Přehledy
V minulém týdnu byl vydán přehled Symantec Internet Security Threat Report : Volume XV: April 2010. Shrnutí této téměř 100stránkové zprávy lze nalézt zde – Executive Summary: April 2010 a komentáře pak zde :
- Symantec logs 100 per cent rise in new malware
- Security flaws decrease but malicious code grows, says ISTR
- Targeted, PDF Attacks On The Rise: Symantec Report
- PC owners being used as ´malware mules´
Chystanému vydání přehledu společnosti PricewaterhouseCoopers se věnuje článek Cloud computing and social networking expose businesses to attacks. Přehled má být zveřejněn na Infosecu tento týden. Poukazuje mj. na významné změny ve vztahu k bezpečnosti, které se týkají výpočtů v oblacích a sociálních sítí.
Obecná a firemní bezpečnost IT
Michael Cobb v článku How to conduct a security risk analysis vysvětluje, jaké kroky by měla obsahovat analýza bezpečnostních rizik podniku. Autor uvádí i několik dalších odkazů k příbuzné problematice.
Penetrační testy, jaká jsou rizika a jaké výhody toho, pokud si je provádíte sami, tuto problematiku ve svém článku Taking Penetration Testing In-House rozebírá Keith Ferrell. Poukazuje např. na to, že je třeba, aby testeři měli na svou práci dostatek času a mohli se na ni řádně koncentrovat.
Počítačová bezpečnost a právo, to je svět, který se vyvíjí – The Evolving World of Computer Security and Laws. Joshua Garris v krátké studii hodnotí situaci v USA.
Diskuzi na Schneierově blogu k nedávnému vystoupení šéfa NSA a US Cyber Command najdete na tomto odkazu – Lt. Gen. Alexander and the U.S. Cyber Command. Generálporučík Keith Alexander odpovídal na otázky před senátním výborem.
Pět charakteristik bezpečných online služeb najdete v článku Five characteristics of secure online services. Chad Perrin se pokouší zformulovat určitá zobecnění, která by měla být platná pro bezpečnost online služeb, které zpracovávají soukromá data:
- oddělení takovéto infrastruktury od jiných
- šifrování
- bezpečný SW
- transparentní komunikace se zákazníky
- informovanost zákazníků ve vztahu k bezpečnému používání služby
Skandál se sledováním žáků prostřednictvím webových kamer nabírá obrátky – Pa. Webcam Spying Case Takes Alarming Twist. Střední škola v Pennsylvánii – za poslední dva roky byl sledovací SW aktivován nejméně 80krát a bylo pořízeno 56 000 fotografií.
Politicky motivované útoky mohou donutit podniky, aby tyto prohloubily své obrany – Politically Motivated Attacks Could Force Enterprises To Reshape Defenses. Tim Wilson zde komentuje výsledky zprávy společnosti Damballa – The Opt-In Botnet Generation.
Mladí lidé, soukromí a internet, Bruce Schneier na svém blogu – Young People, Privacy, and the Internet – uvádí několik titulů, které se váží k tomuto tématu:
- Youth, Privacy, and Reputation
- How Different Are Young Adults from Older Adults When it Comes to Information Privacy Attitudes & Policy?
- SXSW talk
- danah boyd´s publications
- Privacy and Control
Které státy nejvíce vyžadují od Google informace k soukromí uživatelů? Společnost Google na základě svých statistik vydala přehled, ve kterém na prvních místech figurují Brazílie a Spojené státy – Google tool ranks gov appetite for your private data. Brazil and US revealed as binge eaters.
Google dokonce ví, co si myslíte – ‚Google even knows what you‘re thinking'. Říká to Ryan Naraine a doporučuje využívat nástroj GoogleSharing.
Trochu zamyšlení nad výpočty v oblacích (v cloudech) obsahuje 13 stránková studie, jejímž autorem je Cary Whitaker (East Carolina University) – Cloud Computing – Storm Clouds or is it Smooth Flying?.
Google attack objective: Source code for the single sign-on system – cílem útoku na Google byl zdrojový kód pro single-sign-on? Zeljka Zorz se vyslovuje k článku v New York Times – Cyberattack on Google Said to Hit Password System. Viz také komentář – Google´s ´Gaia´ password system was infiltrated during January attacks.
Sociální sítě a forenzní analýza, Benjamin Wright je autorem krátkého přehledu a několika doporučení k ochraně soukromí – Digital Forensics and Social Media.
Jako součást boje proti padělkům se objevil první draft dokumentu – Anti-Counterfeiting Trade Agreement, do kterého může nahlédnout i veřejnost. Viz komentář – Acta copyright treaty draft gets first public airing.
Objevila se tato doporučení společnosti RSA k online bezpečnosti (Online protection tips):
- Ohodnoť si své „přátele“ ze sociálních sítí, ujisti se, že jsi spojen jen s lidmi, které znáš a kterým důvěřuješ
- Vytvoř si separátní seznamy profilů pro profesní a pro osobní vztahy
- Věnuj čas tomu, aby jsi se naučil bezpečnému chování online, odhlašuj se ze svých účtů, pokud je již nepoužíváš
- Nepracuj s osobními dokumenty či s online bankovnictvím na veřejných počítačích
- Nakupuj jen u společností s dostatečnou reputací a verifikuj si stránky dříve, než vložíš číslo karty či jiné osobní informace
- Často měň svá hesla a ujisti se, že jsou dostatečně složitá (obsahují posloupnost čísel, písmen a symbolů)
- Každým rokem proveď kompletní analýzu své osoby online. Použij vyhledávač k tomu, abys posbíral informace spojené s tvou identitou.
- Ověřuj své finanční zdraví analýzou zpráv o svých účtech, dívej se, zda tam nejsou známky podvodných aktivit.
Jak se vyhnout rizikům sociálního inženýrství, vysvětluje Chad Perrin v stručném přehledu problematiky – Mitigating the social engineering threat.
Víte co je „cybernuke“? Na tuto otázku odpovídá James Cowie – How To Build A Cybernuke. Seznamte se s jeho zajímavými úvahami.
How investigators work to combat data theft aneb jak pracují vyšetřovatelé v boji proti krádežím dat. Známá komentátorka bezpečnosti IT Joana Goodchild se ptá Brada McFarlanda na jeho praktické zkušenosti (Brad McFarland je v současné době ředitelem podnikové bezpečnosti v The South Financial Group). Viz také – Slideshow: Spy tools: What private investigators use to sleuth.
Software
Nástroje pro prevenci ztráty dat (DLP – data loss prevention) v podrobnějším pohledu jsou ukázány v článku Data loss prevention comes of age. Benjamin Blakely, Mark Rabe a Justin Duffy se podrobněji dívají na nástroje společností McAfee a Sophos.
Rozsáhlejší příručku k bezpečnosti ve Windows 7 najdete na stránce The ultimate guide to Windows 7 security. Roger A. Grimes v ní rozebírá mimo jiné:
- přátelštější mechanizmus UAC
- šifrování přenosných médií a disků
- širší podporu silných kryptografických šifer
- vlastnosti bezpečného vzdáleného přístupu
- ochranu proti malware prostřednictvím Applocker
Také stránky společnosti Trend Micro obsahují XSS zranitelnosti – Trend Micro XSS Defacement. Autor si po stránkách Symantecu a McAfee vzal na mušku i stránky další bezpečnostní firmy. A týká se to také společnosti ESET – NOD32 XSS Defacement – defacement na pokračování.
Správa přístupu na web a single-sign-on – Web Access Management and Single Sign-On, to je studie, jejímž autorem je Ronnie Dale Huggins. Rozebírá problematiku Web Access Management (WAM).
Na konferenci Black Hat zaznělo : filtr XSS v IE8 naopak napomáhá XSS útokům na weby – Security gone awry: IE 8 XSS filter exposes sites to XSS attacks. Podrobnosti jsou v této prezentaci (Eduardo Vela Nava, David Lindsay).
Stovky frekventovaných webů nejsou ochráněny před krádeží domény – Hundreds of high profile sites unprotected from domain hijacking, rozhovor s Elisou Cooper (Director, Product Marketing, at MarkMonitor).
OWASP: Top 10 pro rok 2010 najdete na stránce OWASP Top 10 for 2010. Open Web Application Security Project (OWASP) je nezisková organizace, jejímž cílem je zlepšit bezpečnost webových aplikací, a to takovou cestou, která by byla viditelná (zřejmá) pro další uživatele. Viz komentář k aktualizovanému seznamu webových zranitelností:
Sítě se senzory – jejich testování lze provádět pomocí červů – Testing sensor network security with worms. Informace se věnuje prezentaci nástroje Sensys na konferenci BlackHat minulý týden, provedl ji řecký odborník Thanassis Giannetsos.
Malware
Malware na rusko-čínském hraničním přechodu – napadený automatický systém pro přechod hranice zastavil minimálně 2000 Rusů, mnozí museli přespat v hotelu – Virus floors Russian-Chinese automated border. Thousands stranded in travel chaos.
Shadowserver Foundation: Unsung heroes in the botnet wars – čím je Shadowserver Foundation v boji proti malware? Michael Kassner v rozhovoru s jedním se zakladatelů této aktivity – Andre’ M. Di Mino.
Jak trojany obrátit zpátky proti zločincům – Targeted attacks: From being a victim to counter attacking. Andrzej Dereszowski, zakladatel a majitel polské firmy Signal 11 ve své studii popisuje architekturu, možnosti a techniky trojanů, ukazuje cesty k jejich analýze. V závěru studie pak vysvětluje, jak tyto znalosti lze využít k útokům proti nim samotným. Viz komentář – Spying the spy: How to turn Trojans against criminals.
Varianta trojana Zbot umožňuje zmrtvýchvstání – Zbot acquires file infection feature. Tato varianta trojana infikuje i další exe soubory (512 byty a mění vstupní bod programu) a pokud je samotný trojan detekován a smazán, stáhne z dané url soubor a spustí ho.
Bankovní trojan Zeus má nejradši Firefox – Bank theft Trojan aims at Firefox users . Vyplývá to ze zprávy společnosti Trusteer. Zeus ve verzi 2.0 pronikl do bezpečnostních obran Firefoxu.
Viry
Na stránkách blogu Sophos najdete komentář k některým výsledkům aktuálního testu antivirů, který provedl Virus Bulletin – Anti-virus products compared in proactive test.
Hackeři
Report: Russia as an origin of attacks, podle zprávy společnosti Akamai – State of the Internet – tvoří útoky z Ruska 13 procent provozu tohoto typu, z USA 12 procent a z Číny 7,5 procenta.
Hardware
Jaká je bezpečnost síťových zařízení v praxi – přehled k tomu zpracovala společnost Dimension Data – Network Barometer Report. Byl proveden v malých, středních a velkých organizacích v různých místech světa. Stručný komentář k výsledkům je na stránce – Study: Security vulnerabilities in 38% of network devices.
Mobilní telefony
Legal spying via the cell phone system aneb jak prostřednictvím mobilní sítě sledovat lidi (legálně). Elinor Mills v článku komentuje vystoupení (Nick DePetrillo a Don Bailey) na bezpečnostní konferenci Source Boston. Viz také – Mobile network hack reveals sensitive cellphone data.
OS Android (Google) byl spuštěn na hacknutém iPhone – iPhone hacked to run Google's Android. Na odkazu Stephen Shankland vysvětluje postup Davida Wanga (viz video).
Password Safe – proč ho používat? Lincoln Spector v You Don't Have to Remember Your Passwords vysvětluje, proč je fanouškem tohoto volně dostupného programu – Password Safe.
Spam
Přestože botnety jsou likvidovány, úroveň spamu zůstává stále stejně vysoká – Google: botnet takedowns fail to stem spam tide. Je to výsledek, o kterém informuje zpráva společnosti Google (Google spam filtering division).
Účty G-mailu slouží stále ve větší míře lékarnickému spamu – Drug-dealing spammers hit Gmail accounts. Není zatím zcela jasné, proč dochází k současné vlně kompromitací účtů G-mailu. Možnou cestou je mobilní rozhraní G-mailu.
Základní příčiny spamu objasňuje M. E. Kabay v druhé části chystané série tří článků – Fundamental causes of spam. První část je zde:
Elektronické bankovnictví
V USA byla vznesena obvinění proti muži, který provozoval CallService.biz – Feds bust website that catered to identity thieves. CallService.biz goes dark. Dmitry M. Naskovets byl zatčen v České republice na základě požadavků USA. Provozoval službu, která pomáhala tisícovkám zlodějů využívat ukradené finanční informace.
Další bankéř obviněn byl z krádeže citlivého SW – Second Banker Accused of Stealing High-Frequency Trading Code. Jedná se o šestadvacetiletého Inda Samartha Agrawala, který pracoval v newyorkské pobočce francouzské banky.
Autentizace, hesla
Jeden a půl miliónu ukradených ID na Facebooku je na prodej – 1.5M stolen Facebook IDs up for sale. Hacker Kirllos je prodá za nízké ceny každému zájemci o produkci spamu.
Elektronický podpis
Web SSL VPN, Chris Partsenidis v třídílné sérii vysvětluje, co tento pojem označuje, před čím chrání a jaká existují řešení (nezbytná je registrace):
Normy a normativní dokumenty
Americký NIST vydal v uplynulém týdnu následující dokument:
Kryptografie
Efektivní implementaci eliptické kryptografie, která používá binární Edwardsovy křivky najdete v studii Ecient Implementation of Elliptic Curve Point Operations Using Binary Edwards Curves. Edwardsovy křivky uvedl do eliptické kryptografie Bernstein (spolu s dalšími). Mají pro efektivnost implementací určité výhody, jak prokazuje i předkládaná studie.
Různé
A jedna zajímavost – kvantové peníze – Schrödinger's cash: Minting quantum money, jedná se o možné další využití principů kvantové fyziky.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.