Přehledy, konference
V minulém týdnu se v Amsterodamu konala (8.4 až 11.4 2013) konference Hack in the Box. Abstrakty přednesených prezentací najdete na stránce Conference Speakers, samotné prezentace jsou zde – Materials.
Byla vydána zpráva společnosti Veracode: State of Software Security Report Volume 5. Komentář k výsledkům zprávy (vydaná byla 8.dubna 2013) najdete na stránce Veracode report highlights key problems in mobile app security (viz také níže).
Přehledy říkají, že zaměstnavatelé věří svým lidem víc, než je zdrávo – Surveys Show Employers Trust Staff More Than They Should. V článku jsou komentovány výsledky dvou přehledů společnosti LogRhythm:
Obecná a firemní bezpečnost IT
IBM říká, že pro elektrárenský průmysl jsou postupy kybernetické bezpečnosti klíčové – IBM: Cyber-Security Practices Key for Electric Power Sector. Článek je věnován vystoupením na akci, která proběhla ve Washingtonu.
Na stránce The Practice Of Network Security Monitoring najdete informace o stejnojmenné knize. Jejím autorem je Richard Bejtlich (společnost Mandiant). Kniha má 256 stran a vyjde v červenci 2013.
Parking ticket firm ‚exposed private info‘ – ICO making enquiries – UK Parking Control (UKPC), došlo k úniku osobních informací řidičů z webu. Vyšetřuje to nyní britský úřad pro ochranu soukromí (ICO – Information Commissioner´s Office).
WikiLeaks – byly zveřejněny další americké vládní dokumenty – WikiLeaks veröffentlicht weitere US-Regierungsdokumente. Julian Assange zveřejnil v pondělí 1,7 miliónů depeší. Nejedná se o utajované dokumenty, ale o dokumenty z otevřeného archivu Spojených států. WikiLeaks dokumenty katalogizovaly a spustily možnost v nich vyhledávat.
Viz také komentář – WikiLeaks Launches Searchable US Historical Archive.
Security and vulnerability assessment: 4 common mistakes – čtyři časté chyby při hodnocení bezpečnosti a zranitelností, Joan Goodchild rozebírá tyto body hodnotícího procesu:
- Lack of vision
- Letting compliance get in the way
- Bad reporting
- Failing to bring what you've learned into the corporate culture
Pět největších online hrozeb soukromí roku 2013 popisuje Melissa Riofrio (PC World) – The 5 biggest online privacy threats of 2013, mají to být následující:
- Cookie proliferation
- Seizing cloud data
- Location data betrayal
- Data never forgets a face
- Scanning in the name of cybersecurity
Building Security Threat Intelligence Networks: 10 Best Practices aneb jak vybudovat informační základnu ohledně bezpečnostních hrozeb sítím. Chris Preimesberger k tomuto cíli ve své slideshow přináší desítku podnětů.
Simulované útoky pomáhají zlepšit bezpečnostní povědomí – How simulated attacks improve security awareness training. V článku je komentován obsah zprávy společnosti Wombat Security Technologies – A Security Officer Debate: Are simulated phishing attacks an effective approach to security awareness and training? (pro přístup k ní je nezbytná registrace, zpráva má sedm stran).
Slideshow – osm příkladů pozoruhodných interních hrozeb najdete na stránce Slide Show: 8 Egregious Examples Of Insider Threats. Připravila je Ericka Chickowski podle zkušeností z CERT Insider Theft Center.
Obavy z čínské bezpečnosti odstrašují investory – Chinese security concerns scares away investors. Článek je věnován vystoupení amerického náměstka ministra pro ekonomický růst etc. (Robert Hormats).
MI5 varuje britské univerzity před hrozbami kybernetických útoků – MI5 warns UK universities of cyber-attack threat. Tyto útoky mají být sponzorovány ze zahraničí.
Svět buduje kybernetické bezpečnostní prostředky
Ve Velké Británii bude globální kyberbezpečnostní centrum – UK to host global cybersecurity centre. Global Centre for Cyber Security and Capacity Building bude na oxfordské univerzitě. Britská vláda bude v průběhu příštích dvou let do něho investovat jeden milión liber. Cílem je pomáhat zemím z celého světa vyvinout požadované technologie, zkušenosti a strategie.
Severní Korea věří schopnostem svých hackerů – N.Korea ‚Confident‘ in Cyber Warfare Capabilities. 12 000 hackerů má být zkušených natolik, že dokážou po sobě zamést stopy.
Francie založila civilní tým kybernetických obránců – France gets crack team of civilian cyberdefenders (who won't get to do much). Tito rezervisté mají zemi napomoci před nebezpečími, která vznikají díky kybernetickým hrozbám. V současné době je to síť 40 ”civilistů“.
U.S. Air Force označilo šestici kybernetických nástrojů jako zbraně – U.S. Air Force designates six cybertools as weapons. Má to také pomoci lépe využívat financování Pentagonem. Konkrétně o jaké nástroje se jedná, řečeno nebylo.
V Bavorsku vzniká centrum proti internetové kriminalitě – Cyberallianz-Zentrum. V Bavorsku již nyní funguje 25 tzv. kyberpolicistů (cybercops).
Obamův návrh nového rozpočtu obsahuje investice do kybernetické bezpečnosti – Obama Budget Invests in Cybersecurity. Týkají se například amerického ministerstva národní bezpečnosti a US Cyber Command.
V současnosti je kritický nedostatek pracovníků ve sféře IT bezpečnosti – Addressing the InfoSec Staffing Crisis. Článek reaguje na informace obsažené v nedávné zprávě (ISC)2 Global Information Security Workforce Study. Problém se týká celého světa.
Viz také informace v článku – Shortage of Skilled People Could Hamper Military´s Offensive Security Capabilities.
Legislativa, politika
Washington's Secret Weapon Against Chinese Hackers – tajná zbraň Washingtonu v boji proti čínským hackerům, americká vláda rozvíjí program cílených finančních sankcí.
Bílý dům signalizuje, že nepodpoří CISPA v jeho současné podobě – White House signals it won't support CISPA in present form. V zákoně nejsou dostatečně zabudovány prvky ochrany soukromí, říká White House National Security Council. To je konstatováno také v článku CISPA moves forward, but rejected amendments frustrate privacy advocates.
Viz také komentář – CISPA still a government surveillance bill, critics say.
Sociální sítě
Companies should ban Facebook Home, experts say, Facebook Home – společnosti (organizace) by ho měly zakázat. Říkají to odborníci v prvních reakcích na tuto novou vlastnost Facebooku.
Facebook zavede platby za zprávy také v Evropě – Facebook führt auch in Europa kostenpflichtige Nachrichten ein. Má to být zavedeno koncem roku. Bezplatné zůstanou zprávy přátelům.
Software
Byl autor kitu exploitů ”Phoenix“ uvězněn v Rusku? Vlastnosti tohoto kitu a celou situaci okolo něho popisuje Brian Krebs – Phoenix Exploit Kit Author Arrested In Russia?.
Viz také komentář – Hunting Russian malware author behind Phoenix Exploit Kit.
SDN (Software-Defined Networking) – jak ovlivní síťovou bezpečnost? Tuto technologii rozebírá Michael Kassner – Software-Defined Networking: How it affects network security. Hledá cesty, kterými vylepší bezpečnost či naopak, jaké jsou její slabiny. SDN je věnován také článek Big Players Join To Push Open-Source SDN, Interoperability.
K zabezpečení aplikací vede dlouhá cesta – The Long Road to Secure Applications. Kelly Jackson Higgins hovoří např. o čerstvém zjištění společnosti Veracode (State of Software Security Volume 5, nezbytná je registrace): SQL injection chyba je stále obsažena v jedné třetině aplikací. K obdobnému výsledku přichází i zjištění ve zprávě společnosti Cenzic – Application Vulnerability Trends Report : 2013.
Viz také komentář – SQL injection flaws easy to find and exploit, Veracode report finds.
Critical Fixes for Windows, Flash & Shockwave – Brian Krebs se obrací k záplatám z minulého úterka. Kritické záplaty se týkají Windows, Flashe a Shockwave.
Viz také komentář – Microsoft squashes 9 bugs with Patch Tuesday fixes.
Tatu Ylonen připravuje novou verzi SSH – SSH an ill-managed mess says SSH author Tatu Ylonen. Draft je k dispozici k připomínkám do října 2013.
Taking Steps To Stop Software Sabotage – jak zastavit SW sabotáže? Co když chyby vzniklé při vývoji SW nejsou jen neúmyslné? Sabotáž softwaru je považována za reálnou hrozbu. Ericka Chickowski shrnuje náměty několika odborníků k tomu, jak se tímto problémem zabývat.
Kybernetické podzemí – jak zde vypadá reklama na soukromý keylogger – A peek inside a ‘life cycle aware’ underground market ad for a private keylogger. Dancho Danchev popisuje zajímavé přístupy kybernetické kriminality (např. software s omezeným počtem licencí).
Malware
Nový trojan se šíří prostřednictvím botnetu Cutwail – Botnetz verteilt Android-Trojaner. Trojan Stels infikuje zařízení s Androidem (tváří se jako aktualizace Adobe Flash Player).
Kyberkriminalita se od podvržených antivirů přesouvá ke scarewaru – Cyber-Criminals May Be Switching to More Aggressive Scareware Scams. V článku jsou tlumočeny názory, které pronesl Dodi Glenn, (ředitel ThreatTrack´s AV Labs) na základě výsledků výzkumu své firmy. Stále častěji se objevuje ransomware.
Velké procento hacků pro počítačové hry obsahuje malware – 90 Percent of Game Hacks Infected with Malware, AVG Warns. Podle společnosti AVG to má být až 90 procent kolujících hacků. Citace: ”The list includes unpirated „cracked“ games, license key generators (keygens) and thousands of other game hacks such as patches, cheats and trainers readily available online on unregulated torrent or file-sharing sites.“
Viz také komentář – AVG: That World of Warcraft hack? RIDDLED with malware.
Špionážní malware
Adapting to the post-Shamoon world – svět po Shamoonu. Druhá část článku, který se zabývá současným světem malwaru. Autor se pokouší rozebrat v cestách obrany proti takovýmto útokům (jako přinesl Shamoon). První část najdete na této stránce – Next-wave malware aims for mayhem, not money.
Viry
AV Test otestoval antivirové produkty – Microsoft's security apps still trip up on Windows 8. Z toho jich bylo 25 pro soukromé osoby a 8 pro organizace. Produkty Microsoftu nedopadly zrovna nejlépe – ve vztahu k ochranným vlastnostem.
Viz také komentáře:
Hackeři a jiní útočníci
Schnucks breach will likely cost millions – o útocích hackerů na běžnou obchodní síť, článek se zabývá situací v St.Louis. Jsou zde popsány cesty, kterými hackeři fungují. Upozornit lze na úvodní přehlednou grafiku ukazující fungování platebního systému.
O nové vlně útoků na tzv. call centra se hovoří v článku New Wave of Call Center Fraud. Call centrum je lokalita, kde jsou shromažďovány požadavky vyřizované za pomoci telefonu. V článku jsou rozebírány nedávné pokusy podvodníků.
APT attackers getting more evasive, even more persistent – APT útoky dneška, s jejich charakteristikou přichází John P. Mello Jr.
Britský člen LulzSec přiznal svou vinu – British LulzSec member pleads guilty. Šestadvacetiletý Ryan Ackroyd stojí nyní před soudem.
Za útokem na jihokorejské instituce z minulého měsíce stojí Severní Korea – Probe says North Korea behind South Korean hack. Oficiální závěr označil takto severokorejskou zpravodajskou agenturu.
Byli jste hacknuti, co teď? S několika doporučeními přichází Corey Nachreiner (Director of Security Strategy at WatchGuard) – You've been hacked, now what?
Kaspersky Lab: Online herní průmysl je napadán kybernetickou špionážní skupinou Winnti. Ze zprávy: Společnost Kaspersky Lab dnes zveřejnila zprávu o kybernetické špionážní kampani zaměřené na herní firmy po celém světě. Organizace nazvaná „Winnti“ dle analýzy odborníků Kaspersky Lab útočí od roku 2009 na herní průmysl a i dnes je stále aktivní. Kybernetičtí zločinci kradou digitální certifikáty legitimních prodejci softwaru společně s jejich intelektuálním vlastnictvím včetně zdrojových kódů projektů online her – Winnti. More than just a game. Kaspersky Lab odhalila kromě průmyslové špionáže i způsob, jak Winnti svou kybernetickou kriminální činnost využívá k nelegálnímu zisku:
- Manipulací herní měny v hrách, jako jsou „runy“ nebo „zlato“, kterou je možné směnit za reálné peníze
- Zneužitím zdrojového kódu hry k hledání zranitelností, které mohou být využity k těmto manipulacím bez náznaku podezření
- Zneužitím zdrojového kódu ke spuštění pirátských serverů
Viz také komentáře:
- Malware-flinging Winnti crew have been RIPPING OFF gaming firms for YEARS
- Kaspersky discovers hacker group targeting online games
- Chinese Hackers Hijack Online Role-Playing Games
Jak se chránit před hackery, několik doporučení a příslušnou infografiku připravila Meghan Kelly – Hacking lessons learned: how to cover your digital ass.
Oznámen byl široký útok proti blogům Wordpressu – Wide-scale attack against WordPress blogs reported. Informovali o tom neznámí hackeři.
Viz také komentář Briana Krebse – Brute Force Attacks Build WordPress Botnet.
Výzkumník hacknul letištní kontroly s pomocí chytrého mobilu s Androidem – Researcher hacks aircraft controls with Android smartphone. Bylo to prezentováno na akci Hack in the Box v Amsterodamu – Aircraft Hacking. Practical Aero Series.
Viz také komentář – Hijacking airplanes with an Android phone.
Anonymous
Anonymous targets Israel in another cyberattack – k útoku Anonymous na Izrael. Anonymous tvrdí, že způsobili škody v miliardách dolarů, hackli více než tucet důležitých webů. Podle Yitzhaka Ben Yisrael (National Cyber Bureau) však škody byly minimální. Viz také komentáře:
- Anonymous blitzes Israel in new attack
- Cyberkrieg: Hacker starten Angriffe auf Israel
- Israel Says It Repelled Most Attacks on Its Web Sites by Pro-Palestinian Hackers
- Anonymous hackers launch massive cyber assault on Israel Cyberspace, #OpIsrael
Hardware
Bezpečnostní odborníci objevili řadu zranitelnosti bezdrátových routerů – Researchers Spotlight Vulnerabilities in Popular Wireless Routers. Týká se to zařízení Linksys, D-Link a NETGEAR (pokrývají spolu velkou část trhu s routery).
Viz také článek – Serious Vulnerabilities Found in Popular Home Wireless Routers.
Hackeři stále častěji používají přenosná zařízení – Hackers increasingly using portable devices. Obrana proti těmto zařízením je stále ve svých počátcích, říká Hani Mukhtar (Saudi Aramco).
Hackeři mohou zneužít stanice pro nabíjení elektromobilů – Hackers could start abusing electric car chargers to cripple the grid, researcher says. A poškodit tak rozvodnou síť, zaznělo na konferenci Hack in the Box v Amsterodamu – The Infosec Risks of Charging Electric Cars.
Bezdrátové IP kamery lze napadnout cestou internetu – Wireless IP cameras open to hijacking over the Internet, researchers say. Zaznělo to v další prezentaci na akci Hack in the Box – Turning Your Surveillance Camera Against You.
Domovní zloději používají skryté kamery – High-tech burglary suspect nabbed after secret camera found. Zjišťují tak situaci okolo cílových objektů. K článku otevřel diskuzi na svém blogu také Bruce Schneier – Thieves Use Video Camera to Stake Out Properties.
VoIP
Ze zprávy Kaspersky Lab: Společnost varuje před jarní epidemií šířenou přes Skype. Odborníci Kaspersky Lab odhalili dva kybernetické útoky šířící se přes Skype. V obou případech kybernetičtí zločinci využívají sociální inženýrství k nalákání uživatelů na škodlivé odkazy s příslibem zajímavé fotografie nebo videa. K distribuci těchto odkazů jsou využívány napadené nebo podvodné účty na Skypu.
První útok se objevil už na začátku března. Nicméně i v minulém týdnu zaznamenali analytici Kaspersky Lab 2,7 kliknutí na tento škodlivý odkaz za sekundu, tedy 10 tisíc za hodinu. Většina napadených pocházela z Ruska, Ukrajiny, Bulharska, Číny, Tchaj-wanu a Itálie. Při zkoumání kódu nahraného do počítače obětí nalezli experti zmínku „Bitcoin wallet“ (peněženka Bitcoinů, virtuální peněžní měny).
Minulý týden byl odhalen nový trojský kůň. Uživatelé byli vyzváni k tomu, aby klikali na odkaz, místo toho ale byl na jejich počítač instalován škodlivý software, který kybernetickým zločincům generuje právě Bitcoiny.
Mobilní zařízení
Aplikace pro mobily prozrazují více osobních dat než je třeba – Mobile phone apps view private data more than necessary, says French study. Vyplývá to z výsledků studie, kterou připravila francouzská komise – French National Commission on Computing and Liberty (CNIL). Studovala chování 189 aplikací na šesti iPhonech patřících dobrovolníkům, tj. situace byla analyzována v reálném světě.
Bitdefender nabízí bezplatný antivir pro Android – Bitdefender bietet kostenlose Antivirus-Software für Android an. Lze si ho stáhnout jak na Google Play, tak i na stránce dodavatele.
Spam
Kybernetičtí podvodníci rozesílají spam, který se tváří, že přichází z podnikové tiskárny – Malware-flingers target gullible corporate bods with office printer spam. Jmenovitě se jedná o tiskárny Hewlett-Packard ScanJet. Nebezpečnou situaci podporuje skutečnost, že v některých společnostech skutečně jsou posílány e-maily ze skenerů a multifunkčních tiskáren, které jako přílohu obsahují dokument, který byl zadán pro tisk či sken.
Nakažený spam způsobí nyní více škod než kdy jindy – Rotten spam causing more infections than ever – study.
Elektronické bankovnictví
Rusko a Ukrajina – bankovní hackeři ukradli 200 miliónů euro – Russland und Ukraine: Banken-Hacker stehlen 200 Millionen Euro. Ukrajinské a ruské tajné služby zatkli v této souvislosti okolo dvaceti lidí. Šéfem bandy byl osmadvacetiletý Rus z Oděsy.
Viz také komentář – Cybercrime: 200 Millionen Euro Beute mittels Carberp-Trojaner.
Top Banks Offer New DDoS Details – k podrobnostem ve zprávách bank ohledně útoků DDoS. Jedná se o zprávy bank označované jako 10-K reports. V článku jsou popisována zde uvedená zjištění.
POS (point-of-sale-software) malware útočí na obchodníky – Retailers Attacked by POS Malware. Tracy Kitten popisuje situaci v Louisville. Jedná se o zneužití zranitelnosti SW s dálkovým přístupem.
I malé banky se připravují na útoky DDoS – Small Banks: Prepping for DDoS Attacks. Tracy Kitten to ukazuje na příkladu First Landmark Bank.
Bylo ukradeno téměř čtvrt miliónu dolarů a pak byla podána žaloba na banku – Hay Maker Seeks Cyberheist Bale Out. Brian Krebs popisuje podrobnosti případu. Krádež (neautorizované převody z účtu) se odehrála v prvních dnech září 2010.
Bitcoiny
How to buy and sell Bitcoins – Part 1: Theory – jak nakupovat a prodávat bitcoiny. První část článku se zabývá teorií, druhá – How to buy and sell Bitcoins – Part 2: Practical – pak praxí.
Securing Bitcoins: Barrage of attacks undermines value – bitcoiny, jak je ochránit. Patrick Lambert zkoumá hrozby pro tuto digitální měnu.
Bitcoinům je věnován také zajímavý článek The Bitcoin Boom, který je diskutován i na blogu Bruce Schneiera – Bitcoins in the Mainstream Media.
ZeroAccess Bitcoin Botnet ”úspěšně“ funguje – ZeroAccess Bitcoin Botnet Shows No Signs Of Slowing: FortiGuard Labs Releases Quarterly Threat Landscape Report, k výsledkům čtvrtletní zprávy FortiGuard® Labs.
Situaci s Bitcoiny se věnuje poznámka – Bitcoin ´panic sale´ caused by worried traders, not attacks.
Viz také komentáře:
- Bitcoin bubble burst? Currency suffers dramatic correction
- Bitcoin Botnet Ranked as Top Threat for Q1 2013
Kurs bitcoinu prudce klesl – Hackerwährung: Bitcoin-Kurs fällt um 160 Dollar. Tato digitální měna se v současné době chová značně nestabilně.
Autentizace, hesla, ID
Jak chránit podnikání před pracovníky, kteří volí slabá hesla – Four Ways To Strengthen SMB Password Security. Robert Lemos k tomu ukazuje a rozebírá čtyři cesty:
- Gain visibility
- Centralize password management
- Pick a single entry point
- Change employee behavior
Vaše myšlenky budou vaším novým online heslem – Your Thoughts Could Become Your New Online Password. Článek informuje o nové technologii pracovníků University of California-Berkeley´s School of Information, která využívá biosenzory k měření mozkových vln. Bylo o ní informováno na akci 17th International Conference on Financial Cryptography and Data Security (Okinawa, Japonsko). Komerčně dostupná sluchátka by měla stát okolo jednoho sta dolarů a s počítačem by komunikovala prostřednictvím Bluetooth.
Krádež identity – co je pod tímto pojmem chápáno? Ryan Goodrich ve svém vysvětlení ukazuje celou řadu situací, ve kterých ke krádežím identit dochází. V závěru článku uvádí některá základní doporučení, jak se před takovými krádežemi chránit – What is Identity Theft?
Phishing
Jak provést úspěšný phishing proti vlastní firmě – How To Successfully Phish Your Own Firm. Kelly Jackson Higgins tlumočí názory několika odborníků na simulovaný phishing.
Elektronický podpis
Příručka: The Shortcut Guide To Business Security Measures Using SSL, to je dokument určený pro podnikání. Má 61 stran (nezbytná je registrace), jeho jednotlivé kapitoly jsou následující:
- Combined Risk of Data Loss and Loss of Customer Trust
- How SSL Certificates Can Protect Online Business and Maintain Customer Trust
- Planning, Deploying, and Maintaining SSL Certificates to Protect Against Information Loss and Build Customer Trust
Další příručky od Realtime najdete na této stránce – Realtime Publishers.
Biometrie
Chystaná největší světová biometrická databáze FBI je kritizována – EPIC lawsuit presses FBI for details on biometric database. Stížnost k soudu podalo Electronic Privacy Information Center (EPIC). FBI podle stížnosti neposkytla požadované technické informace.
Use your iPhone for biometric scanning – o tom, jak využit iPhone pro biometrický sken. Článek obsahuje informace o zajímavé novátorské technologii.
Normy a normativní dokumenty
Byl zveřejněn draft:
Kryptografie
Eliptická kryptografie, úvod do této problematiky najdete na této stránce – Elliptic Curve Cryptography. Dostupně podaný přehled připravil Joe Hendrix.
Různé
Pavel Vondruška zve na svůj jednodenní základní kurz Problematika infrastruktury veřejných klíčů (PKI)
Termín: 24.04.2013 09:00–17:00
Kurz je pořádán v rámci Akademie CZ.NIC
Kurz seznámí účastníky s principy fungování PKI z různých aspektů. Účastník se seznámí se základními principy asymetrických šifer, s definicemi a požadavky zákona o elektronickém podpisu, bude seznámen s technickým a legislativním pohledem na důvěru v certifikáty a ověření podpisu a certifikátu. Součástí budou některé jednoduché praktické dovednosti – zejména práce s certifikáty (generování, export, import, podpis, ověření) a práce s CRL
Cena (včetně DPH): 2 400,00 Kč
Časová náročnost: jednodenní kurz
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
