Hlavní navigace

Bezpečnostní střípky: proč došlo k úniku jihokorejských vojenských plánů?

4. 1. 2010
Doba čtení: 8 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek posledního týdne loňského roku lze upozornit na informace z konference 26C3 (diskuze okolo GSM) a na další bilancování roku 2009 a samozřejmě také již tradiční předpovědi pro začínající rok 2010.

Konference

V tradičním termínu, před koncem roku (27.12 – 30.12), proběhla v Berlíně akce 26th Chaos Communication Congress. Pořádá ji Chaos Computer Club (CCC). Program konference najdete na této stránce  – Schedule. Některé z diskutovaných výsledků budou zmíněny dále v článku.

Obecná a firemní bezpečnost IT

Na Schneierově blogu byl předmětem diskuze nedávný pokus teroristy v letadle – Separating Explosives from the Detonator. Lze uhlídat oddělenou výbušninu a zvlášť uchovaný detonátor? Schneier reaguje na situaci z minulého týdne v letadle, které směrovalo do Detroitu. Jen náhoda a duchapřítomnost cestujících zabránila katastrofě.

Výpočty v oblacích jsou velkou výzvou současné IT. David Talbot rozebírá tuto problematiku v rozsáhlejším článku Security in the Ether a to včetně bezpečnostních aspektů. Zaujala mě citovaná poznámka Rona Rivesta (MIT), který říká, že případnější by bylo nazývat tyto postupy „výpočty v bažinách“ (než výpočty v oblacích). Jedno je fakt, uživatelům se takto do rukou dostává až nečekaná výpočetní síla, na druhou stranu dávají všanc své často vysoce důležité informace. Komentář k tomuto článku najdete na stránce „Swamp Computing“ a.k.a. Cloud Computing.

Nudging Privacy. The Behavioral Economics of Personal Information – behaviorální ekonomika ochrany soukromí, autorem této studie je Alessandro Acquisti. Co vede lidi k tomu, aby odkrývali a naopak skrývali informace o sobě pro ostatní a před ostatními? Viz také diskuzi k studii na Schneierově blogu – The Behavioral Economics of Personal Information.

Amazon o vánocích prodal poprvé více elektronických knih než papírových – Amazon Sells More Ebooks On Christmas Than Real Books on Sunday December 27, @09:34AM, podle informace z Amazonu.

Konec roku je vhodná doba k tomu, abyste si prošli jednotlivé části vaší firmy a ověřili si, jak jsou na tom s bezpečností – Take a Walking Tour of Your Company's Secu­rity.

Proč došlo k úniku jihokorejských vojenských plánů? Autor článku N. Korea hacked secret U.S.-S. Korean war plans after USB flash drive was left in computer objasňuje výsledky vyšetřování. Jihokorejský armádní důstojník ponechal USB flash disk připojený k počítači, který přepnul z omezeného přístupu v intranetové síti na internetové otevřené připojení. Na USB disku bylo shrnutí plánů jihokorejské a americké armády (OPLAN 5027) pro případ války ze Severní Koreou.

2009/2010 – bilancování a předpovědi

Deset věcí, které se nestaly v roce 2009 a pravděpodobně nestanou ani v roce 2010 – 10 Things That Didn't Happen in 2009 (And Probably Won't Happen in 2010). Joan Goodchild připravila komentář k článku, který vyšel před rokem (jeho autorem byl David Kelleher), ukazuje v něm, že se tyto antipředpovědi opravdu nenaplnily.

Imperva – Hacking industry heads top five data security threats for 2010s, warns Imperva – formuluje své předpovědi pro pět hlavních bezpečnostních hrozeb v roce 2010 následovně:

  • Industrializace hackingu
  • Posun od bezpečnosti aplikací k bezpečnosti dat
  • Růst útoků na sociální sítě
  • Poroste množství útoků s cílem krást hesla
  • Posun v organizacích od reagující bezpečnosti k proaktivní bezpečnosti

Amichai Shulman (Imperva’s Chief Technology Officer) v článku Hacking industry heads top five data security threats for 2010s, warns Imperva k tomu podotýká: Organizace budou muset využívat celou řadu technologií pro zabezpečení svých informací včetně třeba DLP (Data Loss Prevention – prevence úniků dat).

Zajímá vás, jak bude bezpečnost vypadat za deset let? K takto položené otázce Tom Espiner své předpovědi formuluje v následujících deseti bodech (How security will look in 10 years):

  1. Všudypřítomné výpočty v oblacích
  2. Správa ID a přístupů se stane velice významnou
  3. Veřejný sektor bude online
  4. Internet bude i pro věci
  5. Sítě typu mesh
  6. Mobilní botnety
  7. Super-rychlý broadband
  8. DNSSEC
  9. IPv6
  10. Cyber warfare a průmyslová špionáž

Top 10 bezpečnostních můr dekády shromáždil Robert Vamosi v článku Top 10 Security Nightmares of the Decade.

  1. Kybernetická válka
  2. Malware vytváří nové formy spolupráce
  3. Útoky na MySpace, Facebook a Twitter
  4. Organizované virové útoky a organizovaná kriminalita
  5. Botnety
  6. Albert Gonzalez
  7. Phishing
  8. Staré protokoly, nové problémy
  9. Úterek záplat Microsoftu
  10. Placené rozkrývání zranitelností

Kterých bezpečnostních problémů roku 2010 se máme obávat? Tuto otázku rozebírá William Jackson na amerických vládních stránkách – Security issues to fear in the New Year. Zmiňuje především rostoucí složitost a propojenost IT prostředí a nové hrozby, které přichází s výpočty v oblacích, sociálními sítěmi a mobilními platformami. Poroste trh s botnety a jejich „službami“, plodnou oblastí (pro obě strany) budou webové stránky.

Souhrn bezpečnostních předpovědí pro rok 2010 z různých zdrojů připravil Michael Kassner – IT security: What's in store for 2010? Tyto předpovědi se shodují zejména v těchto třech oblastech:

  • Výpočty v oblacích
  • Datové průniky
  • Sociální sítě

A konečně desítku nejvíce podlých činů kybernetické kriminality uplynulé dekády vybral Kevin Poulsen (The Decade’s 10 Most Dastardly Cybercrimes):

  • MafiaBoy (15letý hacker) v roce 2000, DDOS útok na frekventované weby
  • Kalifornie 2002 – útok na mzdové databáze
  • Červ Slammer v roce 2003, útok na SQL servery
  • Foonet 2004, hosting pro hackery
  • 2006 – dopravní signalizace v Los Angeles
  • 2006 – Max Vision (aka Iceman) největší databáze kradených ID a dat k platebním kartám
  • 2008 – RBS Worldpay Heist – hack vedl k množství neoprávněných výběrů z bankomatů v celém světě
  • 2005–2008 – Albert Gonzales  – největší krádež dat historie
  • 2009 – červ Conficker a jeho botnet
  • 2009 – finanční soumaři

Software

Bezpečnost Windows 7 a UAC je předmětem článku Security in Windows 7: UAC. Neil J. Rubenking v něm rozebírá možné problémy s UAC a porovnává situaci ve Windows Vista A Windows 7. Najdete zde také odkaz na stránku Windows 7. Everything You Need To Know, která je plně věnována Windows 7.

Na konferenci 26C3 bylo jedno téma věnováno ochranám před bezpečnostními dírami ve Flashi – 26C3: Protection against Flash security holes. Felix „FX“ Lindner (Recurity Labs) prezentoval na konferenci 26th Chaos Communication Congress svůj open source projekt Blitzableiter.

Malware

Šikovní hoši zlikvidovali Mega-D botnet – Good Guys Bring Down the Mega-D Botnet . Atif Mushtaq se svými dvěma kolegy ze společnosti FireEye pronikli do vnitřní infrastruktury botnetu a pomocí dalšího úsilí se jim podařilo v podstatě eliminovat aktivity tohoto botnetu (podíl spamu, který tento botnet produkoval, klesl z 11,8 procenta na méně než jednu desetinu procentu).

Možná trochu opožděně, ale určitě ještě stále aktuálně přichází varování – opatrně s přáními do nového roku – Happy New Year 2010. It's almost 2010, yearly round of new year related malware is going on – v oběhu je Trojan-Downloader:W32/A­gent.MUG. Dále, viz také – Porn worm spreads as new year greeting.

Viry

Antiviry v roce 2009, Martin: Web AV-Comparative zveřejnil, jak si vedly v roce 2009 anitivirové programy. Dali dohromady všechna letošní měření a dostali tak výsledek, který říká, jak si s letošními nástrahami různých breberek jednotlivé programy vedly, vše pak setřídili do několika kategorií. Celkovým vítězem se stal Symantec, ale vás jistě bude zajímat, jak si vedl zrovna ten váš, jak asi dopadl Avast!, AVG nebo Eset NOD32?

Hackeři

Adobe bude primárním cílem útočníků v roce 2010 – Adobe predicted as top 2010 hacker target. Takovouto předpověď vydala společnost McAfee. Adobe předběhne v tomto roce Microsoft. Zranitelnosti Adobe Readeru a Flashe byly již v právě uplynulém roce častým terčem. Zprávu McAfee si lze přečíst zde – 2010 Threat Predictions. Další komentář je pak na stránce 2010: A good year for fighting cybercrime?.

Hacker napadol Azet.sk, zverejnil štruktúru tabuliek a ukážky dát, Filip Hanker informuje o dalším „úspěchu“ hackera, který si říká igigi.

Hardware

Podvodné USB kľúče z Číny klamú o svojej kapacite. Z úvodu: V posledných mesiacoch podľa dostupných informácií veľký počet užívateľov doplatil na zdanlivo cenovo veľmi výhodné ponuky najmä USB kľúčov na aukčných serveroch a nakúpil kľúče so skutočnou kapacitou výrazne nižšou ako je udávaná kapacita kľúča. Keďže podvodné kľúče maskujú svoju skutočnú kapacitu, veľa užívateľov pravdepodobne považuje svoje kľúče skôr za chybné ako podvodné respektíve sa o probléme dozvie až po nejakom čase. Medzi krajinami s najväčšími počtami obetí je aj Slovensko.

Mobilní a bezdrátové telefony

Karsten Nohl na konferenci 26th Chaos Communication Congress oznámil, že se mu podařilo rozbít šifrování GSM – GSM crypto code cracked, engineer says, jeho prezentaci najdete pak zde – GSM –SRSLY?.

Objevila se celá řada komentářů:

a interview:

Na Cryptome je možné najít sérii dokumentů k problematice okolo šifrování GSM – GSM A5 Files Published on Cryptome and Elsewhere. Cituji: In support of Karsten Nohl's cracking of GSM A5.

Samotný projekt má své stránky zde – A5/1 Cracking Project.

A další odkazy (některé titulky jsou spíše senzační než chápající podstatu problému):

Cracknuto bylo šifrování pro přenosné telefony pracující s normou Digital Enhanced Cordless Telecommunication (DECT)  – 26C3: Encryption code for DECT mobile phones cracked. Na konferenci 26C3 to oznámili odborníci z projektu deDECTed.org.

Elektronické bankovnictví

FBI (a American Banking Association ) znovu upozorňují: používejte pro online bankovnictví speciálně vyčleněný počítač – Feds Warn Small Businesses to Use Dedicated PC for Online Banking. A to takový, který není používán k jiným účelům, který není používán k brouzdání po internetu či čtení e-mailů. Varování přichází současně s informací, že FBI vyšetřovala v posledních dvou letech přes 200 případů, kdy bylo ukradeno více než 40 miliónů dolarů.

Phishing

Preference phisherů: Paypal, Visa, eBay and Amex, to je jeden z výsledků přehledu – „BitDefender´s mal­ware and spam survey“ – Phishers prefer Paypal, Visa, eBay and Amex.

Normy a normativní dokumenty

Americký NIST v minulém týdnu vydal dokument:

Kryptografie

Kvantová kryptografie cracknuta – Quantum Cryptography Cracked. Tedy útok prezentovaný na 26C3 je prováděn na její konkrétní implementací (zranitelnost detektoru) – How you can build an eavesdropper for a quantum cryptosystem. Navržený postup spočívá v odposlechu na optickém kabelu, kdy je získána veškerá utajovaná přenášená informace (tajný klíč) a přitom účastníci přenosu nic nezjistí o přítomnosti útočníka na kanále. Viz také – 26C3: Researchers demonstrate brilliant quantum hack.

Různé

Akademie CZ.NIC pořádá kurz Problematika infrastruktury veřejných klíčů (PKI). Termín Kurzu je 20. leden 2010, v čase 09:00–17:00, jeho garantem je Pavel Vondruška.Časová náročnost: jednodenní kurz, 6 hodin (5 hodin teorie, 1 hodina praxe), cena: 2 000,00 Kč

root_podpora

Cíle kurzu:

  • porozumět principu asymetrických šifer
  • znát základní informace k budování PKI a CA
  • znát vybrané aspekty zákona o el. podpisu (typy certifikátů, podpisů, certifikačních autorit atd.)
  • umět vygenerovat certifikát a zacházet s ním a příslušným soukromým klíčem
  • pochopit princip důvěry v PKI a certifikáty
  • mít základní přehled o možných útocích na PKI a použité šifry

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?