Hlavní navigace

Bezpečnostní střípky: RSA konference 2013

4. 3. 2013
Doba čtení: 17 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu. Určitě nepřehlédnete informace o novém špionážním malwaru MiniDuke, který napadl i české vládní počítače. Objevilo se opět několik přehledů a Java nadále „zlobí“. Symantec novými zjištěními doplnil informace k Stuxnetu.

Konference RSA 2013

RSA Conference 2013 opens amid non-stop attacks, government warnings – k zahájení konference RSA 2013, v článku jsou komentovány obsahy úvodních vystoupení.

Nemluvte o kybernetickém Pearl Harbor, říká Art Coviello, výkonný šéf společnosti RSA – Stop saying ‚Cyber Pearl Harbor,‘ RSA boss pleads. K jeho vstupnímu vystoupení (keynote) na konferenci RSA 2013. I v dalším vystoupení (Scott Charney) zazníval optimismus. Nebylo tomu však všude, například Michael Chertoff varoval před možným kybernetickým 11. zářím.
Viz také komentář – RSA Conference: Embrace Big Data Analytics for Security, Coviello Says.

RSA 2013: Společnost McAfee oznámila (téměř) konec botnetům – McAfee dumps signatures and proclaims an (almost) end to botnets. Do svého SW nyní společnost integrovala heuristiky ve vztahu k chování. Společnost také oznámila, že ve své bezpečnostní soupravě provedla 38 nových vylepšení.

Bruce Schneier vystoupil na konferenci RSA 2013 – Me at the RSA Conference.

HP navrhuje, abychom se učili od kybernetické kriminality, od jejich metod – HP SVP suggests learning from cyber criminals and their methods. Hovořil o tom Art Gilliland na akci RSA 2013: Jsme ve válce s útočníky a vypadá to, že oni vítězí. V 94 procentech průniků se o něm napadená organizace dozvěděla od třetí strany. Typicky zjištění průniku trvá 416 dní.

RSA Conference 2013: Experts Say It's Time to Prepare for a ‚Post-Crypto‘ World – k vystoupení Adi Shamira v panelu na RSA 2013. Mj. říká, že bezpečnostní odborníci se musí připravit na ”post-cryptography“ svět.
Viz také komentář – Prepare for ´post-crypto world´, warns godfather of encryption.

Co vše se děje na konferenci RSA 2013 – News from the conference. Zde najdete speciální webovou stránku věnovanou této akci a množství odkazů na různé typy informací.
Na stránce RSA Conference 2013: Analysis, video and news from RSA najdete další souhrn tohoto typu.

RSA Conference 2013 Coverage – to je další přehled dění na konferenci RSA 2013. Na stránce najdete celou řadu článků, které se tak či onak konference dotýkají.
Viz také komentáře:

Program akce BSidesSanFrancisco 2013 najdete na stránce BSidesSanFrancisco. Clearing up a few points from Valerie and Violet's account of the situation. Tato akce, která proběhla před konferencí RSA, se konala ve dnech 24. a 25. února 2013. Její program najdete až ve spodní části stránky. Komentář k průběhu akce je na stránce Security BSidesSF Goes Above and Beyond.

Přehledy

K výsledkům přehledu Global Information Security Workforce Study (GISWS) se obrací článek Security execs fret over BYOD and social; Outgunned anyway. Přehled byl publikován minulý týden na konferenci RSA.
Viz také komentář – Large gap exists between security focus, new tech.

Objevila se zpráva společnosti Thales: Global Encryption Trends Study. Pro přístup k ní je nezbytná registrace. Komentář k výsledkům této zprávy je obsažen v článku Encryption no longer seen as just an IT issue.

Ztráty dat společností jsou nejvyšší od roku 2008 – Corporate data loss hits highest levels since 2008. V článku jsou tlumočeny výsledky zprávy KPMG (The Data Loss Barometer report).

Dále v minulém týdnu byla vydána zpráva společnosti Ponemon: The Post Breach Boom. Pro získání přístupu ke zprávě (má 44 stran) je nezbytné se registrovat. Zprávu sponzorovala společnost Solera networks, komentář k jejím výsledkům najdete na stránce Security breaches remain undiscovered and unresolved for months.

Obecná a firemní bezpečnost IT

Nedostatek bezpečnostních pracovníků staví organizace do rizik – Security Worker Shortfall Is Putting Organizations at Risk. Když účastníci summitu Cloud Security Alliance (CSA) byli tázáni, zda mají tolik IT bezpečnostních pracovníků, kolik potřebují, tak jen frkli a smáli se – Cloud Security Falls Short … But Could Be Great.
Viz také informace ve studii (ISC)2 Global Information Security Workforce Study a komentáře k této studii:

Vier Mythen über sicheres Surfen im Internet aneb čtyři mýty ohledně bezpečného brouzdání internetem, s jejich popisem přichází společnost Sophos:

  • Strikte Nutzungsrichtlinien sichern ab, dass nur vertrauenswürdige Webseiten angesurft werden
  • Datei-Downloads mit dem Virenscanner zu prüfen, schützt umfassend
  • Moderne Browser, wie etwa Google Chrome, bieten ausreichend Schutz
  • Macs sind sicherer als PCs

Tři ze čtyř bezpečnostních IT profesionálů si nejsou jistí, zda by postřehli datový průnik – 3 out of 4 infosec pros unsure they would spot a breach. V článku jsou komentovány výsledky přehledu 2nd Annual Cyber Threat Readiness Survey společnosti LogRythm.

Nejvyšší americký soud nechal práva NSA na odposlechy nedotčena – Oberstes US-Gericht lässt NSA-Abhörbefugnisse unangetastet. V článku jsou vysvětleny podrobnosti tohoto rozhodnutí.

CTO McAfee varuje: Současná krajina bezpečnosti se blíží ke svému selhání – McAfee CTO: Current security landscape is on its way to failure. A to kompletnímu – pokud něco s tím neuděláme.

Bradley Manning stanul před soudem – Bradley Manning Takes ‘Full Responsibility’ for Giving WikiLeaks Huge Government Data Trove. Přiznává plnou odpovědnost za předání velkého množství vládních informací WikiLeaks.

IT bezpečnostní manažeři se příliš orientují na dosahování shody – IT security managers too focused on compliance, experts say. Hovořili o tom bezpečnostní odborníci na konferenci RSA 2013. Normy jsou důležité, ale musejí být jako základní kontroly v širší IT bezpečnostní strategii.

Podvodníci používají brýle od společnosti Google jako vnadidlo – Scammers use Google glasses as lure. Velký zájem o tyto brýle (chystá se jejich prodej) chápou také různí šikulové.

Tipy k minimalizaci rizik a dopadů při podvodech s identitami najdete na stránce – Tips to minimize the risk and impact of identity fraud. Jsou rozděleny do tří kroků: prevence, detekce a rozhodnutí.

5 Lessons From The FBI Insider Threat Program, jaké jsou cesty k zkvalitnění detekce interních krádeží v podniku? Pětici lekcí, které z programu FBI vychází, připravila Ericka Chickowski:

  • Insider threats are not hackers.
  • Insider threat is not a technical or ”cybersecurity“ issue alone
  • A good insider threat program should focus on deterrence, not detection
  • Detection of insider threats has to use behavioral-based techniques
  • The science of insider threat detection and deterrence is in its infancy

Česko zbrojí na hackery. Nástrahy webu mají znát i nejmenší děti, z úvodu: Stát chce lépe čelit stále vážnějším hrozbám ve virtuálním prostoru. Chystaný zákon o kybernetické bezpečnosti počítá nejen s rychlejší reakcí na útoky hackerů, ale i osvětou u dětí od útlého věku. V rozhovoru pro iDNES.cz to uvedl ředitel Národního centra kybernetické bezpečnosti Vladimír Rohel.

Legislativa, politika

Obamova vyhláška byla diskutována na akci RSA 2013 – Obama cybersecurity order mandates better information sharing. Soukromý sektor nyní získá více informací o existujících hrozbách.

Software

Skyhigh Networks umožňuje šéfům sledovat, jak zaměstnanci používají cloud – Skyhigh Networks lets bosses snoop on employee cloud use. Společnost informuje o dostupnosti svého SW, který může monitorovat až 2000 cloudových aplikací. Administrátoři získávají možnost ukončit neoprávněná použití.

Zranitelnost v současném jádru Linuxu nabízí rootová práva – Vulnerability in recent Linux kernels offers root rights. Informuje o tom objevitel této díry Mathias Krause.

Historii množství bezpečnostních SW zranitelností v jednotlivých letech popisuje autor článku – Black hat greed reducing software vulnerability report rate. V článku jsou citovány informace se kterými na konferenci RSA 2013 přišla společnost HP. Z přiloženého grafu lze konstatovat, že od roku 2007 jsou počty těchto zranitelností víceméně konstantní.

Adobe záplatuje dvě kritické zranitelnosti Flashe – Adobe squashes TWO critical Flash vulnerabilities with emergency patches. Celkem záplaty směrovaly proti třem exploitům, dva z nich byly již aktivně hackery využívány.
Viz také komentář – Schon wieder Notfall-Update für Flash-Player.

How to bypass iOS 6.2.1 Screen Lock, another Exploit Exposed – jak obejít uzamčenou obrazovku v iOS 6.1. V článku jsou uvedeny jednotlivé kroky návodu.

Společnost Google záplatovala chybu, která umožňovala únos účtů – Google squishes login-bypass bug that opened door to hijackers. Záplata byla provedena minulý týden, proto společnost Duo Security mohla svůj objev zveřejnit.

Facebook opravuje chybu, která umožňovala zjistit číslo telefonu uživatele – Facebook to fix bug leaking users' phone numbers. Problém se týkal některých mobilních aplikací při kontaktu na API Facebooku.

Jak ověřit a konfigurovat pluginy vašeho prohlížeče – How to check and configure your browser plugins. Patrick Lambert přichází s některými doporučením pro čtyři hlavní prohlížeče (Internet Explorer, Firefox, Chrome a Safari). Obdobné problematice se věnuje také článek Sicherer surfen mit Browser-Erweiterungen.

Webová stránka vám zaplní pevný disk – Web page fills up hard disk. V článku je uveden na ní odkaz a zároveň varování, naplňování disku začíná okamžitě při její návštěvě. Disk bude plný obrázků kočky.

Tatu Ylönen: špatná správa klíčů pro SSH a jak tento problém vyřešit – SSH key mismanagement and how to solve it. Autor této technologie vysvětluje nuance, které jsou pro práci s ní zapotřebí.

Java

Začátek týdne – polský odborník zveřejnil dvě nové chyby nulového dne pro Javu – Researcher unearths two new Java zero-day bugs. Podrobnosti k tomu, jak byla společnost Oracle informována, jsou na stránce Security Explorations.

Koncem týdne ale znovu: Poláci našli další zranitelnosti nulového dne v Javě – Oracle investigating after two more Java 7 zero-day flaws found. Společnost Oracle se nyní jimi zabývá.
Viz také komentáře:

Malware

Shození nejnovější verze botnetu Kelihos proběhlo živě na RSA 2013 – Latest Kelihos Botnet Shut Down Live at RSA Conference 2013. Jedná se o třetí verzi tohoto botnetu. Demonstraci předvedl pracovník CrowdStrike.

Systém pro moskevské silniční kamery napaden tajemným malwarem – Moscow's speed cameras ‚knackered‘ by MYSTERY malware. Trojan vysadil systém používaný k monitoringu klíčových dálnic v Moskvě a jejím okolí. Systém, který měl být zdrojem financí (za pokuty řidičům, kteří nedodrželi rychlost), již dva týdny pořádně nefungoval.

Dell Secureworks informovali na RSA 2013 o svém zajímavém postupu k analýze botnetů – Reanimating Botnet Domains Delivers Clues to Cold Cases. Jedná se o využití domén, které již byli útočníky zavrženy, ale se kterými kompromitované počítače stále komunikují.

Špionážní malware

Stuxnet 0.5: The Missing Link – zveřejněny byly nové výsledky Symantecu ohledně Stuxnetu. Zpráva společnosti (přednesena byla na RSA 2013) je komentována v článku Symantec reports early Stuxnet variant first went live in 2005. Stuxnet se měl pokoušet poškodit íránský jaderný program již v roce 2005 (v tzv. verzi 0.5).
Viz také komentáře:

Martin Münch, to je muž, který prodává spyware sloužící k dopadení disidentů – Selling spyware to trap dissidents. Martin Münch zde hovoří o sobě a své společnosti Gamma Group. Řídí se heslem SW nemučí lidi. Dodává ho však třeba Bahrajnu, kde jeho SW je využíván k sledování politických disidentů.

Počítače vládních institucí (i v Česku) napadl malware MiniDuke – NATO, European governments, hit by „MiniDuke“ cyber attack. Zprávu maďarské laboratoře Crysys najdete zde – Miniduke. Zprávu Kaspersky Lab pak na tomto odkazu – The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0×29A Micro Backdoor .
Ze zprávy ČTK/Reuters:
Počítače vládních institucí v Česku napadl malware MiniDuke

Moskva a Praha, 27.2.2013 – Vládní instituce mimo jiné i v České republice se minulý týden staly cílem kybernetického útoku. Uvedla to antivirová společnost Kaspersky Lab ve spolupráci s výzkumníky maďarského institutu CrySys Lab. Kybernetický špionážní malware MiniDuke zneužívá nedávno objevenou zranitelnost v programu na prohlížení PDF souborů Adobe Reader (pod označením CVE-2013–6040).

Dle analýzy Kaspersky Lab a CrySys Lab se oběťmi malwaru MiniDuke staly významné cíle mimo jiné z řady vládních institucí v České republice, na Ukrajině, v Belgii, Portugalsku, Rumunsku a v Irsku. Kromě nich útočníci pronikli do výzkumného ústavu, dvou think tanků a zdravotnického zařízení v USA a výzkumné instituce v Maďarsku.
 

Další informace jsou na stránce Security News.
Viz také komentáře:

Hackeři a jiní útočníci

Online Bad Guys Have Sneaky New Weapon – k hrozbám ATV (advanced volatile threats) aneb útokům, jejichž cílem je RAM počítače. Škodlivý program, který koluje na internetu, provádí invazivní činnosti v RAM počítače, pak zmizí beze stopy.

Společnost Bit9 vysvětluje, jakými cestami byl na ní proveden úspěšný útok – Hacking Victim Bit9 Blames SQL Injection Flaw. Jednalo se o využití zranitelnosti webové aplikace prostřednictvím SQL injection na webových serverech společnosti. Podrobnosti jsou na blogu firmy – Bit9 Security Incident Update.

Japonská vláda vytváří databázi APT – k studiu informací ohledně cílených útoků – Japanese gov builds APT database to study targeted attack info. Informace budou sdíleny s domácími bezpečnostními organizacemi a zahraničními vládami.

Jsou útoky DDoS terorizmem anebo legitimní formou protestu? Rozebírá se v tom David Gewirtz – DDoS: Terrorism or legitimate form of protest?. Zmiňuje mj. nedávnou studii MIT – Towards A New Framework for the Ethical Analysis of Activist DDOS Actions.

RSA 2013 – zahraniční kyberšpiony zajímá americká solární energie – RSA 2013: Foreign cyber spies setting eyes on U.S. solar energy industry. Informuje o tom společnost AlienVault. Dotyčná špionážní skupina nefunguje z Číny.

Anonymous

Anonymous se dostaly k ”tajemstvím“ Bank of America -Anonymous leaks ‚Bank of America secrets‘ in spy revenge hack. Napaden byl nezabezpečený systém smluvní strany banky. Viz oznámení – announcement [PDF]. Další komentář je na stránce Hackers Publish Trove of Bank of America Data. Viz také – Bank of America says leaked data did not come from their systems.

Hacking USA vs. Čína

What the Mandiant report reveals about the future of cyber espionage – co nám zpráva společnosti Mandiant sdělila o budoucnosti kybernetické špionáže? Patrick Lambert se pokouší podívat se na zprávu z tohoto úhlu pohledu. V článku najdete také odkaz na zajímavé informace, které se náhodou podařilo získat Anonymous – How Anonymous accidentally helped expose two Chinese hackers.

Mathew J. Schwartz: neobviňujete Čínu za bezpečnostní hacky, obviňte sami sebe – Don't Blame China For Security Hacks, Blame Yourself. Podívejte se nejprve na smutný stav informační bezpečnosti, říká autor článku.

Čína chce, aby přestala bezdůvodná obvinění z hackingu – China wants hacking allegations to stop. Reaguje tak na čerstvá obvinění čínských hackerů německými firmami EADS a ThyssenKrupp (objevila se v Spiegelu).

Čína říká, že Spojené státy pravidelně hackují její vojenské weby – China says US regularly hacks its military sites. S takovýmto prohlášením vystoupil vládní mluvčí Geng Yansheng.
Viz také komentáře:

Dělat Číně nepříjemnosti se zprávami nepomůže bezpečnosti – Embarrassing China with reports won't aid security. Čína nyní bude šikovnější a bude třeba pracovat na nových obranách.

Čínská kybernetická špionáž bude pokračovat v nezmenšeném rozsahu, říkají odborníci – China's Cyberespionage Will Continue Unabated, Say Experts. Minulé úterý na toto téma proběhla diskuze na akci RSA 2013.

Skupina APT1 ze Šanghaje má být jen jedna z méně sofistikovaných skupin – APT1, that scary cyber-Cold War gang: Not even China's best. Říká to Jaime Blasco, ředitel laboratoře společnosti AlienVault. Názory se ale různí. Druhá významná skupina má sídlit v Pekingu (Beijing Group), říká Joe Stewart (Dell SecureWorks CTU).

Další zjištění posilují tvrzení společnosti Mandiant ohledně APT1 – More (circumstantial) findings reinforce Mandiant's APT1 claims. V článku jsou komentována další zjištěná fakta (pocházející z jiných zdrojů), spolu s tím jsou uvedeny i odkazy.

Výsledky dalšího výzkumu ukazují na Čínu – Additional research also points the finger at China. Jedná se o výsledky společnosti Dell SecureWorks – Rats in a Sinking Server.

Útočí čínští hackeři také na německé podniky? Annika Kremer – Griffen chinesische Hacker auch deutsche Unternehmen an? – komentuje informace, které přinesl časopis Spiegel. Podle nich útočníci cílí mimo jiné na EADS, ThyssenKrupp, Bayer a IBM.
Viz také komentáře:

Celý článek Spiegelu najdete zde – Cyber-Spionage: Chinesische Hacker greifen EADS und ThyssenKrupp an,
komentář k němu v angličtině pak je na této stránce – European Space, Industrial Firms Breached in Cyber Attacks: Report.

Hardware

Pwn Padm to je tablet určený pro penetrační testery – Pwn Pad: A tablet for penetration testers. Zajímavý nástroj, veřejnost je s ním seznamována na konferenci RSA 2013.

Vint Cerf na RSA 2013 : Internet věcí by neměl být umožněn – Vint Cerf: ‚The internet of things needs to be locked down‘. Je udiven, do čeho všeho se výrobci snaží dodat internetové připojení. Přitom otázky bezpečnosti je nezajímají.
Viz také komentář – Google´s Vint Cerf talks identifiers vs. pseudonyms online. Situaci také charakterizuje slideshow 10 Things You Didn´t Know Could Be Hacked.

Mobilní zařízení

Druhá nejdůležitější bezpečnostní obrana ve vztahu k BYOD – uživatelova informovanost – The second most important BYOD security defense: user awareness. Ken Hess vysvětluje, proč tomu tak je a uvádí cesta k tomu, jak ve vaší společnost zvyšovat bezpečnostní povědomí v tomto směru. Jsou tu také některé další odkazy.

SMS se stávají ”ňamkou“ pro spammery – SMS becoming meaty attraction for spammers. V článku jsou komentovány výsledky zprávy společnosti Cloudmark – 2012 Messaging Threat Report.
Také viz další komentář – Android spambot, blended threats top mobile spam threats in 2013.

Další hack umožňuje přístup do uzamčených iPhone – Another Hack Allows Access to Locked iPhones. Díru objevil Benjamin Mejri (CEO Vulnerability Lab).

Chytré mobily, lidi, buďte s nimi opatrnější – Smartphones, Foolish Security Choices. V článku jsou komentovány výsledky zprávy společnosti Cloudmark – 2012 Messaging Threat Report.
Také viz další komentář – Android spambot, blended threats top mobile spam threats in 2013.

Elektronické bankovnictví

Programátor „naučil“ platební terminály tajně vydávat peníze, z úvodu: Pražský programátor vymyslel způsob, jak přijít bez námahy k penězům. Do programu používaného v samoobslužných platebních terminálech přidal ”zadní vrátka“, díky kterým bylo možné ze zásobníku přístroje vybrat peníze, aniž by o tom zůstal záznam. Olomouckou prodejnu tak připravil o desítky tisíc.

Spuštěny byly nové DDoS útoky na americké banky – DDoS Attacks on Banks Resume. Tracy Kitten informuje, že se tak stalo v návaznosti na zahájení RSA 2013. Hacktivisté (Cyber Fighters of Izz ad-Din al-Qassam) na Pastebin informují, že předmětem jejich útoku jsou Bank of America, PNC Financial Services Group, Capital One, Zions Bank, Fifth Third, Union Bank, Comerica Bank, RBS Citizens Financial Group Inc. [dba Citizens Bank], People´s United Bank, University Federal Credit Union, Patelco Credit Union a další.
Viz také komentář – Islamic group promises to resume U.S. bank cyberattacks.

Bance Muscat (z Ománu) bylo přes bankomaty uloupeno 39 miliónů dolarů – Bank Muscat hit by $39m ATM cash-out heist. Byly k tomu zneužity okopírované předplacené cestovní karty.
Viz také komentář – Oman´s Bank Muscat Hit By $39m Prepaid Card Fraud.

Autentizace, hesla, ID

Chyba v dvoustupňové verifikaci přihlášení umožňuje únos účtu Google – Google 2-step login verification flaw allows account hijacking. Cestu k tomu objevili dva bezpečnostní odborníci – Bypassing Google´s Two-Factor Authentication.
Viz také komentář – Application-specific passwords weaken Google´s two-factor authentication, researchers say.

Britská firma přichází s nápadem, který by mohl nahradit hesla – Brit firm PinPlus flogs another password ‚n‘ PIN killer. Uživatel by měl pracovat s maticí 6×6 čtverečků, stačí si na ní zapamatovat obrazec. Pro každé přihlášení bude použit unikátní kód. Síla postupu by měla být v jeho kryptografické podpoře.

Die besten Passwort-Manager – jací jsou nejlepší manažeři pro práci s hesly? Thomas Bär a Frank-Michael Schlede rozebírají tuto problematiku v rozsáhlejším článku. Všimněte si také přiložené slideshow.

Phishing

O nové podobě phishingu informuje stránka The Comment Group: The hackers hunting for clues about you. Problematiku komentuje Bruce Schneier na svém blogu – Phishing Has Gotten Very Good. Používá termín ”laser-guided precision phishing“.

Kryptografie

Central European Conference on Cryptology 2013 proběhne ve dnech 26.-28 června v Telči.

Japanese codebreakers of WWII aneb japonští luštitelé šifer ve druhé světové válce. To je jeden z mnoha článků na zajímavém blogu (další články najdete v liště na pravé straně). Jeho autorem je Christos Triantafyllopoulos.

Secure Signatures and Chosen Ciphertext Security in a Post-Quantum World – bezpečné podpisy a šifrování v post-kvantovém světě. Autory článku, který razí nové přístupy k vytváření bezpečných kryptografických algoritmů, jsou Dan Boneh a Mark Zhandry.

root_podpora

Top desítku nevyřešených šifer najdete na stránce The top 10 unsolved ciphertexts. Zkusíte štěstí?

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?