Hlavní navigace

Bezpečnostní střípky: online bankovnictví, problémy rostou

Jaroslav Pinkava 1. 3. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit na recenze k prohlížeči Comodo Dragon, odpovědi na otázku – jaké použít strategické bezpečnostní iniciativy a dále lze upozornit na příručku Social media security toolkit.

Konference a přehledy

Stav internetu na konci roku 2009 – State of the Web Q4 2009 – to je 49-stránkový materiál, který připravila společnost Zscaler Labs (nezbytná je registrace). Čtenář zde najde celou řadu statistik charakterizujících provoz na internetu, uživatele a jimi používané prohlížeče a také statistiky vztahující se k bezpečnosti. Se stručným shrnutím zprávy se lze seznámit v článku End users are the main targets of online attacks (Zeljka Zorz).

V uplynulém týdnu byla vydána zpráva IBM X-Force 2009 Trend and Risk Report (také zde je nezbytná registrace). Takové hrozby jako phishing, zranitelnosti formátů dokumentů se vyskytují stále častěji. Významně zejména vzrostly hrozby směřující na uživatele prostřednictvím nakažených webů. Komentář ke zprávě si lze přečíst v článku Hackers follow the money, IBM research shows.

Obecná a firemní bezpečnost IT

Deset strategických bezpečnostních iniciativ pro každou organizaci formuluje Linda Musthaler (10 strategic security initiatives for every organization):

  1. Provádějte a udržujte kompletní inventář aktiv a zrušte staré systémy tohoto typu
  2. Monitorujte své vztahy s třetími stranami
  3. Rozdělte svoji síť na tolik segmentů, jak to jen lze
  4. Promyslete si znova implementace vašeho bezdrátu
  5. Zašifrujte svá citlivá data
  6. Prozkoumejte anomálie, mohou to být varovné signály
  7. Uzamkněte přístupy uživatelů (je zbytečné, aby každý mohl kamkoliv)
  8. Používejte vícefaktorovou autentizaci všude tam, kde je to možné
  9. Implementujte formální životní cyklus vývoje SW (Software Development Life Cycle – SDLC) a řiďte se jím.
  10. Nezapomeňte všechny proškolit

Vykrádači bytů mají nového komplice – Twitter, Facebook a další, z úvodu: Příležitost dělá zloděje a uživatelé internetu takových příležitostí nabízejí stále víc. Zejména neustálé zpravování okolního světa o tom, kde právě jsou a co dělají anebo kdy a kam jedou na dovolenou, vytváří nové netušené šance i pro bytové zloděje.

Velká Británie – GCHQ varuje: další kybernetické útoky „katastrofálně“ postraší obyvatelstvo – Cyber attacks will ‚catastrophically‘ spook public, warns GCHQ. I takové, které způsobí jen malé škody, povedou k snížení důvěry veřejnosti v britskou vládu. Chris Williams cituje z dokumentu, který byl připraven novým střediskem Cyber Security Operations Centre (CSOC) pro vládu.

Většina organizací je předmětem kybernetických útoků – Study: Most Organizations Now Suffer Cyber Attacks. Joan Goodchild komentuje výsledky zprávy Symantecu vydané v toto pondělí (2010 State of Enterprise Security). Zpráva byla zpracována na základě odpovědí 2 100 manažerů IT ze 27 zemí. Sedmdesát pět procent organizací mělo v loňském roce zkušenost s počítačovými útoky a 42 procent organizací považuje bezpečnost za svůj prioritní cíl (důležitější např. než ochrana před živelními pohromami, terorizmem a tradiční kriminalitou).

Jak měříte efektivnost vašich bezpečnostních postupů? Thomas L. Norman v článku Physical Security Risk and Countermeasures: Effectiveness Metrics ukazuje na některé možné volby metrik (výňatek z jeho knihy Risk Analysis and Security Countermeasure Selection).

Vladimír Kvíz: Chraňte svoje data – šifrujte!. Autor rozděluje data do tří skupin:

data in motiondata at restdata in use

a pro každou skupinu dat diskutuje vhodný způsob jejich ochrany.

Jaké chyby mohou firmy udělat v honbě za dosažení shody? Bill Brenner uvádí pět takových příkladů Five Security Missteps Made in the Name of Compliance.

V příručce Social media security toolkit Sophos vysvětluje (nezbytná je registrace, je to celý soubor dokumentů a videí a má cca 60 MB):

  • Bezpečnostní rizika sociálních médií
  • Jak bezpečně sociální média používat

USA jsou vysoce zranitelné v kybernetické válce – US likely to lose a cyber war. Článek obsahuje odezvy na slyšení před americkým senátním výborem.Zaznělo zde, že USA právě pro svoje nejvíce vyvinuté sítě jsou snadno zranitelné. Starosti působí zejména zabezpečení rozvodných sítí. Upozorňováno zde bylo nejen na možný nebezpečný budoucí útok, ale i na fakt, že USA jsou již nyní pod stálým tlakem drobných (v měřítku USA) počítačových útoků. Viz také:

Satelitní navigační systémy, také jim hrozí nebezpečí od útočníků – Sat-nav systems under growing threat from ‚jammers‘. Jason Palmer informuje o zde existujících rizicích.

Útočníci se orientují na získávání osobních dat. Zpráva Cyveillance – Attackers focusing on capturing personal data – ukazuje, že phishing zůstává jednou z hlavních hrozeb internetu.

FBI načrtává tři komponenty kybernetických rizik – FBI outlines three components of cyber-risk. Doporučuje používat jednoduchou algebraickou rovnici:

  • Riziko = hrozba x zranitelnost x dopad

Hitler a výpočty v oblacích, zabavte se u  – videa. Komentáře jsou na Schneierově blogu – Hitler and Cloud Computing.

Střet Microsoftu a Cryptome následoval po tom, co na Cryptome byl zveřejněn dokument Microsoftu, který popisuje co MS sbírá o svých uživatelích a co případně předá činným orgánům – Cryptome restored after Microsoft change of heart. Nyní jsou stránky Cryptome opět funkční. V konfliktu se jednalo o dokument Global Criminal Compliance Handbook.

Kritický názor na průběh cvičení kybernetické bezpečnosti v USA popisuje autor článku US officials move to infect Populace with 5T00P.1D virus – google, bombs, Mozilla, oil & barrels of stupidity. Cvičení proběhlo 16. února pod patronací střediska Bipartisan Policy Center (BPC). Autor se pak v článku dotýká i řady jiných aktuálních otázek (Google a Čína, Google a NSA atd.).

More Clues Uncovered In Google Hack, Report Says aneb další zjištění ohledně útoku na Google a spol. Byl nalezen třicetiletý konzultant, který je odpovědný za SW zneužívající zranitelnost Internet Exploreru (který byl později použit a ke kterému měla přístup čínská strana díky jeho zveřejnění na jistém online fóru). Samotný konzultant však nebyl součástí operace. Jak se tedy zdá, přímé důkazy čínské účasti stále chybí.

Software

Comodo Dragon – Za bezpečnější surfování, Josef Vavřina: V článku se podíváme na prohlížeč Comodo Dragon, založený na technologii Chromium, tedy bratříčka známého Chrome. Jméno Comodo si možná spojíte s firewallem, antivirem nebo dalšími aplikacemi z odvětví bezpečnosti.

Podrobnější recenzi prohlížeče Comodo Dragon připravil Zeljka Zorz (pro verzi 1.0.0.5) – A closer look at Comodo Dragon 1.0.0.5.

Jak optimalizovat váš firewall k maximálnímu výkonu? V článku How to Optimize Your Firewalls for Maximum Performance zformuloval Reuven Harrison sadu doporučení.

Chcete kvalitní šifrování? Edward F. Moltzen – Taking Encryption To A Higher Level – doporučuje výběr ze tří následujících variant:

  • Fedora 12, linuxový open source operační systém
  • TrueCrypt
  • PGP Desktop Professional

Na světě je verze 3.0.2 Thunderbirdu – Thunderbird 3.0.2 released. Opraveny byly některé kritické díry, které mohou vést ke kompromitaci systému.

Microsoft varuje před podvodnými Security Essentials – Microsoft warns over rogue Security Essentials. Pro odlišení je použito označení Security Essentials 2010, obsahují Alureon.

Malware

Jak ve vašem podniku bojovat s botnetem Zeus? Brian Prince se v diskusi s dalšími odborníky jednak obrací k vlastnostem tohoto botnetu a jednak rozebírá možnosti protiopatření – Fighting the Zeus Botnet in Your Enterprise.

10 things you didn't know about the Koobface gang aneb 10 věcí spojených s gangem, který stojí za červem Koobface. Dancho Danchev posbíral různorodé informace o červu, který mj. ohrožuje uživatele Facbooku.

Akce Microsoftu proti botnetu Waledac asi nebude mít dostatečný dopad – Researchers question Microsoft's botnet take-down. Podle Joe Stewarta (SecureWorks) nebylo pozorováno žádné snížení úrovně spamu. Viz také komentář – Microsoft claims Waledec botnet scalp.

Viry

VirusTotal Uploader  – bezplatně důkladně prověří vámi zaslané soubory. Použito bude různých 40 antivirových skenerů, které zjistí, zda daný soubor je pro váš počítač bezpečný. O této službě informuje Erik Larkin.

Hackeři

Téma hackeři a čínské školy je předmětem článku Hacking Inquiry Puts China’s Elite in New Light. David Barboza se na stránkách New York Times pokouší nahlédnout do nitra čínských škol, které byly nedávno obviněny z útoku na Google. Viz také – Diverse group of Chinese hackers wrote code in attacks on Google, U.S. companies.

Hackování Oracle z internetu – Hacking Oracle from the Web: Exploiting SQL Injection from Web Applications., Sumit Siddharth diskutuje techniky typu SQL injection. Viz také – autorův blog.

Hardware

Hackování IP kamer (Linksys) je věnován článek Hacking Linksys IP Cameras (pt 6). Je to šestý díl seriálu, odkazy na předchozí pokračování jsou v článku.

Diskuze na Schneierově blogu se věnovala také problému zneužití kamer na školních noteboocích – Remotely Spying on Kids with School Laptops. Není bez zajímavosti, stojí to za to si ty názory přečíst.

FBI vyšetřuje případ zneužití webových kamer na noteboocích žáků školy v Pennsylvánii – Irate parents in Pa. say schools use ‚Peeping Tom technology‘. Do vyšetřování případu, který vzbudil širokou pozornost veřejnosti, vstoupili federální úředníci.

KeyKeriki, to je snifer bezdrátové klávesnice – KeyKeriki. Projekt obsahuje HW i SW.

Mobilní telefony

Rootkity pro chytré mobily a iPad, informuje o nich iPad and smartphone rootkits demo'd by boffins. Odborníci demonstrovali možnost využití těchto technik a poukazují na jejich vysokou nebezpečnost.

Červ Yxe se šíří pomocí MMS – oMore on Yxe. Právě detekovaný červ Worm.SymbOS.Yxe.e má platný digitální podpis. Viz také – Return of the Yxe worm.

Spam

Nová vlna spamu zasáhla Twitter: Buď větší a vydrž déle… – New spam wave hits Twitter: „Get bigger and have sex longer“. No, místo viagry je pravděpodobné, že zájemce chytí jinou havěť. Autor článku upozorňuje: pokud uvidíte nějakou nezvyklou zprávou zaslanou vaším jménem, změňte své heslo co možná nejdříve. Viz také:

Forenzní analýza

Využitím hashí při forenzní analýze obrazu disku se zabývá článek – Extracting Known Bad Hash Set From NSRL. Tony Rodrigues hovoří k využití knihovny hashí pro techniky, které šetří při forenzní analýze čas.

Elektronické bankovnictví

Konzultační firma (IT) přišla tento měsíc o 100 000 dolarů díky online bankovnímu podvodu – IT Firm Loses $100,000 to Online Bank Fraud. Počítač, se kterým firma komunikuje s bankou, je jediným takovým. Podle zástupce firmy je skenován proti virům a malware. Banka se hájí tím, že útočník v procesu autentizace dokázal správně odpovědět na dvě otázky (s utajovanými odpověďmi), s bankou komunikoval z IP adresy v New Hampshire (tam také sídlí postižená firma). Není zatím jasné, zda útočník použil proti firmě trojana typu Zeus. Jaké bude pokračování? Banka se snaží vysledovat kam odešly peníze. Firma prostřednictvím svého právního zástupce připravuje žalobu na banku.

Další žaloba na banku – z účtu ukradeno 800 000 dolarů – Texas firm countersues bank in connection with $800,000 cyber theft. Texaská firma Hillary Machinery Inc. of Plano žaluje banku PlainsCapital bank of Lubbock – nedostatečně ochránila její finance. Není to první žaloba tohoto typu a určitě nebude ani poslední.

Bankomatové podvody – jak nenaletět, k tomu Joan Goochild – ATM Skimming: How to Recognize Card Fraud – uvádí několik doporučení:

  • Podívej se, zda nad místem pro vkládání karty není umístěna čtečka
  • Ukrývej svůj PIN
  • Vyhýbej se pomocím ochotných lidí
  • Monitoruj svůj účet pravidelně

Spolehlivost důkazů opřených o Chip and PIN v bankovních sporech – Reliability of Chip & PIN evidence in banking disputes. Autor popisuje metodu, která umožňuje zneužití platební karty typu Chip and PIN bez znalosti PINu. Navazuje na nedávný článek napsaný jím ve spolupráci s profesorem Andersonem a dalšími. Viz také autorův komentář – Reliability of Chip & PIN evidence in banking disputes.

Autentizace, hesla

Pas s Elvisovou fotkou byl použit pro demonstraci slabin kontrolních systémů – http://edition­.cnn.com/2010/TEC­H/02/19/passpor­t.security/in­dex.html . Adam Laurie a Jeroen Van Beek takto demonstrovali co je možné pomocí falešného biometrického čipu. Viz také – Prošli jsme s biometrickým pasem Elvise, chlubí se „etičtí hackeři“.

Biometrie

Jaké jsou Klady a zápory biometrické autentizace? V odpovědi na tuto častou otázku Zeljka Zorz stručně poukazuje na fakt, že přes určitou pohodlnost při využívání těchto technik existují dnes již dobře známé nevýhody (otisk prstu máme jediný na celý život, při „kompromitaci“ ho nemůžeme změnit – Pros and cons of biometric authentication.

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu následující čtyři dokumenty

Kryptografie

Příklady steganografie jsou rozebírány v článku Unicode and LSB Steganography program examples. Autor ukazuje na možnosti využití pro tyto účely Unicode a LSB (Least Signifigant Bit – nejméně význačného bitu).

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

1. 3. 2010 8:32

Tomas Z. (neregistrovaný)

Je něco konkrétního novinkou u toho Elvise? Mám pocit, že bych i našel obdobnou prezentaci od Jeroena z roku 2008 – kteréžto datum v článku je – a v textu (ani v odkazovaném článku) nevidím nic co by bylo aktuálnějšího.

1. 3. 2010 8:09

Spider (neregistrovaný)

Opravte si:

data in motiondata at restdata in use

na:
  • data in motion
  • data at rest
  • data in use
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu