Bezpečnostní střípky: podoby počítačového malware

Přehledy a konference

Společnost Sophos vydala zprávu Security threat report: July 2009 update (nezbytná je registrace). Komentář k této zprávě (její stručné shrnutí) lze nalézt na stránce Social networking sites must improve security. Zpráva se věnuje průběhu prvního pololetí 2009. Jeden z výsledků provedených analýz poukazuje na nezbytnost podstatného zvýšení zabezpečení sociálních sítí, takových jako jsou Twitter a Facebook. Hackeři zdvojnásobili „pozornost“, kterou těmto sítím věnují. Oproti tomu bylo zjištěno, že zaměstnanci v těchto sítích nechávají až příliš mnoho osobních informací, včetně citlivých. Tyto jsou pak vystaveny možnému zneužití. Jiná zjištění:

• Každé cca 4 vteřiny se objeví nově infikovaná webová stránka (čtyřikrát více oproti první polovině 2008)
• Spojené státy hostují na svých webech nejvíce malware (skoro 40 procent)
• 90 procent podnikových mailů je spam

Obecná a firemní bezpečnost IT

Některé důležité pravdy o penetračním testování se dozvíte z článku na stránce Some important truths about pen-testing. Alberto Solino formuluje deset často citovaných tvrzení vztahujících se k penetračnímu testování a ukazuje, proč nejsou pravdivá. Kriticky rozebírá např. následující (nepravdivá) tvrzení:

• Jediný možný způsob, jak provést penetrační testy, jsou externí služby
• Penetrační testy zaberou mnoho času
• Potřebujete zkušené lidi k provádění penetračních testů
• Výsledky penetračních testů jsou obtížně pochopitelné
• Je to zbytečný luxus

Nová technologie zajistí, že se digitální data po určité době sama zničí – New Technology to Make Digital Data Self-Destruct. Software Vanish, který vyvinuli pracovníci University of Washington pracuje se zašifrovanými zprávami. Informace jsou uloženy na centrálním počítači či serveru. Systém by měl být používán pouze pro citlivé informace.

Zamyšlení Stevena Foxe nad problémem kompetencí v podmínkách kybernetické války najde čtenář na stránkách csoonline.com – Cyber Warfare and Attribution. Podle historického čínského válečného stratéga Sun Tsu vede cesta k vítězství přes porozumění jak svých stránek tak i stránek protivníka. Je třeba pochopit duch a způsob myšlení protivníka. Podle Stiennona je třeba vhodnou cestou delegovat odpovědnosti za bezpečnost směrem dolů k systémovým administrátorům. Tato odpovědnost musí být propojena s odměnami či tresty.

Exposed: the PC repair shops that rifle through your photos and passwords – dáváte počítač do opravy? Buďte velice opatrní! Autor článku zde sděluje zkušenosti z průzkumu Sky News. Vaše fotky, hesla a další osobní informace se mohou dostat mimo vaši kontrolu. Proto zálohujte svá data a odstraňte je z vašeho počítače (notebooku) dříve, než ho odnesete do opravy.

Prevencí úniků dat se zabývá James E. Gaskin v článku Data Leak Prevention On The Cheap. Vyslovuje se pro používání strategií typu Najdi (kde leží vaše důvěrná data), Monitoruj (jak jsou používána) a Zabezpeč (jak je co nejlépe chránit).

Nedostatek talentů pro vládní IT bezpečnost (USA) byl konstatován ve zprávě Cyber Insecurity: Strengthening the Federal Cybersecurity Workforce. Její závěry komentuje Dan Goodin – Feds suffer from ‚serious‘ IT security talent shortage. Zpráva odhaduje, že země bude potřebovat až osminásobný nárůst počtu lidí, kteří mají vzdělání v IT bezpečnosti (státně sponzorované). V současné době vychází ze škol (pod federálním programem) zhruba 120 specialistů v oboru kybernetické bezpečnosti, potřebný počet by se však měl pohybovat okolo jedné tisícovky.

ISACA – jeden z jejich šéfů chce změny v chápaní pojetí informační bezpečnosti – ISACA leader calls for changes to information security. Informace, která přichází z konference ISACA v Los Angeles – John Pironti říká: stavět bezpečnost pouze na dosahování shody (s regulačním ustanoveními) je dnes nedostatečné. Toto totiž prostě již nefunguje. Obětmi počítačových útoků se stávají i ty firmy, které fungují v souladu s požadavky typu PCI, GLBA, FFIEC, FISMA a dalšími. Pironti v této souvislosti poukazuje na nezbytnost využívání vhodně postavené správy informačních rizik. Takové, která vyžaduje průběžné vstupy a rozhodnutí i ze sféry samotného podnikání, tj. vstupy, které jsou prováděny nejen specialisty na informační bezpečnost a regulační ustanovení.

UK – databáze umožňuje nahlédnout, zda také vaše data byla ukradena – Service Offers to Retrieve Stolen Data, For a Fee. Databáze obsahuje 120 miliónů záznamů, pro zájemce je to placená služba (10 liber). Databázi provozuje bývalý policista Colin Holder. V článku je vysvětleno, jak tato služba funguje.

Anonymita na internetu činí nalezení původců kybernetických útoků obtížným – Internet’s Ano­nymity Makes Cyberattack Hard to Trace. John Markoff mj. komentuje situaci, která vznikla po tzv. korejském útoku. Počítačoví specialisté na bezpečnost se nyní shodují v jediném – útok mohl pocházet z kteréhokoliv místa ve světě. Přitom – z druhé strany je konstatována amatérská (!) podoba útoku.

Software

Buffer overflow in Firefox 3.5.1 – Update, zde najdete informaci o nové zranitelnosti Firefoxu, přetečení bufferu ve verzi 3.5.1. Zranitelnost je označována jako kritická. Podle Mozilly však exploit k této zranitelnosti nefunguje (ve Windows je Firefox bezpečně ukončen, na Macu prohlížeč spadne).

Ještě k novému exploitu nalezené vážné zranitelnosti jádra Linuxu se vrací článek Toma Espinera – Linux exploit gets around security barrier . Mj. umožňuje obejít bezpečnostní mechanizmy OS, takové jako audit, Security-Enhanced Linux (SELinux), AppArmor a Linux Security Module. Exploit v minulém týdnu zveřejnil Brad Spengler – Dailydave mailing list.

Microsoft vydal novou verzi nástroje Threat Analysis and Modeling s označením 3.0 beta – Microsoft releases Threat Analysis and Modeling 3.0 beta. Nástroj lze stáhnout na tomto odkazu  – download. Umožňuje napomoci s identifikací hrozeb i lidem, kteří nejsou odborníky na IT bezpečnost.

Byla dále vydána nové verze analyzéru síťových protokolů Wireshark (verze 1.2.1 –

Wireshark 1.2.1 released). Opravena byla celá řada chyb, stáhnout si tento nástroj můžete zde.

Nový útok se opírá o exploit pro plně záplatovaný Adobe Flash – New attacks exploit vuln in (fully-patched) Adobe Flash. Útok umožňuje získat kompletní kontrolu počítače oběti.

Pozor při otevírání PDF a flashových videí. Mohou obsahovat vir, z úvodu článku na technetu: Nakažené PDF a SWF soubory mohou podle společnosti Symantec umožnit spustit v počítači neopatrného uživatele závadný kód.

Článek Improving web browser security na bezpečnostním blogu Google (Chris Evans, Security Team ) objasňuje výsledky výzkumu společnosti ve vztahu k bezpečnosti prohlížečů. Za zmínku nepochybně stojí zde citovaný odkaz na příručku – Browser Security Handbook.

RainbowCrack 1.4 released – byla vydána nová verze RainbowCrack 1.4. Nástroj pro cracknutí hashí pracuje nyní efektivněji.

Protecting SSH from brute force attacks aneb jak chránit SSH před útoky hrubou silou. Daniel Bachfeld doporučuje některá opatření (využití open source nástrojů a určitá doladění existujících nastavení, která se týkají kontroly přístupů).

Malware

FBI instalovala (dálkově) spyware k vystopování bombové hrozby – FBI remotely installs spyware to trace bomb threat (soudní příkaz k této akci byl vystaven). Speciální služby budou nepochybně obdobné přístupy využívat stále častěji. V článku je uvedeno i několik dalších odkazů na související informace.

Deset podob počítačového malware vyjmenovává a ve stručnosti popisuje Michael Kassner – The 10 faces of computer malware :

1. Nechvalně známý počítačový vir
2. Stále populárnější počítačový červ
3. Neznámá zadní vrátka
4. Tajnůstkářský trojský kůň
5. Adware/spyware – otravují více, než je zdrávo
6. Rootkity (v uživatelském módu)
7. Rootkity v módu jádra OS
8. Firmwarové rootkity
9. Škodlivý mobilní kód
10. Smíšené hrozby

S desítkou nejvíce škodících botnetů (v USA) se můžete seznámit na stránce America's 10 most wanted botnets. Na prvních třech místech jsou Zeus, Koobface a TidServ. Zeus má v USA 3,6 miliónu kompromitovaných počítačů, používá techniky typu keylogger ke krádežím citlivých dat jako jsou jména uživatelů a k nim provázaná hesla, čísla účtů a platebních karet. Seznam připravila společnost Damballa.

Na konferenci Black Hat bude prezentován nástroj Meterpreter – New tool helps reconstruct attacks that don't leave traces on hard drives. Tento nástroj umožní zjistit i aktivity malware, které probíhají pouze v paměti (na pevném disku nezanechávají stopy).

Jurij Namestnikov (Kaspersky Lab) napsal rozsáhlejší a nesporně zajímavou analýzu „šedé“ ekonomiky botnetů – The economics of Botnets. Komentář k této práci je obsažen v článku Security researchers unpick botnet economics. Náklady s vytvořením botnetu jsou mizivé, odpovídající nástroje jsou snadno dostupné a práce s nimi nevyžaduje zase až tak hluboké znalosti počítačové problematiky. Toto vše vede k nárůstu jejich popularity a jejich stále častějšímu výskytu.

Hackeři

Could You be Hacked Like Twitter? – jak postupoval hacker Twitteru? Ian Paul vysvětluje celý postup hackera (Hacker Croll) a konstatuje, že obdobně lze získat přístup i k jiným účtům.

Nik Cubrilovic se vrací k útoku na Twitter snad v nejvíce podrobném rozboru situace  – The Anatomy Of The Twitter Attack. Tomuto článku je také věnována diskuze na blogu Bruce Schneiera – The Twitter Attack.

K Twitteru se také vztahuje následující informace – Rogue anti-spyware on Twitter. Dále – známý komentátor Robert Vamosi v Twitter: A Growing Security Minefield konstatuje, že uživatelé Twitteru jsou stále častěji předmětem útoků.

Doporučení k obraně před útoky typu SQL injection připravil Network Box – Take action against the increase in SQL injection attacks. Kromě včasného používání záplat je doporučováno:

• používat parametrizovaní příkazy SQL
• ověřit každý parametr ID (validace)
• používat parametry „escape“ tak, aby předcházely vkládání do příkazu SQL

Na konferenci Black Hat příští týden bude řeč také o nástrojích k průniku do databází Oracle – Tools to be offered for breaking into Oracle databases. Chris Gates a Mario Ceballos zde budou prezentovat tzv. Oracle Pentesting Methodology.

Hacker říká, šifrování v iPhone je jen placebo – Hacker says iPhone's encryption is a placebo. To je komentář k interview s Jonathanem Zdziarskim – Hacker Says iPhone 3GS Encryption Is ´Useless´ for Businesses.

Hardware

Postavte si bezdrátový keylogger – Build a wireless keylogger. Podrobný návod je na této stránce – Wireless Keylogger – Do It Yourself!.

Podle popisu zařízení funguje do vzdálenosti 50 yardů.

Zranitelnost open source firmware pro routery umožňuje útočníkovi získat plnou kontrolu – Open-source firmware vuln exposes wireless routers. Týká se to routerů řady výrobců.

Mobilní zařízení

Symbian připustil, že podepsal trojana – Symbian admits Trojan slip-up. Trojan, který sám sebe nazval Sexy Space, prošel řízením, které předchází digitálnímu podpisu SW. Symbian Foundation slibuje, že zkvalitní své auditní postupy.

Podle článku F-Secure: Chinese firms behind ´Sexy Space´ Trojan jsou za tímto činem tři čínské firmy.

Forenzní analýza

MIAT for Symbian & Windows Mobile Forensics, článek je věnován nástroji MIAT pro forenzní analýzu mobilních zařízení. Nástroj lze využít k získání souborů ze zařízení s OS Symbian či Windows Mobile. Má být tento měsíc dostupný jako open source na odkazu – http://www.mi­atforensics.or­g/ (stránka však zatím ještě stále nefunguje).

Jak vybudovat vlastní forenzní laboratoř (a s malými náklady), k tomu vás mohou přivést návody z článku How to Build Your Own Digital Forensics Lab – for Cheap. Brandon Gregg uvádí jednotlivé kroky pro stažení a používaní bezplatných či laciných forenzních nástrojů.

Elektronické bankovnictví

Rostoucí hrozby pro online bankovnictví jsou předmětem článku The Growing Threat to Business Banking Online. Známý komentátor pro bezpečnost IT Brian Krebs rozebírá několik podvodů z poslední doby (v USA), popisuje použité postupy. Kritizuje existující ochranné mechanizmy jako nedostatečné.

Autentizace, hesla

THC/vonJeek přichází s ePassport emulátorem. Na odkazované stránce je ukázáno, jak lze data z elektronického pasu zálohovat a také pozměňovat …

Identity 4 miliónů Britů jsou k prodeji na internetu. Komentář k průzkumu, který provedly The Times je na této stránce – Four million British identities are up for sale on the internet.

Kryptografie

Hardware implementation of the compression function for selected SHA-3 candidates, v této studii najdete HW posouzení některých kandidátů na SHA-3. A. H. Namin a M. A. Hasan (University of Waterloo) zde rozebírají nároky a vlastnosti HW realizací některých návrhů hashovacích funkcí, které se účastní konkursu na SHA-3.

Second Round Candidates, byla oznámena jména těch kandidátů na SHA-3, kteří postupují do druhého kola. Na blogu Bruce Schneiera je tomuto oznámení věnována diskuze – SHA-3 Second Round Candidates Announced.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.