Hlavní navigace

Bezpečnostní střípky: ochrana soukromí na Google+, jaká bude?

Jaroslav Pinkava 29. 8. 2011

Pondělní přehled informací k bezpečnosti IT. Z novinek týdne upozorníme na přehled volně dostupných bezpečnostních aplikací, dále na několik poznámek okolo vývoje malware Zeus a přehled bezpečnostních útoků na Android. Zaujme analýza okolo e-mailu, který zřejmě stál v pozadí průniku do společnosti RSA.

Přehledy

V uplynulém týdnu byla vydána čtvrtletní zpráva společnosti McAfee – Threats Report: Second Quarter 2011. Zdůrazňována je skutečnost týkající se malware pro platformu Android (jeho 76procentní nárůst v druhém čtvrtletí 2011). 24stránkový dokument je komentován v článcích:

Ke zprávě společnosti Ovum: Web Security report se obrací článek Focus on site security over style: Ovum. Další komentář je pak na stránce Report: Websites place design above security – webové stránky dávají přednost designu před bezpečností. Shrnutí zprávy (samotná zpráva je za peníze) je na stránce Web Security. Je konstatováno, že průnik do takových organizací jako je Sony či řada finančních institucí ukazuje, že i respektované organizace mohou být kompromitovány hackery. Zpráva obsahuje některá doporučení.

Tiskovou zprávu k novému přehledu společnosti Trend Micro: Consumer online security survey si lze přečíst na stránce Most Consumers are Just One Click Away from Digital Disaster, Reveals New Survey from Trend Micro. Komentáře k výsledkům zprávy pak obsahují články:

Zpráva mj. konstatuje, že chování řady spotřebitelů na internetu vede k jejich zranitelnosti online. Kybernetická kriminalita je stále více sofistikovaná, cílena je na uživatele, kteří se cítí bezpeční – např. na svých mobilních zařízeních či v sociálních sítích.

Symantec: August 2011 Symantec Intelligence Report, to je odkaz na tiskovou zprávu k výsledkům pravidelné měsíční zprávy této společnosti. Hovoří mj. o spamu, který je orientován na podvody vzhledem k pohybujícím se finančním trhům a o hrozbách MBR (Master Boot Record) malware. Viz také komentáře:

Obecná a firemní bezpečnost IT

Americká zdravotní pojišťovna šifruje veškerá ukládaná data – Health Insurer Encrypts All Stored Data. Celkem se jedná o 885 TB dat. Je to reakce na krádež 57 pevných disků v roce 2009. Jak jsou na tom české zdravotní pojišťovny?

Bývalý zaměstnanec Wikileaks zničil tisícovky uniklých dokumentů – Ex-WikiLeaks Employee Claims He Destroyed Whistleblower Documents. Stránce je doručily různé „práskající“ subjekty (důvěryhodní zaměstnanci firem a vládních organizací). Mj. se jednalo o dokumenty Bank of America.
Viz také podrobnosti na stránce WikiLeaks defector destroyed 3,500+ unpublished files a komentář na stránce Ex-Wikileaks Spokesman Destroyed Unpublished Files.

Velká Británie, zatčen byl detektiv vyšetřující případ hacknutých telefonátů – Detective on phone-hacking probe team is arrested. Zatkla ho antikorupční jednotka. Celý případ má zajímavé obraty.

Vládní organizace v USA jsou skeptické k využití cloudů – Federal Push for ‘Cloud’ Technology Faces Skepticism. A nepochybně zde velkou roli hrají bezpečnostní otázky. Zajímavá konfrontace různých pohledů (snahy ušetřit a jejich kritika).
Problematikou vztahu cloudy a bezpečnost se zabývá také článek How the Cloud Can Solve Security Problems.

China and Cyber-Espionage aneb Čína a kybernetická špionáž. Tento zajímavý a poměrně podrobný přehled informací zveřejněných v médiích připravil Jamie Metzl.

Yale University: data 43 000 lidí byla deset měsíců volně dostupná na internetu – Data for 43,000 at Yale winds up in Google search results. Jednalo se o jejich jména a čísla sociálního pojištění. Citlivé informace byly chybou umístěny na otevřeném ftp serveru. Viz také – Yale University exposes confidential data.

The Basics of Information Security, to je recenze stejnojmenné knihy. Na stránkách Help Net Security pokračují v publikování krátkých recenzí knih, které vydává nakladatelství Syngress. Autorem tentokrát zmíněné knihy je Jason Andress, 208stránková kniha vyšla v červnu 2011, najdete ji na Amazonu.

Výsledky vyhledávačů: pozor na podvody spojené s nedávným zemětřesením v Americe – Watch Out for Earthquake-Related Scams. A také na další podvody obdobného typu. Autor článku uvádí několik doporučení, které by měly pomoci k tomu, abyste se jim vyhnuli.

A tedy, pozor i na podvody s Irenou – DHS warns that Irene could prompt phishing scams. Hurikán Irena a věci s ním související jsou pochopitelně centrem mediálního dění. Bohužel si toho všimla i kriminální strana. Viz také:

Pět chyb, které firmy dělají ve svých strategiích pro cloud (podle Logicalis – Five mistakes companies make in their cloud strategies):

  • Do úvahy je brán pouze krátkodobý časový rozhled
  • Je třeba se rozebrat v širším spektru služeb, které cloud nabízí
  • Využívání služeb cloudu nejde chápat jen jako součást vývoje IT, týká se to samozřejmě i strategií podnikání
  • Je třeba se angažovat v příslušných technických diskuzích
  • Ušetříme peníze, ale zvažujeme za jakou cenu?

The Basics of Hacking and Penetration Testing, to je recenze knihy, jejíž celý název je The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy, jejím autorem je Patrick Engebretson. Kniha má 180 stran, vyšla nyní v srpnu v nakladatelství Syngress a najdete ji na Amazonu.

Nebyli jste tento měsíc hacknuti? Autor článku Have you been hacked this month? (Steve Watts) reprodukuje výsledky šetření, které provedla společnost Juniper Research. Článek kromě shrnutí informací o letošních průnicích obsahuje podrobnou sadu doporučení – jako prevenci.

Letištní bezpečnost, budou skenery méně invazivní? Autorka v článku informuje o současné situaci a chystaných případných změnách – Will the Future TSA Track All Your ‚Daily Travels to Work, Grocery Stores, and Social Events‘?

Ekonom: Miliarda na boj s hackery. Česká vláda konečně přijala plán kybernetické bezpečnosti. Ovšem až příliš pozdě. Česká verze článku (Miliarda na boj s hackery) patří do placené části serveru.

Autoři eseje The Wrong War: The Insistence on Applying Cold War Metaphors to Cybersecurity Is Misplaced and Counterproductive říkají – používat terminologii studené války ve vztahu k dnešním problémům kybernetické bezpečnosti je chybné a zavádějící. Kritizují paralelu, kterou používají někteří komentáři, ale i politici. Považují ji za kontraproduktivní. Eseji věnuje pozornost i Bruce Schneier na svém blogu – The Problem with Using the Cold War Metaphor to Describe Cyberspace Risks.

Sociální sítě

Google+ začal vydávat odznaky, které certifikují identitu uživatelů – Google+ introduces identity-verification badges. Zatím tedy jen pro část vyvolených, později to bude dostupné pro další uživatele.

‚Phishers‘ troll social networks to spread malicious software aneb phisheři na sociálních sítích a šíření škodlivého software. Autorka článku shrnuje informace k tomuto problému, názory, které pochází od řady odborníků.

Německá oficiální místa kritizují Facebook – German authorities park tanks on Facebook's lawn. Je požadováno například odstranění tlačítek typu „To se mi líbí“ – ULD to website owners: „Deactivate Facebook web analytics“.

On Pseudonymity, Privacy and Responsibility on Google+ – pseudonymy, soukromí a odpovědnosti na Google+, to je zajímavá esej reagující na plány Google+. Viz také diskuzi na Schneierově blogu – Pseudonymity.

Facebook revamps privacy settings (again) – Facebook vylepšuje nastavení týkající se soukromí, nepochybně pod vlivem Gogle+. Viz také:

Ve Velká Británii proběhly diskuze okolo omezení pro sociální sítě – Social networks likely to snub Home Office in riot confab. Během nepokojů jejich prostřednictvím spolu komunikovaly kriminální živly. Na jedné straně je argumentováno získanými statistikami, na straně druhé se objevuje volání různých organizací bojujících za občanskou svobodu. V současné době britská vláda již nezvažuje omezení sociálních sítí – Post-riot, UK government halts talk of social media shutdown.
Pozitivně roli sociálních sítí v době, kdy přichází hurikány a zemětřesení, oceňuje Bill Brenner v článku In hurricanes and earthquakes, social networking has important security role.

Translating Facebook, Twitter Privacy Controls into Social Media Policy aneb jak převést kontroly soukromí Facebooku, Twitteru do politik organizací pro sociální média. Autor reaguje na nedávné změny.

Software

Microsoft ze svých stránek odstranil sledovací „supercookies“. V článku Sneaky tracking code (finally) purged from Microsoft sites je zmiňován Jonathan Mayer, student (Stanford University), jehož výzkum pomohl odhalit tyto praktiky.

Uživatelé php jsou varováni před bezpečnostní chybou obsaženou v poslední aktualizaci – PHP users warned to stay away from latest update. Jedná se o verzi 5.3.7 a funkci crypt(). K opravě – PHP 5.3.8 fixes cryptographic function bug.

Browsing and Privacy: How to Not Get Tracked aneb brouzdání a soukromí: jak se vyhnout nebezpečím internetu. Shane O'Neill se v článku věnuje technikám, které zjišťují historii prohlížečů a možným způsobům obrany.

Alfonso Barreiro na stránce Back to basics: A four phase approach to patch management rozebírá tyto čtyři fáze správy záplat:

  • Phase 1 – Assessment
  • Phase 2 – Identification and evaluation
  • Phase 3 – Authorization and testing
  • Phase 4 – Deployment

A podotýká, situace je v každé organizaci jiná, berte to na zřetel.

Aktualizován byl Backtrack 5.0 – BackTrack 5.0 updated with new tools. Opravena byla řada chyb a přidány nové nástroje.

11 volně dostupných programů bezpečnostního typu a pro ochranu soukromí vyjmenovává a stručně popisuje Preston Gralla (Eleven free security and privacy protection programs):

Jiný přehled obdobného charakteru (širšího záběru) najdete na stránce Best Free Utilities and Security Apps. Kromě výše zmíněných programů zde najdete tyto:

Jailbreaking 101:Tools for Hacking Your iDevice, nástroje k hacknutí vašeho izařízení (idevice), takovýto přehled připravil Mike Keller (PC World).

Varování před nástrojem Apache Killer přináší článek Apache warns Web server admins of DoS attack tool. Tento nástroj pro DoS využívá chybu programu. Tým Apache oznámil, že do 48 hodin bude vydaná oprava pro verze 2.0 a 2.2. Viz také – Apache team spells out mitigation strategies, patch expected within 24 hours.

Scariest IPv6 Attack Scenarios – k útokům,které využívají zranitelnosti IPv6. Carolyn Duffy Marsan informuje o zjištěních (Salient Federal Solutions), že takové útoky skutečně probíhají.

Aktualizovány byly tři volně dostupné bezpečnostní nástroje Microsoftu – Microsoft updates free security tools. Jsou to:

Databáze, které lze prohledávat na internetu, čelí rostoucím bezpečnostním rizikům – Web-Searchable Databases An Increasing Security Risk. Autorka uvádí příklady z poslední doby (Yale University atd.) a rozebírá podstatu chyb, které vedly k průnikům.

Malware

O novém trojanu pro Android informuje článek Data-Stealing Malware Hits Official Android Market.
K červu GingerMaster se obrací články:

McAfee odpovídá na Kasperského kritiku ohledně Shady RAT – McAfee hits back in Shady RAT row. Komentář k oficiálnímu vyjádření na blogu společnosti McAfee – Shady RAT Is Not a Botnet.
Této přestřelce bezpečnostních firem je věnován komentář Security firms knock heads over Shady RAT hacks.

How to Remove Banload Trojan – k vlastnostem trojana Banload a o cestách, jak ho odstranit. Autorka uvádí řadu informací, které s tímto trojanem souvisí. Kromě postupu pro odstranění trojana Banload popisuje vlastnosti tzv. zlodějského anti-spyware, jejich taktiky.

Jinému trojanu (Badlib) je věnován článek Install one Trojan, get three more.

Nebezpečná fúze trojana Zeus a červa Ramnit je komentována na stránce Warning after Zeus bank Trojan fused with Ramnit worm. O podrobnostech informuje John E Dunn. S podrobnostmi k analýze tohoto nového malware se lze seznámit na stránce Ramnit Evolution – From Worm to Financial Malware.

Researchers see improvements in breakaway Zeus malware aneb malware Zeus a SpyEye – jaký je jejich současný vývoj? Jeremy Kirk informuje také o nástroji francouzských odborníků – Xylitol.

K červu Ramnit se vrací Fahmida Y. Rashid v článku Malware With Zeus Bank Fraud Features Discovered in the Wild.
Ice IX botnet využívá uniklý zdrojový kód (Zeus) – Zeus rival boasts of eluding tracker services, fails.

Kompromitované stránky Transocean (jedné z největších vrtných společností) šířily malware – Transocean oil/gas rig contractor compromised (deepwater.com) – Update: Now Fixed. Viz komentář – Firm at heart of biggest oil spill spews toxic web attack. Společnosti Transocean se „proslavila“ problémem s největším znečištěním historie ropnými skvrnami v karibském moři.

Bezpečnostními riziky, která jsou spojena s tím, když nebudeme školit lidi ohledně malware, se zabývá esej Inside Risks. The Growing Harm of Not Teaching Malware. Diskuzi k ní otevřel na svém blogu Bruce Schneier – The Security Risks of Not Teaching Malware.

Pirátská kopie antiviru TrustPort obsahuje malware (nebezpečného trojana) – Pirated Anti-Virus Program Harbors Nasty Malware. Keygen obsahuje trojana, který je označován jako Trojan.Agent.ASDM. Tento „umí“ – krade hesla, sleduje online chování oběti, krade video a audio z webové kamery a zaznamenává konverzaci ze sociálních sítí či z IM.

Hackeři

Colbert Wants the Feds to Hire Kevin Mitnick, Legendary Hacker aneb bude Kevin Mitnick najat americkou vládou? Zdá se, že někteří tomu přejí.

Hacknutí společnosti Epson Korea má dopad na 350 000 jejích zákazníků – Epson Korea hack impacts 350,000 customers. Unikly jejich osobní informace (hesla, telefonní čísla, jména a e-mailové adresy).

Hackeři mají web, kde mohou prokazovat své schopnosti – Hackers compete in security breach league. RankMyHack.com má nyní více než 700 členů, založil ho “s0lar”, hacker, který říká, že je britským studentem počítačové vědy.

Publikována byla osobní data 20 000 amerických vládních úředníků, vojáků a pracovníků armádních dodavatelů – Cyber-Attacker Dumps Log-ins for 20,000 Customers, U.S. Employees. Jedná se o uživatelská jména, hesla, e-mailové adresy, jméno společnosti a zda dotyčný pracuje pro vládní agenturu. Hacker zveřejnil data v excelovském dokumentu na Pastebin a Mediafire. Dopad hacku se má týkat celkem 14 000 organizací. Obdivovatel Anonymous měl konat nezávisle.

Hackeři umí použít reverzní inženýrství k záplatám Microsoftu a vytvářet pak útoky DoS – Hackers could reverse-engineer Microsoft patches to create DoS attacks. Tuto skutečnost demonstrovala bezpečnostní firma Qualys.

Britská policie obvinila (domnělého) hackera z Anonymous – UK cops charge alleged Anonymous hacker. Dvadvacetiletý student Peter David Gibson je obviněn (spolu s dalšími) z útoku DDoS na PayPal, Amazon, Mastercard, Bank of America, PayPal a Visa. Viz také – Hartlepool student charged over Anonymous attacks.

Hardware

Zranitelnost poplašných systémů pro zabezpečení automobilů je předmětem článku Vulnerable vehicles: hackers target car alarms. Autor v něm informuje o demonstraci, kterou předvedli odborníci ze společnosti iSEC Partners na zabezpečení automobilu značky Subaru. Prostřednictvím notebooku zaslali poplašnému systému (nebyl identifikován) příkaz k odemknutí a nastartování vozidla. Viz také popis na stránkách Scientific American – Hacked in 60 Seconds: Thieves Could Steal Cars via Text Messages.

Bojíte se, že někdo hackuje zdravotní přístroje na vašem těle? Takové jako jsou inzulinová pumpa a kardiostimulátory. Na konferenci v Torontu bylo prezentováno zařízení, které vás ochrání – Personal Security. Secure the body. Zařízení vysílá blokující šum na dané frekvenci.

Hacknutí inzulínové pumpy si všimnul i americký kongres – Hacked Medical Device Sparks Congressional Inquiry. V článku jsou mj. citována doporučení Radcliffa (autor hacku) – je nezbytné, aby zařízení byla opatřena nějakým autentizačním mechanizmem (PIN, heslo).
Viz také článek – Black Hat Hacker Says Insulin Pump Maker Medtronic Belittles Security Flaw . Výrobce (Medtronic), jak se zdá, popírá vážnost problémů a snaží se celou situaci zahrát do autu. Viz také – Insulin pump maker ignores diabetic´s hack warnings.
Podrobnější rozbor situace (dotýká se nejméně čtyř produktů společnosti Medtronic) přináší článek Insulin Pump Hack Controversy Grows.

Bezdrát

Secure Open Wireless Access (SOWA), to je nová koncepce zabezpečení otevřených bezdrátových sítí – Baking Security Into Open WiFi Networks. Kelly Jackson Higgins informuje o nedávné aktivitě IBM Internet Security Systems (prezentace byla přednesená na konferenci Black Hat):

Odborníci z MIT přichází s protokolem, který by měl chránit před útoky na bezdrát typu man-in-the-middle – MIT researchers craft defense against wireless man-in-middle attacks. Protokol označovaný jako TEP (Tamper-evident pairing) by měl chránit i před útoky takového typu, jako ty, které nedávno proběhly na Defconu (nebyly zatím potvrzeny). Materiál přednesený na konferenci Usenix najdete na stránce Secure In-Band Wireless Pairing a komentáře MIT jsou na odkazu online.

VoIP

Skype (týká se to jeho poslední verze) – XSS zranitelnost umožňuje útoky – Skype Cross-Site Scripting Flaw Enables Phone Session Attacks. Jedná se o verzi Skype 5.5.1.113 (pro Windows XP, Vista a 7).

Mobilní telefony

Android's per­mission system: Does it really work? – Android a jeho systém povolení. Bude to Fungovat? Michael Kassner se zamýšlí nad některými možnostmi aplikací pro Android. Svou analýzu shrnuje:

  • Platné aplikace s vhodnoým povolením budou moci zapnout takové vlstnosti jako GPS a to bez povolení uživatele
  • Aplikace příslušně konstruované mohou využívat vlastnosti bez povolení a nepožadují zásah uživatele

13 bezpečnostních útoků na Android, kterých bychom si měli všímat – 13 Android Security Attacks To Watch. Slideshow přináší užitečné shrnutí této bezpečnostní stránky chytrých mobilů.

Zloděje iPhone prozradila aplikace Photobucket – iPhone thief accidentally IDs himself via Photobucket. Tato aplikace (sama, automaticky) zasílá obrázky na web výrobce pro sdílení fotek. Majitelka iPhone, které byl přístroj ukraden, zloděje poznala, a policie podle fotky vypátrala pachatele.

Spam

Brian Krebs se k ruským králům lékárenského spamu znovu vrací na stránce Flashy Cars Got Spam Kingpin Mugged. Pokračuje v citování odchycené konverzace spammerů (Stupin a tentokrát to je kdosi s označením Cosma). Vyslovuje domněnku, že Cosma byl tím, kdo stál za botnetem Rustock.

Forenzní analýza

The Basics of Digital Forensics, to je recenze knihy, jejíž celý název zní The Basics of Digital Forensics: The Primer for Getting Started in Digital Forensics. Jejím autorem je John Sammons, kniha má 224 stran a vyjde v nakladatelství Syngress v prosinci 2011. Lze si ji předobjednat na Amazonu.

Elektronické bankovnictví

Na Ukrajině byla zatčena čtveřice pachatelů podvodů s platebními kartami – Ukraine arrests four in carding scam. Nejedná se o žádné malé ptáčky – pomocí falešných karet vyplněných kradenými informacemi zapříčinila čtveřice škodu v rozsahu 20 miliónů dolarů. Vyjádření ukrajinské tajné služby – SBU exposed group of hackers who stole money from bank accounts of citizens of different countries (v překladu Google).

Koordinovaná síť bankomatových podvodníků ukradla 13 miliónů dolarů – Coordinated ATM Heist Nets Thieves $13M. Obětí se stala finanční instituce z Floridy (Fidelity National Information Services Inc. – FIS). Jednu z největších a nejsložitějších loupeží svého druhu vyšetřuje FBI. Není zatím zřejmé, kdo je za tímto útokem.

Phishing

Was this the e-mail that took down RSA? – jak vypadal e-mail, který pomohl průniku do společnosti RSA? Analýzy F-Secure okolo cíleného phishingu ukazují jako podezřelý e-mail následujícího znění: I forward this file to you for review. Please open and view it.
Viz také – Researchers Uncover RSA Phishing Attack, Hiding in Plain Sight.
Informace na blogu společnosti F-secure věnované tomuto problému – How we found the file that was used to Hack RSA.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...