Hlavní navigace

Bezpečnostní střípky: s hackery nejsou žerty

Jaroslav Pinkava 6. 6. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na diskuzi na Schneierově blogu k bezpečnosti SW (open source vs. programy z uzavřených zdrojů), na phisherské útoky proti e-mailovým službám a na nový volně dostupný antivir Microsoftu.

Přehledy

Z většiny webů pravidelně unikají citlivá osobní data – Privacy leakage vs. Protection measures: the growing disconnect. Tento přehled zpracovali pracovníci AT&T Labs a Worchester Polytechnic Institute (Balachander Krishnamurthy, Konstantin Naryshkin a Craig E Wills). Komentář k jeho výsledkům najdete na stránce Most Websites Regularly Leak Sensitive, Personal Data: Survey.

Obecná a firemní bezpečnost IT

Stuxnet a a jeho dopad na změnu IT bezpečnostní strategie Velké Británie jsou rozebírány na stránce Stuxnet attack forced Britain to rethink the cyber war. Je to rozsáhlejší článek, ve kterém se jednak jeho autor vrací k historii toho, jak Stuxnet byl zjištěn a jednak hovoří k tomu, jak by měla být Británie připravena na hrozby obdobného typu. Jsou zmíněna některá přijatá opatření.

Keeping Sensitive Information Out of the Hands of Terrorists Through Self-Restraint – jak můžeme chránit citlivé informace a co pro to děláme. Bruce Schneier (odkazuje se na svou knihu, která vyšla v únoru) hovoří o čtyřech cestách k tomu vedoucích (nazývá je „societal security systems“).

Studie společnosti McAfee se věnuje současným rizikům v datových centrech – Next-generation networking and security enable data center transformation. Komentář k výsledkům studie je v článku Data center IT departments fear targeted attacks. Největší obavy jsou z cílených útoků a pak z datových průniků.
Viz také další komentář – McAfee Q1 Threats Report Reveals Surge in Malware and Drop in Spam.

Írán plánuje národní internet odpojený od světového – Iran aims to exchange the global Internet for a national one. Nespokojenost vlády s vlivem vnějších podnětů vede k této „iniciativě“.

Jak vypadá reálné počítačové vyšetřování kriminality (na rozdíl od jeho podoby v televizních seriálech), popisuje Deb Shinder – Real-life computer crimes investigation: It's not like on TV. Vrací nás na zem od holografických dotykových obrazovek, jaké vidíme třeba v cyklu CSI. Vysvětluje, jak skutečná šetření probíhají.

Můžete mít „příliš mnoho bezpečnosti“? Známý konflikt mezi náhledem bezpečnostních specialistů a náhledem ostatních členů IT týmu včetně managementu. Autor článku Can you have too much security? ukazuje, jak je někdy problematické nalézt správnou hranici.

Pět hlavních hrozeb pro sociální média vyjmenovává Chris Nerney – 5 top social media security threats. Rozebírá zde následující hrozby:

  • 5. Mobilní aplikace
  • 4. Sociální inženýrství
  • 3. Stránky sociálních sítí
  • 2. Vaši zaměstnanci
  • 1. Chybějící politika pro sociální média

Minimalizujte rizika datových průniků – IT Security & Network Security News & Reviews: Data Breaches Add Urgency to Demands for Security Code of Conduct. V této slideshow jsou rozebírány následující body:

  • Prompt Notification: What Sony Didn’t Do
  • Disclose What Exactly Was Stolen
  • Free Credit Monitoring Services
  • Encrypt Sensitive Data
  • Protect the Encryption Keys
  • Limit Data Collection
  • Know the Risks and Protect
  • Check the Applications
  • Patch, Update Software Regularly
  • Consumer Data is Valuable

Největším rizikem jsou mobilní zařízení patřící zaměstnancům. Vyplývá to z přehledu, který provedla ISACA u svých členů v březnu 2011 – Employee-owned mobile devices are riskiest. Viz také komentář – Top security nightmares: Privately owned iPhones, iPads and other mobile devices.

Kybernetické zbraně mohou být účinnější než vojenský útok – Cyber warfare can be stronger than military efforts, says BT chairman. Michael Rake (BT Group) vystoupil v Londýně na akci East West institute cyber security summit. Upozornil zde na závažnost problémů tohoto typu.

Britové provedli v roce 2010 počítačový útok proti Al-Kajdě – Britain mounted secret 2010 cyberwarfare attack on al-Q. Jedná se o jistý pdf dokument obsahující návody k výrobě bomb a antizápadní propagandu, který poněkud přepracovala britská zpravodajská služba (na kuchařské recepty). Viz také:

Velká Británie: ministerstvo obrany chystá nábor stovek počítačových odborníků – MoD recruits hundreds of cyber experts. Budou tvořit tzv. Defence Cyber Operations Group, jejímž cílem bude integrace kyberbezpečnostních opatření do obvyklých sfér pozemních, námořních a vzdušných operací.

Sociální sítě

Jak snadno zálohovat vaše data na Facebooku, postupy s tím související vysvětluje Andy O'Donnell na stránce How to Easily Backup Your Facebook Data.

Nastavení soukromí na Facebooku pro začátečníky, Jakub Kuneš přichází s několika užitečnými doporučeními pro širokou veřejnost.

Video z Facebooku pomůže zanést malware do počítačů s Windows a Mac OS X – Facebook video scam puts malware on Mac and Windows. Jedná se o videa jakoby se šéfem MMF Strauss-Kahnem a hotelovou pokojskou či s celebritami Rihanna a Hayden Panettiere. V obou případech však video neexistuje, odkaz vede na stránku, která se pokouší vnutit instalaci falešného antiviru.

Bezpečnost sociálních sítí – doporučení pro děti najdete zde – Social networking safety tips for kids. V článku je zformulováno sedm pravidel pro děti a jejich rodiče (jejich autorem je ESET).

Reveal Facebook passwords stored in Web browsers aneb jak najít hesla k Facebooku v prohlížečích. V článku najdete informace k volně dostupnému nástroji Facebook Password Extractor.

Software

Krádeže cookies. Jaká s tím souvisí nebezpečí? Tuto problematiku rozebírá Tony Bradley – Dangers of IE ‚Cookiejacking‘: What You Need to Know. Vysvětluje podstatu útoku a uvádí některá doporučení.

Rozhovor s australským týmem, který zaměřuje svoji práci na bezpečnost softwaru je na stránce Working towards bug-free, secure software. Michael Kassner klade otázky, odpovídá Dr. June Andronick (NICTA – National ICT Australia, Australia’s In­formation and Communications Technology Centre of Excellence).

Prezentace Marca Heuse z konce roku 2010 na akci 27C3 stojí za zhlédnutí. Věnuje se tématu IPv6 a bezpečnost – Worth Seeing: IPv6 and Security.

Hidden URLs in phone and tablet browsers aneb skrytá url v prohlížečích mobilů a tabletů. M. E. Kabay přpravil čtenářům materiál, jehož autorem je Bill Boyle (Eskenzi PR & Marketing, London). Uživatelé jsou zde varováni před technikami prohlížečů (netbook/tablet verzí Google Chrome a Mozilla Firefox), které skrývají url.

Google Docs a útoky phisherů, to je téma článku Phishing forms on Google Docs. Společnost F-Secure objevila připravené formáty dokumentů, které mají sloužit k phishingu (umístěné na spreadsheets.go­ogle.com!).

Program Wireshark byl vydán ve verzi – 1.4.7. Populární analyzér síťových protokolů si lze stáhnout ze stránky Wireshark.

FFFjacking (CZ), to je materiál českého autora. Z úvodu (.cCuMiNn.): Původně jsem zamýšlel, že tento text zveřejním jako 0-day exploit, který bude součástí seriálu věnujícího se clickjackingu. V souvislosti s nedávno zveřejněnou zranitelností IE, která dostala název Cookiejacking, mi to však nedalo a podělím se s vámi o různé varianty FFFjackingu (File From Frame hiJacking), jak jsem tuto metodu nazval, již nyní.

Bruce Schneier otevřel na svém blogu zajímavou diskuse k tezi: open source a kvalitní počítačová bezpečnost nejdou moc dobře dohromady – Open-Source Software Feels Insecure.

Současné počítačové útoky ukazují potřebu více se zabývat bezpečností databází – Cyber-Attacks Highlight Need to Focus on Stronger Database Security. Pokud firma (organizace) hájí jen perimetr, je to, jak ukazuje situace (Epsilon, Sony), z dnešního pohledu nedostačující. V článku je zmíněna studie Software vs. Appliance: Database Activity Monitoring Deployment Tradeoffs, ve které jsou rozebírány podmínky pro bezpečnější režim databází (monitoring atd.).

Malware

10 Ways To Survive A Zombie Attack – deset cest, jak přežít útok zombií, to je slidehow, která obsahuje sadu doporučení.

Za scarewarem MacDefender se může skrývat ruský platební online procesor Chronopay – Russian Payment Processor May Be Behind MacDefender Scareware. Takováto informace se objevila na blogu Briana Krebse – ChronoPay Fueling Mac Scareware Scams.

Chrome Web Store má tytéž problémy jako Android Market – Chrome Web Store has same security problem as Android Market. Jedná se o vlastnosti zde umístěných aplikací, které vyžadují kompletní povolení přístupů k systémům uživatelů. Viz také komentář – Experti varují před bezpečnostními trhlinami Google Wallet.
Přišla pak informace – Google Removes 26 Apps With DroidDream Light Malware from Android Market – článek upozorňuje na malware s označením DroidDream Light Malware, který sbírá množství informací z uživatelova přístroje.

Novou antivirovou signaturu společnosti Apple obešli autoři malware během několika hodin – Chrome Web Store has same security problem as Android Market. Článek byl několikrát aktualizován. Uvidíme, jak souboj Apple dopadne. Viz také – Apple strikes back with update blocking new scareware.

Rozbor nových vlastnosti rootkitu TDSS najdete na stránce TDSS loader now got “legs” . Má nyní sebe propagující schopnost – Notorious rootkit gets self-propagation powers.

Viry

Microsoft vydal volně dostupný antivir, který bootuje z CD či USB – Microsoft releases free AV software that boots from CD or USB. Standalone System Sweeper je zatím v beta verzi. Používá týž antivirový motor jako Microsoft Security Essentials.

Hackeři

Hackeři napadli den před písemnými testy web státních maturit, z úvodu: Den před zahájením písemné části státních maturit přestaly fungovat internetové stránky s ukázkovými testy a informacemi o zkoušce. Stránky byly napadeny zvenčí, ale pracujeme na tom, řekl iDNES.cz šéf Cermatu Pavel Zelený.

Podle hacku webové stránky PBS žije rapper Tupac Shakur na Novém Zélandu – PBS website hacked, reports on Tupac Shakur alive in NZ. Skupině hackerů se neměla líbit informace PBS o WikiLeaks (Julian Assange). Viz také:

K samotnému hackerovi (označil sebe jako LulzSec) se obrací článek LulzSec uses zero-day on PBS, promises more attacks.

Některým zajímavým hackům poslední doby je věnován článek Worst hackers ever?. Jeff Caruso uvádí šest svých favoritů.

Průnik do sítě výrobce počítačů Acer vedl ke kompromitaci dat 40 000 uživatelů – Hackers say Acer breach leaked data for 40,000 users. Zveřejněné obrazovky ukazují, že ukradená data obsahují historii nákupu, jména, e-mailové adresy a částečně i adresy a telefonní čísla. Za útokem mají být členové tzv. Pakistan Cyber Army a data mají být brzy publikována. Viz také – Acer server in Europe reportedly breached.

Sony

Shrnutí dosavadní historie (do 27.května 2011) útoků proti Sony obsahuje článek Sony Chief Stringer Blindsided by Hackers Seeking Revenge. Rozsáhlejší dokument informuje o snahách Sony bránit se útokům na systémy této společnosti. Viz také – Sony hacker still anonymous, but motives known.

Jak uvést do života ponaučení z hacku systémů společnosti Sony uvádí článek Sony breach timeline shows missteps, says security firm.

V dalším průběhu týdne se pak nejprve objevila informace – PBS hackers put Sony in crosshairs. Skupina hackerů, která nedávno zaútočila na server PBS, oznámila na svém účtu na Twitteru, že má pod kontrolou chatovací servery Sony.

Následně potom útočníci (označující se jako Lulzsec) oznámili, že se dostali k informacím, které se týkají až jednoho miliónu lidí, neměli ale dostatek zdrojů ke zveřejnění takového množství dat – New Sony hack exposes more consumer passwords. Exponovaná data nebyla šifrována. Publikovány byly e-mailové adresy a hesla 50 000 uživatelů. Viz také komentář – Sony Pictures falls victim to major data breach.
Další informace obsahuje článek – We have 1m Sony passwords, say SonyPictures.com hackers Lulz Security.

Lockheed Martin a další

O průniku do společnosti Lockheed Martin se dozvídáme z článku Lockheed Martin Shuts Down Remote Network Access After Detecting Intrusion. Vzdálený přístup do sítě je zatím zakázán, bude vyměněno celkem okolo 100 000 tokenů RSA SecurID (to potrvá nejméně jeden týden). Viz také články:

Hacknutí Lockheed Martin je diskutováno na Schneierově blogu – Lockheed Martin Hack Linked to RSA's SecurID Breach. Je zde několik málo odkazů a řada domněnek. Přidáme další odkazy zabývající se tímto hackem:

How much can RSA's SecurID tokens be to be blame for the Lockheed Martin hack? – nakolik mohou tokeny RSA za hack společnosti Lockheed Martin? Hack systémů RSA proběhl v březnu, Lockheed měl deset týdnů na to, aby s ohledem na tuto skutečnost upravil své bezpečnostní procedury, říkají bezpečnostní odborníci.

Co se týká RSA SecurID, je tu další oběť z řad dodavatelů obranných technologií – Second defence contractor targeted in RSA SecurID-based hack. Tentokrát se jedná o společnost L-3 Communications. Tento fakt byl zjištěn na základě dokumentu uniklého z interní komunikace společnosti. Viz také – Cyberattacks fuel concerns about RSA SecurID breach.
Situaci okolo RSA SecureID se věnuje článek RSA´s INsecurID.

Problémy společnosti Lockheed Martin ukázaly nebezpečí kybernetické „studené“ války – Lockheed Martin Network Attack Highlights Dangers of ‚Cyber-Cold War‘ . Rok 2011 je ve znamení eskalace problémů souvisejících s kybernetickými útoky proti citlivým místům zemí. Ze současné situace vyplývá řada ponaučení, říká autor článku. Poukazuje tak například na zacházení s osobními informacemi, na ochranu informací firmy u jejích kontraktorů atd.
Nejnovější informace o problémech dodavatelů vojenských technologii shrnuje článek More US military contractors hit by cyber attacks.
Jiným směrem je orientován článek Lesson from SecurID breach: Don´t trust your security vendor (nevěřte svým dodavatelům bezpečnostních řešení).

Mobilní telefony

Přišlo upřesnění informace ke cracknutí šifrování pro iPhone – iPhone 4 Encryption Remains Uncracked, but Password Keys Easy to Obtain. Jak se dalo předpokládat, algoritmus AES-256, který je použit, nebyl rozbit, ale byla nalezena cesta, jak získat příslušné kryptografické klíče.

Skype instaluje SW třetí strany bez ohledu na uživatelovo přání – Skype installs third party software against users' wishes. Jedná se o online herní firmu EasyBits.

26 aplikací, které obsahují trojana, bylo odstraněno z Android Market – 26 trojanized apps pulled from Android Market. Jedná se o variace trojana DroidDream. Seznam infikovaných aplikací je zde.
Viz také komentář – Wave of Trojans breaks over Android.

Protokol pro Skype byl otevřen reverzním inženýrstvím – Skype Protocol Has Been Reverse Engineered. Informace k zdrojovému kódu jsou na blogu Jefima Bušmanova – Skype protocol reverse engineered, source available for download.
Viz také komentář – Skype protocol being reverse engineered – update.

Aplikace pro Android umí krást cookies – Android app brings cookie stealing to unwashed masses. FaceNiff lze použít ke krádeži nešifrovaných cookies ve většině bezdrátových sítí a uživatelé tak mohou získat přístup k rozhraní, kterým lze krást citlivé autentizační informace (pro Facebook, Twitter a jiné weby, které nepoužívají spojení SSL).

Spam

KasperskyLab: množství spamu dále roste – Spam rate increases, growth expected to continue. V článku jsou uvedena čísla za duben 2011.

Spam dodá i takovéto informace – Romanian president declared dead by e-mail scam. Podle společnosti BitDefender se šíří spam obsahující (podvrženou) zprávu o smrti rumunského prezidenta.

Muž, který je podezřelý z toho, že stál za botnetem Rustock, chtěl pracovat u společnosti Google – Rustock Botnet Suspect Sought Job at Google. Mezi podezřelými figurují dvě osoby ruského původu – Vladimir Alexandrovič Šergin a Dmitrij A. Sergejev. Viz také komentáře:

Elektronické bankovnictví

Australské banky byly donuceny zrušit 10 000 platebních karet – Aussie banks cancel 10,000 credit cards. Jedná se o banky Commonwealth Bank a St George Bank. Akce podle vyjádření bank je preventivním bezpečnostním opatřením, které následuje po (potenciálním) datovém průniku. Za ním je jistý australský obchodník.

Autentizace, hesla

Může k vám přijít e-mail, který obsahuje vaše heslo – How Safe is Your Password?. Podvodníci (heslo získali například z některé nedávno kompromitované databáze) se tak snaží dodat větší důvěryhodnost svým sdělením. V závěru článku je uvedeno několik rozumných doporučení.

Phishing

ING znovu předmětem phishingových útoků (ČR). Váš účet bude uzavřen, proto musíte…

Cílený phishing směřuje na vládní a vojenské oficiální G-mail účty (USA) – Spear phishers target gov, military officials' Gmail accounts. Oběti dostávají vysoce personalizované zprávy s odkazy na podvržené stránky G-mailu. Z kompromitovaných účtů jsou pak útočníkům zasílány všechny zprávy (na účty pod jejich kontrolou). Viz také články:

Situaci (z jiného pohledu) se věnuje článek So, why are senior U.S. officials using Gmail?.

Co ukazují analýzy cíleného phiskingu G-mail účtů – Admin: Gmail phishers stalked victims for months. Některé účty vládních úředníků (USA) byly monitorovány po dobu téměř celého jednoho roku. FBI nyní vyšetřuje tvrzení společnosti Google, že za útoky je Čína. Čína to popírá – China goes on attack over Google phishing claims.


Rozsáhlejší komentář k problému napsal Brian Krebs – Spotting Web-Based Email Attacks.

Také Yahoo a Hotmail zasaženy phishingovým útokem (obdobou útoku na G-mail) – Yahoo, Hotmail Hit by Phishing Attacks Similar to Gmail Incursions. Vyplývá to z informací pracovníka společnosti Trend Micro (Nart Villeneuve). Viz také komentář – Webmail buggers attack Yahoo!, Hotmail users.

Kryptografie

Zaluštěte si: Osm šifer, které se zatím nikomu nepodařilo rozluštit – Unbreakable: Eight codes we can't crack. Voynichův rukopis, Kryptos (pomník na nádvoří CIA) a další. Nezbytná je registrace.

Novinky na Cryptology ePrint Archive, objevilo se několik nesporně zajímavých studií:

Ještě k Tunny a dalším německým dálnopisným šifrátorům z druhé světové války se obrací článek Bletchley Park WWII Code-breaking Machines Rebuilt from Memories. Je zde hezký popis obsahující spoustu dalších zajímavých odkazů. Viz také diskuzi na Schneierově blogu – World War II Tunny Cryptanalysis Machine Rebuilt at Bletchley Park.

Různé

Lockheed Martin sází na kvantové počítače – Lockheed Martin Bets Big on Quantum Computing. Zajímavá informace, Lockheed Martin investoval do kanadské firmy D-Wave, která podle některých vyjádření již v tomto ohledu získala slibné výsledky.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

8. 6. 2011 8:55

zyryxy (neregistrovaný)

Pry ze MI6 upravila teroristicky magazin. Jiste si lide, kteri tu Bezpecnostni stripky ctou pravidelne, vzpomenou na vydani prvniho Inspire magazinu a pokud si ho nekteri i stahli, tak budou vedet, ze neobsahoval navod na peceni ale na vyrobu trubkove bomby. To se zase chce Britska tajna sluzba zviditelnit a nasbirat bodiky u verejnosti, ve skutecnosti se jim podarilo maximalne tak upravit obsah jednoho ze stovek mirroru.

7. 6. 2011 21:09

Jednoduše řečeno, bez znalosti vstupního kódu nebo escrow keys se k datům, jež jsou šifrována a uložena ve vašem iOS, nikdo nedostane, tedy pokud používáte komplexní heslo. Více zde: http://www.cleverandsmart.cz/apple-ios-jak-prolomit-heslo-do-iphonu/

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu