Přehledy a konference
První ročník nové hackerské konference BruCON proběhl ve dnech 16–19. září 2009 v Bruselu, zúčastnilo se ho 300 lidí z celého světa. Stránky konference jsou zde – BruCON. Některé prezentace jsou nyní již online – Brucon Presentation Track. Týkají se zajímavých (a aktuálních) témat. Například:
- Brian Honan : Knowing Me Knowing You (The dangers of social networks)
- Paul James Craig : Rage Against The Kiosk
- Sharon Conheady : Social engineering for penetration testers
- Justin Clarke : SQL Injection – how far does the rabbit hole go?
- Julia Wolf : Botnets, Ransomware, Malware, and Stuff!
- Eric Adrien Filiol : How to prepare, coordinate and conduct a cyber attack
- Stephan Chenette : A new web attack vector: Script Fragmentation
- Chris Gates : Open Source Information Gathering
Z přehledu společností Ponemon Institute a Imperva vyplývá, že polovina firem nemá ochráněno osobní data – Survey: Half of businesses don't secure personal data. Přehled byl proveden formou dotazů, na které odpovídalo celkem 517 bezpečnostních profesionálů společností (z USA a nadnárodních).
Obecná a firemní bezpečnost IT
Hororové příběhy z reálného života IT, několik jich najdete na stránce Nine Real-Life IT Horror Stories. IT horror never ends: more real-world disasters, courtesy of your network's weakest link. Můžete vidět, co vše se také přihodí a co mohou uživatelé očekávat v některých situacích. K článku je připojena série dalších zajímavých odkazů.
Víte, s čím souhlasíte? Jiří Hlavenka na Lupě: Pokud chcete používat webovou službu, nebo se rozhodnete nainstalovat do svého počítače software, vždy jste nuceni souhlasit s licenčními podmínkami, které stanovuje poskytovatel, případně výrobce. Víte ale, k čemu se svým souhlasem zavazujete?
Také MI5 přijímá mladé hackery – MI5 ropes in teenage hackers to combat cyber terrorism. Do nově vytvářené struktury Cyber Operations Command bylo přijato alespoň 50 mladých hackerů. Většina těchto teenagerů je asijského původu
Britští zpravodajci však kritizují najímání hackerů – Security advisor hits out at hiring of hackers into British Intelligence positions. Jedná se o výše uvedenou informaci, která uvádí, že Cyber Operations Command najala 50 hackerů.
7 Ways Security Pros DON'T Practice What They Preach aneb sedm věcí, které bezpečnostní profesionálové neprovádí, ač je hlásají. Bill Brenner na stránkách csoonline.com, řada bezpečnostních profesionálů se dopouští následujícího:
- Používání služeb pro zkrácení url
- Zajistí si sami výjimky na filtrech firewallu/webového proxy/obsahu.
- Slídí v souborech, které jim nepatří
- Používají implicitní či jednoduchá hesla
- Zapomínají záplatovat
- Používají otevřené přístupové body pro bezdrát
- Zneužívají USB flash disky či jiná mobilní zařízení pro ukládání dat.
Odtajněné informace ukazují rozsah dat, která sbírá FBI – Newly Declassified Files Detail Massive FBI Data-Mining Project. National Security Branch Analysis Center (NSAC), součást FBI, která je umístěna poblíž Washingtonu, má ve svém úložišti velký objem dat (jeden a půl miliardy záznamů), která se týkají záznamů vládních i soukromých institucí o občanech USA a cizincích.
Pentagonští hackeři se budou zabývat nejen defenzivou ale i ofenzivou? Článek John Arquilla: Go on the Cyberoffensive objasňuje představy profesora Johna Arquilly (Naval Postgraduate School).
Čtyři nebezpečné mýty okolo uchovávání dat najdete popsány v článku 4 Dangerous Myths about Data Disposal, Debunked. Množství dat, se kterými pracujeme, narůstá. Na druhou stranu – objevuje se stále více legislativních ustanovení, která nám diktují, jak s těmito daty zacházet. Tom Lahiff a Deidre Paknad formulují v tomto směru časté mylné představy:
- Potřebujeme uchovávat všechno;
- Ukládaní dat není drahé;
- Není snadná cesta k tomu jak říci, která data jsou smetím;
- Je to příliš obtížné a nejde to provést perfektně.
Soubor několika dokumentů označený jako „Employee IT Security guide, online ID theft“ najdete na stránkách The Register. Materiály mohou být užitečné pro práci vaší organizace. Nezbytná je registrace (ale vyplatí se).
Co o budoucnosti informační bezpečnosti říká Star Trek? What Star Trek Predicts About The Future of Information Security, autor svůj článek uvádí slovy : něco je zábavné, ale někde může být skryt i kousek pravdy.
Sociální sítě
Mass-Generating Fake Twitter Accounts for Profit aneb falešné účty Twitteru. To je varování firmy F-Secure: tyto účty vypadají reálně, pokouší se Vám však vnutit něco, co určitě nepotřebujete.
Známý rumunský hacker Unu objevil zranitelnosti aplikací Facebooku – Facebook app flaws create Trojan download risk. Umožňují celou řadu útoků různého typu.
Automaticky vytvářené účty Twitteru jsou zneužívány k rozesílání scareware a to ve stále rostoucí míře. Podvodníkům se nějakým způsobem (zatím nezjištěným) daří obcházet zde umístěné CAPTCHA – Scammers auto-generate Twitter accounts to spread scarewarez.
Social networking sites leaking personal information to third parties, study warns. Data allows tracking companies to attach unique identities to browsing behavior – ze sociálních sítí unikají osobní informace třetím stranám. Vyplývá to ze závěrů studie, kterou zpracovaly AT&T Labs a Worcester Polytechnic Institute – Social networking sites leaking personal information to third parties, study warns.
Chraňte své soukromí na Facebooku a Twitteru – Protect Your Privacy on Facebook and Twitter. Here's how to safeguard your identity and your personal data in the age of the social Web. To jsou doporučení k ochraně vašeho ID a osobních dat, která uvádí Tony Bradley.
Weby
Množství infikovaných webů vzrostlo za posledních 6 měsíců o 233 procent. Vyplývá to ze zprávy Websense Security Labs report – The amount of maliciously infected sites increased by 233 per cent in the last six months.
Výsledky zprávy Websense Security Labs k důvěryhodnosti webů komentuje také Michael Kassner – Trusted Web sites: Exploit tool of choice. Se zprávou samotnou se lze seznámit na tomto odkazu – report.
Software
Prezentaci Jorge Orchillese (Florida ISSA September meeting) na téma bezpečnost Windows 7 najdete na této stránce – Video: Windows 7 security presentation.
Otestujte si šifrování e-mailů – Testing email encryption. Jürgen Schmidt přichází s diagnostikou POP3, IMAP a SMTP pomocí SSL.
Cyberoam iView – volně dostupný program dohlédne na bezpečnostní problémy ve vaší síti. Stáhnout si ho lze na tomto odkazu – download.
Malware
V průměrném podniku je až 9 procent počítačů infikováno jako součást botnetu – Up To 9 Percent Of Machines In An Enterprise Are Bot-Infected. Kelly Jackson Higgins komentuje výsledky průzkumu společnosti Damballa.
Přitom počítače, které jsou součást botnetu, zůstavají infikované celé roky – Botnet PCs stay infected for years. Vyplývá to z analýzy, kterou provedla společnost Trend Micro.
Viry
Podle analýzy 10 000 infikovaných PC z nich více než polovina měla aktualizovaný antivir – Internet security – many PC infections are long term. Tento článek uvádí několik nedávno zjištěných neradostných skutečností k infekcím počítačů.
Pisatelé virů začínají využít formu open source – Why virus writers are turning to open source. Nyní je asi 10 procent trojanů na trhu open source. Autoři malware konají tak prý proto, protože doufají, že se zvětší útočný potenciál starých trojanů.
Microsoft: volně dostupný bezpečnostní SW bude k dispozici již brzy – Microsoft to ship free security software soon. Security Essentials se má objevit v nejbližších týdnech.
Hackeři
Site offers Facebook account break-ins for $100 – Stránka nabízí hacknutí účtu na Facebooku, ale… . Ti, kdo se u tuto „službu“ přihlásí, se mohou sami stát obětí, varují PandaLabs. Zatím na stránce však žádné malware nalezeno nebylo. Stopy vedou na Ukrajinu a do Moskvy. Podle článku No honor among thieves: hacking Facebook accounts je žadatel o hacknutí účtu prostě oklamán, což zjistí až po zaplacení požadovaných 100 dolarů. Nedostane se ani k uživatelskému jménu ani k heslu.
Hacker Forum Got Hacked, bylo hacknuto i hackerské fórum. Které na to použít přísloví? Zřejmě neplatí: „Zloděj zloděje neokrade“. Tak, že by: „Kovářova kobyla chodí bosa“?
Hardware
Nové technologie umožňují kontrolovat počítač i když je vypnut. Podpora organizace má přístup do počítače, když je zapnutý, svítí modrá obrazovka smrti nebo je i vypnutý. Technologie je součástí architektury Intelu VPro. Autor článku LogMeIn can control some PCs, even when off Rafe Needleman diskutuje bezpečnostní dopady tohoto přístupu a domácím uživatelům doporučuje tuto vlastnost zcela vypnout.
Americké ministerstvo obrany povolilo používání USB disků – DoD Preparing To Lift USB Ban. Ale týká se to jen schválených disků a mohou je používat jen autorizovaní pracovníci. Původní politika, kdy mělo být zakázáno veškeré používání těchto zařízení, doznává změn.
How secure is hardware? aneb jak bezpečné je hardware? Najdete zde zamyšlení Martina Luthera nad vlastnostmi HSM.
Spam
Spam a co pro vás znamená? Několik statistik je obsaženo v tomto přehledu (SPAMFighter Community Watch Behavioral Survey) – Survey: Spam, and what it does to you.
Konec e-mailových záplav. Sedm slavných tipů, jak se neutopit, to je zase několik rozumných doporučení, jejich autorem je Pavel Kasík.
Forenzní analýza
Digital Forensics Framework, tak toto je open source nástroj, který pomůže při prováděné digitální forenzní analýze. Stránky projektu jsou zde (Download – yes, you can!)
Elektronické bankovnictví
Zloději v Praze opět instalují na bankomaty čtecí zařízení. Pražská policie v úterý varovala, že dobře organizovaný zahraniční gang našel nový způsob, jak se dostat k penězům lidí, kteří je vybírají v některých pražských bankomatech. Jeden člen skupiny nainstaluje na bankomat speciální čtecí zařízení, které během klientova výběru peněz zjistí číslo jeho karty i PIN kód.
Pět doporučení k tomu, jak se chránit před online bankovními podvody, připravil Terry Austin (5 tips to protect your business from online banking fraud) :
- Buďte si vědomi svých finančních práv;
- Požadujte na své bance, aby zvětšila objem svých investic do bezpečnostních technologií;
- Aktualizujte svůj antimalware software a firewall;
- Monitorujte nezvyklé situace a odcházející peníze;
- Vychovávejte své finanční manažery ve vztahu k objevujícím se hrozbám.
Blog Bruce Schneiera se zabýval problémy souvisejícími s hackováním dvoufaktorové autentizace – Hacking Two-Factor Authentication. Již dříve bylo slyšet kritické připomínky (včetně Schneierových) k tomuto přístupu, který měl být jakýmsi všelékem. Na blogu si nyní lze přečíst informace uvádějící postupy útočníků i konkrétní příklady. Všimněte si v této souvislosti článek Roberta Lemose Real-Time Hackers Foil Two-Factor Security.
Banka v Maine byla žalována a to vzhledem k tomu, že z účtu místní firmy zmizelo 588 000 dolarů – Maine Firm Sues Bank After $588,000 Cyber Heist. Banka je obviňována z toho, že neudělala dostatečně mnoho pro to, aby zabezpečila účet firmy proti podvodníkům. Krádeže byly provedeny v květnu tohoto roku, zloději nejprve získali přístupová data k účtu firmy. S jejich pomocí pak provedli sérii převodů. Podnikatelé nemají takovou ochranu jako jednotlivci, kteří mohou do 60 dnů rozporovat provedené transakce.
‚Money Mule‘ Recruitment Network Exposed aneb o zkušenostech jednoho soumara. Brian Krebs hovořil s jedním z těch, kteří se objevují v řetězcích podvodných převodů peněz.
A že se nejedná jen o problém, který je mimo hranice naší země, o tom informuje Josef Koukal na Novinkách – Podvodníci lákají Čechy na výdělek, přes účet jim pak perou peníze: V České republice se v poslední době rozmáhá nový způsob praní špinavých peněz. Upozornila na to protikorupční policie, kterou tento palčivý problém zaměstnává čím dál tím víc. Vše mají na svědomí podvodníci, kteří tahají peníze z kont důvěřivců, většinou Západoevropanů, kteří si na internetu nedávají pozor při zadávání čísel účtů a hesel.
Autentizace, hesla
Objevila se nová verze programu John the Ripper (s označením 1.7.3.4) – John the Ripper 1.7.3.4 released. Známý cracker hesel doznal několika menších úprav.
Phishing
Phishing je také prováděn s cílem krást hesla k účtům na Twitteru – Phishing scam steals Twitter passwords, varuje Robert McMillan.
Podvodníci mámí z Čechů peníze falešným voláním i SMS zprávami, Mobil.cz: Česká republika zažívá vlnu podvodných telefonátů a SMS zpráv. Při přílišné důvěře lze přijít i o tisíce korun. Stačí přitom jen zavolat zpět na zmeškané číslo nebo odpovědět na pochybnou SMS zprávu. Za jeden takový hovor či SMS zaplatíte téměř sto korun.
Elektronický podpis
Datové schránky: pracujeme s epodpisy, V, to je pokračování seriálu Jiřího Peterky na Lupě: Elektronický podpis umožňuje spolehlivě detekovat i sebemenší změnu podepsaného dokumentu v elektronické formě, skrze porušení jeho integrity. Zákon však této možnosti nevyužívá a pozměnění dokumentu neřadí mezi překážky autorizované konverze z elektronické do listinné podoby. Brání tedy něco tomu, aby si kdokoli mohl nechat autorizovaně konvertovat jakýkoli padělaný dokument?
Normy a normativní dokumenty
Americký NIST v minulém týdnu vydal 4 publikace
- Draft Special Publication 800–127, GuDRAFT Guide to Security for Worldwide Interoperability for Microwave Access (WiMAX) Technologies
- SP 800–41 Rev. 1 – Guidelines on Firewalls and Firewall Policy
- SP 800–102 – Recommendation for Digital Signature Timeliness
- SP 800–120 – Recommendation for EAP Methods Used in Wireless Network Access Authentication
Kryptografie
SLIDESHOW: CIO Blast from the Past – 60 years of cryptography, šedesát let moderní kryptografie – její počátek se odvíjí od data, kdy Claude Shannon publikoval svůj článek Communication Theory of Secrecy Systems. Sada 16 slajdů mapuje období 1949–2009.
Kvantové počítače – diskuzi o posledních novinkách najdete na Schneierově blogu – Quantum Computer Factors the Number 15. Bruce Schneier zde komentuje realizaci Shorova algoritmu na počítači, který se opírá o využití nukleární magnetické rezonance. Zájemci pak najdou i několik dalších odkazů k této problematice.
On Cryptographic Protocols Employing Asymmetric Pairings – The Role of ? Revisited, tato studie se zabývá kryptografickými protokoly, které se opírají o využití asymetrického párování. Jejími autory jsou Sanjit Chatterjee a Alfred Menezes, popisují moderní trendy opírající se o využití kryptografického párování.
Různé
Pavel Vondruška: K jedenáctému výročí založení e-zinu Crypto-World (poprvé vydán v září 1999) bylo vydáno informační CD, které obsahuje všechna dosud vyšlá čísla, včetně příloh a dále SW, který byl v rámci pořádaných soutěží 2000–2009 speciálně vytvořen a některé další materiály, které jsou na webu k dispozici (např. knihu Elektronický podpis, mé starší články v jiných médiích apod.). Zájemcům tak odpadne pracné a dlouhé stahování souborů z našeho webu http://crypto-world.info, kde jsou (a i nadále budou) pro ty, kteří si CD nezakoupí, všechny materiály zdarma k dispozici. Avizované CD lze objednat:
Informace k CD
Objednávka CD
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
