Hlavní navigace

Bezpečnostní střípky: podceňujeme rizika kybernetických hrozeb

12. 7. 2010
Doba čtení: 12 minut

Sdílet

Pravidelný pondělní přehled informací o problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit například na informace o programu Perfect Citizen (zabezpečení kritických infrastruktur), na výsledky experimentu Robin Sage v sociálních sítích a na doporučení k zabezpečení bezdrátové sítě WLAN.

Konference a přehledy

Výsledky zprávy, kterou připravil Ponemon Institute říkají: rizika kybernetických hrozeb jsou silně podceňována – Risk of cyber threats seriously underestimated. Článek shrnuje čísla z nedávné analýzy (PI), uváděná procenta jsou až zarážející. Viz také komentář – More firms targeted by advanced persistent threats, study finds.

BruCON, tato bezpečnostní konference proběhne v září v Bruselu. Na stránce BruCON Security Conference je uveden program konference. Další informace najdete na odkazu Q&A: BruCON security conference.

Konference Black Hat 2010 – bude zde prezentováno přes 30 nových zranitelností – Black Hat USA 2010 presents over 30 new vulnerabilities. V článku je uveden malý přehled toho, co můžeme na této konferenci (proběhne koncem července) očekávat (zatímní přehled).

Obecná a firemní bezpečnost IT

UK: podvody ve veřejném sektoru rostou s redukcemi v rozpočtech a snižováním stavu personálu – Public sector fraud to rise due to staff cuts. Vyplývá to ze zprávy Fraud in the public sector, kterou připravila společnost Pricewaterhou­seCoopers (PwC).

Většina kybernetických útoků je cílena na USA – Most cyber attacks target the U.S. Společnost SecureWorks zveřejnila výsledky svých analýz na základě informací od svých zákazníků. V článku je v tabulce uvedeno několik čísel vztahujících se k 16 zemím. V četnosti útoků za Spojenými Státy následují Jižní Korea, Rusko, Taiwan a Kanada.

Cestujete na dovolenou s počítačem? Přečtěte si několik bezpečnostních doporučení – Vacation security advice, caution with travel planning. Mimo jiné se týkají také vztahu k sociálním sítím, PandaLabs : buďte zvláště opatrní ve vztahu k informacím, které zde ukládáte. Pochopitelně se např. nedoporučuje takto informovat o tom, že váš dům (byt) zůstává prázdný.

Podle Iránu zahájily proti němu USA kybernetickou válku. Prohlásil to Gholamreza Jalali (Head of the Iranian Passive Defense Organization) – ‚US launching cyberwar against Iran‘ .

Lze důvěřovat Googlu? Paul Venezia, žádná jiná společnost se tak široce nepustila do využívání aplikací typu cloud. Otázkou je, co vše se s našimi daty děje (či může dít). Autor vysvětluje svoji opatrnost – Should You Trust Google?

Armádní analytik byl obviněn za únik informací – Army Intelligence Analyst Charged With Leaking Classified InformationRead More http://www.wi­red.com/threa­tlevel/2010/07/­manning-charges/#ixzz0tGQPJcfW . Logické pokračování případu Bradley Manninga široce komentují Kim Zetter a Kevin Poulsen. Kopie obvinění je k článku připojena.

Na Schneierově blogu se objevila diskuze ke zprávě Národní akademie věd ke kybernetickým prostředkům – Research Report on Cyberattack Capabilities. Zpráva Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities má 390 stran, je to obsahově bohatý materiál zabývající se mj. perspektivami kybernetické bezpečnosti v současném světě.

Interpol se obrátil na internet s žádostí o pomoc při pátrání po nejhledanějších osobách (obviněných či podezřelých). Akci zahájil v květnu, dosud bylo takto dopadeno (uvězněno či lokalizováno) 107 lidí z 450. Speciálně se Interpol obrací k účastníkům sociálních sítí – Interpol turns to Net for info on most-wanted suspects.

Cybersecurity Governance: State CISO Roles – Past, Present and Future, úloha CISO amerického státu, Dan Lohrmann rozebírá myšlenky obsažené v materiálu Cybersecurity Management in the States: The Emerging Role of Chief Information Security Officers. Vyzdvihuje dokument jako kvalitně připravený. V článku je také uvedena řada odkazů na jiné související materiály.

41 procent IT profesionálů připouští, že vyhledávají důvěrné informace – 41% of IT pros admit to snooping on confidential information. Článek informuje o výsledcích přehledu, který provedla společnost Cyber-Ark.
Viz také komentář – One in three firms believes rivals have their company secrets.

O podvodu ze strany tzv. „technické podpory“, který se nedaří zastavit, informuje článek The unstoppable „tech support“ scam. Velká Británie: telefonicky je uživateli oznámeno, že Microsoft zjistil na jeho počítači virus. Má si proto stáhnout malý prográmek, který mu pomůže. Ovšem – nejprve musí zaplatit 185 liber. Za podvodem je cosi, co se tváří jako legitimní společnost – The Nerd Support, logo na jejich stránkách informuje, že je partnerem (!) Microsoftu. „Firma“ má dokonce legitimní londýnské telefonní číslo.

Ve své nové eseji se Bruce Schneier ptá: Jak je to tedy s tou kybernetickou válkou, jsou tyto hrozby přeceňovány? Boj v americké vládě se týká mj. stupně kontroly civilních sítí. Je okolo toho řada diskuzí a pojem kybernetická válka se zde skloňuje v široké řadě souvislostí. Problém je v tom, že samotný pojem kybernetická válka je chápán různě. V širokém smyslu ano, zachycuje mnoho dnešních problémů. V úzkém slova smyslu, kdyby se mělo jednat o problémy, které jsou  svým charakterem srovnatelné s válečnými, je však situace jiná. Směšováním obou významů však vede k nedorozuměním – The Threat of Cyberwar Has Been Grossly Exaggerated.

NSA spouští program Perfect Citizen, který je zaměřen na ochranu specifických soukromých firem a vládních agentur – NSA Program Targets Domestic Cyber Attacks. Jedná se o ty organizace, které mají pod sebou citlivé články infrastruktury, jako jsou rozvodné sítě a jaderné elektrárny.
Viz také komentáře:

Critical infrastructure security booming in the EU – EU – zabezpečení kritických infrastruktur bude muset být věnována větší pozornost. Týká se to i Česka (nové elektrárny, letištní bezpečnostní systémy).

Toronto 18, to je pojmenování muslimské teroristické skupiny – Toronto 18 (vyšetřování vedlo celkem k 18 podezřelým, kteří byli odsouzeni). Na odkazu najde čtenář rozsáhlý materiál s řadou zajímavých informací. Vzbudil pozornost i na Schneierově blogu – The Toronto 18.

Fyzická bezpečnost – zkontrolujme si, co nám chybí – Perform a physical security gap analysis. Tom Olzak vysvětluje, proč je fyzická bezpečnost důležitá a co mají hlídat příslušné kontroly. Na příkladu smyšleného Henry Hackera ukazuje možné cesty, kudy se útočníci budou pokoušet proniknout dovnitř organizace.

Zpráva pro americký kongres konstatuje, že za většinou kybernetických útoků na USA je čínská armáda – Report: Chinese Military Behind Google, Other Cyberattacks. A to včetně neblaze známého útoku Aurora z přelomu roku na Google a další americké firmy. Útoky mají být prováděny z ostrova Hainan v Jihočínském moři, který je zároveň známým výletním střediskem. Viz také – Medius Research: Report Says Chinese Military Likely Behind Cyber Espionage and Attacks.

Sociální sítě

Internímu zaměstnanci Facebooku se podařilo překonat ochrany Facebooku (z domova) – Employees Challenged To Crack Facebook Security, Succeed (Updated). Michael Arrington sděluje informace ze svého (neoficiálního) zdroje, které mu ale potom pracovník Facebooku vyvrací.

Proběhl Robin Sage experiment s cílem prověřit sociální sítě – The Robin Sage experiment: Fake profile fools security pros. Vytvořená falešná identita (tato osoba uváděla, že pracuje pro vojenskou rozvědku), k čemu všemu se dostala během jednoho měsíce? Oklamala i bezpečnostní profesionály. Podařilo se ji zkontaktovat i lidi z různých vládních organizací (NSA, ministerstvo obrany, skupiny vojenské rozvědky). Thomas Ryan, který experiment prováděl, bude o jeho výsledcích informovat na konferenci Black Hat.

Software

CSI:Internet. Episode 2: The image of death, tentokrát podezřelé soubory zkoumá Frank Boldewin (Episode 2: The image of death). První díl (Thorsten Holz) tohoto nového seriálu je zde:

XSSer: Automatic tool for pentesting XSS attacks, XSSer, to je nástroj pro automatické penetrační testování XSS útoků. Stručná informace odkazuje na stránku tohoto open source nástroje – XSSer.

Dále – na světě je nástroj TCPSniffer 0.2 – TCPSniffer 0.2 released. Čte všechny příchozí a odchozí TCP pakety a vyhledává v nich předem definované obrazce. Stránka nástroje – TCPSniffer.

Záplata pro Adobe nefunguje, využitelnost zranitelnosti setrvává  – Researcher claims that Adobe PDF flaw is still not fixed. Říká to Le Manh Tung (z vietnamské internetové bezpečnostní společnosti). Stačí prý upravit kód exploitu. Viz také další komentář – Adobe´s protection against embedded scripts incomplete.

Ad-Aware Free je nyní ve verzi Ad-Aware Free Internet Security 8.3 s novými vlastnostmi – antivirovou podporu a možnost načasování skenu – Ad-Aware Free gains antivirus capabilities.

V novém jádru Linuxu – opraveny jsou některé bezpečnostní zranitelnosti – A flood of new, stable, Linux kernels. Jedná se o řadu nových verzí (2.6.27 až 2.6.34).

Malware

Malware a spam se nejsnáze šíří spolu s informacemi o přírodních katastrofách a globálním oteplování – Natural Disasters and Global Warming Fuel the Malware Flames. Vyplývá to ze zprávy, kterou připravila společnost AppRiver – Threat & Spamscape Report, June 2010.

Hackeři

Google acknowledges YouTube hack – hacknuté bylo také YouTube. Použita k tomu byla XSS zranitelnost, zasažena byla ta oblast, kde návštěvníci zapisují své komentáře. Viz ale další komentáře:

Útok na YouTube potvrdila i společnost Google:

Top 10 Data Breaches Of 2010 (So Far)  – jakých bylo Top 10 datových průniků v roce 2010 (zatím)? Oznámeno již bylo více než 300 datových průniků. V předložené slideshow se lze seznámit s desítkou nejvýznamnějších.

Byla prozrazena data 4 miliónů uživatelů Pirate Bay – Pirate Bay Hack Exposes User Booty. Jedná se o uživatelská jména, e-mailové a internetové adresy. Akci provedl argentinský hacker Ch Russo. Spolu s dalšími dvěma se mu podařilo využít několikanásobnou SQL injection zranitelnost. Reportérům byla předvedena uživatelská jména a MD5 hashe hesel vrcholových administrátorů a moderátorů stránky.

Honeypots for hacker detection – článek je věnovaný návnadám (honeypots) pro detekci hackerů. Andreas M. Antonopoulos o návnadách na hackery říká, že jsou nedoceňovanou taktikou. Vysvětluje, jak mohou fungovat, a hovoří o svých vlastních zkušenostech v tomto směru.

Hackeři se pokusili podvést amerického senátora – Hackers pose as senator in email fraud bid. Bob Dvorsky, senátor státu Iowa se stal předmětem útoku hackerů. Nabourali se do jeho e-mailového účtu a z něho odeslali jeho přátelům žádost o urgentní finanční pomoc.

Hardware

UK: třetina zaměstnanců používá soukromá zařízení pro pracovní účely  – A third of UK employees use a personal device for work purposes as IT management remains unaware. A personál IT o tom neví. JP: nemyslím, že situace v jiných zemích (konkrétně v Česku) bude příliš odlišná.

Bezdrát

Hacking wireless presenters with an Arduino and Metasploit aneb o hackování bezdrátových zařízení pro prezentace. Niels Teusink přichází s řadou technických podrobností ke své přednášce, kterou měl na akci Hack in the Box. Poznámka – na následující stránce najdete prezentace účastníků této konference:

Konference Hack in the Box se týká také následující informace (zrušená prezentace o zranitelnostech bankomatů díky tlaku prodejců):

Bezpečnost veřejného bezdrátového připojení – není to mýtus? Robert Siciliano varuje před nebezpečími, která zde číhají a uvádí celou řadu doporučení – Is Wireless Security a Contradiction in Terms?

Jak dokonale zabezpečit bezdrátovou síť WLAN, to je již 3.díl seriálu. Daniel Behrens, David Čepička: Není daleko doba, kdy by se vám provozování nezabezpečené, nebo špatně zabezpečené bezdrátové sítě mohlo vymstít. Jde o úvahy, kdy by se každý, kdo provozuje bezdrátovou síť, mohl stát spolupachatelem trestného činu, kterého se dopustil ten, jemuž jste umožnili připojit se do své bezdrátové sítě. Určitě tedy není od věci, když se nyní zaměříme na otázku co nejdokonalejšího zabezpečení vaší bezdrátové sítě WLAN. První dvě pokračování seriálu (další díly mají přijít):

Mobilní telefony

Malware v mobilech se Symbian Series 60 vytváří botnet – Symbian malware creates mighty zombie army. Podle bezpečnostní firmy NetQin tento botnet dělá dvě věci:

  • posílá zprávy všem kontaktům v adresáři
  • anebo posílá zprávy na náhodná telefonní čísla

Elektronické bankovnictví

Byl vydán nový dokument společnosti RSA – k výsledkům analýzy o přístupech k ochraně údajů o platebních kartách – Secure Payment Services. Card Data Security Transformed. Z tiskové zprávy: V tomto dokumentu (český překlad jeho názvu – Bezpečné platební služby: Transformace zabezpečení údajů o kartách) vyzývají experti ze společností jako je RSA, First Data Corporation či Visa obchodníky k přehodnocení způsobu správy údajů o kartách. Ujišťují je, že mohou získat detailnější a ve výsledku cennější přehled o svém podnikání, aniž by museli uchovávat čísla karet. V oblasti uchovávání dat o platebních kartách čelí totiž obchodníci stále větším výzvám – nároky na informační technologie rostou, stupňují se i požadavky poskytovatelů karet a strategie zlodějů platebních karet jsou stále důmyslnější. V této situaci představuje dokument RSA model outsourcingu zabezpečení dat o platebních kartách označovaný jako „zabezpečené platební služby“. Zabezpečené platební služby převádějí ochranu informací o kartách na externí poskytovatele služeb. Vylepšují tak zabezpečení údajů o elektronických kartách a zároveň obchodníkům umožňují ušetřit čas, komplikace a náklady spojené s dosahováním bezpečnostních standardů vyžadovaných poskytovateli ka­ret.

Hackeřií, kteří kradou data platebních karet, milují hotely – Credit Card Hackers Visit Hotels All Too Often. Podle nedávné studie (SpiderLabs, Trustwave) se celkem 38 procent hacknutí platebních karet týkalo hotelového průmyslu. Je využíván fakt, že zde se jednak objevuje množství platebních karet, a jednak s tou bezpečností nejsou hotely zrovna velcí kamarádi. Získání dat platebních karet v hotelu nevyžaduje zručnosti brilantního hackera.

Phishing

Co se týká phishing, je konstatováno, že roste počet záložkových útoků – Tabnapping on the increase. V článku Carrie-ann Skinner informuje o výsledcích zprávy PandaLabs, viz také Tabnapping Attack On The Increase.

Elektronický podpis

Comodo vyžaduje po společnosti Qualys vysvětlení ve vztahu k jejich studii k SSL certifikátům – Comodo Urges Clarification in Qualys SSL Certificate MarketPlace Study . Podle společnosti Comodo jsou počty SSL certifikátů a počty neplatných SSL certifikátů nadhodnoceny. Použitá metodologie je nejasná a celá studie vrhá špatný stín na odvětví SSL certifikátů, říká Melih Abdulhayoglu (chief executive officer of Comodo). Viz také další článek k problematice – Poor SSL set-up can kill e-commerce (Tim Greene, Network World). Hlavní problém není v SSL technologii, ale v jejích špatných implementacích, říká Ivan Ristic (autor zprávy, společnost Qualys).

Další komentář k výsledkům studie Ivana Ristice (Qualys) najdete na stránce Poor SSL set-up can kill e-commerce (špatná nastavení SSL ohrožují e-komerci).

Biometrie

The future of iris scanning – skenování duhovky – je zde skryta slibná budoucnost biometrie? Tom Olzak stručně popisuje vlastnosti těchto biometrických postupů a předpovídá jim (jako bezkontaktním metodám) úspěšnou budoucnost.

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu následující dokumenty:

Kryptografie

The Chaocipher revealed!, Chaocipher, z historie kryptografie. Stránky Cipher Mysteries se tentokrát věnují nerealizovanému projektu z počátku minulého století. Jinak – tyto stránky (jejich autorem je Nick Pelling) lze doporučit každému zájemci o historii kryptologie, je zde celá řada informací (včetně např. záhad okolo pověstného Voynichova rukopisu, Nick Pelling napsal o něm knihu).

Byla vydána studie Security Reductions of the Second Round SHA-3 Candidates. Autoři (Elena Andreeva, Bart Mennink a Bart Preneel) shrnují známé informace týkající se bezpečnostních redukcí v algoritmech 14 kandidátů, kteří jsou účastníky druhého kola výzvy NISTu pro SHA-3

root_podpora

Jaká šifra je skryta v logu americké vojenské Cyber Command? „9ec4c12949a4­f31474f299058ce2b22a“ – co skrývá tato posloupnost znaků? První, kdo na to přijde, bude odměněn. Takováto výzva se objevila na stránce Crack the Code in Cyber Command’s Logo (Updated) . Viz ale – Researcher cracks ´secret´ code in U.S. Cyber Command logo, ´šifra´ již byla rozluštěna, je to MD5 hash zprávy popisující misi organizace.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?