Obecná a firemní bezpečnost IT
Spektrum bezpečnostních hrozeb se rychle rozšiřuje – The threat landscape continues to expand rapidly. Článek obsahuje poznámky k výsledkům přehledu společnosti ThreatMetrix. Hrozby jsou rozděleny do následujících odstavců: Government, E-Commerce and financial services, Enterprise, Insurance, Mobile and social.
29C3: Was aus dem 57-Sekunden-Gesetz wurde, dvojice přednášejících na 29C3 se tentokrát věnovala německé legislativě.
Události se věnuje také komentář:
Podmínky služby mohou být bezpečnostní hrozbou – Terms of Service as a Security Threat. Problémem se zabývá Bruce Schneier, který ho rozebírá na příkladu společnosti Prezi. Všimněte si také připojené diskuze.
Kyberkriminalita v Meklenbursku – je očekáván nárůst trestných činů – Cybercrime-Bilanz: Mecklenburg-Vorpommern erwartet mehr Straftaten. Několik čísel charakterizuje současnou situaci a její vývoj.
Reálný život a aplikace sociálního inženýrství, to je zajímavý, zatím čtyřdílný seriál:
- Real Life and the Application of Social Engineering Part I
- Real Life and the Application of Social Engineering Part II
- Real Life and the Application of Social Engineering Part III
- Real Life and the Application of Social Engineering Part IV
Největšími narušiteli cloudové bezpečnosti jsou top manažeři – The greatest violators of IT cloud security policies: top executives. Článek je věnován výsledkům přehledu společnosti Nasuni (k němu je nezbytná registrace).
Přemýšlíte o protiútoku? Triky k oklamání jsou lepší – Thinking of a counterattack? Deception is better, say experts. Obvykle totiž nezjistíte odkud útok přichází. Navíc takovéto aktivity mohou být i ilegální.
Jak hovořit o bezpečnosti s lidmi tak, aby tomu naslouchali – How to talk security so people will listen (and comply!). Autor článku s tímto cílem osvětluje pět možných technik.
Deset tipů k zabezpečení vaší domácnosti (na které jste nepomysleli) – 10 Home Security Tips You Haven't Thought Of. Tuto slideshow připravila Sue Marquette Poremba.
94 procent zdravotnických organizací ohlásilo v posledních dvou letech datový průnik – Study: 94 Percent of Healthcare Organizations Breached. Článek obsahuje komentář k přehledu společnosti Ponemon Institute – Third Annual Benchmark Study on Patient Privacy & Data Security.
Velký čínský firewall byl aktualizován. Podle některých názorů může Čína nyní také sledovat mezinárodní společnosti, které v zemi fungují – Could China blocking VPNs lead to spying on business?.
Přelom let 2012/2013
China dominates 2012 cybersecurity talking points, Rok 2012 a o čem se hovoří v otázkách kybernetické bezpečnosti. Čína dominuje. Situaci rozebírá Ellyne Phneah.
Security lessons from 2012 – bezpečnostní ponaučení z roku 2012. Jaikumar Vijayan konstatuje, že ve vztahu k apokalyptickým předpovědím se rok 2012 ukázal zase ne tak tragickým. Shrnuje pak významné bezpečnostní události roku.
Věci, které nenastaly: nesprávné bezpečnostní předpovědi pro rok 2012 – The Year That Didn't Happen: 2012's Incorrect Security Predictions. Je určitě užitečné projít si i takovýto přehled obsahující pohled z opačné strany.
Cílené útoky, slabá hesla jsou hlavní rizika roku 2013 – Targeted Attacks, Weak Passwords Top IT Security Risks in 2013. V článku je obsažen komentář k výsledkům zpráv společností Verizon a McAfee. Podle Verizonu se v roce 2012 devadesát procent útoků odvíjelo od slabého hesla anebo od ukradených a zneužitých přihlašovacích dat. V druhé části článku zaznívá varování před trojanem Citadel.
14 globálních IT bezpečnostních výzev pro rok 2013 – 14 global cybersecurity challenges for 2013. S tímto užitečným přehledem přichází David Gewirtz.
Další přehled top hrozeb pro rok 2013 najdete na BankInfoSecurity – Top Threats: The 2013 Outlook. Přehled připravila Tracy Kitten. Body přehledu:
- Organized Crime´s Motivations
- Hacktivists Want Attention
- Other Threats
- Organized Crime
- Action Items
- Hacktivists
- Nation-States
- Insiders
Software
Microsoft vydal nástroj opravující zranitelnost nulového dne pro IE – Microsoft Issues Tool to Repair Internet Explorer Zero-Day Security Vulnerability. Tato zranitelnost ovlivňuje verze IE 6,7 a 8.
Elite hacker gang pulls out another IE zero-day from bottomless pocket – kdo dal do oběhu nejnovější zranitelnost IE? Symantec ukázal na hackerský gang označovaný jako Elderwood. Za posledních 20 měsíců tento gang odhalil a použil celkem osm zranitelností nulového dne (pro IE anebo Adobe flash Player).
Viz také komentář – Latest IE attacks connected to espionage group.
Researcher sidesteps Microsoft fix for IE zero-day – nedostatečnost záplaty Microsoftu pro zranitelnost nulového dne IE. Peter Vreugdenhil dokázal obejít tuto záplatu na Windows XP s IE8.
Database hacking: The year that was – hackování databází, co vše se událo. Autor článku komentuje údaje v přehledu na stránce Privacy Rights Clearinghouse. Jsou zde informace ke všem datovým průnikům, které se v USA staly od roku 2005.
Bylo zpřístupněno FreeBSD 9.1 – FreeBSD 9.1 ist freigegeben. O vlastnostech této nové verze si můžete přečíst na stránce Release Notes.
SW Ruby on Rails – všechny dřívější verze ovlivněny chybou SQL injection – All Ruby on Rails versions affected by SQL injection flaw. Uživatelům se doporučuje aktualizovat na nové verze.
Německá BSI vydala varování ohledně bezpečnostní díry ve VLC – BSI warnt vor Sicherheitslücke im VLC Media Player. Je zapotřebí aktualizovat na verzi 2.05.
Průmyslový kontrolní SW v USA je stále stejně zranitelný. Shamoon a Stuxnet, poučení z nich je ignorováno – The lessons of Shamoon and Stuxnet ignored: US ICS still vulnerable in the same way. Informace o dvou útocích přinesl ICS-CERT Monthly Monitor.
Malware
Conficker útočí na milovníky fotografie – Conficker targets photography lovers. Aplikace (Chibo) Hama skener obsahuje variantu Conficker-B.
Viz také komentáře:
- Conficker unter dem Weihnachtsbaum: Dia-Scanner von Tchibo infiziert
- This photo slide scanner costs €60… The bundled malware? That´s free
McAfee varuje před útoky ransomwaru v roce 2013 – McAfee Says Beware of Ransom-Ware Attacks in 2013, to je další komentář ke zprávě společnosti – 2013 Threat Predictions.
Viz také komentář – McAfee Says Beware of Ransom-Ware Attacks in 2013.
Battling the Google Redirect virus – boj s virem Google Redirect, svoje zkušenosti popisuje konzultant Bob Eisenhardt.
Co dělat, když antivir označí váš program jako malware a vy jste si jistí, že tomu tak není? Lincoln Spector uvádí některé možnosti pro vaši činnost v tomto směru – Is this program malware or a false positive?
Špionážní malware
Tool Aids in Cracking Mysterious Gauss Malware Encryption – je šifrování v špionážním malwaru Gauss blízko rozbití? S novými poznatky přišel odborník Jens Steube.
Hackeři a jiní útočníci
Co útoky DDoS odhalí o vaší bezpečnostní infrastruktuře – What DDoS attacks reveal about your security infrastructure. Organizace, které úspěšněji vzdorují těmto útokům, se podle autora drží následujících pravidel:
- Increase focus on availability-security
- Understand the value & meaning of architecture as it relates to attacks
- Focus on the visibility they can get during an attack / attack detection quality
- Focus on real-time authentication & mitigation decisions
- Understand the value of emergency response and retaining offensive attack capabilities
Útok na amerického výrobce plynových mikroturbin – Website of US-based gas turbine maker also rigged with new IE exploit. Jedná se společnost Capstone Turbine Corporation, byla využita zranitelnost IE.
USA a útoky na průmyslové kontrolní systémy v roce 2012, to je předmět článku Industrial Control Systems Faced Nearly 200 Attacks: DHS. Americké ministerstvo národní bezpečnosti registrovalo v roce 2012 celkem 200 takových útoků.
Informace japonského ministerstva byly ukradeny – Japan ministry information reportedly stolen in cyberattack. Informace se měly týkat diplomatické politiky. Počítače měly být kontrolovány jihokorejskými servery.
Osobní data 50 000 občanů Ohia unikla díky hackerské skupině AnonAcid – Records of 50,000 Ohio Citizens Leaked by Hacker in OpRollRedRoll. Má to být v rámci operace OpRollRedRoll. Uniklá data obsahují ID, jména, data narození, adresy a další osobní údaje.
Ubisoft probes sudden rash of hijack attacks on gamers' accounts, ke krádežím herních účtů na platformě Ubisoftu – Uplay. Docházelo k změnám e-mailových adres majitelů účtů. Souběžně byly hlášeny kompromitace účtů na Yahoo, Amazonu a EA (pravděpodobně jejich majitelé všude používali totéž heslo).
Indičtí hackeři jsou za únikem utajovaných e-mailů bangladéšských zpravodajců – Hacker leaks Bangladesh Intelligence classified Emails. Jedná se o útok na server Directorate General of Forces Intelligence Bangladesh (DGFI – www.dgfi.gov.bd).
Anonymous
Anonymous: v roce 2013 se vrátíme – Anonymous: ‚Expect us 2013‘. V článku je komentováno jejich vyjádření. Na stránce Anonymous: We'll be back in 2013 jsou uvedeny informace o posledních aktivitách skupiny.
Hardware
29C3 – úspěšný útok na HW šifrování pevných disků – 29C3: successful attack on encrypting hard drives. Demonstroval ho Tilo Müller. Přišel přitom s několika variantami tohoto útoku.
29C3 – přílišná důvěra v USB klíčenky nás může zklamat – 29C3: When USB memory sticks lie. Na konferenci to demonstroval Travis Goodspeed.
Hacker-Attacken auf Autos: Abstürzende Neuwagen – k nebezpečí hackerských útoků na automobily, to je malý výhled do ne příliš vzdálené budoucnosti.
Hackeři prolomili kopírovací ochranu u Nintendo 3DS – Hacker knacken Kopierschutz von Nintendos 3DS. Někteří hackeři (crackeři) hlásí, že mají plný přístup ke všem funkcím Nintendo 3DS.
VoIP
29C3: Big bugging with Cisco VoIP phones – existuje možnost odposlechu prostřednictvím VoIP telefonů společnosti Cisco. Na akci 29C3 na tuto možnost poukázali (a předvedli ji) bezpečnostní odborníci z Columbia University.
Opencard
Milking the Digital Cash Cow. Extracting Secret Keys of Contactless Smartcards – 29C3: ukázka prolomení Opencard. Verze s českými titulky pak zde – YouTube.
Mobilní zařízení
Aplikace pro Android a SSL – Android apps and SSL: Where's the padlock?. Michael Kassner se pokouší rozebrat se v této dosud značně problematické sféře.
Budget mobil se může stát GSM základnovou stanicí – 29C3: Budget mobile turns into GSM base station. Na konferenci 29C3 to předvedl belgický hacker Sylvain Munaut.
Mobilní zařízení se stanou budoucím nástrojem pro DDoS útoky – Mobile devices set to become next DDoS attack tool. Souvisí s tím nedostatečná bezpečnost většiny těchto zařízení. Viz také přehled společnosti – Javelin.
Mobilní malware
Na telefony Čechů útočí trojský kůň. Posílá placené SMS, z úvodu: Majitele telefonů s operačním systémem Android okrádá trojský kůň SMS Boxer. Informoval o tom výrobce bezpečnostního softwaru Eset. Uživatelé přicházejí o peníze tak, že se jejich infikovaný mobil skrytě přihlásí do zpoplatněných SMS služeb. Majitel smartphonu následně tyto příchozí zprávy nevidí, protože je SMS Boxer zablokoval. Uživatel o nich neví, dokud mu nepřijde vyúčtování.
Spam
Abyste mohli nakupovat online musíte se registrovat. Potom ale jste předmětem spamu. Takový je život – bohužel. Autor Ever had to register to buy online – and been PELTED with SPAM? komentuje současnou situaci, řešení nenabízí, ono také není vidět.
Elektronické bankovnictví
DDoS útoky – předpověď pro rok 2013 – DDoS Attacks: 2013 Forecast. Tracy Kitten pokračuje v sérii článků, které jsou věnovány této problematice. Vyhlídky nejsou optimistické.
DDoS hacktivisté – žádná americká banka není chráněná – DDoS Hacktivists: No U.S. Bank is Safe. Skupina Izz ad-Din al-Qassam Cyber Fighters varuje – připravuje nové útoky. Viz také komentáře:
Elektronický podpis
Objevily se podvržené certifikáty pro google.com – Browser makers rush to block fake Google.com security cert. Díky omylu ho vydala turecká certifikační autorita Turktrust (v srpnu 2011).
Viz také komentář – Google finds unauthorized certificate for google.com domain, scrambles to protect users.
Stanovisko společnosti Google je pak zde – Enhancing digital certificate security.
Reakce společnosti Turktrust je komentována v článku Rogue Google SSL certificate not used for dishonest purposes, Turktrust says.
Další komentáře:
- Falsch vergebene Zertifikate ermöglichen Imitate von Google-Sites
- Errant Google Domain Traced To CA´s Mistakes
- Microsoft, Mozilla and Google block fake Google digital certificates
- TURKTRUST Incident Raises Renewed Questions About CA System
Jak se bránit proti kompromitovaným certifikátům – Defending Against Compromised Certificates. Doporučení na dvou dvoustranách vydala NSA.
Kryptografie
Codebreaking and the Stalingrad pocket battles – luštitelé šifer a bitva u Stalingradu, to je zajímavé historické ohlédnutí.
RSA factorization in the real world – přednáška na 29C3 je zajímavým přehledem týkajícím se jednoho z nejčastěji používaných kryptosystémů. Ve svém vystoupení jeho autoři (Daniel J. Bernstein, Tanja Lange, Nadia Heninger) říkají například, že NSA by již dnes měla umět faktorizovat RSA 1024.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.