Hlavní navigace

Bezpečnostní střípky: pololetní přehledy nehýří optimizmem

9. 8. 2010
Doba čtení: 10 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze samozřejmě upozornit na další informace z konferencí Black Hat a Defcon, dále třeba na distribuci Linuxu – Weaknet Linux a na některá upozornění na zranitelnosti a hrozby, které antivir nezastaví.

Konference

Prezentace a materiály z konference Black Hat – kompletní seznam všech dokumentů, které jsou k dispozici online, najdete na stránce BlackHat 2010 Presentations & Materials. Dlouhý seznam připravil Security Monkey.

How to Steal Corporate Secrets in 20 Minutes: Ask aneb jak ukrást podniková tajemství za 20 minut. Robert McMillan se vrací k soutěži, která proběhla na Defconu.

Přehledy

Web 2.0 Security in the Workplace (bezpečnost webu 2.0 na pracovišti), to je studie, kterou připravil Ponemon Institute. Komentář k výsledkům studie je zde – Web 2.0 security in the workplace. Hovoří se zde o nemalém dopadu sociálních sítí, nezbytné větší odpovědnosti pracovníků a souvisejících bezpečnostních hrozbách. Další komentář – Applications blamed for a lack of security, as employees seek to bypass policy to use them. Viz také výsledky jiného, obdobně zaměřeného rozboru – What Americans Do Online: Social Media And Games Dominate Activity (The Nielsen Co.)

Zpráva Sophos Security Threat Report Mid-Year 2010, mimo jiné zmiňuje, že nová vlna útoků cílí na vlády. Dále – komentář k této zprávě Most Consumers Support Government Cyber-Spying si jako stěžejní vybral tento fakt ze zprávy – 63 procent uživatelů podporuje počítačovou špionáž, kterou provádí vláda. Viz také další komentáře k této zprávě:

July 2010 RSA Online Fraud Report, tato zpráva konstatuje, že phisherské útoky jsou v rostoucí míře směrovány na americké banky. Ve zprávě je také vysvětleno fungování některých bankovních trojanů.

Obecná a firemní bezpečnost IT

Po úniku dokumentů na Wikileaks provede americká armáda inspekci své IT bezpečnosti – U.S. military launches review of IT security after Wikileaks breach. Robert Gates to oznámil na tiskové konferenci.

Novým zlatým dolem na internetu jsou vaše tajemství – The Web's New Gold Mine: Your Secrets . Julia Angwin komentuje výsledky šetření, které provedl Wall Street Journal. Hovoří se zde o nástrojích, které přední webové stránky používají k sledování chování svých návštěvníků. V současné době je jedním z nejrychleji se rozvíjejících typů byznysu ten, který se věnuje chování spotřebitelů na internetu. Za tímto účelem jsou vyvíjeny nové aplikace. Autorka článku se táže, kam až nás tyto snahy mohou dovést?

The barbarians are already inside the gates: Mitigating insider threats – nezanedbávejte interní hrozby! Tom Olzak nejprve poukazuje na existující zjištění k tomu, že tento problém je nemalý, je dokonce větší než cokoliv, co přichází z venku. Uvádí pak celou sadu doporučení.

How Risky Is It, Really?: Why Our Fears Don't Always Match the Facts, tuto recenzi stejnojmenné knihy publikoval Bruce Schneier na svém blogu. Autorem knihy je David Ropeik, kniha vyšla v únoru 2010, má 288 stran a lze ji nalézt na Amazonu.

Project Vigilant Is a Fraud – projekt Vigilant – je to podvod? Viz informace, které přišly z konference Defcon – Project Vigilant searching for volunteer hackers at Defcon. Komentář je pak zde – Secretive group seeks recruits at Defcon, finds skepticism

V USA byly prováděny testy zranitelností energetické rozvodné sítě – DOE: Common security holes leave energy grid vulnerable. Idaho National Laboratory otestovala v letech 2003–2009 celkem 24 kontrolních systémů a nedávno své výsledky zveřejnila – NSTB Assessments Summary Report: Common Industrial Control System Cyber Security Weaknesses. Výsledky nejsou nijak optimistické, zejména je upozorňováno na skutečnost, že záplaty k zveřejněným zranitelnostem nejsou včas aplikovány.

Americké ministerstvo národní bezpečnosti (DHS) vytvořilo týmy pro testování bezpečnosti elektráren – DHS quietly dispatching teams to test power plant cybersecurity. Těchto týmů má být deset. Otázky okolo bezpečnosti energetiky se vyostřily po zjištění malware, který napadl systémy SCADA (Stuxnet- viz čerstvé podrobnosti k tomuto červu v článku Stuxnet industrial worm was written over a year ago).

Summer holiday security checklist aneb co si hlídat v období letních dovolených. SecureWorks přichází s deseti doporučeními.

Top 5 zranitelností, které jsou nalézány neodhalené v podnicích, takovýto poučný žebříček připravila společnost Lumeta – Top 5 undiscovered vulnerabilities found on enterprise networks.

Software

Firefox 4 bude bezpečnější – Tighter security coming in Firefox 4. Článek komentuje vystoupení tří zástupců Mozilly na konferenci Black Hat.

Makoto Shiotsuki napsal několik poznámek k nástroji Screen_unlock – Screen_unlock – Windows logon screen unlocker. Tento nástroj odemkne Windows bez znalosti hesla (logon screen).

Výstup SW produktu : pohled vývojáře, uživatele a bezpečnostní pohled obsahuje článek Point release vs. rolling release: Developer, user, and security considerations. Chad Perrin se v něm zamýšlí nad různými modely pro výstup softwarového produktu.

Weaknet Linux, to je distribuce Linuxu určená pro penetrační testy a forenzní analýzu – Weaknet Linux – Penetration Testing & Forensic Analysis Linux Distribution. Článek obsahuje stručný popis nástroje a odkazy – na příručku (Official WeakNet Linux WEAKERTHAN System Administration Guide) a na adresu, odkud nástroj lze stáhnout (WEAKERTHAN4.1k­.ISO).

CSI Internet : Episode 4: Attack of the killer videos, v tomto pokračování přichází Sergej Ševčenko s analýzou jednoho problému s videem v počítači (soubor SWF).

Vývojář SW pro CIA, také on přichází s open source CIA Software Developer Goes Open Source, Instead. Podle autora článku (Noah Shachtman) to charakterizuje současné směry.

5 Windows 7 security features businesses need to know about – pětice bezpečnostních vlastností Windows 7, o kterých by se mělo vědět v podnikání. Logan Kugle informuje o nových bezpečnostních vlastnostech Windows 7, které však neomezují praktickou využitelnost:

  • Multiple active firewall profiles
  • Windows Biometric Framework
  • BitLocker To Go
  • AppLocker
  • DirectAccess

Crimepack, to je balík exploitů se kterým se lze setkat na (černém) trhu. Je předmětem článku Crimepack: Packed with Hard Lessons, Brian Krebs se podrobněji dívá na vlastnosti tohoto balíku.

Malware

Researchers peek inside a mini ZeuS botnet, find 60GB of stolen data – analytici AVG, mini Zeus botnet a 60 GB kradených dat. Pracovníci společnosti pronikli do střev tohoto botnetu (označen byl jako Mumba), získaná ukradená data se týkala cca 55 000 uživatelů z celého světa.

Seznam online skenerů souborů na to, zda neobsahují malware, najdete na stránce List of Online Anti-Malware (File) Scanners . Některé služby také testují i chování souborů.

Zeus 2 botnet kontroluje jen ve Velké Británii 100 000 počítačů – Botnet that pwned 100,000 UK PCs taken out. Vyplývá to ze zjištění pracovníků společnosti Trusteer.

Jak zbohatnout na botnetech? Brian Prince v Inside the Botnet Business: Getting Rich Quick off Security Threats vysvětluje, jak hackeři, kteří pracují s botnety, je dokážou využít k mnohamiliónovým ziskům. Komentuje vystoupení Guntera Ollmanna na konferenci Black Hat. Ten mj. upozornil, že většinu botnetů řídí profesionální týmy. Botnety orientované na konkrétní podniky bývají nevelké rozsahem (několik stovek zombie počítačů).

S jakým malware dnes bojujeme? Roger A. Grimes ve svém článku Fighting today's malware charakterizuje současnou situaci s malware. Největší uživatel cloudu není Microsoft či Google, ale ti co řídí botnet Conficker. Dnešní malware píší profesionálové z té druhé, kriminální strany. V popředí stojí trojané, podvodný SW. Existují nástroje typu Udělej si sám, atd.

Viry

Brian Krebs říká, antivirové produkty většinou ignorují bezpečnostní vlastnosti Windows – Anti-virus Products Mostly Ignore Windows Security Features. Místo toho, aby se o ně opíraly a využívaly je. Krebs například vyjmenovává celou sadu produktů (AVAST Home Edition, AVG Internet Security 9.0, BitDefender Internet Security 2010, ESET Smart Security, F-Secure Internet Security, Norton Internet Security 2010, Panda Internet Security 2010 and Trend Micro Internet Security 2010), která nevyužívá tzv. DEP (data execution prevention). Cituje vyjádření příslušných firem.

Osm hrozeb, které váš antivir nezastaví. John Metzger a Jonathan Shaw (Sophos) jsou autory osmistránkové studie Eight threats your anti-virus won’t stop. Rozebírají v ní vývoj antivirového SW z pohledu, který ukazuje kterým hrozbám postupně tento SW uměl a umí čelit. Formulují pak osm situací, kde antivir je bezmocný (a popisují v nich existující rizika):

  • Hrozba nulového dne
  • Práce mimo firewall
  • Nezáplatované PC
  • Nekontrolovaná aplikace
  • Nezabezpečený web
  • Ztracený notebook
  • Špatně adresovaný e-mail
  • Infikované USB zařízení

Hackeři

Hacker použil XSS a Google Street View Data k určení fyzického místa – Hacker Uses XSS and Google Street View Data to Determine Physical Location. Článek je věnován jednomu zajímavému vystoupení na konferenci Black Hat (Samy Kamkar).

Hackeři pustili v parlamentu porno – Hackers Broadcast Porn In Parliament. Tedy – bylo to v indonéském parlamentu …

Hardware

Biometrické a jiné zámky byly překonány hackery na Defconu – Biometric and Other Locks Fail to Foil Hackers at DefCon. Marc Weber Tobias, Toby Bluzmanis a Matt Fiddler, zkušení harcovníci této konference předvedli opět svá umění.

O svých zkušenostech s ochranou IT před bleskem hovoří autor článku When Lightning Strikes. I když u nás není takové počasí jako na Floridě, můžeme se s nimi seznámit. Informuje o nich Johannes Ullrich.

Odborníci varují: chytré měřiče spotřeby proudu mohou být hacknuty – Smart Meters Will Be Hacked, Warn Researchers. Andrew Donoghue komentuje zprávu Smart Meter Security Investment to Total $575 Million by 2015, but Meters Remain a Point of Vulnerability in the Smart Grid. Zpráva kritizuje skutečnost, že britská vláda zavádí užívání těchto inteligentních měřidel, avšak nezvážila přitom plně všechny bezpečnostní dopady technologie.

VoIP

V Čechách hackeri hromadne zneužívajú softvérové VoIP ústredne, ČTK: České firmy používajúce softvérové internetové VoIP ústredne sa stali v poslednom roku minimálne v niekoľkých desiatkach prípadov obeťami hackerov zneužívajúcich ústredne na volania na drahé zahraničné čísla a inkasujúcich podiely z poplatkov následne účtovaných týmto firmám.

Mobilní telefony a mobilní zařízení

Demonstrace na Defconu – Hacker Spoofs Cell Phone Tower to Intercept Calls, falešný vysílač GSM umožnil odposlechy mobilů. Chris Paget s „podomácku“ vyrobeným zařízením ukázal, jak lze nahradit složitější zařízení (tzv. IMSI catchers). Další článek k tomuto tématu – Hacking into GSM for only $1500. Viz také komentář k vystoupení Karstena Nohla a jeho Krakenu na Black Hat – Quickly decrypting cell phone calls.

Šifrování GSM – není ho nutné rozbít, stačí ho jen vypnout – GSM encryption: No need to crack it, just turn it off. Michael Kassner komentuje vystoupení na konferencích v Las Vegas, které byla odposlechu GSM věnována (Chris Paget).

iPhone Privacy – iPhone a soukromí – to je prezentace k přednášce na konferenci Black Hat, kterou přednesl Nicolas Seriota.

Prohlížeč umožní využívat aplikace pro odemčené iPhone 4 – Hackers release browser-based iPhone 4 jailbreak. Odemčení iPhone 4 se po rozsudku soudu stalo legálním. Využít k tomu lze prohlížeč Safari. Viz také další kouzla s tímto prohlížečem – Stealing Files With Safari 5 (CVE-2010–1778).

How many ways can you remotely exploit an iPhone? – jakými cestami lze dálkově využít exploit pro iPhone? Na stránkách F-Secure jsou zveřejněny výsledky testů, které prováděla jejich laboratoř.

Největší hrozbou pro důvěrné informace jsou mobilní zařízení – Mobile devices: Greatest threat to confidential Information?. Podle ISACA je velikým rizikem používání bezdrátových sítí. Řada zařízení (mobilní telefony, klíčenky USB) obsahuje nešifrovaná data, která mohou být odchycena (odposlechnuta).

Některé arabské země se rozhodly blokovat používání BlackBerry – BlackBerry Bans Suggest a Scary Precedent: Crypto Wars Again?. Jedná se mj. o Spojené arabské emiráty a Saudskou Arábii. Emiráty například tlačí na kanadského výrobce (Research in Motion) v tom smyslu, že chtějí mít k veškeré komunikaci zadní vrátka.
Viz také komentáře:

A další související informaci obsahuje článek – Indonesia presses RIM over its BlackBerry service. K seznámeni s RIM – RIM BlackBerry Torch 9800: A Visual Tour.

Heslo z iPhone 4 zjistí crackující SW – Cracking software retrieves iPhone 4 passwords. Ruská společnost Elcomsoft přichází s programem, který to dokáže bez jakékoliv úpravy zařízení či dat v něm obsažených.

Elektronické bankovnictví

Banky hledají pomoc svých zákazníků v boji proti online krádežím – Banks seek customers' help to stop online thieves . Banky chtějí, aby zákazníci monitorovali své účty (v podstatě každodenně).

Největší nebezpečí platebním kartám hrozí na benzinových pumpách – Credit and debit card skimming: Look out for fraudulent readers at gas stations. Joan Goodchild uvádí k tomuto problému názornou slideshow – Slideshow: Telltale Signs of ATM Skimming (týká se to pochopitelně USA).

UK : šest lidí uvězněno, podíleli se na kompromitaci 10 000 bankovních účtů – Six arrested for compromising 10,000 online bank accounts. Souvisely s tím i domovní prohlídky v Londýně a v Irsku (Navan, County Meath). Z kompromitovaných účtů se bandě podařilo úspěšně ukrást okolo 358 000 liber.

Kryptografie

Microsoft a Cryptography Research uzavřely alianci – Microsoft signs anti-hacking licence. Má být směrována na vytváření prostředků proti DPA útokům.

Blíží se konference v Santa Barbaře, kde bude zúžen počet kandidátů na novou hashovací normu SHA-3. V souvislosti s tím jsou publikovány informace, které se dotýkají hodnocení jednotlivých kandidátů:

root_podpora

NSA and the National Cryptologic Museum, Bruce Schneier otevírá diskuzi na svém blogu k tomuto nesporně zajímavému tématu.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?