Hlavní navigace

Bezpečnostní střípky:Symantec hlásí:počty cílených útoků se zvyšují

26. 4. 2010
Doba čtení: 9 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především na doporučení RSA k online bezpečnosti, na příručku k bezpečnosti Windows 7 a na přehled OWASP k nejčastějším bezpečnostním problémům webů.

Přehledy

V minulém týdnu byl vydán přehled Symantec Internet Security Threat Report : Volume XV: April 2010. Shrnutí této téměř 100stránkové zprávy lze nalézt zde – Executive Summary: April 2010 a komentáře pak zde :

Chystanému vydání přehledu společnosti Pricewaterhou­seCoopers se věnuje článek Cloud computing and social networking expose businesses to attacks. Přehled má být zveřejněn na Infosecu tento týden. Poukazuje mj. na významné změny ve vztahu k bezpečnosti, které se týkají výpočtů v oblacích a sociálních sítí.

Obecná a firemní bezpečnost IT

Michael Cobb v článku How to conduct a security risk analysis vysvětluje, jaké kroky by měla obsahovat analýza bezpečnostních rizik podniku. Autor uvádí i několik dalších odkazů k příbuzné problematice.

Penetrační testy, jaká jsou rizika a jaké výhody toho, pokud si je provádíte sami, tuto problematiku ve svém článku Taking Penetration Testing In-House rozebírá Keith Ferrell. Poukazuje např. na to, že je třeba, aby testeři měli na svou práci dostatek času a mohli se na ni řádně koncentrovat.

Počítačová bezpečnost a právo, to je svět, který se vyvíjí – The Evolving World of Computer Security and Laws. Joshua Garris v krátké studii hodnotí situaci v USA.

Diskuzi na Schneierově blogu k nedávnému vystoupení šéfa NSA a US Cyber Command najdete na tomto odkazu – Lt. Gen. Alexander and the U.S. Cyber Command. Generálporučík Keith Alexander odpovídal na otázky před senátním výborem.

Pět charakteristik bezpečných online služeb najdete v článku Five characteristics of secure online services. Chad Perrin se pokouší zformulovat určitá zobecnění, která by měla být platná pro bezpečnost online služeb, které zpracovávají soukromá data:

  • oddělení takovéto infrastruktury od jiných
  • šifrování
  • bezpečný SW
  • transparentní komunikace se zákazníky
  • informovanost zákazníků ve vztahu k bezpečnému používání služby

Skandál se sledováním žáků prostřednictvím webových kamer nabírá obrátky – Pa. Webcam Spying Case Takes Alarming Twist. Střední škola v Pennsylvánii – za poslední dva roky byl sledovací SW aktivován nejméně 80krát a bylo pořízeno 56 000 fotografií.

Politicky motivované útoky mohou donutit podniky, aby tyto prohloubily své obrany – Politically Motivated Attacks Could Force Enterprises To Reshape Defenses. Tim Wilson zde komentuje výsledky zprávy společnosti Damballa – The Opt-In Botnet Generation.

Mladí lidé, soukromí a internet, Bruce Schneier na svém blogu – Young People, Privacy, and the Internet – uvádí několik titulů, které se váží k tomuto tématu:

Které státy nejvíce vyžadují od Google informace k soukromí uživatelů? Společnost Google na základě svých statistik vydala přehled, ve kterém na prvních místech figurují Brazílie a Spojené státy – Google tool ranks gov appetite for your private data. Brazil and US revealed as binge eaters.

Google dokonce ví, co si myslíte – ‚Google even knows what you‘re thinking'. Říká to Ryan Naraine a doporučuje využívat nástroj GoogleSharing.

Trochu zamyšlení nad výpočty v oblacích (v cloudech) obsahuje 13 stránková studie, jejímž autorem je Cary Whitaker (East Carolina University) – Cloud Computing – Storm Clouds or is it Smooth Flying?.

Google attack objective: Source code for the single sign-on system – cílem útoku na Google byl zdrojový kód pro single-sign-on? Zeljka Zorz se vyslovuje k článku v New York Times – Cyberattack on Google Said to Hit Password System. Viz také komentář – Google´s ´Gaia´ password system was infiltrated during January attacks.

Sociální sítě a forenzní analýza, Benjamin Wright je autorem krátkého přehledu a několika doporučení k ochraně soukromí – Digital Forensics and Social Media.

Jako součást boje proti padělkům se objevil první draft dokumentu  – Anti-Counterfeiting Trade Agreement, do kterého může nahlédnout i veřejnost. Viz komentář – Acta copyright treaty draft gets first public airing.

Objevila se tato doporučení společnosti RSA k online bezpečnosti (Online protection tips):

  • Ohodnoť si své „přátele“ ze sociálních sítí, ujisti se, že jsi spojen jen s lidmi, které znáš a kterým důvěřuješ
  • Vytvoř si separátní seznamy profilů pro profesní a pro osobní vztahy
  • Věnuj čas tomu, aby jsi se naučil bezpečnému chování online, odhlašuj se ze svých účtů, pokud je již nepoužíváš
  • Nepracuj s osobními dokumenty či s online bankovnictvím na veřejných počítačích
  • Nakupuj jen u společností s dostatečnou reputací a verifikuj si stránky dříve, než vložíš číslo karty či jiné osobní informace
  • Často měň svá hesla a ujisti se, že jsou dostatečně složitá (obsahují posloupnost čísel, písmen a symbolů)
  • Každým rokem proveď kompletní analýzu své osoby online. Použij vyhledávač k tomu, abys posbíral informace spojené s tvou identitou.
  • Ověřuj své finanční zdraví analýzou zpráv o svých účtech, dívej se, zda tam nejsou známky podvodných aktivit.

Jak se vyhnout rizikům sociálního inženýrství, vysvětluje Chad Perrin v stručném přehledu problematiky – Mitigating the social engineering threat.

Víte co je „cybernuke“? Na tuto otázku odpovídá James Cowie  – How To Build A Cybernuke. Seznamte se s jeho zajímavými úvahami.

How investigators work to combat data theft aneb jak pracují vyšetřovatelé v boji proti krádežím dat. Známá komentátorka bezpečnosti IT Joana Goodchild se ptá Brada McFarlanda na jeho praktické zkušenosti (Brad McFarland je v současné době ředitelem podnikové bezpečnosti v The South Financial Group). Viz také – Slideshow: Spy tools: What private investigators use to sleuth.

Software

Nástroje pro prevenci ztráty dat (DLP – data loss prevention) v podrobnějším pohledu jsou ukázány v článku Data loss prevention comes of age. Benjamin Blakely, Mark Rabe a Justin Duffy se podrobněji dívají na nástroje společností McAfee a Sophos.

Rozsáhlejší příručku k bezpečnosti ve Windows 7 najdete na stránce The ultimate guide to Windows 7 security. Roger A. Grimes v ní rozebírá mimo jiné:

  • přátelštější mechanizmus UAC
  • šifrování přenosných médií a disků
  • širší podporu silných kryptografických šifer
  • vlastnosti bezpečného vzdáleného přístupu
  • ochranu proti malware prostřednictvím Applocker

Také stránky společnosti Trend Micro obsahují XSS zranitelnosti – Trend Micro XSS Defacement. Autor si po stránkách Symantecu a McAfee vzal na mušku i stránky další bezpečnostní firmy. A týká se to také společnosti ESET – NOD32 XSS Defacement – defacement na pokračování.

Správa přístupu na web a single-sign-on – Web Access Management and Single Sign-On, to je studie, jejímž autorem je Ronnie Dale Huggins. Rozebírá problematiku Web Access Management (WAM).

Na konferenci Black Hat zaznělo : filtr XSS v IE8 naopak napomáhá XSS útokům na weby – Security gone awry: IE 8 XSS filter exposes sites to XSS attacks. Podrobnosti jsou v této prezentaci (Eduardo Vela Nava, David Lindsay).

Stovky frekventovaných webů nejsou ochráněny před krádeží domény – Hundreds of high profile sites unprotected from domain hijacking, rozhovor s Elisou Cooper (Director, Product Marketing, at MarkMonitor).

OWASP: Top 10 pro rok 2010 najdete na stránce OWASP Top 10 for 2010. Open Web Application Security Project (OWASP) je nezisková organizace, jejímž cílem je zlepšit bezpečnost webových aplikací, a to takovou cestou, která by byla viditelná (zřejmá) pro další uživatele. Viz komentář k aktualizovanému seznamu webových zranitelností:

Sítě se senzory – jejich testování lze provádět pomocí červů – Testing sensor network security with worms. Informace se věnuje prezentaci nástroje Sensys na konferenci BlackHat minulý týden, provedl ji řecký odborník Thanassis Giannetsos.

Malware

Malware na rusko-čínském hraničním přechodu – napadený automatický systém pro přechod hranice zastavil minimálně 2000 Rusů, mnozí museli přespat v hotelu – Virus floors Russian-Chinese automated border. Thousands stranded in travel chaos.

Shadowserver Foundation: Unsung heroes in the botnet wars – čím je Shadowserver Foundation v boji proti malware? Michael Kassner v rozhovoru s jedním se zakladatelů této aktivity – Andre’ M. Di Mino.

Jak trojany obrátit zpátky proti zločincům – Targeted attacks: From being a victim to counter attacking. Andrzej Dereszowski, zakladatel a majitel polské firmy Signal 11 ve své studii popisuje architekturu, možnosti a techniky trojanů, ukazuje cesty k jejich analýze. V závěru studie pak vysvětluje, jak tyto znalosti lze využít k útokům proti nim samotným. Viz komentář – Spying the spy: How to turn Trojans against criminals.

Varianta trojana Zbot umožňuje zmrtvýchvstání – Zbot acquires file infection feature. Tato varianta trojana infikuje i další exe soubory (512 byty a mění vstupní bod programu) a pokud je samotný trojan detekován a smazán, stáhne z dané url soubor a spustí ho.

Bankovní trojan Zeus má nejradši Firefox – Bank theft Trojan aims at Firefox users . Vyplývá to ze zprávy společnosti Trusteer. Zeus ve verzi 2.0 pronikl do bezpečnostních obran Firefoxu.

Viry

Na stránkách blogu Sophos najdete komentář k některým výsledkům aktuálního testu antivirů, který provedl Virus Bulletin – Anti-virus products compared in proactive test.

Hackeři

Report: Russia as an origin of attacks, podle zprávy společnosti Akamai – State of the Internet – tvoří útoky z Ruska 13 procent provozu tohoto typu, z USA 12 procent a z Číny 7,5 procenta.

Hardware

Jaká je bezpečnost síťových zařízení v praxi – přehled k tomu zpracovala společnost Dimension Data – Network Barometer Report. Byl proveden v malých, středních a velkých organizacích v různých místech světa. Stručný komentář k výsledkům je na stránce – Study: Security vulnerabilities in 38% of network devices.

Mobilní telefony

Legal spying via the cell phone system aneb jak prostřednictvím mobilní sítě sledovat lidi (legálně). Elinor Mills v článku komentuje vystoupení (Nick DePetrillo a Don Bailey) na bezpečnostní konferenci Source Boston. Viz také – Mobile network hack reveals sensitive cellphone data.

OS Android (Google) byl spuštěn na hacknutém iPhone – iPhone hacked to run Google's Android. Na odkazu Stephen Shankland vysvětluje postup Davida Wanga (viz video).

Password Safe – proč ho používat? Lincoln Spector v You Don't Have to Remember Your Passwords vysvětluje, proč je fanouškem tohoto volně dostupného programu – Password Safe.

Spam

Přestože botnety jsou likvidovány, úroveň spamu zůstává stále stejně vysoká – Google: botnet takedowns fail to stem spam tide. Je to výsledek, o kterém informuje zpráva společnosti Google (Google spam filtering division).

Účty G-mailu slouží stále ve větší míře lékarnickému spamu – Drug-dealing spammers hit Gmail accounts. Není zatím zcela jasné, proč dochází k současné vlně kompromitací účtů G-mailu. Možnou cestou je mobilní rozhraní G-mailu.

Základní příčiny spamu objasňuje M. E. Kabay v druhé části chystané série tří článků – Fundamental causes of spam. První část je zde:

Elektronické bankovnictví

V USA byla vznesena obvinění proti muži, který provozoval CallService.biz – Feds bust website that catered to identity thieves. CallService.biz goes dark. Dmitry M. Naskovets byl zatčen v České republice na základě požadavků USA. Provozoval službu, která pomáhala tisícovkám zlodějů využívat ukradené finanční informace.

Další bankéř obviněn byl z krádeže citlivého SW – Second Banker Accused of Stealing High-Frequency Trading Code. Jedná se o šestadvaceti­letého Inda Samartha Agrawala, který pracoval v newyorkské pobočce francouzské banky.

Autentizace, hesla

Jeden a půl miliónu ukradených ID na Facebooku je na prodej – 1.5M stolen Facebook IDs up for sale. Hacker Kirllos je prodá za nízké ceny každému zájemci o produkci spamu.

Elektronický podpis

Web SSL VPN, Chris Partsenidis v třídílné sérii vysvětluje, co tento pojem označuje, před čím chrání a jaká existují řešení (nezbytná je registrace):

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu následující dokument:

Kryptografie

Efektivní implementaci eliptické kryptografie, která používá binární Edwardsovy křivky najdete v studii Ecient Implementation of Elliptic Curve Point Operations Using Binary Edwards Curves. Edwardsovy křivky uvedl do eliptické kryptografie Bernstein (spolu s dalšími). Mají pro efektivnost implementací určité výhody, jak prokazuje i předkládaná studie.

root_podpora

Různé

A jedna zajímavost – kvantové peníze  – Schrödinger's cash: Minting quantum money, jedná se o možné další využití principů kvantové fyziky.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?