Hlavní navigace

Bezpečnostní střípky: sága LulzSec pokračuje

Jaroslav Pinkava 27. 6. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na chystaná zpřísnění zákonů vztahujících se k počítačové kriminalitě a obdobně banky budou mít přísnější podmínky pro oznamování datových průniků. Dále za zmínku stojí nástroj SSL Analyzer.

Přehledy

Zpráva společnosti Ponemon – Perceptions About Network Security. Survey of IT & IT security practitioners in the U.S. – mj. udává následující číslo: 90 procent společností říká, že bylo hacknuto. Údaj se váže k posledním dvanácti měsícům. Komentář k tomuto přehledu (má 25 stran, červen 2011) je na stránce 90% of companies say they´ve been hacked: Survey.

Obecná a firemní bezpečnost IT

Security Operations Metrics Definitions for Management and Operations Teams – více bezpečnosti při využití metrik, podklad k tomu nabízí osmistránková studie společnosti Arcsight. Jsou zde zmíněny různé metriky, měří efektivnost v rámci jednotlivých podnikatelských aktivit, operačních cílů, analytických procesů a bezpečnostních informací.

Materiál (doporučení) společnosti McAfee: Ten Steps to Protecting Your Sensitive Data v třístránkovém přehledu rozebírá tyto body:

  • Take inventory of the regulations your business is subject to
  • Identify known content risks
  • Talk to stakeholders
  • Know where your data is
  • Set formal rules for creating and changing policies
  • Put alerting and enforcement mechanisms in place
  • Delegate controls and responsibilities
  • Maximize existing IT investments
  • Go with a platform approach
  • Build your solution as needed

Security or convenience: Does it have to be a choice? aneb bezpečnost či pohodlnost, lze si vybrat? Rozhovor s odborníkem, kterým je Dr. Bryan Parno (Carnegie-Mellon University). Rozhovor se týká jeho práce Trust Extension as a Mechanism for Secure Code Execution on Commodity Computers. Je to část jeho doktorské dizertace, za kterou autor obdržel cenu (2010 Doctoral Dissertation Award for Security Work).

IT adminové: na kterou pětici filutů byste si měli dávat pozor – IT admins gone wild: 5 rogues to watch out for. Jmenovány a rozebírány jsou následující typy: crusader, entrepreneur, voyeur, spy a avenger. Autor článku uvádí několik užitečných doporučení.

Deset pohledů na vztahy FBI versus IT bezpečnost obsahuje článek 10 highlights of the FBI IT security record. Chad Perrin shromáždil deset odkazů vázaných k aktivitám FBI v této oblasti, jejich obsah komentuje.

O problému Dropboxu (4 hodiny byly data přístupné bez nutnosti použít heslo) informuje článek Dropbox Accidentally Turned Off Passwords on File Storage Service. U online ukládací služby tak byla ohrožena data 25 miliónů zákazníků.

USA: hackování vládních sítí bude těžkým zločinem – U.S. Congress Wants to Make Hacking Government Networks a Felony. O takovéto úpravě zákonů se diskutuje nyní v americkém senátu.

Americké plány uchovávat data evropských leteckých pasažérů po dobu 15 let považuje EU za nezákonné – US plan to hold EU passenger data for 15 yrs ‚unlawful‘. Staví se takto k tomu právníci pracující pro Evropskou komisi.

Také Austrálie zpřísňuje zákony ohledně kybernetické kriminality – Australia toughens cybercrime laws. Poskytovatelé internetových služeb budou muset poskytnout soukromá data uživatelů (jako jsou e-maily a textové zpráva) policii a autoritám i bez příkazu k domovní prohlídce – pokud to bude vyžadovat vyšetřování počítačové kriminality.

Data z britského sčítání lidu jsou v bezpečí – UK census data is safe. Potvrdil to úřad – The Office for National Statistics. Data nebyla hacknuta. Technologii pro sčítání poskytla firma Lockheed Martin, o hacknutí této firmy informace v médiích proběhly. Právě účast této firmy mohla vést k určitým obavám či fámám.

Americká armáda rozšiřuje arzenál svého kyberwarfare – U.S. Military Expanding Arsenal of Cyber-Warfare Capabilities. Fahmida Y. Rashid komentuje článek z Washingtom Post – List of cyber-weapons developed by Pentagon to streamline computer warfare a nedávná vystoupení některých amerických vládních činitelů (William Lynn, Charles Dodd, Ari Schwartz).

Teach, don't just learn, to build your security career – budujte svoji bezpečnostní kariéru. Michael Santarcangelo zprostředkovává své zkušenosti. Také učte jiné, nejenom sebe!

Sociální sítě

Podvod na Facebooku používá Obamu jako návnadu – Facebook Scam Uses Obama as Bait. Slibují s ním video (The president is finally taking charge!!). Zpráva obsahuje odkaz, který však vede na podvrženou stránku zdánlivě vypadající jako přihlašovací stránka pro Facebook. Pokud však vložíte váš e-mail a heslo, dostanou se podvodníci k vašemu účtu na Facebooku (popřípadě i jinam, pokud používáte jinde totéž heslo – což bohužel řada lidí činí).

Podvod na Faceboooku zprostředkovává odkaz na fotku „The Creator of LulzSec“. Pokud na nezaostřenou fotku kliknete, dostanete se na web, kde vám vnucují stáhnutí série toolbarů – LulzSec Hacker Arrest Scam Hits Facebook.

Software

K záplatám systémů SCADA, které pochází z Číny – SCADA Vulnerabilities Patched in Industrial Control Software From China. Systémy SCADA jsou zranitelné také proto, že původně byly navrhovány jako izolované systémy, avšak nyní jsou v řadě případů napojeny na internet.

Výsledek odborné analýzy zkonstatoval, že cloud Amazonu má vážné bezpečnostní díry – Researchers: Amazon cloud users leave security holes. Analýzu provedli němečtí odborníci (Center for Advanced Security Research Darmstadt (CASED) + the Fraunhofer Institute for Security in Information Technology (SIT) in Darmstadt, Germany). V článku jsou popsána jejich zjištění.

Rozšíření prohlížeče Google Chrome detekuje nebezpečné stránky – Google Chrome extension detects dangerous websites. Najdete zde popis nástroje DOM Snitch. Článek obsahuje i potřebné odkazy – Introducing DOM Snitch, our passive in-the-browser reconnaissance tool.

Firefox 5 opravuje bezpečnostní chyby, článek Firefox 5 fixes security and improves browsing obsahuje přehled změn.

K dispozici je volně dostupný bezpečnostní nástroj SSL Analyzer (od firmy Comodo) – SSL Analyzer: Free scanning tool. Nástroj (v beta verzi) oskenuje webovou stránku, zjistí její bezpečnostní charakteristiky.

O nových úpravách v prohlížeči Google Chrome informuje článek Google Moving to Force HTTPS on Its Sites. Autor popisuje některá opatření, která se objevila v minulém týdnu, např. využití nové normy HSTS (HTTP Strict Transport Security). Jedná se o verze prohlížeče 12 a 13beta.

John the Ripper, na světě je jeho aktualizovaná verze – Faster password hashes cracking based on the DES algorithm on CPUs. Openwall v tomto nástroji zabudoval několik nových optimalizací, pro crackování hashí by to mělo vést k zlepšení výkonu o 17 procent.

Malware

Brian Krebs říká: cracky k programům – výborná cesta k infikování vašeho PC – Software Cracks: A Great Way to Infect Your PC. Nesporně užitečné zamyšlení, stojí za přečtení.

Stuxnet: Anatomy of Virus – Stuxnet: anatomie viru. Australské video názorně vysvětluje problematiku související s tímto malware.

Odkazy na iCloud (získané jako výsledek vyhledávačů) vedou k falešným antivirům – Poisoned iCloud Search Results Lead to Fake Antivirus Pages. Službu iCloud chystá společnost Apple.

Uživatelé Wordpress se ocitli v nebezpečí díky pluginům s trojanem – WordPress users endangered by Trojanized plugins. Infikovány byly tři populární pluginy pro Wordpress – AddThis, WPtouch a W3 Total Cache. Pokud si někdo aktualizoval tyto pluginy v posledních dnech, existují rizika. Nyní je situace již urovnána, pluginy lze stáhnout v nové bezpečné verzi. Viz také komentář – Backdoor in popular WordPress plug-ins.

Hackeři a jiní počítačoví podvodníci

Malý přehled – nejvíce vážné hacky roku 2011 – najdete na stránce World’s Most Serious Hacking Attacks in 2011 . Jason Ford svůj krátký přehled doprovází fotografiemi. Za zmínku stojí také jeho starší článek Top 8 Notorious Hackers Worldwide.

K problému s hacknutím databáze společnosti Sega Corp. se obrací autor článku Sega’s saggy security. Jedná se o databázi jejího evropského webu. Ukradeny byly informace více než jednoho miliónu uživatelů. Ukradená data obsahovala e-mailové adresy, data narození a zašifrovaná hesla. Neměly být ukradeny osobní platební informace (Sega k platbám používá externího poskytovatele platebních služeb). V článku je citována skupina LulzSec: “@Sega – contact us. We want to help you destroy the hackers that attacked you. We love the Dreamcast, these people are going down.” Viz také – LulzSec says it was not responsible for Sega hack, as it marks 1,000 tweets with mission statements. Krátkou poznámku k LulzSec obsahuje stránka The Recent History of Hacker Organisation Lulz Security.

Hackers claim 177K e-mails from Sony Pictures France – nový útok na Sony, přihlásila se k němu skupina Idahc. Útočníci tvrdí, že z webu Sony Pictures France ukradli 177 172 e-mailů, zveřejnili jich pouze 70.

Vyšetřování Ryana Cleary pokračuje, obviněn byl z útoku na britskou policii (SOCA) – UK man charged with attack that shut down SOCA site. Celkem proti němu již bylo vzneseno pět obvinění. Viz také komentář:

Pomoc FBI vedla k uvěznění dvou lotyšských producentu scareware – FBI hits Latvian scareware peddlers who infected 1 million. Podíleli se na infikování 1 miliónu počítačů, na kterých vyskakovala podvržená hláška o infekci počítače (a nezbytnosti zaplatit 100 dolarů za cosi, o čemž si oběť měla myslet, že je antivir). Po zaplacení hláška zmizela, ale oběť pak obvykle měla problém s účtem své platební karty.

Channel 4 News – hackeři jsou nyní více nebezpeční než Al-Kajda. Článek obsahuje rozhovor s bývalým hackerem (odseděl si ve vězení v USA svoje).

Uskutečněn byl zásah proti gangu, který vydělal 72 miliónů dolarů na scareware – $72M Scareware Ring Used Conficker Worm. Oklamaní uživatelé kupovali falešné antiviry. K podvodu byl využit červ Conficker. Zásah policie byl proveden současně v USA a sedmi dalších zemích. Na odhalení bandy spolupracovala FBI mj. s ukrajinskou službou SBU. Brian Krebs ve svém komentáři popisuje i další případy, ve kterých červ Conficker figuroval. Viz také komentář – FBI and DoJ seize servers in scareware crackdown.

Next Generation of Cybercrime aneb přicházející generace počítačové kriminality, to je téma studie společnosti Dell. V materiálu (11 stran) je popsáno několik generací počítačové kriminality. V odstavci věnováném nastávající generaci je rozebíráno několik typů počítačové kriminality (Next Gen Pay-Per-Install, Malware Tech Support, „Point-and-Click” Cybercrime, APT: Advanced Persistent Threats). Materiál je uzavřen několika doporučeními adresovanými na podnikatelský management.

Na základě provedeného praktického pokusu bylo zjištěno, že hackování není zase tak obtížnou záležitostí, dokáží to i lidé s minimem technických znalostí – Extent of online hacker tutorials revealed. Potřebné informace se dají bez problémů najít online. V tomto směru někteří zvažují, že tyto příručky by se na internetu objevovat neměly. V závěru článku je uvedeno několik doporučení pro ochranu svých informací před hackery.

Hacknuty byly stránky NATO (a to služby eBookshop) – Bookshop opened. Stránky neobsahují utajované informace. Kdo je za tímto útokem, se zatím neví.

O jiném dalším hacku informuje článek ´Highly sophisticated´ hacker attack hits Electronic Arts – Technology – NZ Herald News.

LulzSec

Co se týká útoku na Sega Corp, LulzSec nabízí, že hackery vysleduje a pomstí se – Sega attacked, hacker group offers to take revenge.

Vzniká operace AntiSec – bude to spolupráce Anonymous a LulzSec? Minulou neděli se objevilo provolání hlásající, že: „Top priority is to steal and leak any classified government information, including email spools and documentation. Prime targets are banks and other high-ranking establishments“ a dále „We encourage any vessel, large or small, to open fire on any government or agency that crosses their path. We fully endorse the flaunting of the word "AntiSec“ on any government website defacement or physical graffiti art. We encourage you to spread the word of AntiSec far and wide, for it will be remembered." Viz komentáře, ve kterých jsou mj. zmiňovány čerstvé útoky na britskou policii a americkou FBI:

Zřejmě falešná informace hovořila o úniku dat z britského sčítání lidu, za který měla odpovídat skupina LulzSec – All your citizens are (not) belong to us. Na základě této informace:

se objevily různé spekulace. Jestliže totiž by bylo totiž pravdou tvrzení, že LulzSec má k dispozici kompletní údaje z britského sčítání, pak osobní data každého britského občana by byla v rukou této hackerské skupiny. Viz komentáře:

Rik Ferguson (Trend Micro) pak vydal tento komentář, charakterizující celkovou situaci

O zatčení Ryana Cleary (jeho role a vztah ke skupině LulzSec jsou předmětem vyšetřování) informovala řada médií, např.:

Zřejmě jako důsledek soupeření mezi skupinami hackerů se objevilo vyhlášení nizozemských hackerů. Chtějí jako odvetu zveřejnit osobní data členů skupiny LulzSec – LulzSec members to be outed by hacking group.

LulzSec mezitím zaútočil na dva brazilské vládní weby. Viz:

A podle zprávy z konce týdne LulzSec napadl policejní soubory v Arizoně – Hacker Lulzsec Intrudes Into Arizona Police. Lulz Security zveřejnil některé dokumenty arizonského Department of Public Safety – manuály, e-maily a zprávy z vyšetřování a osobní data. Zdůvodnil to svým protestem proti zákonu tohoto státu (SB1070 law). Viz také články:

O motivacích skupin Anonymous a LulzSec hovoří Tim Greene, autor článku Anonymous, LulzSec bring bragging rights back to hacking, CTO says.
Jak nejlépe ocharakterizovat aktivity skupiny LulzSec ? Možná napoví článek – Are LulzSec hacktivists or cybercriminals? [poll].
Celkovou situaci (ve vztahu k hackingu) zase hodnotí článek Hack Attacks Escalating? Here´s a Reality Check.

V páte 24. června pak článek LulzSec's leader, Sabu, revealed? přišel s informací, že zřejmě byl odhalen šéf LulzSec Sabu. Údaje k němu se objevily na Twitteru. Jestli jsou tyto údaje relevantní, teprve se ukáže. Viz také – Hacker claims to reveal identity of LulzSec leader. Třicetiletý Xavier Kaotico žije v New Yorku.

Hardware

Vaše barevná laserová tiskárna vás prozradí – Why You Can't Print Counterfeit Money on Your Color Laser. Nepatrné značky, žluté tečky pokrývající stránku, umožňují jednoznačnou identifikaci tiskárny.

Mobilní telefony

NSA chce naprostou bezpečnost chytrých mobilů a tabletů – NSA wants bulletproof smartphone, tablet security. NSA funguje také jako schvalující orgán pro zařízení používaná ve vládních a armádních složkách. NSA modifikuje různá komerční zařízení tak, aby byly dosaženy požadované bezpečnostní vlastnosti.

Nový trojan pro Androida zasáhl americké chytré mobily – New Android Trojan Hijacks American Smartphones. Trojan GGTracker umí provést zápis oběti k předplacené službě textových zpráv bez jejího vědomí.

Jak se u aparátů s Androidem bránit únikům dat sledujících vaše aktivity – Want to keep Android apps from spying on you?. Dan Goodin vysvětluje, co umí aplikace Whisper Core (zatím ve verzi 0.5).

Spykey pro iPhone – iPhone app remotely spies on Windows computers, je to vlastně keylogger pro Windows, který přenáší každý stisk na tuto spornou špionskou iPhone aplikaci.

Spam

Nenechte se nachytat, na Amazonu prodávají své „knihy“ i podvodníci – Spam e-books plague Amazon's Kindle store. Bohužel, tak jak je to nyní nastaveno, na Amazonu může své knihy prodávat kdokoliv a spammeři to využívají.

Elektronické bankovnictví

Brusel sděluje bankám: připravte se na přísnější pravidla ohledně datových průniků – Brussels to banks: Prepare for tougher data breach rules. Nový zákon by se měl objevit na podzim. Viz také komentář EU to compel banks to admit „serious“ data breaches.

Byl zatčen šéf ruské platební společnosti. Najal si hackera na konkurenci – ChronoPay Co-Founder Arrested. 32letý Pavel Vrublevskij, spolumajitel platební společnosti Chronopay (největší zpracovatel online plateb v Rusku), již dříve zřejmě měl různé aktivity, které byly, jak se říká, na hraně. Byl zatčen na letišti v Šeremeťjevu, když se vracel z Malediv.

Hackeři při svém útoku na Citigroup vydělali 2,7 miliónu dolarů – Citigroup hackers made $2.7 million. Peníze mizely celkem z 3400 účtů. Banka však oznámila, že zákazníci za ztráty nejsou odpovědní.

Autentizace, hesla

Bezpečnost hesel zůstává nejslabším článkem dokonce i po velkých průnicích – Password Security Remains the Weakest Link Even After Big Data Breaches. Fahmida Y. Rashid v tomto článku komentuje názory několika odborníků – Mike Yaffe (Core Security), Josh Shaul (Application Security), Troy Hunt, Ken Hunt (Vasco Data Security) a Ray Wizbowski (Gemalto). Organizace by měly používat složitější přístupy k bezpečnosti, v několika vrstvách. Spoléhat pouze na hesla je v dnešní době riskantní.

Storing passwords in uncrackable form aneb jak bezpečně ukládat hesla. Operátoři webů obvykle využívají hashovací funkce. Autor popisuje existující techniky, které jsou z těchto postupů odvozeny a jsou poněkud složitější. A – uživatelé by neměli zapomínat – používat totéž heslo v různých systémech není rozhodně bezpečné.

Systémy pro správu hesel, jak je porovnat a jak používat – Password management systems: How to compare and use them. Autor článku (Beth Schultz) uvádí příklady z praxe a na nich ukazuje, které postupy a proč jsou výhodnější než jiné.

Elektronický podpis

Nedávný problém izraelské certifikační autority StartCom je diskutován v článku Web authentication authority suffers security breach. Autorita (jako důvěryhodnou ji charakterizují prohlížeče Microsoft Internet Explorer, Google Chrome a Mozilla Firefox ) přestala vydávat certifikáty (až do odvolání). Zřejmě se stala obětí útoku, obdobného, jako byl útok na Comodo.

Normy a normativní dokumenty

Americký NIST vydal v minulém týdnu následující tři dokumenty:

Dálebyl na stránkách NISTu zveřejněn návrh na nový mód blokových šifer (tzv. autentizované šifrování) – EAX. Technické informace jsou na stránce (je zde i uveden přehled řady dalších návrhů z posledních let):

Kryptografie

Potvrzen „první“ exploit týkající se kvantové kryptografie – First Exploit On Quantum Cryptography Confirmed. V krátké informaci je obsažena řada potřebných odkazů. Připojena je široká diskuze. A – problém je opět v implementaci (nikoliv v principech kvantové kryptografie). Tomuto nedávno zjištěnému problému kvantové kryptografie se věnuje také článek Quantum crypto felled by ‚Perfect Eavesdropper‘ exploit. Dan Goodin informuje o technice (tzv. Perfect Eavesdropper), která umožňuje odposlech kvantového kanálu bez toho, aby tento odposlech byl zjištěn.

Životní cykly hashovacích funkcí jsou zobrazeny na stránce Lifetimes of cryptographic hash functions. Viz také diskuzi na Schneierově blogu – The Life Cycle of Cryptographic Hash Functions.

Špioni mohou zasílat zprávy skryté ve výsledcích vyhledávače Google – Spies can send messages hidden in a Google search. Jak – to vysvětluje Wojciech Mazurczyk z varšavské univerzity, odborník na steganografii. Ross Anderson má však k těmto postupům výhradu – provoz bude podezřelý.

Efektivní implementaci párovacího schématu popisuje studie On the Effcient Implementation of Pairing-Based Protocols. Párování díky své bohaté struktuře dává možnost řešit řadu problémů, které tradiční kryptografie s veřejným klíčem řešit neumí, říká úvod studie.

Různé

JPG Necítíte se také tak?

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

28. 6. 2011 22:17

Pěkné počtení, díky. Fandím LulzSec i Anonymousům.

28. 6. 2011 13:00

Omlouvam se za hnidopisstvi, ale asi by to chtelo drobnou jazykovou korekturu pred publikovanim :)
"zkonstatoval"?
"nejvíce vážné hacky"?
"více nebezpeční než Al-Kajda"?
"provést zápis oběti k předplacené službě textových zpráv"? To je spis podivny preklad "subscription", ze :)





Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Z tohoto konopí dělají léčivé masti

Z tohoto konopí dělají léčivé masti

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život