Bezpečnostní střípky: počítačovou kriminalitu lákají peníze

Obecná a firemní bezpečnost IT

Stát se obětí průniku je lidské – To be breached is human. George V. Hulme navazuje na svůj nedávný článek It's the human threat, stupid. Poukazuje na výsledky některých přehledů, které dokumentují zranitelnost lidského činitele.

Slovensko zvažuje červené tlačidlo pre odpojenie od globálneho Internetu, z úvodu: Ministerstvo financií pripravujúce nový zákon o informačnej bezpečnosti podľa dostupných informácií zvažuje aj existenciu tzv. červeného tlačidla Internetu, mechanizmu pre vypnutie medzinárodnej internetovej konektivity Slovenska.

Evropa má novou kancelář pro boj s hackery, z úvodu článku: Na konci minulého týdne otevřela tajná služba USA v Evropě novou kancelář pro boj s kybernetickými zločinci. Američané umístili bezpečnostní centrum do Tallinnu v Estonsku, protože tato země byla v minulých letech opakovaně terčem hackerských útoků. Například v roce 2007 se počítačovým pirátům podařilo narušit provoz internetových stránek médií, bank, ministerstev i vládních stran.

Nová EU pravidla pro práci s cookies mají dopad i na mimoevropské země – EU e-Privacy Cookie Rules Will Impact Non-European Web Companies. Příloha k dokumentu European Union’s Privacy and Electronic Communications Directive začne platit 26.5. 2011. Obdobnou cestou se chystá vydat také americká legislativa, jsou zde však některé rozdíly.

40 procent IT pracovníků má potenciál na to, aby zpustošili vaši síť – Venafi Survey. A to, i když odejdou k jinému zaměstnavateli. Říkají to výsledky přehledu společnosti Venafi. S kompletními výsledky přehledu se lze seznámit v dokumentu Infosecurity 2011. Enterprise Key And Certificate Management Awareness Survey.

How to stop your executives from being harpooned aneb jak ochránit své šéfy. Bob Violino v rozsáhlejším článku uvádí řadu případů z praxe (které vychází z cíleného phishingu) a rozebírá následující pětici doporučení:

1. Naučte je tomu, co je velký (velrybářský) útok zač, a jak správně identifikovat aktuální hrozby a útoky
2. Vaše exekutiva si musí udělat čas na to, aby se naučila tomu, jak se vyhnout polapení (tomu být harpunován)
3. Provádějte své vlastní penetrační testování a sociální inženýrství
4. Používejte selský rozum při sociálním inženýrství
5. Využívejte bezpečnostní technologie k odvrácení útoků

Počítačovou kriminalitu lákají peníze podnikatelů – Businesses most at risk from Web hackers. Pochopitelně. Peter Suciu (CNBC.com) komentuje dnešní situaci na poli kyberkriminality ve vztahu k podnikatelské sféře.

Průzkum GFI Software: s krádežemi dat se setkaly až dvě třetiny českých firem, z úvodu: V drtivé většině případů (85 %) jsou krádeže dat způsobeny vlastními zaměstnanci; s rozvojem spotřební elektroniky jsou dnes ohroženy nejen obchodní firmy, ale také výrobní a vývojové společnosti.

Posbírat databázi s profily 35 miliónů uživatelů Google trvalo studentovi jen jeden měsíc – 35m Google Profiles dumped into private database. Jsou zde obsažena jména, e-mailové adresy a životopisné informace. Co se týká Google Profiles – firma Google říká, že se nic neděje, všechna data zde jsou veřejně dostupná. Viz také – Student collects 15 million Gmail addresses.

Zákonodárci zkoumají Obamovy návrhy ke kybernetické bezpečnosti – Lawmakers question Obama cybersecurity proposal. Jedná se třeba o moment, kdy soukromé organizace mají sdílet informace o kybernetických útocích s americkým ministerstvem národní bezpečnosti. Má být také přijat národní zákon k oznámování bezpečnostních průniků, který má nahradit 47 zákonů v jednotlivých státech.

Co dělat v dnešní situaci, kdy osobní data jsou vystavena častým hrozbám – IT Security & Network Security News & Reviews: Data Breaches Add Urgency to Demands for Security Code of Conduct. Fahmida Y. Rashid shrnuje možná doporučení (pro organizace) do deseti komentovaných bodů slideshow.

Čína potvrdila, že využívá online armádu – China confirms deployment of online army. Jedná se o tzv. Online Blue Army, opírající se o naplnění potřeb čínské armády ve vztahu k bezpečnostní ochraně na internetu. Viz také – Chines Military Admits Cyberwarfare Unit Exists.

The Price of Hackers, Spammers and Abuse: When Is It Too Much? – cena za hackery, spam a jiná zneužití. Kdy to přeroste rozumnou mez? Kdy se firmy mají rozhodnout? Například společnost Google oznámila, že tento rok ukončí činnost svého rozhraní Translation API, a to právě kvůli jeho silnému zneužívání. Nad problémem se zamýšlí Colleen Taylor.

Sociální sítě

Facebook – k jednomu citlivému problému s uživatelským nastavením se obrací článek Are You Exposing Your Private Facebook Lists?. Pokud tomu nebudete věnovat dostatečnou pozornost, Facebook prozradí, s kým již nechcete komunikovat. Jedná se o tzv.Facebook´s Li­mited Profile list.

Software

Jednotnému formátu zpráv k bezpečnostním zranitelnostem je věnována poznámka na stránce Industry agrees on security vulnerability reporting format . John E. Dunn v ní komentuje vydání normy Common Vulnerability Reporting Framework (CVRF) – viz také Nový rámec pro publikování zranitelností.

Siemens je vyzýván k reakci na nové chyby SCADA systémů – Researcher Challenges Siemens' Public Reaction To New SCADA Flaws. Dillon Beresford (NSS Labs), jeden ze dvou autorů neuskutečněného vystoupení na konferenci v Dallasu minulý týden, říká, že Siemens jedná neférově. Snižuje uměle vážnost nalezených chyb. Beresdorf hodlá tyto zranitelnosti zveřejnit.
Viz také komentář – A botched fix, not legal demands, nixed SCADA security talk. Podle zde uvedené poznámky byl příčinou fakt, že Siemens zjistil, že jím prováděná opatření k odstranění zjištěných chyb nejsou funkční.
Téma je také předmětem diskuze na Schneierově blogu – New Siemens SCADA Vulnerabilities Kept Secret.

SCADA zranitelnosti, je to jiná situace a vyžaduje jiné postupy – Pressure SCADA developers on security. Autor článku (George V. Hulme) se vrací k nedávné situaci, kdy nakonec nebyla přednesena prezentace věnovaná těmto zranitelnostem. Tlumočí názory některých odborníků.

Odborníci našli neopravitelnou chybu v populárních systémech CAPTCHA – Researchers find irreparable flaw in popular CAPTCHAs. Jedná se o audio CAPTCHA, která je používána na řadě známých webů. Vyvinutý SW ji překoná s četností správné odpovědi od 41 procent do 89 procent.

Why is my Internet different from your Internet? aneb proč se liší výsledky mého vyhledávání (např. doma a v práci)? Důvody se pokouší objasnit Michael Kassner. Vychází přitom z dostupných informací společnosti Google a z informací obsažených v knize The Filter Bubble: What the Internet Is Hiding from You (jejím autorem je Eli Pariser).

NSA připravila krátký dvoustránkový materiál věnovaný bezpečnostním vlastnostem Windows 7 – Security Highlights of Windows 7. Dokument poskytuje užitečný přehled použitých bezpečnostních technik.

Adrian Crenshaw (Irongeek) zveřejnil své prezentace věnované spektru zajímavých témat – OSInt, Cyberstalking, Footprinting and Recon: Getting to know you. Na stránce jsou umístěna tři videa, která se týkají následujících tématických okruhů:

• DNS, Whois and Domain Tools
• Finding general Information about an organization via the web
• Anti-social networks
• Google Hacking
• Metadata
• Other odds and ends

Profesionální balík exploitů je volně dostupný online – Professional exploit packs freely available online. Jedná se o balík s názvem BlackHole, který obsahuje různé exploity Windows (umožňující například šíření trojana Zeus). Není to jeho nejnovější verze, přesto bude úspěšná proti nedostatečně záplatovaným počítačům. Viz k tomuto problému také diskuzi na Schneierově blogu – Blackhole Exploit Kit.

Analyzéry protokolů: co tyto umí a co nikoliv – Protocol analyzers: Dos and don'ts. Neil Roiter uvádí užitečný přehled. Viz také jeho druhý (paralelně napsaný) článek – Protocol analyzers: How to compare and use them.

Malý přehled o cestách pro šifrování dat najdete na stránce An Overview On How To Encrypt Data. Autor zmiňuje nástroje, které jsou k dispozici pro různé systémy.

Mac Malware, objevil se falešný antivir Mac Guard – Mac Malware is Back. Your Move, Apple. Dokonce nevyžaduje heslo při instalaci (jako ho požadoval jeho předchůdce Mac Defender). Viz také – New MacGuard Phishing Attack Bypasses Mac OS X Password Requirement.

Objevena byla zranitelnost IE ve vztahu ke cookies (jejich krádež není obtížná) – Internet Explorer: cookie theft made easy. Týká se přitom všech verzí Internet Exploreru.

Malware

O varování před botnetem Quakbot informuje článek Qakbot takes off, profiting bot masters. Varování před tímto samopropagujícím se červem vydala společnost Symantec. Quakbot je podepsán platným digitálním klíčem (podobně jako byl červ Stuxnet), šiří se sítěmi společností a jeho cílem jsou krádeže bankovních dat a dalších souborů.

Hra Eve Online se stala bitevním polem pro botnety – Cybercrooks turn Eve Online into botnet battlefield. Vybojované virtuální peníze pak kriminální strana prodává za reálné peníze. Není to nic nového, zde zaujme především rozsah těchto snah v dané hře. Článek obsahuje odkazy k dalším poznatkům.

Spam s informací o datu vydání iPhone5 vede k malware – iPhone 5 spam run leads to malware. Tři různé odkazy vedou k malware, které nese označení Zapchast Trojan. S jeho pomocí získá vzdálený útočník kontrolu nad počítačem oběti. Viz také článek – Cybercriminals Hoping You´ll Bite iPhone 5 Bait.

64-bitový rootkit sleduje zákazníky bank – 64-bit rootkit spies on online banking customers. Objevil ho Kaspersky a jedná se o zákazníky z Brazilie. Je to varianta rootkitu Banker. Rootkity s podporou 64-bitových systémů jsou zatím stále vzácné.

Analýzu PDF se škodícím obsahem najdete na stránce Inside a Malicious PDF Attack. Tomer Bitton (Security Research, Imperva) ukazuje, kde a jak hackeři ukrývají své útoky.

Programu Spybot Search and Destroy se věnuje článek Staking out your PC's spyware. Bojujte se spyware na svém počítači, říká autor a doporučuje k tomu použít tento volně dostupný program.

USA a Stuxnet – Senior Defense Official Caught Hedging on U.S. Involvement in Stuxnet, náměstek ministra obrany USA v interview na otázku podílu USA na Stuxnetu se vyhnul přímým odpovědím.

Hackeři

Malé firmy zjišťují, že velikost není pro hackery rozhodující – Small firms learn size doesn't matter to hackers. V článku je popsáno několik příkladů.

Na síť Dow-Jones byl proveden virový útok – Virus Attack on Dow Jones Network Raises Suspicion of Insider Malice. Je podezření na interního útočníka. Vir zasáhl síť 12. května, teprve 18. května společnost zjistila, že jeho cílem byla krádež bankovních dat.

IT Security & Network Security News & Reviews: 10 Biggest Data Breaches of 2011 So Far – desítka největších průniků roku 2011. Zatím … . Takovýto přehled formou slideshow připravil Fahmida Y. Rashid.

Bank of America: krádež dat (je za ní interní útočník) ji stojí 10 miliónů dolarů – Insider data theft costs Bank of America $10 million. Podrobnosti případu zatím nejsou známy, vše je ve fázi vyšetřování. Kdosi předal informace zákazníků někomu mimo banku, pak byly tyto informace zneužity k podvodu. Podle Bank of America data leak destroys trust ukradená data zahrnovala „names, addresses, Social Security numbers, phone numbers, bank account numbers, driver´s license numbers, birth dates, email addresses, mother´s maiden names, PINs and account balances.“
Viz také komentář – BofA Breach: ´A Big, Scary Story´.

Honda Canada: průnik vystavil rizikům data 280 000 zíkazníků – Update: Honda Canada breach exposed data on 280,000 indivi­duals. Průnik byl objeven v druhé půlce února. Citlivá data (jako bankovní údaje) by snad neměla být ohrožena. Kompromitována by měla být jména zákazníků, adresy, identifikační čísla vozidel a v některých případech i čísla jejich účtu u společnosti Honda Financial Services.

Hacknout účet (e-mailu, sociální sítě) ? Nic těžkého! Dobrovolníci to ukázali využitím 14minutového průvodce (útok man-in-the-middle), který je volně k dispozici na internetu. Dnes na YouTube je okolo 20 000 videí s návody obdobného typu – Ease of performing a man-in-the-middle attack demonstrated to group using online tools.

Sony

Sony má nové problémy, např. na thajském serveru společnosti se objevil phisherský web – Sony's New Woes: Phishing Site Found on Server.

Malou rekapitulaci nočních můr Sony, sedm bezpečnostních incidentů za dva měsíce (to není stále ještě konec) najdete na stránce Seven security incidents in two months – Sony’s nightmare grows (Update). Steve Ragan shrnul dostupné informace. Viz také – hacknutí sítě Sony pro PlayStation bude tuto společnost stát 170 miliónů dolarů – PlayStation Network hack will cost Sony $170M.
K jednomu z posledních hacků – Sony BMG Greece hacked. Hackers 7, Sony 0. Game over.

Sony musí lépe chránit své sítě – Sony must secure networks, analysts say. Jaikumar Vijayan (Computerworld)ko­mentuje situaci společnosti.

A další vývoj – společnost Sony oznámila nový problém, ukradeno bylo 2 000 záznamů z kanadského webu – Sony says hacker stole 2,000 records from Canadian site. Hacker z nich zhruba polovinu zveřejnil, sám sebe označil jako Idahc, Lebanese grey-hat hacker.
Viz také komentáře – Groundhog day: more Sony breaches a Attacks on Sony continue.

Sony začíná poskytovat pomoc ohledně krádeží ID ve vztahu k hacku PSN sítě – http://www.pcmag­.com/article2/0,2817,­2385909,00.as­p. Rozesílá informační e-maily, kde je zákazníkům vysvětlen doporučovaný postup. Služba ochrany uživatelů se týká obyvatel USA.

Hardware

TIP: Jak bezpečně otevřít infikované CD, DVD, nebo flash disk, jsou to jednoduchá, ale užitečná doporučení.

USB malware jako cesta k infekcím, toto je téma článku Unruly USB Devices Expose Networks to Malware. Osmistránkový dokument popisuje nebezpečí USB flash disků, ale i dalších zařízení obdobného typu (CD, DVD, Blu-ray, eSata, FireWire atd.), vysvětluje, proč tyto útoky jsou tak úspěšné, uvádí příklad červa Stuxnet. Materiál uzavírá sada doporučení (nejlepší bezpečnostní postupy, zapracování do politik).

Mobilní telefony a zařízení

Mobility and Security: Dazzling Opportunities, Profound Challenges, tento přehled připravila společnost McAfee ve spolupráci s Carnegie Mellon University. 24 stránkový dokument byl zpracován na základě odpovědí více než 1500 respondentů ze 14 zemí. Je věnován problematice mobilní bezpečnosti, jejíž rostoucí význam je zřejmý. Komentář ke studii je obsažen v článku Mobile Device Data Losses Pose Rising Security Risk: Survey.

Ruská firma Elcomsoft crackla HW šifrování iOS4 – Russian company cracks iOS 4 hardware encryption. Toto zabezpečení používají iPhone 4, iPad, iPad 2 a poslední modely iPod Touch. Informace k tomu dostanou ale jen vybrané organizace (např. vládní). Viz také – Company Offers Tool To Break iPhone Encryption.

Mobilní zařízení a malware, o trojanské verzi legitimní aplikace – Android.Smspacem se dozvíte na stránce A malware-induced rapture for mobile devices?. V článku je ukázáno, co toto malware „umí“ a je zde uvedena sada doporučení pro ochranu před obdobnými typy malware.
Viz také – Rapture Revisited: Android Trojan Invokes Bible, Stephen Colbert .

Linguisti umí obejít šifrování Skype – Linguists use sounds to bypass Skype crypto. Cesta tzv. Phonetic Reconstruction není plně úspěšná, ale ti co pracují na tomto výzkumu podotýkají, že u plně funkčního šifrování by unikat neměli vůbec žádné informace.

Mobily jsou vynikajícím terčem pro phishery – Mobile phones are great for phishers, researchers find. Autor článku (Robert McMillan) komentuje výsledky studie Phishing on Mobile Devices.

Spam

Analýza podnikatelské struktury stojící za šířením reklam spamem je provedena v dokumentu Click Trajectories: End-to-End Analysis of the Spam Value Chain. Šestnáctistránková studie rozebírá podrobně různé aspekty takovéhoto „podnikání“. Komentáře k jejímu obsahu jsou na stránkách:

• Credit processors targeted in fight against spam. Follow the money
• Spam control should involve banks

Zastavte spam uzavřením platebních kanálů pro spamem propagované zboží, říká potom zajímavý návrh, který pochází od týmu pracovníků ze čtyř univerzit (University of California, San Diego, the University of California, Berkeley, The International Computer Science Institute a Budapest University) – Want to stop junk email? Block payments to spammers, says study. Pouze tři banky zprostředkovávají 95 procent těchto plateb (jsou v Azerbájdžánu, Dánsku a na Karibských ostrovech). Podrobnosti jsou obsaženy ve výše uvedené studii.
Viz také komentář Roberta Lemose – Spam tracks lead back to small number of banks.

Microsoft našel 400 000 kompro­mitovaných e-mailových adres na pevném disku Rustocka – Microsoft Uncovers 400K Tainted Email Addresses on Rustock Hard Drives. Disk byl zabaven v průběhu březnové akce proti tomuto botnetu. Byla tam také nalezena ukradená data k platebním kartám. Bohužel celá akce měla malý dopad na šířený spam, těsně po ní klesl objem spamu o 2 či 3 procenty, aby se záhy vrátil na původní úroveň. Viz také komentář – Microsoft finds 427K email addresses on knocked-out Rustock server.

Komentář k výsledkům zprávy Symantecu (květen 2011): State of Spam & Phishing je na stránce Phishing Attacks Rise Following Osama bin Laden´s Death: Report. Je zde např. konstatován celkový nárůst phishingu a poukázáno na jeho souvislost se smrtí bin Ládina.
Situaci se spamem je věnován také komentář Pavla Čepského na Lupě – Nebezpečný spam na ústupu? Ale kdeže, jen se specializuje.

Spammeři založili vlastní (podvodnou) službu pro zkrácená url – Spammers establish their own fake URL-shortening services. Přitom v samotných e-mailech jsou obsaženy legální zkrácené url. Ty teprve vedou na tyto podvodné url, které pak teprve vedou na spammerův web. V článku jsou obsaženy i další zjištění z dokumentu Zpráva Symantecu (květen 2011): State of Spam & Phishing.
Viz také další komentář – Spammers establish fake URL shortening to snare users.

Autentizace, hesla

Top 10 ID Security Mistakes and How to Avoid Them aneb deset bezpečnostních chyb, které se týkají ID a jak se jim vyhnout. Krádeže ID jsou smutným (a častým) jevem na dnešním internetu. Autor článku vysvětluje, jak k nim může dojít a jak se naopak proti nim bránit.

RSA tokeny mohou být za velkými bezpečnostními problémy sítě Lockheed Martin – RSA tokens may be behind major network security problems at Lockheed Martin. Může to souviset s jejich kompromitací v březnu tohoto roku. Kdosi nainstaloval keylogger do počítače, který měl přístup do sítě Lockheed Martin a ukradl hesla, (při znalosti algoritmu RSA) a dokázal tak generovat přístupové kódy, které jsou používány v tokenech SecureID pro dvoufaktorovou autentizaci. Viz také komentář – InsecureID: No more secrets?.

Phishing

Jak rozpoznat phishingový útok – IT Security & Network Security News & Reviews: Phishing Attacks Keep Proliferating: How to Recognize Them. Fahmida Y. Rashid připravil k tomuto problému komentovanou slideshow popisující následující triky:

1. Password Resets
2. That Enticing Ad
3. The All-Important Work File
4. Wanted: A Job
5. LinkedIn Requests
6. Fake Auctions
7. Help! I am Stranded!
8. Nigerian Scam
9. The Unexpected Bequest
10. Not Quite the Right URL

Nic překvapivého, statistiky ukazují široce rozšířené problémy s phishingem – Cybercrime statistics show widespread phishing problem. To je komentář k dalšímu přehledu, který tentokrát zpracovala společnost KnowBe4.

Nový phishingový podvod útočí na majitele IPhone a iPad – New Phishing Scam Targets iPhone, iPad App Customers. E-mail, zdánlivě přicházející z Apple AppStore, informuje o zrušení objednávky. Uživatel se má o tom přesvědčit kliknutím na odkaz. Odkaz vede na „lékárenský“ web. Nebezpečné u tohoto podvodu je jeho načasování, e-mail přijde těsně po uživatelově nákupu z pravého Apple AppStore.

Podvržené varování ohledně průniku do společnosti Epsilon je phishing. Adresáti mají zpracovat zprávu ke svému účtu a k ověření jejich totožnosti je požadována jejich platební karta – Fake Epsilon Breach Warning Phishes for Credit Report Customers.

Elektronický podpis

Byla nalezena slabina v OpenSSL, potenciálně může vést k rozkrytí citlivých informací – OpenSSL weakness can expose sensitive information. Jedná se o nevhodnou implementaci ECDSA (Elliptic Curve Digital Signature Algorithm), neodolá časovému útoku, kterým může být prozrazen soukromý klíč. Podrobnosti obsahuje studie – Remote Timing Attacks are Still Practical, další komentář je na stránce Timing attack threatens private keys on SSL servers.

Oznámen byl hack dalšího prodejce certifikátů společnosti Comodo – New hack on Comodo reseller exposes private data. Tentokrát se to týká brazilského partnera – firmy ComodoBR. Podle článku je to již čtvrtý partner společnosti Comodo, který byl v letošním roce kompromitován.
Viz také komentář – SQL Injection Attack Exposes Comodo Partner Customer Data.

Kryptografie

Using the Cloud to Determine Key Strengths, k využití cloudu pro stanovení odolnosti kryptografického klíče. Renomovaní autoři (T. Kleinjung, A.K. Lenstra, D. Page, and N.P. Smart) rozpracovali novou metodologii pro řešení tohoto pro kryptografii zásadního problému. Jsou zde posouzeny délky klíčů pro algoritmy DES, AES, RSA a ECC. Také jsou touto cestou rozebírány vlastnosti hashovacího algoritmu SHA-2.

Novinka v Bletchley Park je věnována dalšímu kousku z historie kryptografie – Bletchley Park completes epic Tunny machine. Jedná se o zařízení Tunny, jehož cílem byla simulace německého šifrátoru Lorenz S42 používaného za druhé světové války.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.