Bezpečnostní střípky: patří soukromí online mezi vaše priority?

Konference a přehledy

V článku Cybercrime increasing faster than company defenses je uvedeno shrnutí závěrů přehledu CyberSecurity Watch Survey, na jehož přípravě se podíleli: CSO + the U.S. Secret Service + Software Engineering Institute CERT Program at Carnegie Mellon University + Deloitte’s Center for Security & Privacy Solutions. Proti roku 2007 klesl počet obětí útoků, zato se výrazně zvýšil počet útoků na jednotlivé postižené organizace. Přehled s úvodním krátkým komentářem najdete na stránce Center for Security & Privacy Solutions. Ještě jeden komentář k přehledu CyberSecurity Watch Survey je v článku Many cybercrimes go unreported, konstatuje se zde, že velká část kybernetické kriminality zůstává neoznámena, a to především díky tomu, že zůstala nezjištěna.

Vydána byla dále zpráva 2009 Annual Study: Cost of a Data Breach (Ponemon Institute) (nezbytná je registrace). Komentáře k výsledkům studie jsou obsaženy v článcích:

• Report: Data Breach Costs On The Rise
• Survey: Data breaches from malicious attacks doubled last year
• Ponemon Study Shows the Cost of a Data Breach Continues to Increase

UK Security Breach Investigations Report – An Analysis of Data Compromise Cases 2010, tento přehled připravil britský forenzní vyšetřovatelský tým 7Safe. Komentář k této zprávě je pak na stránce – Study confirms demise of the myth of attacks from within. Podle závěrů této zprávy je jen minimum (dvě procenta) datových průniků zaviněno interními útočníky.

Zprávu společnosti MCAfee najdete na odkazu In the Crossfire: Critical Infrastructure in the Age of Cyber War. Komentář ke zprávě je obsažen v článku Report: Critical Infrastructures Under Constant Cyberattack Globally. Za útoky těchto typů jsou (jak se všeobecně věří) nejen individuální hackeři, ale i státy a různé instituce a společnosti a také teroristé. Nejčastěji pochází ze Spojených Států a Číny. Viz také – Cyberattacks from U.S. „greatest concern“.

Tento týden se koná konference Black Hat (US) – Black Hat: Security researchers to target Adobe Flash, Web design flaws. V článku popisuje Ellen Messmer některé chystané přednášky.

Obecná a firemní bezpečnost IT

S top 5 doporučeními k ochraně soukromí online přichází Message Systems (Top 5 online privacy tips):

• Přemýšlejte o tom, s kým budete sdílet své osobní údaje
• Chraňte bezpečí dětí další vrstvou ochran
• Aktualizujte SW
• Zabezpečte svou domácí síť
• Přátelé neposílají přátelům řetězové e-maily

Obdobná otázka je řešena v článku Data Privacy Day: Playing It Safe Online (Cisco):

• Ptejte se, jak vaše data budou použita, za jakých okolností a kým
• Pro ty kdo využívají P2P – velice pečlivě zkontrolujte svá nastavení
• Pokud máta bezdrátovou síť – potlačte SSID, omezte přístup k určitým MAC adresám a používejte šifrování WPA 2 s kvalitním hes­lem
• Používejte vhodné prostředky, které skutečně zaručí destrukci vašich dat, jak papírových tak elektronických
• Pokud návštěvník použije váš počítač či bezdrátovou síť, změňte potom heslo
• Šifrujte

Deset doporučení pro bezpečný provoz IT ve veřejném sektoru připravil Network Box (10 tips for securing the public sector):

• Ujistěte se, že systémy jsou aktualizovány a záplatovány. Mějte připravenu nějakou cestu k tomu, abyste tuto skutečnost dokázali monitorovat.
• Pamatujte, že bezpečnost je o více skutečnostech než jsou e-maily. Firewall, detekce průniků a prevence průniků, přístupové politiky a VPN sem také patří.
• Prověřujte ty aplikace a systémy používané uvnitř organizace a jsou součástí ISO 9001 alespoň jednou za čtvrt roku.
• Ujistěte se, že data protékají patřičnými kanály a nic se nevyhýbá bezpečnostním systémům (to je častá příčina zranitelností).
• Vychovávejte zaměstnance, je třeba, aby si udržovali přehled o tom, jakou roli mají ve vztahu k bezpečnosti a ochraně dat (omezení v přístupech k těmto datům).
• Používejte chráněné VPN pro zaměstnance pracující z domova tak, aby data neodešla mimo chráněné servery.
• Nedovolte, aby si zaměstnanci stahovali cokoliv, co není povoleno bezpečnostním týmem (jako třeba P2P software)
• Šifrujte veškerá data a chráněná hesla na mobilních zařízeních a noteboocích.
• Ověřujte veškerá výstupní data a stejně tak i vstupní data s ohledem na možné úniky.
• Zvažujte celkové náklady běžících bezpečnostních systémů. Specializované řízené služby mohou snížit náklady o 20 až 40 procent.

Bezpečnostní hrozby, které nezastaví váš antivir ani antimalware – Stop 11 Hidden Security Threats. Tony Bradley v rozsáhlém článku popisuje dnešní hrozby (skrytého charakteru) takové, které ohrožují běžné uživatele. Obrana proti nim však nespočívá v instalaci bezpečnostního SW. V závěru článku najde čtenář několik odkazů na stránky, kde jsou v tomto směru další užitečné informace. Popisované hrozby:

• Zkrácené URL
• Údaje posbírané z vašeho profilu
• Podvodníci v sociálních sítích
• Špehování po internetu
• Scareware
• Texty jako trojské koně
• Ztracené notebooky, prozrazená data
• Zlodějské přístupové body bezdrátu
• Slabá bezpečnost bezdrátu
• Ohrožené zálohy dat
• Nezáplatovaný software (nejen u Windows)

Bradley také formuluje pět bezpečnostních mýtů (pověr):

1. Nemám nic, co by útočníka mohlo zajímat
2. Mám nainstalovaný antivir, tj. jsem chráněn
3. Bezpečnost je problémem pouze u Windows
4. Můj router má firewall, tj. mé PC je chráněno
5. Protože chodím pouze na velké weby (s reputací), nemám se čeho obávat

Oil companies hit by ‚state‘ cyber attacks, says report – počítačový útok na naftové společnosti, servery, na které byla zasílána ukradená data, jsou umístěny v Číně. Důvody útoku jsou komentovány v článku Hackers Targeted Oil Companies for Oil-Location Data. Je zde vidět snaha o získání informací k novým ložiskům nafty.

USA – nový bezpečnostní koordinátor říká: prezident mě naslouchá – New cybersecurity coordinator says he has the president’s ear. To je první vystoupení Howarda Schmidta po jeho ustavení do funkce. V komentáři jsou zopakovány hlavní cíle jeho práce, které jím byly zformulovány při ustavení do funkce.

Deset doporučení k ochraně podnikatelských dat zformulovala Cintas Corporation – Top 10 tips for protecting business data (zavedený program pro správu dokumentů, schéma pro udržování dokumentů, pravidelné skartace atd.).

Německý soud rozhodl: rodiče odpovídají za chování dítěte online – German court rules that a parent is responsible for their child's downloading and web activity. Odpovídají za to, co dítě stahuje a za jeho další aktivity na internetu.

Rozhovor s nigerijským podvodníkem najdete v článcích Interview with a scammer – Part One, Interview with a scammer: Part Two. Je mu 23 let a právě byl propuštěn z nigerijského vězení, kde si odseděl dva roky. Nyní studuje ve Velké Británii. Aby se rehabilitoval, pomáhá nigerijským orgánům v boji proti podvodům, sám se na nich už nepodílí. V článku vysvětluje postupy, které ve své minulosti používal a které stále používají gangy zabývající se touto problematikou.

Počítačová kriminalita – policie se k ní nestaví seriózně – Claim made that cyber crime investigation is not proper police work. Podle kriminologického ústavu Univerzity v Leicesteru není počítačová kriminalita považována za vlastní součást policejní práce.

Jsou online profily nebezpečím pro soukromí? V článku Are online profiles a danger to privacy? jsou popsána možná rizika a uvedeno několik doporučení:

• Omezujte podrobnosti
• Rozeberte svá nastavení a uveďte je do podoby s optimem ochrany
• Přemýšlejte u her a kvízů, pochází z důvěryhodného zdroje?
• Používejte kvalitní hesla

Britské ministerstvo obrany objevilo 16 úniků informací v sociálních sítích – Ministry of Defence reveals 16 information leaks in the last 18 months due to social networking use. A to během posledních 18 měsíců, týkalo se to utajovaných (!) informací.

Interní šetření, základní informace, které vás povedou k tomu, jakou cestou by takovéto šetření mělo probíhat, najdete na stránkách csoonline.com – Internal Investigations: The Basics. V některých situacích k tomu dojít musí. Článek obsahuje odpovědi na 11 zformulovaných otázek (odpovědi byly získány z doporučení odborníků v předešlých článků na csoonline.com).

The state of encryption in Europe aneb jak se šifruje v Evropě. je to shrnutí přehledu, který zpracoval Stephen Midgley (Absolute Software). Závěry nejsou zrovna povzbuzující.

Po Obamově projevu byly napadeny stránky amerického Kongresu. V článku Congressional sites defaced after Obama speech je jedna taková stránka zobrazena. Viz také – U.S. House leaders ask for investigation into hackings.

Ještě k Auroře

Me on Chinese Hacking and Enabling Surveillance – USA umožnily čínský hack Google, to je diskuse na Schneierově blogu k jeho nové eseji U.S. enables Chinese hacking of Google. Google vytvořil ve svém systému zadní vrátka na základě požadavku americké vlády a tato vrátka byla zneužita čínskými hackery. Viz také:

• Security specialist: USA made Google hack possible
• China rejects accusations on Google hack, Internet freedom

Stránky čínských aktivistů byly napadeny útokem DDoS – Chinese human rights sites hit by DDoS attack. Napsán je další paragraf v boji Google vs. Čína.

Jak „pracovali“ útočníci na Google? Elinor Mills – Report: Attackers sent Google workers IMs from ‚friends‘: lidé, kteří jsou za těmito útoky, vyhledávali kontakty na klíčové lidi firmy v sociálních sítích a kontaktovali je jako tzv. jejich přátelé a pak jim zaslali odkaz, který vedl k malware.

Byl zpochybněn důkaz o čínském autorství Aurory – ‚Aurora‘ code circulated for years on English sites. Where's the China connection?. Algoritmus, který měl být k dispozici pouze na stránkách v čínském jazyce, byl už celé roky k dispozici i na webech v angličtině.

Software

Zabraňte tomu, aby vás Google sledoval – GoogleSharing: A way to prevent tracking by Google. GoogleSharing je přídavek k Firefoxu (jeho autorem je Moxie Marlinspike), umožňuje anonymizovat osobní informace.

Ďábel se skrývá v pluginech prohlížečů, Vojtěch Bednář na Lupě k častému opomenutí uživatelů: Webové prohlížeče jsou v současnosti nejvíce zřetelným a nejdiskutovanějším zdrojem bezpečnostních rizik při práci s Internetem. Jsou jím však doopravdy? Za většinu havárií prohlížečů a řadu bezpečnostních rizik mohou pluginy.

Nové bezpečnostní vlastnosti Google Chrome 4 popisuje Brian Prince – Google Chrome 4 Bolsters Browser Security with New Features. Jsou mezi nimi i nové ochrany proti XSS útokům.

Jak si nainstalujete a nakonfigurujete Microsoft Security Essentials? Takovéhoto průvodce připravil Mark Kaelin – How do I install and configure Microsoft Security Essentials?.

Zranitelnosti IE a Windows umožňují přístup k libovolnému souboru na vašem disku – IE Windows vuln coughs up local files. One click bares entire C drive. Říká to Jorge Luis Alvarez Medina (Core Security). Stačí k tomu, abyste brouzdali po Twitteru nebo jiné stránce typu Web 2.0. Medina chce tento útok demonstrovat na konferenci Black Hat příští měsíc. Cesta k opravě však není pro Microsoft jednoduchá, vyžaduje řadu zásadních změn. Jeho vystoupení (3. února 2010) je věnován také článek  – Researcher to reveal more Internet Explorer problems.

Real Player – odstraněno bylo 11 zranitelností – Eleven vulnerabilities in RealPlayer fixed. Autor článku říká – nejlepší cesta bude asi – odinstalace …

Soubor penetračních nástrojů Complemento je součástí BackTrack 4 Final a obsahuje nástroje LetDown, ReverseRaider a Httsquash – Collection of penetration testing tools.

Byl vydán Apache SpamAssassin 3.3.0 – Apache SpamAssassin 3.3.0 released. Tento open source e-mailový filtr si lze stáhnout zde.

Malware

Zimuse útočí, malwarová destrukce ožívá, to je podrobnější komentář k jednomu červu, který má v občance slovenský původ. Viz také komentář Johna Leydena – Slovak biker spat linked to rare destructive worm.

Hackeři

Otázky okolo hacku Banán.cz zůstávají, Martin Malý na Lupě: Martin Malý: V průběhu minulého týdne byly hacknuty servery společnosti banan s.r.o., která poskytuje webhostingové služby několika tisícům zákazníků. Až po delším čase se objevilo tiskové prohlášení, označené jako vyjádření provozovatele, které však vyvolalo víc otázek, než na kolik jich odpovídá. Pojďme si události okolo hacku hostingu banan.cz shrnout. Další informace jsou v článku Davida Procházky Banan.cz potřetí napaden hackery.

Předmětem bizarního SSL útoku jsou mimo jiné CIA a PayPal – CIA, PayPal under bizarre SSL assault. A týká se to dalších stovek organizací. Infikované stránky (botnet Pushdo) navazují s „obětmi“ útoku spojení SSL – spolu s trochou smetí, jinak nic však nechtějí, rozpojí se a celý cyklus opakují znovu.

Hardware

Once impenetrable PS3 cracked wide open, článek informuje hacku PS3, jehož autorem je George Horz.

Playstation 3 (PS3) Finally Hacked & Exploit Released , tento komentář k situaci obsahuje již i odkaz na popis postupu hackera. Viz také článek – PlayStation 3 hack released online.

VoIP

Šifrování hlasu lze u většiny existujících produktů obejít – Basic vulnerability found in most voice encryption products. Notrax pomocí dostupného SW a jím „vyrobeného“ trojana dokáže odposlouchávat konverzaci v reálném čase, útok přitom zůstane nedetekován. V článku jsou vyjmenována testovaná řešení, pouze 3 z 16 analyzo­vaných obstála. Viz popis – Voice Encryption: 9 out of 10 Products are Worthless (Technical Description).

Elektronické bankovnictví a obchodování online

3-D Secure – autentizační protokol pro online karetní transakce – byly popsány jeho slabiny – Veried by Visa and MasterCard SecureCode: or, How Not to Design Authentication (vystoupení Steven J. Murdocha a Rosse Andersona na konferenci Financial Cryptography). Autoři uvádí některá doporučení pro zvýšení bezpečnosti. Viz také diskuzi – How online card security fails a komentář Toma Espinera – Cambridge researchers knock Verified by Visa. Objevila se potom Murdochova reakce Why is 3-D Secure a single sign-on system?, ve které vysvětluje, proč se na 3-D secure dívají jako na systém single-sign-on.

Počítačová krádež? Texaská banka obviňuje oběť krádeže 800 000 dolarů – Bank sues victim of $800,000 cyber­theft. V listopadu kdosi (z Rumunska a Itálie) převedl z konta banky (PlainsCapital bank) peníze. Konto patřilo společnosti Hillary Machinery, Inc., která nyní viní banku z nedostatečné ochrany online transakcí. Naopak banka nyní podala žalobu na tuto společnost. Soud by měl ověřit, že postupy banky jsou dostatečně bezpečné.

Velká Británie – online podvody tvoří největší podíl ze ztrát obchodníků – Online fraud a significant revenue loss for merchants. V komentáři ke zprávě Sixth Annual UK Online Fraud Report je konstatováno, že obchodníci ztrácí díky těmto online podvodům 1,8 procenta online zisku. Přibližně 1,6 procenta objednávek je podvodných. Podezřelých zamítnutých objednávek je 4,6 procenta.

Elektronický podpis

Získat SSL certifikáty zdarma, to pro určitá použití může být výhodné. Z pohledu uživatele (druhá strana) ovšem může vzniknout otázka autentičnosti majitele certifikátu – SSL for free.

Normy a normativní dokumenty

Americký NIST v uplynulém týdnu vydal:

• Special Publication 800–38E – Recommendation for Block Cipher Modes of Operation: The XTS-AES Mode for Confidentiality on Storage Devices

Kryptografie

The enduring cipher: Unbreakable for nearly 100 years, Chad Perrin se zde obrací k používání Vernamovy šifry (jednorázové heslo). Nezaškodí si zopakovat výhody a nevýhody této nerozbitelné šifrovací metody.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.