Bezpečnostní střípky: první předpovědi pro rok 2013 k bezpečnosti IT

Přehledy

Vydán byla zpráva společnosti Sophos Security Threat Report 2013. Komentář k této zprávě je v článku 80% of attacks are redirects from legitimate sites.
Body zprávy, které se týkají předpovědí pro rok 2013 (samotná zpráva má 44 stran, obsah se převážně zaměřuje na vyhodnocení průběhu roku 2012) jsou následující:

• More basic web server mistakes
• More “irreversible” malware
• Attack toolkits with premium features
• Better exploit mitigation
• Integration, privacy and security challenges

Viz také další komentáře:

• Security Threats Diversify, Modernize, Sophos Report Warns
• 80% of malware attacks in 2012 were redirects from legitimate sites

Analysis of U.S. breach data finds reasons for concern – k vývoji datových průniků v americkém zdravotnictví. Health Information Trust Alliance zveřejnila analýzu vývoje od roku 2009 (průniků, které postihly více než 500 obětí).
Viz také komentář – Study finds firms lagging in health care privacy, data security protections.
Další informace k této problematice přináší článek Ponemon: 94% of Hospitals Suffered Data Breaches.
Zprávě Ponemon Institute jsou věnovány také komentáře:

• Identity Theft Is a Growing Risk in Health Care: Ponemon Report
• Nine out of 10 hospitals lost personal data in last two years

Předpovědi pro rok 2013

Art Coviello (CEO RSA) hovořil o svých předpovědích ohledně bezpečnosti IT v roce 2013 – Cyber-Disaster a ‚Whisker Away‘ in RSA CEO's 2013 Security Forecast. V článku jsou formou slideshow zmiňovány tyto body:

• Critical Skills Shortage Continues
• As Mobility Grows, Perimeters Get Weaker
• Critical Skills Shortage Continues
• Goverments Continue to Dawdle on Privacy Legislation
• We May Be Closer to Catastrophe Than We Know
• Rogue States May Get More Disruptive
• Good News: Security Experts Moving to New Models
• Cloud Security Investments Will Grow
• Like Cash, Collaboration Is King
• Like Cash, Collaboration Is King

Five Most Dangerous Malware Trends of 2013 – nejvíce nebezpečné trendy malwaru pro rok 2013. Společnost Trusteer svoje předpovědi uvádí formou infografiky:

1. The emergence of malware targeting the Google Chrome browser
2. The emergence of native 64-bit Windows malware
3. Detection-aware malware targeting enterprises
4. Big increase in new and modified financial families
5. Malware lifecycle is accelerating

Cyber attacks resulting in death forecasted next year – příští rok: kybernetické útoky zapříčiní smrt, jedna z předpovědí společnosti WatchGuard.
Viz také komentář – WatchGuard Reveals Top Security Predictions for 2013.

Cyber-spying, hacktivism and the public sector raise the threat level for 2013 – k hrozbám roku 2013 podle společnosti Kaspersky se vrací další komentář, viz také Kaspersky Warns of Android ´Drive-By Download´ Attacks.

Obecná a firemní bezpečnost IT

Fungování syrského internetu bylo (většinou) obnoveno – Syrian Internet appears to be largely restored. Je to po dvoudenním výpadku.

USA – varování před kybernetickým 11. zářím zveřejnil bývalý ředitel NSA John „Mike“ McConnell – Former spy chief says U.S. has had its cyber ‚9/11 warning‘.

Shodit internet je v mnoha zemích jednodušší než byste si mysleli – Internet shut-down easier, in more countries, than you think. Článek obsahuje komentář k analýze společnosti Renesys, která dokumentovala vyřazení internetu v Sýrii minulý týden – Could It Happen In Your Country?
Shodit celý internet je však nepravděpodobné, říkají odborníci – Cyberattack Capable of Downing Entire Internet Is Unlikely, Experts Say.

Velká Británie: Cizí síly již použily malware k tomu, aby zmapovaly vládní sítě podporující kritickou infrastrukturu – UK.gov: ‚Foreign cyber reconnaissance‘ underway in UK. Připouští to britská vláda.

10 důvodů, proč by si podniky měly znovu promyslet bezpečnost koncových bodů, takovouto slideshow připravil Chris Preimesberger – 10 Reasons Enterprises Should Rethink Endpoint Security. Najdete zde popis dopadů dnešních hrozeb ve vztahu k uživatelům.

DIY malicious domain name registering service spotted in the wild – k službě registrující škodlivé domény. Dancho Danchev popisuje taktiky kybernetické kriminality.
Viz také komentář – Handy malicious domain registering service available to cybercriminals.

Zaměstnanci používají služby pro sdílení souborů i přes existující zákaz – Employees use file sharing services despite bans. V článku jsou uvedena zjištění z přehledu, který připravila společnost Nasuni.

Objevila se nová esej Bruce Schneiera – Feudal Security. Obsahuje zajímavá srovnání a charakterizace dnešních modelů bezpečnosti.

Are you aware of the 12 scams of Christmas? McAfee explains – dvanáct vánočních podvodů, tento přehled připravila společnost McAfee.

Švýcarští zpravodajci „ztratili“ terabajty informací -US and UK spooks alerted over massive Swiss data leak. Swiss intelligence agency (NDB) varuje své britské a americké protějšky. Jeden z jejích administrátorů měl ještě vedlejší zaměstnání. Měl přitom přístup k citlivým souborům z MI6 a CIA.

Na internetu je k dispozici volně dostupná e-kniha – 9 Steps to Cybersecurity. Celý její název je 9Steps to Cybersecurity: The Manager´s Information Security Strategy Manual a najdete ji na odkazu zde (nezbytná je registrace, dokument má 79 stran).

Studie k rizikům odhaluje nejbolavější místa roku 2013 – Risk study identifies top pain points in 2013. Článek obsahuje komentář k čtvrté výroční zprávě Ponemon Institute. Citace: ”IT professionals reported the flood of mobile devices entering their corporate networks, advanced persistent threats and third-party application vulnerabilities are their primary pain points moving into 2013.“

The strange consequences of spying – aneb zvláštní dopady sledování. Agent FBI použil na synově počítači (patřícím škole) spyware. Nechtěně tak zjistil (po návratu počítače do školy, spyware se nepodařilo vymazat), že úředník školy si prohlíží dětské porno.
Viz ale komentář – FBI agent's spyware vs. principal: This post is worth the read.

Online Security Basics for Small Business Websites, zde najdete základy online bezpečnosti pro weby malého podnikání. Nathan Segal popisuje základní prostředky, o které by se tyto weby měly opírat.

Kybernetické podzemí používá sofistikovanější taktiky marketingu – Marketing Tactics Grow More Sophisticated in Cyber Underground. V interview k tomuto tématu hovoří Loucif Kharouni (Trend Micro Senior Threat Researcher).

Managing Data Erasure in the Enterprise: Automated Processes for Optimal Efficiency, tato nová studie se zabývá problematikou výmazu dat v podniku. Má celkem 16 stran, z jejího obsahu:

• Threats from improperly disposed IT equipment
• Ongoing challenges in data security management
• Importance of managing erasure throughout the asset lifecycle
• Benefits of a certified, process-oriented data erasure solution

EU a USA spouští dosud největší akci v boji proti sexuálnímu zneužívání dětí – EU, US launch biggest ever global fight against online child sex abuse. Připojilo se k tomu celkem 48 zemí. Chtějí zastavit šíření online videí a fotografií se sexuálním zneužíváním dětí.

Syria not alone in spying on citizens – nejen Sýrie sleduje své občany, autor článku uvádí další příklady.

Bezpečnost e-mailu

Svůj e-mailový účet udělejte bezpečnějším – Safeguard your email: tips for making your account more secure. Sadu poměrně podrobně rozpracovaných doporučení připravil Mika Turim-Nygren.

Attackers can abuse Yahoo developer feature to steal user emails, other data – k prezentaci útoků na účty a další data uživatelů Yahoo. Byla přednesena (Sergiu Dragos Bogdan) tuto neděli na konferenci v Bukurešti.

Legislativa, politika

Julian Assange tvrdí, že Google a Facebook mají skryté projekty pro americký dohled – Assange: Google, Facebook run ‚side projects‘ for US spooks (z rozhovoru Assangeho pro RT – je zde i video).
Otázce vztahu soukromí a používaní elektronických čteček je věnován článek eReaders: They´re reading us while we read them.

Americká vláda potřebuje kyberbezpečnostní doktrinu, říkají odborníci – U.S. government needs cybersecurity doctrine, experts say. Hovořilo se o tom při příležitosti vydání nové knihy – #Cyberdoc No Borders – No Boundaries.

Právníci konstatují, že svobodný trh a online soukromí nejdou moc dobře dohromady – Advocates: Free market doesn't work for online privacy. Proto U.S. Federal Trade Commission (FTC) anebo Kongres by měly ustavit jasná pravidla ohledně online soukromí.

Sociální sítě

Zveřejněn byl nový útok na Instagram od Facebooku, zranitelnost umožňuje krádež účtu – Instagram vulnerability on iPhone allows for account takeover.

SC Magazine vydal speciál věnovaný sociálním médiím – Social Media. Z jeho obsahu:

• DataBank Some statistics on social media use – and misuse
• Update News briefs on how social media affects the workplace
• Last Word: Finding privacy on a data-centric web Online data about a user can impact how that person is perceived, says Microsoft´s Brendon Lynch
• A vulnerable world Criminals can easily gather information from social media sites that can then be used for social engineering and other attacks
• Privacy in play? There’s a battle brewing about privacy controls that can have significant consequences for online commerce
• Winds of change Social media proved useful in communications during Hurricane Sandy

Software

K zranitelnostem, které mohou přivodit pád databází MySQL, se obrací článek Vulnerabilities threaten to crash MySQL databases. Viz také informace na blogu (Eric Romang) – CVE-2012–5613 MySQL Database Privilege Elevation 0day Exploit Demo.
A také komentář – MySQL gains new batch of vulns.

Jak se prodej zranitelností změní v roce 2013? Odborníci konstatují – začínají se objevovat nová pravidla – How The Sale Of Vulnerabilities Will Change In 2013. Prodeje na černém trhu narůstají. Na situaci reagují také odborníci, kteří zranitelnosti nachází a s větší opatrností zvažují zveřejňování svých zjištění.

Revealed: ITU's deep packet snooping standard leaks online – únik chystané normy k DPI (deep packet inspection). Norma byla těsně před schválením, v aktualizaci článku se říká, že již byla schválena.

The basics of using a proxy server for privacy and security – jak využívat proxy server ve vztahu k soukromí a bezpečnosti (základy problematiky). Patrick Lambert vysvětluje, jak proxy servery fungují a jak je lze využít k zvýšení soukromí a bezpečnosti. Vysvětluje také, proč použitému proxy serveru je nutné důvěřovat.

Pět kroků k dobré hygieně při práci s databází – 5 Steps For Good Database Hygiene. Ericka Chickowski rozebírá následující:

• Apply Timely Patches
• Prevent Production Data Creep
• Share Servers Carefully
• Rein In Application Access
• Protecting Connect-String Configuration Files

Metasploit byl vydán ve verzi 4.5 – Metasploit Pro 4.5 released. Novou verzi tohoto SW pro penetrační testy připravila společnost Rapid7.

Tech Insight: 5 Myths Of Software Security – Jason Sachowski rozebírá následující pětici mýtů o bezpečnosti softwaru:

• Myth #1: Software Security Is An Information Security Problem
• Myth #2: Developers Are Solely Responsible For Application Security
• Myth #3: No Problem, The Code Was Scanned
• Myth #4: Security Is Software-Centric
• Myth #5: Educate Once, Implement Many

Malware

Americký federální soud povolil Microsoftu pokračovat v kontrole botnetů Zeus – Microsoft Can Retain Control of Zeus Botnet Under Federal Court Order. Povolení platí na dalších 24 měsíců.
Bojem s botnety se zabývá článek Anti-Botnet Efforts Still Nascent, But Groups Hopeful.

Bezpečnostní firmy varují před šířícím se Windows AutoRun malwarem – Security firms warn of spreading Windows AutoRun malware. Množství infekcí narůstá i přes fakt, že Microsoft vydal záplaty pro starší systémy a Windows 7 a 8 nespouští soubory autorun.inf.

Tumblr: červ infikoval tisíce blogů – Rumble in the Tumblr: Troll-worm infected thousands of blogs. Za útokem má být skupina GNAA – Tumblr worm hitting websites, posting identical message from GNAA.

Nový malware Dockster útočí na počítače Apple – New ‚Dockster‘ malware targets Apple computers. Zadní vrátka umožní útočníkovi získat kontrolu nad počítačem.

Crime Complaint Center – kyberkriminalita zneužívá jeho jméno ve vztahu k ransomwaru – Cyber-Criminals Ramp Up Intimidation in Ransomware Scams. Gang používá k šiření ransomwaru malware Citadel.

Top 10 pokroků malwaru v roce 2012, tuto slideshow připravil Robert Lemos – Slide Show: Top 10 Malware Advances In 2012.

E-maily ”Security Update for Banking Accounts“ vedou na kit Blackhole, Dancho Danchev informuje o nové kampani spamu – Malicious ‘Security Update for Banking Accounts’ emails lead to Black Hole Exploit Kit.

Black Hole Exploit Kit šíří rootkit Necurs – Necurs Rootkit Infections Way Up. Hrozbu popisuje Microsoft´s Malware Protection Center.

Špionážní malware

Malware kradl data k raketovému palivu od japonské kosmické agentury – Malware slurps rocket data from Japanese space agency. Data z infikovaného počítače Japan Aerospace Exploration Agency (JAXA) byla odeslána neznámé osobě.

FBI varuje před novými vlastnostmi malwaru Citadel a ransomwaru Reveton – FBI Warns of New Twist to Reveton, Citadel Malware Scams. FBI's Internet Crime Complaint Center kostatuje, že jsou nyní používány i nové vyděračské postupy. Prý jsou zaznamenávány veškeré aktivity oběti (audio, video atd.).

Viry

AVAST dává nyní školám zdarma své antivirové produkty – Avast Gives Premium Anti-Virus Tools to Schools. V článku se hovoří o amerických školách.

Zprávu společnosti Imperva si lze přečíst na tomto odkazu – Assessing the Effectiveness of Antivirus Solutions. V minulém týdnu již tato zpráva byla zmíněna, chyběl však odkaz. Zpráva je komentována v článku Antivirus solutions inadequate in detecting new viruses.
Viz také komentář – Is anti-virus software a waste of money?

Hackeři a jiní útočníci

Hackeři zveřejnili další informace ze serveru agentury OSN pro atomovou energii – Hackers publish more info from UN atomic energy agency's servers. Má to být vyvrácení toho, že agentura oznámila, že hackeři získali přístup jen k starému serveru.

Děti jsou stále častěji cílem podvodů s krádežemi identity – Children Increasingly Targeted For Identity Fraud, Study Says. Nejčastější obětí jsou v tomto směru rodiny s nízkými příjmy. Hovoří o tom zpráva 2012 Child Identity Fraud Survey Report (Javelin Strategy).

Pakistánští hackeři zasáhli více než 400 čínských vládních stránek – Pakistani hacker hits over 400 Chinese govt sites. Stránky v čínském Xuchang City byly hacknuty a pozměněny.

Americké špionážní agentury informují o útocích zvně – U.S. spy agencies to detail cyber-attacks from abroad. A také o finančních ztrátách, které způsobili hackeři z Číny. V brzké době bude dokončena podrobná zpráva, která se touto problematikou zabývá.

Anonymous

Anonymous naštvaní vypnutím internetu v Sýrii vyhlašují válku syrským vládním stránkám – Infuriated by Internet shutdown, Anonymous declares war on Syrian government websites worldwide. Prvním cílem mělo být syrské velvyslanectví v Číně.

Anonymous a operace Hunt the Hunter – pomsta mužovi, který zveřejňoval sexuální fotky bez svolení jejich majitelů – Operation Hunt the Hunter: Anonymous targets ‚revenge porn‘ man. A zveřejňoval je spolu s odkazy na jejich profily na sociálních sítích.
Viz také komentář – Anonymous Threatens Former ´Revenge Porn´ Site Owner.

Anonymous: 8.prosinec byl den proti dohledu na internetu – Anonymous: Aktionstag gegen Internet-Überwachung am 8. Dezember. Měl proběhnout v rámci Operation Big Brother. Viz také Anonymous said to be planning cyberattack on ITU site. V současné době probíhá World Conference on International Telecommunications (3.-14. prosinec, Dubai). ITU (International Telecommunications Union) je agenturou OSN.
Viz také komentář – Anonymous May Attack UN Agency Over Internet Rules.

22-letý Anonymous (Velká Británie) byl usvědčen z řady útoků – Former Anonymous member convicted in attacks against PayPal, MasterCard, Visa. K cílům těchto útoků patřily PayPal, Master Card, Visa, the British Recorded Music Industry, Ministry of Sound + the International Federation of the Phonographic Industry.

Mluvčí Anonymous byl obviněn za sdílení platebních karet Stratforu – Feds Charge Anonymous Spokesperson for Sharing Hacked Stratfor Credit Cards. Není (možná zatím) tedy obviněn přímo za hacknutí společnosti Stratfor.

Hardware

Byl nový americký drone (bezpilotní letadlo) hacknut Íránem? Realita či propaganda? Teherán oznámil, že odchytil Scan Eagle drone, který měl narušit území jižního Íránu. Ozbrojené síly USA to však popírají – New U.S. drone hacked by IRAN? Reality or propaganda?.

Nové zařízení umožňuje kriminálníkům vloupat se do hotelových pokojů – New device lets crooks crack many hotel locks. Když už to jednou někdo vymyslel, další pokrok nezastavíte …

Mobilní zařízení

V USA zařízení s Androidem čelí více útokům než PC – Android devices in U.S. face more malware attacks than PCs, na stránce najdete další komentář ke zprávě společnosti Sophos.

Android: i nejnovější WhatsApp umožňuje krádež účtu – Account theft still possible with latest WhatsApp . Informují o tom zjištění z nedávno provedeného testu (The H).

Elektronické bankovnictví

Objevila se další „novinka“ bankomatových podvodníků – ATM Thieves Swap Security Camera for Keyboard. Bezpečnostní kameru zaměnili USB flashkou, připojili pak klávesnicí a restartovali systém bankomatu.

´Gameover Zeus´ Gang spustil novou kampaň útoků – ‚Gameover Zeus‘ Gang Launches New Attacks. Gameover Zeus Trojan krade online bankovní přihlašovací data a čísla platebních karet. Nyní se objevila masivní kampaň prostřednictvím škodlivých e-mailů prostřednictvím spamovacího botnetu Cutwail. Maily se tváří, že jakoby přichází z velkých amerických bank.
Viz také komentáře:

• Zeus-family trojan spreads by way of spam botnet
• Gameover Zeus Variant Sends Malicious Email Via Cutwail Botnet

Pay-at-the-Pump Skimming: New Solution – k útokům typu Pay-at-the-Pump Skimming. Článek informuje o speciálních problémech s podvody ohledně platebních karet v této branži.

Jak Eurograbber útok ukradl 36 miliónů euro – How the Eurograbber attack stole 36 million euros. Sofistikovaný útok malwaru objevila společnost CheckPoint. V létě 2012 bylo napadeno 30 bank v Italii, Španělsku, Německu a Holandsku. V článku je popsáno, jak útok probíhal.
Viz také komentáře:

• Zeus malware throws €36+ million lightning bolt across Europe
• Eurograbber SMS Trojan steals €36 million from online banks
• Zeus Botnet Eurograbber Steals $47 Million
• Eurograbber: Neue ZeuS-Variante ermöglichte Millionen-Betrug
• Zitmo Trojan Variant Eurograbber Beats Two-Factor Authentication to Steal Millions

Autentizace, hesla

Jak lze okrást váš prohlížeč o vaše heslo – How script kiddies can hijack your browser to steal your password. Jedná se o problém s příkazem pro vyhledávání.

Nejčastěji používaná hesla (zjištění z průniků) jsou citována na stránce Who's using ‚password‘ as a password? TOO MANY OF YOU. Takovýto žebříček se neobjevuje zdaleka poprvé. Podle jeho výsledků se však zdá, že uživatelé se stále nedokážou poučit. Viz také seznam šesti nejhorších přístupů k vytváření hesel – The 6 Worst Password Ideas – na blogu společnosti Kaspersky.

Jak zjistit heslo (CTRL+F), z úvodu: Došlo k úniku hesel z databáze vaší oblíbené služby! Ověřte si, zda mezi nimi není i to vaše! Takto nějak vypadaly phishingovém zprávy, které uživatele navedly na webovou stránku se vstupním polem. Do něj oslovený poslušně zadal své heslo, aby se dozvěděl, že v databázi není a on může být klidný. Vedlejším efektem ovšem bylo, že tak uživatel své heslo útočníkovi víceméně daroval. Na podobné techniky ale dnes už zřejmě mnoho obětí nenachytáte. Lidé se pomalu poučují z dřívějších chyb.

Phishing

V roce 2013 bude hromadný phishing nahrazen cíleným phishingem – Mass phishing will be replaced by spear-phishing in 2013. Rohyt Belani (CEO at PhishMe) hovoří k perspektivám roku 2013 v tomto směru.
K nedávné zprávě společnosti Trend Micro Spear-Phishing Email: Most Favored APT Attack Bait se ještě vrací komentář Spear-Phishing Emails Now Favorite Tactic for Advanced Malware Threats.

11 tips to stop spear-phishing – jedenáct doporučení k tomu, jak zastavit cílený phishing. Autor článku rozděluje popisované postupy dle jejich dopadu (vysoká účinnost, dopad na chování zaměstnance a opatrnost na sociálních sítích).

Normy a normativní dokumenty

Americký NIST vydal tyto dokumenty:

• Interagency Report (NISTIR) 7817, A Credential Reliability and Revocation Model for Federated Identities
• DRAFT NISTIR 7298, Revision 2: NIST Glossary of Key Information Security Terms

Kryptografie

Hacker našel cestu, která zjednodušuje crackování hesel – Oh great: New attack makes some password cracking faster, easier than ever. Optimalizace urychlí crackování hesel o 21 procent. Přišel s ní Jens Steube (známý jako Atom), hovořil o ní toto úterý na akci Passwords¹² conference (Oslo, Norway).
Viz také komentář – SHA1 weakness benefits password crackers.

GPU cluster může ověřit 180 miliard hashí MD5 za vteřinu – Password cracking in record time with giant GPU cluster. Tento výsledek prezentoval Jeremi Gosney také na akci Passwords¹² conference.

Rozbita byla další historická šifra (Roger Williams) – Brown students decode Roger Williams’s shorthand. Viz také diskuzi na Schneierově blogu – Roger Williams´ Cipher Cracked.

Různé

Vyšel (IN)SECURE Magazine issue 36 (December 2012). Z obsahu:

• What makes security awareness training successful?
• Review – Incapsula: Enterprise-grade website security
• Five questions for Microsoft´s Worldwide Chief Security Advisor
• Computer forensic examiners are from Mars, attorneys are from Venus
• In the field: RSA Conference 2012 Europe
• A mobile environment security assessment
• Hack In The Box CEO on the information security landscape
• In the field: IRISSCERT Cybercrime Conference 2012
• Comply or die: The importance of a business-centric approach to compliance
• Hackers can get in when systems are off: The risks of lights out management
• It´s just the guest wireless network… right?

Pavel Vondruška zve na svůj jednodenní základní kurz: Problematika infrastruktury veřejných klíčů (PKI), který se koná 12.12.2012 (09:00–17:00). Kurz je pořádán v rámci Akademie CZ.NIC.
Seznámí účastníky s principy fungování PKI z různých aspektů. Účastník se seznámí se základními principy asymetrických šifer, s definicemi a požadavky zákona o elektronickém podpisu, bude seznámen s technickým a legislativním pohledem na důvěru v certifikáty a ověření podpisu a certifikátu. Součástí budou některé jednoduché praktické dovednosti – zejména práce s certifikáty (generování, export, import, podpis, ověření) a práce s CRL.
Cena (včetně DPH): 2 400,00 Kč.
Časová náročnost: jednodenní kurz.