Bezpečnostní střípky: společnost si devět let nevšimla průniku

Přehledy a konference

Společnost Sophos vydala svoji zprávu Security Threat Report 2012. Dokument má 31 stran (formát pdf) a má za cíl seznámit veřejnost s nejnovějšími výsledky výzkumu společnosti, doprovázeny jsou komentáři bezpečnostních odborníků společnosti. Jsou zde shrnuty nejvíce prominentní hrozby roku 2011 a ukázány hrozby, které se nyní objevují. Z obsahu:

• Nástroje a triky kyberkriminality, které jsou dnes používány
• Která hrozba se objevila jako číslo jedna při webových útocích
• Které bezpečnostní opatření můžete použít k tomu, abyste zůstali chráněni
• Deset bezpečnostních trendů pro rok 2012

Dále se v minulém týdnu objevila zpráva společnosti Blue Coat – 2011 State of the Threat Landscape. Komentář a shrnutí některých výsledků této zprávy (má 28 stran) jsou na stránce Cyber-Criminals Using Established Malicious Networks to Deliver Payloads.
Viz také – Prediction: Handful of Malicious Networks Will Spawn Most Attacks In 2012 a Malware Network Threats Rising, How to Defend Yourself.

Pro přístup k přehledu Secunia 2011 Yearly Report je nezbytná registrace. Komentář k výsledkům přehledu (samotný dokument má 34 stran) je na stránce Gap in patch priorities vs cybercriminal targets. Podle zjištění obsažených v dokumentu za nárůst zranitelností odpovídají téměř výlučně aplikace třetích stran, ne tedy SW od Microsoftu. Další komentář – Microsoft code not the security sieve sysadmins should be worried about.

Blížící se konference RSA 2012 zhodnotí současné IT bezpečnostní trendy RSA 2012 preview: The top trends in IT security . Článek je komentářem k telekonferenci, která se konala ve středu 15.2.2012, kde vystoupilo několik bezpečnostních analytiků, kteří také mají pak vystoupit na konferenci.

Důvěrná data, je třeba pamatovat na to, že rizika existují i tam, kde jsou zavedeny odpovídající bezpečnostní politiky – Security Alert: Confidential Data at Risk Even with Policies in Place; Xerox and McAfee Team Up to Deliver a New Level of Protection. Na stránce je komentář k novému přehledu, který zpracovaly společnosti Xerox and McAfee.

Obecná a firemní bezpečnost IT

Five Tactical Security Metrics To Watch – pětice taktických bezpečnostních metrik, které stojí za to, aby se jim věnovala pozornost. Robert Lemos tlumočí názory odborníků a uvádí následující:

1. Your ignorance
2. Attack surface area
3. Incidents over time
4. Vulnerability of critical assets
5. Impact of mitigating vulnerabilities

Inside Cyber Warfare je recenze aktualizovaného druhého vydání stejnojmenné knihy. Autorem knihy je Jeffrey Carr, kniha má 316 stran, vyšla v prosinci 2011 v naklada­telství O´Reilly Media, najdete ji třeba na Amazonu.

Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners, další recenze, autory této knihy Jason Andress a Steve Winterfeld. Kniha má 320 stran, vyšla v červnu 2011: najdete ji zde.

Hovory o kybernetické bezpečnosti, tento třídílný seriál se objevil na forbes.com. Jeho autorem je Alan Paller, ředitel výzkumu SANS Institute. První dva díly jsou věnovány hrozbám pocházejícím z Číny. Jednotlivé díly seriálu:

• The Trouble With China, Part 1
• The Trouble With China, Part 2
• Why You Aren´t Protected

Video o smrti Whitney Houston vede k podvodům – Whitney Houston death video leads to scams. Spíše by bylo podivné, kdyby se toho podvodníci nechopili…

Digital espionage: Electronic security a worry aneb digitální špionáž a bezpečnost elektroniky. Článek je varováním těm, kdo s obchodními cíli cestují do takových zemí jako Čína a Rusko.

ČR: Policie zřídila tým na boj s hackery, povolává i BIS, z úvodu: Opakované útoky hackerů na internetové stránky různých institucí, včetně Úřadu vlády, ODS nebo naposledy v pondělí Mezinárodní federace hudebního průmyslu (IFPI), zburcovaly policejní prezidium.

USA: navrhovaný zákon chystá úkoly pro provozovatelé kritické infrastruktury. Pokud ministerstvo národní bezpečnosti najde problém, provozovatelé budou povinni ve spolupráci s ním (DHS) najít řešení splňující požadavky – Senate bill may require ‚critical‘ networks to adopt cyber standards.

Evropská komise chce vytvořit podmínky pro transparentní debatu ohledně ACTA – EU-Kommission will Transparenz in ACTA-Debatte schaffen. Je to zjevně reakce na existující kritiku.

Britové mají problémy s evropskou legislativou k ochraně dat – Euro data protection: Great for punters, not for biz – MoJ wonk. Na stránce Privacy: new Government revelations amplify concerns surrounding deficiencies in UK’s Data Protection Act je ukázán seznam problematických momentů britské legislativy ve vztahu k směrnici EU z roku 1995.

How to become an ethical hacker – jak se stát etickým hackerem. Příspěvek je z kanadských médií, ale některé myšlenky mohou zaujmout.

Sociální sítě

FBI hledá nástroj pro monitoring sociálních sítí – FBI seeks social media monitoring tool. Měl by k tomu posloužit specializovaný portál webových aplikací. FBI se s požadavkem obrací na dodavatele IT technologií.

Software

Do Not Track Plus, to je nástroj, který pomůže ochránit vaše online soukromí – Do Not Track Plus: A tool to protect your online privacy. Michael Kassner uvádí v tabulce srovnání tohoto nástroje s jinými nástroji obdobného zaměření a v následující diskuzi předkládá vysvětlení některých jeho vlastností.

Zpráva NSS Labs: jak chrání prohlížeče před sociálně inženýrským malware – Did Google pull a fast one on Firefox and Safari users? Nejlépe je na tom IE9 – Report: Internet Explorer 9 leads in socially-engineered malware protection.

Aplikace pro vzdálený přístup jsou stále oblíbeným terčem útočníků – Remote-Access Apps Continue to Serve As Popular Attack Vectors. Robert Lemos komentuje výsledky nedávno zveřejněných zpráv (Verizon, Trustwave), o kterých zde již bylo informováno.

Nessus je vydán ve verzi 5.0 – Nessus 5.0 vulnerability scanner released. článek informuje o novinkách v této verzi. Program je dostupný na odkazu Nessus 5.0 is Here. Viz také Nessus 5.0 accelerates vulnerability scanning.

Jak zjistíte, že odkaz je bezpečný bez toho, abyste na něj klikli – How to Tell if a Link Is Safe Without Clicking on It. V článku najdete popsáno několik možností.

Chyba implementací DNS serverů i nadále umožňuje útočníkům manipulace s DNS. Tuto zranitelnost popisuje studie – Ghost Domain Names: Revoked Yet Still Resolvable. Komentář ke studii je v článku DNS flaw reanimates slain evil sites as ghost domains. Nedávno použitá protiopatření jsou podle autorů studie nepostačující.

Byla vydána příručka A CISO's Guide to Application Security. Dokument (má 16 stran) ukazuje na důležitost otázek spojených s bezpečností používaných aplikací a rozebírá těchto šest doporučení:

• Find and assess potential vulnerabilities
• Foster an awarenessss of risk and the need for remediation
• Create and deploy application security features
• Develop continuous methods to find and assess vulnerabilities
• Secure applications throughout the development lifecycle
• Make application security an integral part of your operations

Na internetu je volně dostupná e-kniha Network Monitoring and Troubleshooting for Dummies. V příručce se dočteteo těchto tématech:

• Fighting outages and performance fires
• Tradeoffs between broad network visibility and detailed packet analysis
• Using the best packet protocol analyzer
• The importance of Wireshark integration
• Network monitoring in a virtualized environment

An Overview of Cloud Computing – NSA ke cloud computingu. Zajímavý materiál, mj. popisuje přístupy takových firem jako Google, Amazon a Microsoft.

Malware

Vyděračské malware se maskuje jako zpráva od policie, takovéto varování vydala britská Metropolitan Police´s Central e-crime Unit (PCeU) – Malware masquerades as police message to extort money .

Practical Malware Analysis, to je recenze stejnojmenné knihy. Jejími autory jsou Michael Sikorski a Andrew Honig. Kniha má 800 stran, vychází 29. února 2012 v naklada­telství No Starch Press a najdete ji např. na Amazonu.

Na ukradené adresy zákazníků Stratfor je posíláno malware – Stratfor subscribers targeted by malware-ridden emails. E-maily jsou v podobě varování před podvody s malware, ve skutečnosti však vedou k trojanu Zbot.

Projekt Citadel pomáhá provozovatelům botnetů – Citadel Malware Brings Service To Cybercrime. Platforma, která se objevila ke konci roku 2011, získává stále větší popularitu. Nyní již 20 různých botnetů se opírá o její podporu.

Waledac – jeho nová verze se stala zlodějem – New Waledac Variant Goes Rogue. Waledac, spamovací botnet, umlčen byl Microsoftem. Nyní se vrací zpátky – ale jeho nová varianta provádí další škodící aktivity – krade hesla a další přístupová data. Viz také – Waledac Botnet Reappears as New Password Stealing Variant.

Článek Download InfoWorld's Malware Deep Dive report upozorňuje na dva roky starý dokument Malware Deep Dive report (Infoworld) a říká, že tato zpráva vám může pomoci jak identifikovat a zastavit online hrozby. Populárně napsaný materiál je určený širokému okruhu čtenářů.

Stuxnet: Írán se již plně zbavil následků této infekce – Stuxnet: Iranische Atomanlagen erfolgreich gesäubert. K tomuto názoru dospěli západní pozorovatelé. Íránský atomový program pokračuje.

How To Remove Malware From Your Computer aneb jak odstranit malware z vašeho počítače. Na blogu Microsoftu je ukázáno, jak k tomu využít nástroj Malwarebytes Anti-Malware Free.

Shylock – polymorfní finanční malware – je opět na scéně – Shylock financial malware back ‚with a vengeance‘. Shylock “vyniká” schopností se plně vyhnout detekcím antivirových a antimalware programů – díky svému unikátnímu tříkrokovému postupu po instalaci v počítači oběti.

Zeus Trojan Author Ran With Spam Kingpins – po stopách autora trojana Zeus, Brian Krebs informuje o zprávách, které se podařilo vyzískat z fóra Spambot, kde autor tohoto trojana jeden čas fungoval jako jedna z ústředních postav fóra.

Hackeři a jiní útočníci

Všimnete si vůbec, že jste hacknuti? Pak patříte mezi menšinu, říká autor článku The week in security: Would you notice if you were hacked? plného množstvím odkazů na další články k aktuálním zjištěním.

Síť Al-Jazeera byla hacknuta syrskými hackery – Al Jazeera news network hacked by Syrian Hackers. Hackeři vyjádřili podporu vládním akcím v zemi.

Detekován byl první DDoS útok proti IPv6 – DDoS attacks hit IPv6. Oznámili ho zákaznící Arbor Networks. Viz komentář – Study: DDoS attacks reach IPv6 networks – k těmto výsledkům v přehledu společnosti (Worldwide Infrastructure Security Report).

Indický web Microsoftu byl hacknut čínskými hackery – Microsoft India web store ‚hacked by Chinese group‘. A to neznámou skupinou, která si říká Evil Shadow Team.

Hackeři pravděpodobně ukradli transakční data Steamu – Hackers probably stole Steam transaction data, Valve says. Data k platební kartám byla zašifrovaná, kromě nich obsahoval ukradený soubor i jména uživatelů, e-mailové adresy (nikoliv však hesla k účtům). Informuje o tom společnost Valve, která Steam provozuje.

Blackhole Exploit Kit infikoval 2900 návštěvníků Cryptome – IT Security & Network Security News Blackhole Exploit Kit Infects 2,900 Cryptome Visitors. Web, známý zveřejňováním uniklých dokumentů, se stal 8. února předmětem útoku, při kterém jeho 6000 stránek z hlavního adresáře bylo pozměněno tak, že čtenáře přesměrovalo na web třetí strany.

Pokud peníze nejsou motivem útoků DDoS, pak tímto motivem je co? Slideshow DDoS Attacks: If Money's Not The Motivator Anymore, What Is? (Antone Gonsalves) hledá odpovědi vycházeje ze studie společnosti Arbor Networks.

Hacknutá byla také společnost Philips Electronic, byla jí ukradena databáze zákazníků – Philips Electronics got hacked, Database Stolen by Hackers. V článku, který o hacku informuje, jsou ukázána některá ukradená data (subdomény Philipse). Viz také – Electronics Giant Philips hacked, defaced and lots of data leaked.

Bývalý komunikační gigant Nortel Networks Ltd byl devět let pod dohledem čínských hackerů – Chinese Hackers Reportedly Snooped On Nortel For Years. Hackeři měli přístup téměř ke všemu…
Viz také:

• Chinese hackers had free rein at Nortel
• Nortel executives knew of data breach, chose to do nothing
• Spies Tapped Nortel for Nearly a Decade
• Cyber-Spies Intercepted Sensitive Files, Emails From Nortel: Report

Dále – Bad Password Management Exposes Critical Databases – špatná správa hesel vede ke kompromitacím kritických databází.

K problému společnosti Nortel se pak vrací článek Nortel Breach Highlights Security Vulnerabilities of All Enterprises. Kolik společností je obdobně hacknuto a neví o tom – ptá se jeho autor. Cituje Chrise Petersena (CTO, LogRhythm) – tento počet malý nebude.

O útoky DoS na americké akciové trhy informuje stránka Nasdaq, BATS Websites Disrupted By Online Attacks. Cílem útoků byly Nasdaq a BATS Exchange (Kansas).

The 15 worst data security breaches of the 21st Century – patnáctka nejhorších datových průniků XXI. století. Taylor Armerding posbíral pro tento účel odkazy na články, kde je o těchto průnicích (na stránkách csoonline.com) informováno a přidal ke každému krátký komentář.

Byla hacknuta databáze uživatelů jednoho z nejznámějších pornowebů na internetu – Youporn-Betreiber von Hacker kompromittiert. Marocký hacker získal přístup k datům 350 000 uživateů tohoto webu a některá z nich zveřejnil.

Defending Against Advanced Persistent Threats, to je studie na téma: Jak se bránit proti setrvávajícím pokročilým hrozbám (APT). Na 25 stranách její autor nejprve vysvětluje samotný pojem “Advanced Persistent Threat” (APT), objasňuje pak podrobně sedm fází útoku APT a následně popisuje cesty k obraně před APT.

Anonymous

Řecko: Anonymous jsou za útokem DDoS provedeným na protest proti úsporným opatřením – Griechenland: Anonymous-DDoS aus Protest gegen Sparpläne. Proveden byl proti řadě vládních webů.

Anonymous tvrdí, že to nebyli oni, kdo způsobil pád webu CIA.gov – Anonymous reverse ferrets on CIA.gov takedown. Původní vyjádření:“Ano­nymous takes down main CIA website cia.gov; site is still down | goo.gl/UL2ij” pozměnili na: “We´d remind media that if we report a hack or ddos attack, it doesn´t necessarily mean we did it…”

Anonymous ukradli 400 MB dokumentů u amerických armádních zpravodajců – Anonymous leak 400 Mb Documents from US Army Intelligence Knowledge Network. To je krátká informace o průniku do US Army Intelligence Knowledge Network.

Anonymous chtějí shodit internet – je to apríl? Má to být operace Global Blackout (OpGlobalBlackout), ti, co Anonymous podporují, si mají stáhnout nástroj Ramp, s jehož pomocí zahltí třináct kořenových DNS serverů – Anonymous Hackers Plan to Shut Down the Internet — Maybe.

„Fuck FBI Friday“: Kein Ende in Sicht – Anonymous a Fuck FBI Friday. Každý pátek chtějí Anonymous útočit na americkou vládu anebo její smluvní partnery (útoky DDoS, úniky, defacement atd.).

Anonymous útočí na americké společnosti dodávající prostředky pro kontrolu davu – Anonymous Targets U.S. Makers of Crowd Control Tools. Jedná se o firmy Combined Systems Inc. (CSI) a Sur-Tec Inc.

Hardware

Mobile hacks to increase with SDR adoption, Software Defined Radio (SDR) a hackování mobilních komunikací. Technologie SDR se nyní stávají stále více sofistikovanými a v nebezpečí jsou takové systémy jako GSM, WiFi, WiMax a DECT – varuje Digital Assurance.

Potřebují ochranu před viry také dnešní auta? Autor článku Do Cars Need Virus Protection? uvádí příklad toho, co by se mohlo stát (Auto Hacking Seen as Growing Risk With Electronics Frenzy: Cars). Upozorňuje, že zde vzniká trh pro bezpečnostní firmy.

Open source nástroj detekuje zranitelnosti zařízení pro videokonference – Open source tool detects videoconferencing equipment vulnerabilities. Je dostupný na odkazu auto-detect.py. V článku jsou objasněny jeho vlastnosti.

Mobilní zařízení

Android security settings and controls for Android enterprise security aneb jak na bezpečnostní nastavení pro Android. Autorka popisuje dostupné metody ve vztahu k centralizovanému přístupu pro bezpečnost těchto zařízení (mobily a tablety s Androidem) v organizaci.

I hackeři mohou najít, kde momentálně jste – vysledováním vašeho mobilu – Hackers can find you by tracking your cellphone. O tom, že na základě soudního příkazu to mohou provádět policie, zpravodajci atd., to je všeobecně známo. Tým studentů a učitelů z Minnesotské univerzity však ukázal, že to lze provést jen s využitím dostupného HW a open source SW. Viz také – How Hackers can Track your Mobile phone with a cheap setup?
Samotná studie je na tomto odkazu – Location Leaks on the GSM Air Interface.

Malware pro Android – v roce 2011 vzrostlo o 3000 procent – Android Malware Grew 3,000 Percent in 2011: Report. Autor článku komentuje výsledky přehledu, který zpracovala společnost Juniper – 2011 Mobile Threat Report.
Viz také komentáře – Mobile, Android Threats Continued Sharp Growth in 2011 a How mobile malware is maturing.

Elektronické bankovnictví

Nejlepší postupy pro bezpečné online bankovnictví jsou předmětem článku Best practices for online banking security. Hilding Arrehed (Director Worldwide Professional Services at ActivIdentit) v něm uvádí sadu doporučení – pro banky.

Osm doporučení k obraně před online finančními podvody najdete zase na stránce 8 Tips to Defend Against Online Financial Fraud Threats. Tato doporučení jsou směrována na organizace.

Phishing

Statistiky cíleného phishingu nevysvětlitelně narůstají o svátcích – Spear-phishing stats reveal unexplained holiday spikes. Zatímco o Vánocích a Novém roce tomu bylo jinak (statistiky klesaly), jiné svátky (USA – Independence Day, Labor Day, Columbus Day a Thanksgiving) dávají ve statistikách obrázek ostrého nárůstu. V článku jsou komentovány výsledky zprávy Advanced Threat Report – 2011 (11 stran) společnosti FireEye. Další komentář k této zprávě je na stránce – The rise of information stealers and pay-per-install malware.

Elektronický podpis

RSA a certifikáty X.509, existující duplikáty použitých prvočísel ukazují na problém – Crypto experts analyze millions of X.509 certificates, call RSA crypto flawed. Článek je komentářem k výsledkům studie Ron was wrong, Whit is right (jejími autory jsou – Arjen K. Lenstra, James P. Hughes, Maxime Augier, Joppe W. Bos, Thorsten Kleinjung a Christophe Wachter). Dva z každého tisíce modulů RSA nenabízí bezpečnost. Ze zkoumaných 4,7 miliónů různých RSA modulů jich mělo jeden z prvočíselných faktorů společných s jiným modulem celkem 12 500 modulů (!). Problém se týká nejen modulů RSA-1024, ale také RSA-2048. Schneier říká – jádro problému je v generátorech náhodných čísel, bohužel však publikované výsledky neříkají v tomto směru nic konkrétního.
Vážnost problému dokumentuje i fakt, že mu je věnován článek v New York Times – Flaw Found in an Online Encryption Method. Viz také:

• Researchers crack online encryption system
• ´Predictably random´ public keys can be cracked – crypto boffins

Další informace obsahují stránky:
Hidden Math Flaw Jeopardizes Millions of Online Transactions a New research: There´s no need to panic over factorable keys–just mind your Ps and Qs.

RSA brushes off crypto research findings that RSA algorithm is flawed, objevila se pak i reakce společnosti RSA na nalezené problémy implementací algoritmu RSA. Je upozorňováno a znovu zdůrazňováno, že se nejedná o problém samotného kryptografického algoritmu. Pokud se objeví nedostatky při generování náhodných čísel, pak to samozřejmě má dopad na bezpečnost celého systému. V druhé polovině článku jsou komentována vyjádření známého odborníka (Dan Kaminsky) k celému problému.

Problematice věnuje také článek na blogu společnosti KasperskyLab – What You Need to Know About the RSA Key Research. Dále k problému hovoří i jeden z autorů studie, světoznámý odborník Arjen Lenstra – Crypto researcher Arjen Lenstra shares thoughts on paper blasting RSA cryptosystem.

Trustwave uniká rozsudku smrti za svoje pochybení z certifikátem man-in-the-middle – Trustwave to escape ‚death penalty‘ for SSL skeleton key. Situace rozvířila velkou debatu. Mimo jiné se v ní objevilo, že Trustwave není jediná CA, která takto postupovala.
Viz také – Mozilla to ask certificate authorities to revoke SSL-spying certificates a Mozilla wants CAs to stop issuing and revoke MITM certificates.

Are self-signed SSL certificates as insecure as they say? aneb co vám mohou poskytnout (jakou ochranu) self-signed SSL certifikáty? Implementace SSL ve vaší organizaci, pokud jsou dodrženy veškeré potřebné bezpečnostní postupy, nemusí být od věci, říká autor článku. Touto cestou může být pak dosažena stejná úroveň ochran, jako využitím SSL certifikátů od externí “důvěryhodné” CA.

Biometrie

O problémech s používáním zařízení pro biometrii duhovky na britských letištích se hovoří v článku Two UK airports scrap IRIS eye-scanners. Vývoj systému stál drahé peníze, praxe přesto ukazuje, že není dokonalý. Dvě britská letiště se dokonce po nedobrých zkušenostech již jeho používání vzdala. Uzavřena byla také střediska pro registrací očí.

Kryptografie

Výsledky kryptoanalýzy algoritmů pro šifrování v satelitních telefonech- A Security Analysis of Two Satphone Standards – komentuje diskuze na Schneierově blogu – Cryptanalysis of Satellite Phone Encryption Algorithms.

Různé

First NASA Quantum Future Technologies Conference, zde najdete informace k této konferenci, pořádané v tomto roce poprvé – proběhla v lednu 2012. Jsou zde k vystoupením účastníků příslušná videa i samotné prezentace.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.