Hlavní navigace

Bezpečnostní střípky: proběhla konference RSA USA 2010

Jaroslav Pinkava 8. 3. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na některé informace z USA vztahující k boji s kybernetickou kriminalitou, výsledky analýz botnetu Aurora a na některé nově nalezené zranitelnosti (DEP ve Windows, OpenSSL).

Konference a přehledy

V uplynulém týdnu, ve dnech 1. až 5. března proběhla v San Franciscu jedna z nejvýznamnějších událostí IT bezpečnosti – Konference RSA 2010. Řada informací z této akce bude zmíněna v dalším. Přehled zpráv z této konference je na stránce RSA 2010: Special Report.

Obecná a firemní bezpečnost IT

Obamova administrativa uvolnila některé dříve utajované dokumenty k projektům z kybernetické bezpečnosti – Obama administration partially lifts secrecy on classified cybersecurity project. Na vládním webu se objevil dokument The Comprehensive National Cybersecurity Initiative. Jsou zde některé nové informace, například o připravovaném systému pro prevenci průniků označovaném jako Einstein 3. 

Viz také vystoupení Howarda Schmidta na konferenci RSA – US cybersecurity plans revealed a RSA: White House Cybersecurity Plan Revealed .

Dokumentu je také věnována diskuze na Schneierově blogu – Comprehensive National Cybersecurity Initiative.

Šéf kybernetické bezpečnosti Bílého domu: Není žádná kybernetická válka – White House Cyber Czar: ‘There Is No Cyberwar’. Ale je tu kybernetická kriminalita a špionáž a s nimi je třeba bojovat, dodal Howard Schmidt v interview na konferenci RSA.

S kritickým pohledem přichází Ryan Singel – kybernetickou válku si vymýšlí – Cyberwar Hype Intended to Destroy the Open Internet. V rozsáhlejším příspěvku nesouhlasí s názory na existenci kybernetické války v té podobě, jak se nyní často o ní hovoří.

Internet freedom and security – aneb svoboda na internetu versus bezpečnost. Scott Bradner komentuje současnou situaci tak, jak se jeví ve vyjádření některých amerických politiků.

Ministerstvo obrany USA bude vyžadovat certifikát etického hackera – DoD Requires Hacker Certification. „Certified Ethical Hacker qualification tests“, to je soubor testů, kde uchazeč bude muset prokázat své znalosti technik a nástrojů a svých přístupů.

Michael Chertoff na konferenci RSA o obtížnosti úlohy vyhledání zdroje kybernetického útoku – Tracing attack source key to cybersecurity strategy, Chertoff says. Former DHS chief talks of difficulties in creating a national deterrence plan. Řešení této úlohy je jedním z hlavních cílů při formování kybernetické strategie USA.

Krádeže zdravotních dat se týkají téměř šesti procent Američanů – Medical identity theft strikes 5.8% of American adults. Medicinské ID obvykle obsahuje informace z karty zdravotního pojištění, náklady na zdravotní péči a vybavení.

Ředitel FBI na konferenci RSA varuje před rostoucími kybernetickými hrozbami – FBI director warns of growing cyber threat. Článek obsahuje shrnutí jeho vystoupení. Viz také – FBI Director: Hackers have corrupted valuable data. Hackeři data nejen kradou, ale často také poškodí uložené cenné informace.

Agenti FBI spolupracují s orgány na Ukrajině a Estonsku – FBI embeds cyber-investigators in Ukraine, Estonia. Inspirací byla takováto úspěšná spolupráce v Rumunsku, která vedla k zatčení 100 osob aktivních v počítačové kriminalitě.

Bývalý technický šéf NSA na konferenci RSA – nevěřím výpočtům v oblacích – Former NSA tech chief: I don't trust the cloud. Brian Snow vidí možnosti útoků jiných účastníků těchto technologií (v témže oblaku).

Talking Bots with Japan’s ‘Cyber Clean Center’ aneb Japonci v boji s kyberkrimina­litou. Brian Krebs na svém blogu publikuje informace o relativně málo známém japonském centru (Cyber Clean Center) a uvádí odpovědi na otázky, které položil jeho zástupcům.

Hlavních sedm hrozeb pro výpočty v oblacích (cloud computing) je rozepsáno v článku Top 7 threats to cloud computing, který obsahuje výtažek ze zprávy Top Threats to Cloud Computing V1.0 (Cloud Security Alliance a HP). Viz také komentář – Study on cloud security threats.

Německý nejvyšší soud zamítl požadavky zákona na uchovávání dat z volání mobily a e-mailů – German High Court Limits Phone and E-Mail Data Storage. Soud požaduje, aby byla zrušena povinnost ukládat tyto data po dobu půl roku a zákon pozměněn v tom smyslu, že data mají být mazána okamžitě. Argumentuje se mj. nedostatečnou ochranou uložených dat.

Hořká je situace správce městské sítě v San Franciscu  – Slouching toward justice for Terry Childs. Autor článku poukazuje na některé sporné skutečnosti okolo celého případu. Tento dnes už pochopitelně bývalý správce sítě sedí již dva roky ve vězení, nyní proběhne soud.

Útok Aurora

Rozsáhlý rozbor botnetu Aurora je obsažen ve studii společnosti Damballa (31 stran) – The Command Structure of the Aurora Botnet. Komentář k této studii najde pak čtenář v článku – Google Attack Performed by ´Amateur´ Botnet.

Další komentář – odborníci nazývají útočníky, kteří hackli Google, amatéry – Researchers Call Google Hackers ‚Amateurs‘. Útoky nebyly nijak sofistikované, využívaly již dlouho známé prostředky – podle bezpečnostní firmy Damballa.

Útok Aurora zasáhl více než 100 společností – More than 100 companies targeted by Google hackers. Původní odhad, že to kromě Google bylo dalších 34 společností, byl nyní podstatně navýšen. Zde  – „Aurora“ Response Recommendations – lze nalézt doporučení k snížení odpovídajících rizik. Viz také  – Can Aurora attacks be prevented?

Také společnost McAfee připravila svůj materiál k útoku Aurora pro konferenci RSA – Protecting Your Critical Assets. Lessons Learned from “Operation Aurora”. Komentář k této studii je v článku Threat Level Privacy, Crime and Security Online ‘Google’ Hackers Had Ability to Alter Source Code. Útok roku, tak se bez nadsázky dá už nyní Aurora označit díky pozornosti, která je jí věnována. Předložená studie ve svém rozboru mj. upozorňuje na její potenciál, který se týká možností změnit zdrojový kód (software-configuration management systems – SCM).

Software

Nalezena byla vážná chyba v OpenSSL – ‚Severe‘ OpenSSL vuln busts public key crypto. Private keys pilfered through power supply. Zranitelnost umožňuje dostat se k utajovanému kryptografickému klíči RSA algoritmu (University of Michigan's elec­trical engineering and computer science departments). Podrobnosti k útoku jsou ve studii – FaultBased Attack of RSA Authentication.

Konference RSA – open source SW se vyrovná s chybami dvakrát rychleji – Openistas squish security bugs twice as fast. Dále – má srovnatelnou bezpečnost a méně zadních vrátek, to vše má vyplývat ze studie o zranitelnostech aplikací společnosti VeraCode – State of Software Security Report.

Uživatelé Windows XP, nemačkejte F1 – Microsoft: Don't press F1 key in Windows XP. S touto výzvou přichází Microsoft v reakci na nezáplatovanou zranitelnost, kterou mohou využít hackeři.

Zákazníkům britských bank je nabízen ultra-bezpečný Firefox – Ultra-secure Firefox offered to UK bank users. John E. Dunn v tomto článku popisuje vlastnosti prohlížeče Secure-Me browser.

Odborník (Google) ukázal, jak obejít DEP ve Windows – New exploit technique nullifies major Windows defense. DEP (Data Execution Prevention) je jedna ze dvou hlavních ochran, na kterou Microsoft spoléhal ve svých novějších operačních systémech (druhou je ASLR – address space layout randomization). Berend-Jan Wever je autorem kódu programu, který tuto ochranu umí obejít (proof-of-concept). Je předpovídáno, že brzy se objeví exploity, které tuto novou techniku využívají.

Uživatelé Windows záplatují v průměru každý pátý den – The Security Exposure of Software Portfolios. An empirical analysis of the patching challenge faced by the average private user. Průměrný uživatel Windows má na svém počítači programy od 22 dodavatelů SW. Studii společnosti Secunia komentuje Brian Krebs na svém blogu – Yep, There’s a Patch for That.

Ncrack – crackovací nástroj (autentizace v síti) byl vydán v alpha verzi – Ncrack – High Speed Network Authentication Cracking Tool. Podrobněji se s ním lze seznámit na této stránce – ncrack.

Malware

Bezplatná služba detekuje malware na webech – Free service for malware detection on websites. Služba QualysGuard Malware Detection skenuje weby libovolné velikosti, kdekoliv ve světě.

Počet infikovaných webů vzrostl v únoru 2010 oproti lednu 2010 o 184 procent – A 184% increase of malicious websites. Vyplývá to z nejnovější zprávy MessageLabs Intelligence report.

Zlikvidován byl jeden z největších botnetů – Authorities dismantle botnet with 13 million infected PCs. Botnet Mariposa sestával téměř z 13 miliónů počítačů.

Půjdou infikované počítače do izolace? Tato myšlenka pocházející z Microsoftu byla diskutována na konferenci RSA – Microsoft wants to put infected PCs in rubber room.

Jak FBI likvidovala velký botnet – How FBI, police busted massive botnet. Ve spolupráci se španělskými orgány byl zlikvidován botnet Mariposa s 12 milióny zombie-počítačů, který uvedli do provozu a řídili tři Španělé. John Leyden k tomu uvádí další podrobnosti.

Hackeři

Hackeři kradli ve velkém lístky na sportovní události a koncerty – Wiseguys net $25m in ticket scalping racket. Celkem mělo být ukradeno v průběhu šesti let až jeden a půl miliónu lístků, zisk hackerů činil 25 miliónů dolarů. Sofistikovaným způsobem dokázali obelstít ochrany CAPTCHA.

Hardware

Bezpečností uzamčení hotelových dveří se zabývá článek Assasination and hotel door security. Většina hotelů má kromě elektronického ještě i mechanický zámek (bývá ukryt pod štítkem) – pro případ, že elektronika selže. Autor diskutuje možnosti toho, jak to vlastně proběhlo při atentátu v Dubaji. Viz také diskuzi na Schneierově blogu – Breaking in to Hotel Rooms.

Bezdrát

Útok proti protokolu TKIP (bezdrát) je předmětem studie Enhanced TKIP Michael Attacks. Komentář k této studii je na stránce Another, Better TKIP Attack That's Still Limited. Je to již druhý útok tohoto typu, jeho využití je však stále omezené.

Britské univerzity a knihovny protestují proti plánu, díky kterému mají být odpovědny za bezdrát – Universities protest against government wi-fi plans. Měly by odpovídat mj. za to, když si lidé jejich prostřednictvím stahují pirátské filmy a hudbu. Týkat se to má i internetových kaváren.

Proběhl monitoring využívání bezdrátu na konferenci RSA  – RSA 2010 – Wireless security monitoring results. Zjištěno bylo 293 přístupových bodů (pro 2444 klientů), 86 procent přístupů je šifrováno, ale 62 procent z nich se opírá o slabou verzi šifrování, kterou lze hacknout (WEP, TKIP). Doporučované šifrování je AES/CCMP. Monitoring provedla Motorola AirDefense.

Mobilní telefony

Miliónové ztráty vznikají díky odposlechnutým hovorům z mobilů – Millions lost due to illegal interception of cell phone calls. Článek obsahuje komentář k přehledu, který připravil Ponemon Institute.

SMobile Global Threat Center. Study of BlackBerry Proof-of-Concept Malicious Applications, to je studie, která rozebírá škodící aplikace pro systém BlackBerry. Autoři v ní rozebírají možné zranitelnosti BlackBerry, existující hrozby a předkládají příklady škodících aplikací (proof-of-concept).

Elektronické bankovnictví

Řetězec hotelů Wyndham – ukradeny byly informace o platebních kartách zákazníků – Hacker steals data in Wyndham hotel breach. Hacknutí databáze bylo zjištěno v lednu 2010, útočníci přitom takto „pracovali“ od října 2009.

Která data o svých uživatelích poskytne PayPal v případě vyšetřování podle zákonných požadavků? A jak je to u dalších obdobných entit? Přečtěte si o tom v článku Cryptome Spying guides as a Digital Forensic Resource. Internet není tak anonymní, jak by se mnozí mohli domnívat. Viz např.:

K hacknutí Citibank se vrací technický materiál Black Energy Crypto. Autor v něm rozebírá bot Black Energy. Jsou zde i další odkazy, které se týkají dané problematiky.

Autentizace, hesla

Pět vlastností kvalitního správce hesel formuluje Chad Perrin na stránce Five features of a good password manager. Jsou to

  • Šifrování
  • Bezpečný zdroj (paměť)
  • Bezpečnost záleží výhradně na něm
  • Použitelnost
  • Ověřitelná konstrukce

Používáte velké množství hesel? Na blogu KasperskyLab je diskutována jedna z možností, jak se s touto situací vypořádat – Too many passwords?. Ale (JP), pokud někdo odhalí vámi používaný algoritmus vytváření hesel, pak se dostane ke všem vašim heslům. Náhodnost je přeci jen v tomto směru odolnější.

Forenzní analýza

Open Source Android Digital Forensics Application – aneb k open source forenzní aplikaci pro Android. Autor popisuje vlastnosti jím vyvinuté aplikace a ukazuje, kde se dá stáhnout, jak ji nainstalovat a použít.

Phishing

Phishing používá stále dokonalejší metody – Fraudsters hone their attacks with spear phishing. Doby, kdy se objevovaly jen gramaticky špatně napsané e-maily jsou pryč, říká Roger A. Grimes. Nyní se autoři těchto podvodných zpráv připravují podstatně lépe a stále častěji využívají také tzv. spear phishing (cílený phishing), kdy obsah e-mailu využívá i určitě znalosti, které se týkají jeho adresáta.

Kryptografie

Na konferenci RSA proběhl také kryptografický panel – NSA, cryptoexperts jab at RSA Conference 2010 Cryptograp­hers' Panel. Došlo zde k zajímavému střetnutí představitele NSA (Brian Snow) s odborníky z veřejného sektoru.

Krátké interview s Bruce Schneierem u příležitosti konference RSA si můžete přečíst zde – RSA 2010: Q&A with Bruce Schneier.

Různé

K zavraždění palestinského činitele se vrací článek A Perfectly Framed Assassination a obrací se k němu i Bruce Schneier na svém blogu – More on the Al-Mabhouh Assassination.

Krev novorozenců se používá k vytvoření utajované databáze DNA. Informuje o tom Ewen Callaway – Newborns' blood used to build secret DNA database. Texas Department of State Health Services (DSHS) si nevyžádalo svolení rodičů.

TopTen českých hoaxů a řetězových zpráv za únor 2010 najdete zde.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

12. 3. 2010 10:11

JP (neregistrovaný)

Nelze popřít že problémy těchto typů existují. Fault injection – tyhle útoky mají právě za cíl na ně upozornit:

http://eprint.iacr.org/2010/130.pdf

Říci, že „Celá fault-based kryptoanalýza je nesmysl“ je formulace na úrovni „celá kryptografie a kryptoanalýza je nesmysl“. Nikoliv, právě takovéto výsledky ženou dopředu vývoj k bezpečnějším implementacím.
Jiná otázka je, kde tu bezpečnost vyzískat. Jestli pomůže kvalitněji definovaný algoritmus anebo jestli se bez úprav HW nelze obejít, to je prá…

11. 3. 2010 11:19

BLEK. (neregistrovaný)

Celá fault-based kryptoanalýza je nesmysl. Ty problémy nevyřešíš na algoritmické úrovni. Pokud zalepíš tento problém, tak ti někdo najde libovolně mnoho podobných problémů (příklad: co kdyby se změnily bity v registru, který ukazuje do výstupního bufferu, aby místo toho ukazoval do ROM — procesor ti pak sám vydá celý privátní klíč)

Řešit takovéto věci je potřeba na hardwarové úrovni. Další možnost ochrany (kdybyses chtěl chránit nejen před změnou napájení, ale i proti ozařování čipu) je dát do …

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu