Bezpečnostní střípky: počet škodlivých webů vzrostl za poslední rok o 100 procent

Konference a přehledy

Ve dnech 8–11. listopadu 2010 se konala konference Black Hat Abu Dhabi 2010. Byl zde také diskutován červ Stuxnet – A Different Spin On Sleuthing Stuxnet anebo další komentář si lze přečíst zde – Black Hat promises new exploit techniques, Stuxnet insight.

Známý odborník Dan Kaminsky přišel zde s nástrojem Phreebird Suite, který si lze stáhnout také ze stránek konference (viz výše). Tento nástroj pomůže při konfiguracích DNSSec.

Who is responsible for database security? aneb kdo odpovídá za bezpečnost databází? To je shrnutí přehledu 2010 PASS Database Security Survey, který obsahuje celou řadu informací. Mj. je konstatováno, že databázoví administrátoři a manažeři pracují často naslepo, pokud se to týká celkové informační bezpečnosti, chybí efektivní podpora poskytovaná organizací a také nástroje, které by umožnily lépe identifikovat potenciální problémy (prevence).

Počet škodlivých webů vzrostl za poslední rok o 100 procent – Malicious websites increase by over 100% in a year. Informace pochází ze zprávy 2010 Threat Report, kterou připravila společnost Websense (pro přístup ke zprávě je nutná registrace). Viz také komentář – Malicious Websites Jump Dramatically in 2010 (Brian Prince).

Obecná a firemní bezpečnost IT

USA – vánoční online nákupy jsou letos větším rizikem než tomu bylo loni – Employees will take bigger risks during this holiday season. Tentokrát se jedná o shrnutí výsledků přehledu, který zpracovala ISACA. Tématice je blízký také článek Svátky jsou příležitost pro další vlnu podvodů Pavla Čepského.

Soukromé firmy jsou na tom s ochranou dat hůře než veřejný sektor, říká analýza, kterou provedl Information Commissioner´s Of­fice (ICO) – Public sector companies embrace data protection better than those in the private sector, according to ICO survey . Konstatuje se v ní, že v soukromém sektoru se k ochraně dat hlásí méně než 50 procent firem, zatímco ve veřejném sektoru je to více než 60 procent organizací. V článku není zmínka, kde byla tato analýza prováděna, předpokládám však, že to bylo ve Velké Británii.

Top 10 vulnerabilities inside the network aneb jakých je top 10 zranitelností uvnitř sítě. Derek Manky připravil následující přehled (k jednotlivým bodům jsou uvedena i určitá doporučení):

1. USB klíčenky
2. Notebooky a netbooky
3. Přístupové body bezdrátu
4. Různá USB zařízení
5. Interní neoprávněné přístupy
6. Lidský trojan
7. Optická média
8. Kdo vám stojí za zády
9. Chytré mobily a jiná digitální zařízení
10. E-mail

Opět je konstatována nejasná situace s bezpečností ve vztahu k výpočtům v cloudech (cloud computing) – A hazy view of cloud security. Dave Kearns komentuje výsledky přehledu (Courion). Jsou tristní, manažeři neví, kdo vlastně chrání jejich data.

China, US agree to combat cyber crime – Čína a USA – spolupráce na poli boje s počítačovou kriminalitou, jakou má dimenzi? Mělo by dojít k jejímu zkvalitnění (Fourth US-China Internet Industry Forum).

Tisková zpráva: Výzkum: Dvěma třetinám českých firem někdo ukradl data. Hradec Králové/Praha – Více než dvě třetiny malých a středních českých firem se setkaly s krádeží důležitých nebo citlivých dat ve své firmě. Vyplývá to z ročního výzkumu společností AutoCont a agentury Commservis.com, které se zaměřily na bezpečnost informačních technologií a serverů právě u společností a institucí do 150 zaměstnanců.

USA – datové průniky stojí nemocnice miliardy – Data breaches cost hospitals billions. Přesněji 6 miliard ročně, a to mnohé průniky zůstávají nezjištěny – konstatuje nedávná studie Ponemon Institute.

Cyber Jihadist Use of the Internet What Can Be Do?ne aneb kybernetický jihád na internetu. Jeff Bardin se rozebírá v hrozbách, které si možná ještě plně neuvědomujeme, které jsou však zcela reálné – Open source jihád.

Čína vydá jednotná pravidla pro tresty za počítačovou kriminalitu – China to issue unified rules on sentencing for cyber attack crimes. Příslušné právní dokumenty se mají objevit koncem tohoto roku.

Velká Británie potřebuje mít kapacity pro kybernetický útok – UK needs cyberattack capability, says defence minister. Prohlásil to britský ministr obrany. Británie je potřebuje jako odpověď na útoky, které by byly provedeny na národní kritickou infrastrukturu. Viz také komentář – NATO clause V could deter cyberattack, says defence minister.

Europe hobbled by lack of cyber-contact knowledge  – k výsledkům evropského kybernetického cvičení, konstatována je nedostatečná komunikace mezi jednotlivými státy. Reakce na incidenty byla v jednotlivých zemích různá, říká ENISA. Všichni měli problém pochopit, jak reagují další země. Neví, koho a jak kontaktovat.

Zaměstnanci, aby splnili úkoly, nedodržují bezpečnostní politiky organizace. Vyplývá to ze zjištění v šetření, které prováděla společnost Cisco – Employees bypass security policy in order to do their job .

Na internetové podvody se spíše nachytají ženy – Women more likely to fall for Internet fraud. Podle Knowthenet nejsnáze „naletí“ ženy ve věku od 25 do 34 let. Testu se zúčastnilo 2000 online spotřebitelů.

Top 10 hrozeb na internetu a cesty k tomu, jak je eliminovat (pohled manažera) – Top Ten Web Threats and How to Eliminate Them. Sedmistránková studie (MessageLabs) vyhodnocuje odpovědi 273 IT manažerů. Je zde ukázán následující žebříček online hrozeb:

• Trávení času na sociálních sítích a podobných stránkách (86 procent)
• Prosazovat akceptovatelné uživatelské politiky (53 procent)
• Možnost monitorovat, jak zaměstnanci používají internet (52 procent)
• Udržovat bezpečnostní systémy v aktualizované podobě (49 procent)
• Právní rizika vyplývající z toho, že zaměstnanci navštěvují nevhodné weby (44 procent) a náhodná prozrazení důvěrných informací online (57 procent)
• Udržet internetový provoz dostupný pro legitimní podnikání (44 procent)
• Ochrana vzdálených a doma pracujících zaměstnanců (42 procent)
• Zaměstnanci, kteří používají neautorizované webové aplikace (42 procent)
• Ochrana organizace proti spyware a malware (40 procent)
• Ochrana více kanceláří a lokací (19 procent obecně, ale 76 procent ve společnostech s více než 500 zaměstnanci)

Evropské cvičení bylo příliš orientované na útoky DDoS – Pan-Euro cyber security exercise ‚too focused‘ on DDoS. John Leyden se vrací k vyhodnocení průběhu cvičení. Shrnuje vyjádření některých odborníků (Bruce Hallas : málo byly vyzkoušeny útoky hackerského typu).

10 procent online populace v UK je obětí počítačové kriminality – Internet fraud continues to be a problem, as ten per cent of the online UK population are reported victims. I když procento obětí zůstává konstantní, objem průměrné finanční ztráty jednotlivce se zdvojnásobil (za posledního půl roku, v březnu 2010 to činilo 352 liber, nyní je to 697 liber).

The Executive Guide to Data Loss Prevention, to je příručka pro DLP (prevence ztráty dat). Stručný úvod k ní najdete na stránkách csoonline.com – The Executive Guide to Data Loss Prevention.

Bezpečnostní realita a pocity – zajímavá reakce na vystoupení Bruce Schneiera je obsažena na stránce Security reality vs. feelings: Steinberger on Schneier. Professor Ric Steinberger předkládá svou analýzu situací na bázi rozlišení reality a pocitů ve vtahu k bezpečnostním hodnocením.

Sociální sítě

Vlastní informace na Twitteru zradily britskou hvězdu rapu – Twitter muggers stab rap star in buttock. Gang, který ho přepadl (rapper skončil pobodán v nemocnici), věděl o jeho štaci v Southendu z informací na Twitteru.

Facebook a Twitter – neprošly nedávným bezpečnostním hodnocením – Facebook, Twitter fail latest security assessment . Provedla ho Digital Society a hodnocení se týkalo využívání SSL a odolnosti vůči útokům na tento typ spojení. Zjištěné nedostatky vedou například k tomu, že je možné vytvářet falešné stránky Facebooku pro přihlašování a zjišťovat tak přihlašovací data uživatelů.

Google varuje, nepřevádějte své kontakty do Facebooku – Google alerts users to Facebook contacts ‚trap‘. Zdá se, že obě společnosti se nyní zrovna nemusí. Pravda je, že podobné akce je třeba zvážit a… nedoporučit.

Facebook: hackování, bezpečnost a obavy o soukromí jsou tématem článku Facebook Hacking, Security, and Privacy Concerns. Alexis Bonari se zamýšlí nad dopady nastavení ochrany soukromí na Facebooku.

Software

Populární soubor nástrojů pro počítačovou kriminalitu obsahuje nyní i exploit pro nezáplatovanou zranitelnost IE  – Exploit toolkit latches onto IE flaw. Jedná se o Eleonore Exploit Kit (stojí několik stovek dolarů).

Špatně spravované šifrovaní vede k finančním ztrátám – Mismanaged data encryption causes financial loss. Článek shrnuje výsledky přehledu společnosti Venafi. Správa šifrování v organizaci má vycházet ze zadokumentované politiky.

IE Attacks Rise as More Malware Exploits Zero-Day – útoky na IE narůstají, MS zatím záplatu nevydal. Viz také – Microsoft Plugs Office Holes, But No IE Fix Yet.

Skener zranitelností Nessus byl vydán ve verzi 4.4.0 – Nessus vulnerability scanner 4.4.0 released. Obsahuje několik nových funkčností, v článku najdete jejich přehled.

Firesheep

Rozšíření Firefoxu detekuje Firesheep – Firefox extension detects FireSheep snoop software. Nese označení Blacksheep, jako bezplatný SW ho zveřejnila společnost ZScaler. Má varovat uživatele v místní síti před tím, když někdo chce použít Firesheep (např. ke krádeži nešifrovaných cookies pro přístup na stránky účtů). Podrobnosti k Firesheepu a jeho funkčnostem najdete na stránce Hacking made easy: Protecting yourself from the Firesheep extension.

Firesheep, jeho autor říká, že protiopatření jako Blacksheep nemohou být účinná – Firesheep developer poohpoohs mitigation tools. Eric Butler reaguje na vydání Blacksheepu společnosti ZScaler. Totéž platí i o jiném protiopatření FireShepherd.

Firesheep není problémem jenom pro bezdrát – Firesheep and Sidejacking Not Just a WiFi Problem. Andrew Garcia se ve svém článku pokouší zamyslet se nad celým problémem hlouběji. Otevřený bezdrát je nejsnazší cestou pro realizaci exploitu, nikoliv však cestou jedinou.
Viz také – Firesheep, Blacksheep, and Protecting Your Wi-Fi Data. Autorem tohoto článku je Tony Bradley, zabývá se problémem ve vztahu k bezdrátu.

Malware

Trojan ZeuS poráží detekční nástroj Microsoftu – Zeus Trojan defeats Microsoft security tool. Sotva týden potom, co Microsoft ho přidal do svého volně dostupného souboru nástrojů Malicious Software Removal Tool (MSRT) se objevila nová verze trojana ZeuS, kterou MSRT již nedetekuje.

Švýcarský aktivista spustil server, který má hlídat SpyEye – Spy versus spy: Tracker for SpyEye control servers launched. Administrátoři si mohou od něho stáhnout blacklist. Viz také komentář Johna Leydena Tracking website eyeballs SpyEye.

Je řešení problému s botnety na obzoru? Článek A viable answer to the botnet problem? informuje o metodách, které vyvíjí dva analytici Peter Greko a Fabian Rothschild z Miami. Mají je tento týden prezentovat na konferenci OWASP AppSec.

Malý přehled botnetů najdete na stránce Many Botnets, So Litte Time. Je uveden ve formě slideshow (desítka hrozeb za nimiž stojí botnety).

Viry

Objevily se protesty bezpečnostních firem proti plánům Microsoftu – Security major strops over MS free scanner auto-downloads . Týkají se záměru Microsoftu – Security Essentials by měl být k dispozici pro automatické stahování. Viz také komentář Prestona Grally – Trend Micro is Wrong to Cry Foul About Microsoft Security Essentials.

Falešné antiviry – přesvědčují o nich poplašnými zprávami na Skype – Fake AV scams via Skype Chat. Oskenujte si okamžitě systém…

Hackeři

Opětný PHP útok na stránky hostující u význačného hostingu GoDaddy je předmětem komentáře – PHP Attack Hits GoDaddy-Hosted Sites Again. Útokem jsou ovlivněny některé PHP webové aplikace. GoDaddy hostuje více než 4,3 miliónu webů, útok se týká asi půl procenta zákazníků.

Jak se také brání autoři malware (ve vztahu k bezpečnostním analytikům) – How Malware Authors Fight Off Security Researchers. Článek informuje o postupu, který se nedávno objevil. Hackeři vytvořili falešný toolkit (cosi jako lákadlo – honeypot), tento na své konzoli zaznamenával veškeré pokusy o přistup či hack.

Stránky britského námořnictva byly hacknuty prostřednictvím SQL injection – Hacker Hits British Navy Website with SQL Injection Attack. Hacker s přezdívkou TinKode takto ukradl administrátorská hesla a jména uživatelů. Útok se objevil v měsíci, kdy byla vyhlášena zvýšená pozornost v boji proti kybernetickým útokům. Užitečný je zde určitě odkaz na stránku Four Database Security Tips for Dealing with SQL Injections, kde lze nalézt doporučení organizacím, jak se vyhnout SQL zranitelnostem.

Jste obětí hacku? Informujte o tom na novém webu  – Get hacked and spill the beans, anonymously. Elinor Mills informuje o aktivitě společnosti Verizon Business, která zpřístupnila web, kde lze ohlásit bezpečnostní incident.

Hardware

Pianista si dal svůj notebook do opravy a … přišel pak o 20 miliónů dolarů – Man loses 20 million after taking laptop for repair. Těžko uvěřitelná historie je také o lidské naivitě, ne-li hlouposti.

Bezdrát

On password protected free wifi… – k volně dostupné bezdrátové síti chráněné heslem. Takehiro Takahashi a Tom Cross se zabývají myšlenkou (Chester Wisniewski) z blogu společnosti Sophos – Dear Starbucks: The skinny on how you can be a security hero, kde je navrhováno použít šifrování WPA/WPA2-PSK s tím, že je obecně známé heslo pro přístup, např. FreeWifi. Autoři diskutují bezpečnost různých variant.

Mobilní telefony

iPhone telefonuje bez povolení vlastníka, poukazuje na to Nitesh Dhanjani – iPhones make calls without permission, researcher warns.

G2 Android Phone, o odstranění ochran (jailbreak) informuje Lauren Weinstein – „Uncrackable“ G2 Android Phone Successfully and Permanently Rooted – and Why This Matters!.

Android, byly nalezeny chyby umožňující útočníkovi nainstalovat malware – Android bugs let attackers install malware without warning. Zranitelnosti objevili Jon Oberheide a Zach Lanier.

Spam

Objem spamu v posledních třech měsících poklesl – Botnet takedowns curb spam volumes. Má to být důsledek „znehybnění“ některých botnetů (Bredolab, Zeus).

Elektronické bankovnictví

V Moldávii byli uvězněni další peněžní soumaři z gangu, který pracoval s botnetem ZeuS – Bank insiders charged in ZeuS cybercrime smackdown. Všech šest pracovalo jako zaměstnanci bank (!).

První platební kartě s generátorem hesla je věnován článek First credit card with password generator. V stručné informaci však není zmíněno, zda řešení prošlo nějakým bezpečnostním hodnocením. Další podrobnosti jsou v článku – Gemalto launches credit card with built-in password generator.

Bezpečnostní obavy vedou každého třetího uživatele k tomu, aby nepoužíval online bankovnictví – Security concerns make 1 in 3 users avoid online banking. Konstatuje to přehled společnosti Avira, který byl zpracován na základě 3127 odpovědí.

Autentizace, hesla

SW od Elcomsoftu umí nyní získat hesla také z prohlížečů Firefoxu, Safari, Chrome a Opery – ElcomSoft breaks Firefox, Safari, Opera, and Chrome passwords. Jedná se o program Internet Password Breaker. Již dříve „uměl“ MS IE a další programy.

Jak často měnit hesla, na toto téma napsal esej Bruce Schneier – Changing Passwords. Schneier říká, záleží na tom kde. Rozebírá k tomu možné situace.

Phishing

Narůstá počet phisherských útoků prováděných v reálném čase – Real time phishing attacks increase. Bankovní přihlašovací data ukradená uživateli jsou okamžitě použita pro podvodné přihlášení se k bankovnímu účtu a provedení zde podvodu.

NSA

NSA a historie technologií TEMPEST, výňatky (týkající se TEMPEST) jsou převzaty z rozsáhlejších dokumentů, zbavených nyní utajení – Cryptome.

NSA – většina postupů, které používáme v našem vývoji, existuje v otevřených zdrojích – NSA: Our Development Methods Are in the Open Now. Článek je komentářem k vystoupení Neila Ziringa (technický ředitel NSA) na akci OWASP AppSec conference. Ziring zejména zdůraznil potřebu bezpečnosti vyvíjených aplikací.

Exploring the NSA through world expert on cryptology aneb David Kahn a NSA. Tento známý autor (The Codebreakers) daroval svoji monumentální sbírku muzeu NSA (National Cryptologic Museum). Článek byl sepsán při této příležitosti.

Zajímavé odkazy

Kvantové výpočty – jaký je současný stav vyvíjených technologií? John Markoff v krátkém přehledu informuje o dosažených výsledcích a záměrech na nejbližší období – Quantum Computing Reaches for True Power.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.