Bezpečnostní střípky: Opencard na 29C3

Obecná a firemní bezpečnost IT

Spektrum bezpečnostních hrozeb se rychle rozšiřuje – The threat landscape continues to expand rapidly. Článek obsahuje poznámky k výsledkům přehledu společnosti ThreatMetrix. Hrozby jsou rozděleny do následujících odstavců: Government, E-Commerce and financial services, Enterprise, Insurance, Mobile and social.

29C3: Was aus dem 57-Sekunden-Gesetz wurde, dvojice přednášejících na 29C3 se tentokrát věnovala německé legislativě.
Události se věnuje také komentář:

• 29C3: Chaos macht Schule veranstaltete Junghackertag

Podmínky služby mohou být bezpečnostní hrozbou – Terms of Service as a Security Threat. Problémem se zabývá Bruce Schneier, který ho rozebírá na příkladu společnosti Prezi. Všimněte si také připojené diskuze.

Kyberkriminalita v Meklenbursku – je očekáván nárůst trestných činů – Cybercrime-Bilanz: Mecklenburg-Vorpommern erwartet mehr Straftaten. Několik čísel charakterizuje současnou situaci a její vývoj.

Reálný život a aplikace sociálního inženýrství, to je zajímavý, zatím čtyřdílný seriál:

• Real Life and the Application of Social Engineering Part I
• Real Life and the Application of Social Engineering Part II
• Real Life and the Application of Social Engineering Part III
• Real Life and the Application of Social Engineering Part IV

Největšími narušiteli cloudové bezpečnosti jsou top manažeři – The greatest violators of IT cloud security policies: top executives. Článek je věnován výsledkům přehledu společnosti Nasuni (k němu je nezbytná registrace).

Přemýšlíte o protiútoku? Triky k oklamání jsou lepší – Thinking of a counterattack? Deception is better, say experts. Obvykle totiž nezjistíte odkud útok přichází. Navíc takovéto aktivity mohou být i ilegální.

Jak hovořit o bezpečnosti s lidmi tak, aby tomu naslouchali – How to talk security so people will listen (and comply!). Autor článku s tímto cílem osvětluje pět možných technik.

Deset tipů k zabezpečení vaší domácnosti (na které jste nepomysleli) – 10 Home Security Tips You Haven't Thought Of. Tuto slideshow připravila Sue Marquette Poremba.

94 procent zdravotnických organizací ohlásilo v posledních dvou letech datový průnik – Study: 94 Percent of Healthcare Organizations Breached. Článek obsahuje komentář k přehledu společnosti Ponemon Institute – Third Annual Benchmark Study on Patient Privacy & Data Security.

Velký čínský firewall byl aktualizován. Podle některých názorů může Čína nyní také sledovat mezinárodní společnosti, které v zemi fungují – Could China blocking VPNs lead to spying on business?.

Přelom let 2012/2013

China dominates 2012 cybersecurity talking points, Rok 2012 a o čem se hovoří v otázkách kybernetické bezpečnosti. Čína dominuje. Situaci rozebírá Ellyne Phneah.

Security lessons from 2012 – bezpečnostní ponaučení z roku 2012. Jaikumar Vijayan konstatuje, že ve vztahu k apokalyptickým předpovědím se rok 2012 ukázal zase ne tak tragickým. Shrnuje pak významné bezpečnostní události roku.

Věci, které nenastaly: nesprávné bezpečnostní předpovědi pro rok 2012 – The Year That Didn't Happen: 2012's Incorrect Security Predictions. Je určitě užitečné projít si i takovýto přehled obsahující pohled z opačné strany.

Cílené útoky, slabá hesla jsou hlavní rizika roku 2013 – Targeted Attacks, Weak Passwords Top IT Security Risks in 2013. V článku je obsažen komentář k výsledkům zpráv společností Verizon a McAfee. Podle Verizonu se v roce 2012 devadesát procent útoků odvíjelo od slabého hesla anebo od ukradených a zneužitých přihlašovacích dat. V druhé části článku zaznívá varování před trojanem Citadel.

14 globálních IT bezpečnostních výzev pro rok 2013 – 14 global cybersecurity challenges for 2013. S tímto užitečným přehledem přichází David Gewirtz.

Další přehled top hrozeb pro rok 2013 najdete na BankInfoSecurity – Top Threats: The 2013 Outlook. Přehled připravila Tracy Kitten. Body přehledu:

• Organized Crime´s Motivations
• Hacktivists Want Attention
• Other Threats
• Organized Crime
• Action Items
• Hacktivists
• Nation-States
• Insiders

Software

Microsoft vydal nástroj opravující zranitelnost nulového dne pro IE – Microsoft Issues Tool to Repair Internet Explorer Zero-Day Security Vulnerability. Tato zranitelnost ovlivňuje verze IE 6,7 a 8.

Elite hacker gang pulls out another IE zero-day from bottomless pocket – kdo dal do oběhu nejnovější zranitelnost IE? Symantec ukázal na hackerský gang označovaný jako Elderwood. Za posledních 20 měsíců tento gang odhalil a použil celkem osm zranitelností nulového dne (pro IE anebo Adobe flash Player).
Viz také komentář – Latest IE attacks connected to espionage group.

Researcher sidesteps Microsoft fix for IE zero-day – nedostatečnost záplaty Microsoftu pro zranitelnost nulového dne IE. Peter Vreugdenhil dokázal obejít tuto záplatu na Windows XP s IE8.

Database hacking: The year that was – hackování databází, co vše se událo. Autor článku komentuje údaje v přehledu na stránce Privacy Rights Clearinghouse. Jsou zde informace ke všem datovým průnikům, které se v USA staly od roku 2005.

Bylo zpřístupněno FreeBSD 9.1 – FreeBSD 9.1 ist freigegeben. O vlastnostech této nové verze si můžete přečíst na stránce Release Notes.

SW Ruby on Rails – všechny dřívější verze ovlivněny chybou SQL injection – All Ruby on Rails versions affected by SQL injection flaw. Uživatelům se doporučuje aktualizovat na nové verze.

Německá BSI vydala varování ohledně bezpečnostní díry ve VLC – BSI warnt vor Sicherheitslücke im VLC Media Player. Je zapotřebí aktualizovat na verzi 2.05.

Průmyslový kontrolní SW v USA je stále stejně zranitelný. Shamoon a Stuxnet, poučení z nich je ignorováno – The lessons of Shamoon and Stuxnet ignored: US ICS still vulnerable in the same way. Informace o dvou útocích přinesl ICS-CERT Monthly Monitor.

Malware

Conficker útočí na milovníky fotografie – Conficker targets photography lovers. Aplikace (Chibo) Hama skener obsahuje variantu Conficker-B.
Viz také komentáře:

• Conficker unter dem Weihnachtsbaum: Dia-Scanner von Tchibo infiziert
• This photo slide scanner costs €60… The bundled malware? That´s free

McAfee varuje před útoky ransomwaru v roce 2013 – McAfee Says Beware of Ransom-Ware Attacks in 2013, to je další komentář ke zprávě společnosti – 2013 Threat Predictions.
Viz také komentář – McAfee Says Beware of Ransom-Ware Attacks in 2013.

Battling the Google Redirect virus – boj s virem Google Redirect, svoje zkušenosti popisuje konzultant Bob Eisenhardt.

Co dělat, když antivir označí váš program jako malware a vy jste si jistí, že tomu tak není? Lincoln Spector uvádí některé možnosti pro vaši činnost v tomto směru – Is this program malware or a false positive?

Špionážní malware

Tool Aids in Cracking Mysterious Gauss Malware Encryption – je šifrování v špionážním malwaru Gauss blízko rozbití? S novými poznatky přišel odborník Jens Steube.

Hackeři a jiní útočníci

Co útoky DDoS odhalí o vaší bezpečnostní infrastruktuře – What DDoS attacks reveal about your security infrastructure. Organizace, které úspěšněji vzdorují těmto útokům, se podle autora drží následujících pravidel:

• Increase focus on availability-security
• Understand the value & meaning of architecture as it relates to attacks
• Focus on the visibility they can get during an attack / attack detection quality
• Focus on real-time authentication & mitigation decisions
• Understand the value of emergency response and retaining offensive attack capabilities

Útok na amerického výrobce plynových mikroturbin – Website of US-based gas turbine maker also rigged with new IE exploit. Jedná se společnost Capstone Turbine Corporation, byla využita zranitelnost IE.

USA a útoky na průmyslové kontrolní systémy v roce 2012, to je předmět článku Industrial Control Systems Faced Nearly 200 Attacks: DHS. Americké ministerstvo národní bezpečnosti registrovalo v roce 2012 celkem 200 takových útoků.

Informace japonského ministerstva byly ukradeny – Japan ministry information reportedly stolen in cyberattack. Informace se měly týkat diplomatické politiky. Počítače měly být kontrolovány jihokorejskými servery.

Osobní data 50 000 občanů Ohia unikla díky hackerské skupině AnonAcid – Records of 50,000 Ohio Citizens Leaked by Hacker in OpRollRedRoll. Má to být v rámci operace OpRollRedRoll. Uniklá data obsahují ID, jména, data narození, adresy a další osobní údaje.

Ubisoft probes sudden rash of hijack attacks on gamers' accounts, ke krádežím herních účtů na platformě Ubisoftu – Uplay. Docházelo k změnám e-mailových adres majitelů účtů. Souběžně byly hlášeny kompromitace účtů na Yahoo, Amazonu a EA (pravděpodobně jejich majitelé všude používali totéž heslo).

Indičtí hackeři jsou za únikem utajovaných e-mailů bangladéšských zpravodajců – Hacker leaks Bangladesh Intelligence classified Emails. Jedná se o útok na server Directorate General of Forces Intelligence Bangladesh (DGFI – www.dgfi.gov.bd).

Anonymous

Anonymous: v roce 2013 se vrátíme – Anonymous: ‚Expect us 2013‘. V článku je komentováno jejich vyjádření. Na stránce Anonymous: We'll be back in 2013 jsou uvedeny informace o posledních aktivitách skupiny.

Hardware

29C3 – úspěšný útok na HW šifrování pevných disků – 29C3: successful attack on encrypting hard drives. Demonstroval ho Tilo Müller. Přišel přitom s několika variantami tohoto útoku.

29C3 – přílišná důvěra v USB klíčenky nás může zklamat – 29C3: When USB memory sticks lie. Na konferenci to demonstroval Travis Goodspeed.

Hacker-Attacken auf Autos: Abstürzende Neuwagen – k nebezpečí hackerských útoků na automobily, to je malý výhled do ne příliš vzdálené budoucnosti.

Hackeři prolomili kopírovací ochranu u Nintendo 3DS – Hacker knacken Kopierschutz von Nintendos 3DS. Někteří hackeři (crackeři) hlásí, že mají plný přístup ke všem funkcím Nintendo 3DS.

VoIP

29C3: Big bugging with Cisco VoIP phones – existuje možnost odposlechu prostřednictvím VoIP telefonů společnosti Cisco. Na akci 29C3 na tuto možnost poukázali (a předvedli ji) bezpečnostní odborníci z Columbia University.

Opencard

Milking the Digital Cash Cow. Extracting Secret Keys of Contactless Smartcards – 29C3: ukázka prolomení Opencard. Verze s českými titulky pak zde – YouTube.

Mobilní zařízení

Aplikace pro Android a SSL – Android apps and SSL: Where's the padlock?. Michael Kassner se pokouší rozebrat se v této dosud značně problematické sféře.

Budget mobil se může stát GSM základnovou stanicí – 29C3: Budget mobile turns into GSM base station. Na konferenci 29C3 to předvedl belgický hacker Sylvain Munaut.

Mobilní zařízení se stanou budoucím nástrojem pro DDoS útoky – Mobile devices set to become next DDoS attack tool. Souvisí s tím nedostatečná bezpečnost většiny těchto zařízení. Viz také přehled společnosti – Javelin.

Mobilní malware

Na telefony Čechů útočí trojský kůň. Posílá placené SMS, z úvodu: Majitele telefonů s operačním systémem Android okrádá trojský kůň SMS Boxer. Informoval o tom výrobce bezpečnostního softwaru Eset. Uživatelé přicházejí o peníze tak, že se jejich infikovaný mobil skrytě přihlásí do zpoplatněných SMS služeb. Majitel smartphonu následně tyto příchozí zprávy nevidí, protože je SMS Boxer zablokoval. Uživatel o nich neví, dokud mu nepřijde vyúčtování.

Spam

Abyste mohli nakupovat online musíte se registrovat. Potom ale jste předmětem spamu. Takový je život – bohužel. Autor Ever had to register to buy online – and been PELTED with SPAM? komentuje současnou situaci, řešení nenabízí, ono také není vidět.

Elektronické bankovnictví

DDoS útoky – předpověď pro rok 2013 – DDoS Attacks: 2013 Forecast. Tracy Kitten pokračuje v sérii článků, které jsou věnovány této problematice. Vyhlídky nejsou optimistické.

DDoS hacktivisté – žádná americká banka není chráněná – DDoS Hacktivists: No U.S. Bank is Safe. Skupina Izz ad-Din al-Qassam Cyber Fighters varuje – připravuje nové útoky. Viz také komentáře:

• DDoS attacks on banks continue into the New Year
• U.S. Banks Again Hit by Wave of Cyberattacks

Elektronický podpis

Objevily se podvržené certifikáty pro google.com – Browser makers rush to block fake Google.com security cert. Díky omylu ho vydala turecká certifikační autorita Turktrust (v srpnu 2011).
Viz také komentář – Google finds unauthorized certificate for google.com domain, scrambles to protect users.
Stanovisko společnosti Google je pak zde – Enhancing digital certificate security.
Reakce společnosti Turktrust je komentována v článku Rogue Google SSL certificate not used for dishonest purposes, Turktrust says.
Další komentáře:

• Falsch vergebene Zertifikate ermöglichen Imitate von Google-Sites
• Errant Google Domain Traced To CA´s Mistakes
• Microsoft, Mozilla and Google block fake Google digital certificates
• TURKTRUST Incident Raises Renewed Questions About CA System

Jak se bránit proti kompromitovaným certifikátům – Defending Against Compromised Certificates. Doporučení na dvou dvoustranách vydala NSA.

Kryptografie

Codebreaking and the Stalingrad pocket battles – luštitelé šifer a bitva u Stalingradu, to je zajímavé historické ohlédnutí.

RSA factorization in the real world – přednáška na 29C3 je zajímavým přehledem týkajícím se jednoho z nejčastěji používaných kryptosystémů. Ve svém vystoupení jeho autoři (Daniel J. Bernstein, Tanja Lange, Nadia Heninger) říkají například, že NSA by již dnes měla umět faktorizovat RSA 1024.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.