? How Best to Respond to DDoS Attacks – to je další ze série článků na BankInfoSecurity, který je věnován této problematice. Tentokrát na otázky odpovídá Matthew Scholl z NISTu.

Online služba nabízí bankovní lupiče k pronajmutí – Online Service Offers Bank Robbers for Hire. Je inzerována na rusky hovořícím fóru, nabízí „ošetřit“ banky v některých amerických státech (California, Florida, Illinois a New York). Majitelé této služby říkají, že si ponechají 40–45 procent z krádeže.

Útoky na banky mohly být předzvěstí Armageddon útoku – Bank DDoS Strikes Could Presage Armageddon Attacks. Arbor Networks – další obětí se mohou stát poskytovatelé internetu.

Bankovní trojan Shylock je rozšířenou hrozbou, o které oběti nic netuší – Shylock banking malware can detect remote desktops. Shylock zničí své instalační soubory a běží čistě v paměti. Při rebootování se znovu spustí.
Viz také rozbor na stránce Financial Malware Detects Remote Desktop Environments To Evade Researchers.
Další komentář – Shylock Malware Evasion Techniques Now Detect RDP Connections.

Novinky v útocích na bankomaty – Advances in Attacking ATMs. K článku Briana Krebse (o kterém jsme zde již informovali) se připojuje neméně zajímavá diskuze na Schneierově blogu.
Viz také komentář – Thieves Rig ATMs to Steal Cards, Cash.

Phishing

91 procent útoků začíná e-mailem typu cílený phishing – 91% of cyberattacks begin with spear phishing email. Vyplývá to z výsledků výzkumu bezpečnostní firmy Trend Micro – Spear-Phishing Email: Most Favored APT Attack Bait.
Viz také komentáře:

bitcoin_skoleni

Elektronický podpis

Slovenské NBÚ chce pre podporu elektronického podpisu znížiť jeho cenu, z úvodu: Národný bezpečnostný úrad, NBÚ, do kompetencií ktorého spadá certifikácia riešení a ďalšie aspekty slovenskou legislatívou zavedeného zaručeného elektronického podpisu, na prelome októbra a novembra zverejnil v rámci úlohy vlády návrhy riešení na podporu väčšieho využívania elektronického podpisu.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku