Hlavní navigace

Bezpečnostní střípky: téměř všechny (americké) sítě lze hacknout

18. 2. 2013
Doba čtení: 18 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především na množství ohlasů okolo očekávané kyberbezpečnostní Obamovy vyhlášky, na další várku hacků a na zajímavé novinky okolo SSL digitálních certifikátů.

Přehledy, konference

Maloobchod byl hlavním cílem kyberkriminality v roce 2012 – Retail industry top cybercrime target in 2012. V článku jsou tlumočeny výsledky přehledu společnosti Trustwave – 2013 Global Security Report (nezbytná je registrace, celá studie bude dostupná po 20. únoru).
Viz také komentář – Retail, food service industry top target of fraudsters.

2013 Threat Report, to je zpráva společnosti Websense. Zpráva má 25 stran (pro přístup k dokumentu je zapotřebí krátká registrace). Hrozby – situace se nelepší, ba je tomu právě naopak.
Komentář k ní je v článku Research shows “dramatic growth” in global cyber attacks.
Další komentář:

SafeNet, Inc. Survey Sheds Light on the State of the Data Breach; 66 Percent of Security Professionals Believe They Will Suffer a Data Breach within the Next Three Years – k přehledu společnosti SafeNet – 66 procent bezpečnostních profesionálů se domnívá, že budou poškození datovým průnikem v příštích třech letech. Viz také komentář – Security pros say their companies invest in the wrong technologies.

ENISA vydala varování před přílišným spoléháním se na cloud – EU cybersecurity agency warns about over-reliance on cloud. Článek informuje o nové zprávě této čelní kyberbezpečnostní evropské agentury (The European Network and Information Security Agency – ENISA), bohužel chybí ale odkaz. Zpráva mj. konstatuje, že cloudové služby se stávají součástí kritické informační infrastruktury.

Obecná a firemní bezpečnost IT

US House Intelligence Committee: téměř všechny americké sítě lze hacknout – Almost all US networks can be hacked: Intelligence Committee. V soukromém sektoru je zranitelných 95 procent sítí a skoro všechny již byly zasaženy.

Německo má více než půl miliónu podezřelých webů – Mehr als eine halbe Millionen verdächtige Webseiten: Zahl der riskanten Webseiten in Deutschland nimmt zu. V článku jsou komentována zjištění společnosti McAfee Labs, která prováděla šetření ohledně v Německu hostujících webů.

Spojené státy chtějí předcházet kybernetickou špionáž radikálnějšími cestami – USA wollen stärker gegen Cyberspionage vorgehen. Na stránce najdete komentář k článku ve Washington Post – U.S. said to be target of massive cyber-espionage campaign. Jedná se o nedávnou zprávu amerických zpravodajských služeb.
Viz také komentář – Intelligence Report: China Targets U.S. with Cyber-Espionage.

Jak se chránit před odcházejícími interními zaměstnanci? Ericka Chickowski – Getting Into The Heads Of Departing Insiders – rozebírá téma, které nepochybně pálí mnohé.

Pět mýtů okolo budování bezpečnostního povědomí – 5 myths about awareness. Lance Spitzner rozebírá následující body:

  • 1. Training does not work
  • 2. It´s not worth it because someone will still mess up
  • 3. People already know what to do
  • 4. It´s all about prevention
  • 5. It´s simple

Monitoring Your Unknown Network Traffic – jak monitorovat neznámý provoz vaší sítě? Autorka (v návaznosti na útok na New York Times) rozebírá existující možnosti. Uvádí, co je potřebné k vytvoření robustního systému monitoringu a odpovědí.

Japonci vylepšují své možnosti pro boj s kyberkriminalitou – Japan beefs up cybercrime-fighting abilities. Je připravována příručka pro vyšetřování kybernetické kriminality. Také přibude počet vyšetřovatelů, kteří se budou zabývat kybernetickou kriminalitou.

Our New Regimes of Trust, to je nová esej Bruce Schneiera. Zabývá se otázkou, jak se mění pojetí důvěry v informačním věku.

Zpráva o průnicích ve zdravotnictví ukazuje na mírné zlepšení situace (v USA) – Breach report shows modest improvements. V článku komentovanou zprávu připravila společnost Redspin. Zabývala se v ní 538 incidenty, které měly dopad na 21,4 miliónů jednotlivců.

Správa interních hrozeb. Seznamte se z místy, kde existují rizika – Manage insider threats: Knowing where the risks are. Tom Olzak rozebírá interní hrozby, ty, na které by organizace měly být připraveny tak, aby se jim dokázaly bránit.

Informační bezpečnost v kampusech. Existující zkušenosti z USA přináší článek Information security on campus – lessons from the US. Danny Bradbury v něm poukazuje na fakt, že tyto instituce čelí stejnému souboru bezpečnostních výzev.

Skupiny pro ochranu soukromí protestují proti CISPA – Privacy groups protest CISPA bill. Kontroverzní legislativa je nyní projednávána v kongresu.

Většina Američanů soudí, že kybernetický warfare je bezprostředně hrozícím nebezpečím – Most Americans think cyber warfare is imminent. Na stránce jsou shrnuty výsledky přehledu, který připravila společnost Tenable Network Security. Odpovídalo v něm 1021 dospělých (nad 18 roků). Z dalších výsledků např.: 92 procent Američanů věří, že veřejné služby jsou zranitelné ve vztahu ke státy sponzorovaným útokům.
Viz také komentáře:

13 IT security myths debunked, rozkrytí 13 mýtů dotýkajících se IT bezpečnosti. Ellen Messmer v tomto článku vychází z odpovědí bezpečnostních profesionálů.

Pentagon bude požadovat bezpečnostní normy pro kritickou infrastrukturu – Pentagon will require security standards for critical infrastructure networks. Příslušné požadavky budou zveřejněny již v tomto roce na podzim.

Legislativa, politika

Bezpečnostní odborníci jsou skeptičtí ve vztahu k deklarované kyberbezpečnostní strategii EU – Sicherheits-Experten skeptisch gegenüber Cybersicherheits-Strategie der EU. V článku jsou komentována kritizovaná místa.

Německo: Bitkom kritizuje plánovanou ohlašovací povinnost ohledně IT bezpečnostních incidentů (EU) – BITKOM kritisiert geplante Meldepflicht für IT-Sicherheitsvorfälle. Anonymní a dobrovolné ohlašování těchto incidentů je již v Německu možné (u BSI).

Návrh nové směrnice EU k ochraně dat a lobbing, dokument je pod těžkou palbou, hlavně ze strany amerických podniků – EU-Datenschutzverordnung: Massive Lobbying-Vorwürfe.

Evropa zbrojí proti hackerům. V Česku s pokusy o korupci, z úvodu článku Jana Sedláka: Evropská unie pokračuje ve svém snažení o lepší kybernetickou bezpečnost. Europol už otevřel kybernetické centrum v Haagu. V českém NBÚ vznikají dokumenty s pochybnými body.

USA: CISPA se vrací – CISPA Returns back, Forget privacy reforms. V nejbližších dnech návrh tohoto zákona čeká slyšení před americkou sněmovnou. Viz také komentáře:

Obama podepsal kyberbezpečnostní vyhlášku – Executive order to raise “volume, quality of cyber threat information”. Její znění najdete na stránce EXECUTIVE ORDER. IMPROVING CRITICAL INFRASTRUCTURE CYBERSECURITY.
Viz také komentáře:

Obavy z kybernetického Perl Harbour sjednotily Washington – How Fear of a Cyber Pearl Harbor Is Uniting Washington.

Obamova vyhláška pomůže sdílení informací o hrozbách – Executive Order Aims to Facilitate Sharing of Information on Threats. Další z komentářů k vyhlášce ukazuje na její provázanost s jinými kroky americké administrativy v tomto směru.
Viz také komentáře:

Obamova vyhláška přináší více otázek než odpovědí – Obama´s executive order leaves more questions than answers. Komentářů se objevilo opravdu hodně:

Sociální sítě

Společnost Raytheon vyvinula nástroj, který umí vydolovat informace ze sociálních sítí k předpovědím ohledně chování jednotlivce – FUD flies as Raytheon reveals social media analysis tool. Nástroj Riot (Rapid Information Overlay Technology) není podle článku Software that tracks people on social media created by defence firm prodáván klientům, ale byl dán k dispozici americké vládě. Spyware Riot sleduje vaše chování na sociálních sítích (Twitter, Facebook) a také stahuje GPS informace z mobilní aplikace Foursquare (ta má zhruba 25 miliónů uživatelů) – New spyware Riot tracks your behaviour on Twitter, Facebook and Foursquare to predict crime – is it an invasion of privacy?.

Facebook a pracoviště – studie společnosti AVG – Cyberbullying in the Office: The Politics of Friending Your Workmates. Komentář k jejímu obsahu najdete na stránce AVG-Studie: Facebook am Arbeitsplatz.

Software

K čerstvým záplatám Adobe a Microsoftu se obrací Brian Krebs – Fat Patch Tuesday. Poukazuje na množství záplatovaných zranitelností.

Šifrování databází závisí na efektivní správě klíčů – Database Encryption Depends On Effective Key Management. Autorka článku tlumočí názory, které vyslovil Pravin Kothari, (CEO of CipherCloud).

Šest hlavních cest, kterými budete získávat z monitoringu logů – The Top Six Ways You Will Benefit From Event Log Monitoring. Tato doporučení připravil Casper Manes v zastoupení společnosti GFI Software Ltd.

Cloud musí být end-to-end – Cloud must be end-to-end. V článku je zformulována dvanáct podmínek, které by měly být prověřeny dříve, než svá data do cloudu pustíme.
Obdobným tématem se zabývá i článek Verschlüsselungs- und Key-Management: Datenschutz in der Cloud, OASIS KMIP, Code-Signing.

Adobe zkoumá útoky na PDF, které využívají zranitelnost nulového dne – Adobe investigating attacks on PDFs using zero-day flaw. O zranitelnosti informovali odborníci společnosti FireEye.
Viz také komentáře:

Bezpečnost sítí, distribuce Linuxu k tomu určené popisuje autor článku Empfehlenswerte Linux-Distributionen für die Netzwerksicherheit. Je jich zde rozebrána celá sada – Endian, Devil Linux, Vyatta Linux a další.

Jak se chránit před špionáží na internetu, ve WLAN, na domácím PC a na pracovišti – nejlepší nástroje, takovýto přehled připravil Ramon Schwenk – Die besten Check- und Sicherheits-Tools.

Security Compliance Manager, Security Configuration Wizard, MBSA – bezplatné nástoje Microsoftu pro Windows, jejich využití popisuje zase Thomas Joos – Windows-Praxis: Systeme mit kostenlosen Microsoft-Tools absichern.

Malware

2 New Malware Threats Identified – k nově objevenému malwaru z poslední doby. Společnost Trusteer identifikovala trojana Stealth of Tinba, společnost Kaspersky pak informovala o zjištěních okolo malwaru s označením DroidCleane. Oba malwary jsou novými vysoce sofistikovanými hrozbami, Tracy Kitten v článku rozebírá jejich vlastnosti.
Viz také komentář – Banking trojans change up their tactics.

Jedna pětina škodlivých mobilních webů má vztah k pornu – One-fifth of malicious mobile websites are porn-related. V článku jsou komentovány výsledky zprávy společnosti Blue Coat – 2013 Mobile Malware Report. Další komentáře:

Objevila se nová verze botnetu Kelihos – New Version of Kelihos Botnet Appears. Autor článku se věnuje historii tohoto botnetu a vlastnostem nové verze.

Španělsko rozbilo ransomwarový gang – Spain busts ‚ransomware‘ cybercrime gang. Fungoval po celé Evropě. Rozesílal oznámení pocházející jakoby od policie a vyžadoval zaplacení 100 euro – pak teprve bude odemčen počítač oběti. Španělsko identifikovalo 1 200 obětí, ale skutečný jejich počet bude zřejmě daleko vyšší.
Informace společnosti Trend Micro – Key Figure in Police Ransomware Activity Nabbed.
Viz také komentáře:

Byla vydána zpráva společnosti Kindsight Security Labs – Malware Report for Q4 2012. Říká mimo jiné, že nejčastějším botem, který otravuje domácí sítě je ZeroAccess botnet. Komentář k tomuto dvanáctistránkovému dokumentu najdete v článku ZeroAccess is top bot in home networks.

Špionážní malware

Welcome to the Malware-Industrial Complex – Vítáme vás v průmyslovém komplexu pro malware. Tom Simonite popisuje současné dění na poli malwaru, zejména toho státně podporovaného.

Střední Východ, na politické aktivisty cílí malware daVinci – DaVinci surveillance malware distributed via zero-day Flash Player exploit, researchers say. Šíří se dříve neznámou zranitelností Flash Playeru. Instaluje odposlouchávací program.

Shamoon – byla vydána studie analyzující jeho roli v mezinárodním kybernetickém konfliktu – Hack or Attack? Shamoon and the Evolution of Cyber Conflict. Autory studie (má 30 stran) jsou Christopher Bronk a Eneken Tikk-Ringas.
Komentář k ní najdete na stránce ´Shamoon´ computer virus attack marked new height in international cyber conflict. Další komentář je pak na stránce Shamoon´ computer virus attack marked new height in international cyber conflict news.

Red October je možná malware čínského původu, který se jen má tvářit, že je z Ruska – Red October: Malware that can infiltrate embassies and smartphones, then erase its trace. Názory na původ tohoto malwaru se stále různí.

Hackeři a jiní útočníci

Ještě k hacku společnosti Bit9 se vrací článek Bit9 says attack likely targeted a narrow set of companies. CTO společnosti Bit9 Harry Sverdlove k němu vystoupil na blogu – Sharing Intelligence. Firma říká, že hodlá informace o tomto útoku sdílet s veřejností, se svými zákazníky, s ostatními firmami z branže.
Bit9 hacked after it forgot to install ITS OWN security product – Společnost Bit9 byla hacknuta poté, co si zapomněla nainstalovat svůj vlastní produkt.
Viz také komentáře:

Gmail varuje novináře Myanmaru před státem sponzorovanými útoky – Gmail warning Myanmar Journalists about State-sponsored attacks. Po přihlášení na Gmail se dotčeným objevuje oznámení: We believe state-sponsored attackers may be attempting to compromise your account or computer.
Viz také komentáře:

Sociální inženýrství, to je zřetelné a přítomné nebezpečí – Social engineering: Clear and present danger. Mirko Zorz upozorňuje na některé významné průniky, ke kterým došlo touto cestou (RSA, Epsilon a další), rozebírá obvyklé cesty takovýchto podvodů. Upozorňuje na video dvou studentů (Savannah State University).

Deconstructing the Bush family email hack – probíhá rekonstrukce hacku e-mailů Bushovy rodiny. Hacker bude bezpochyby dopaden, uzavírá svůj článek autor.

Mezi oběťmi Bushova hacku jsou další důležití činitelé americké administrativy – Bush Hacker's Victims Include U.S. Senator. Seznam obětí zahrnuje mj. amerického senátora, vyššího úředníka OSN, bezpečnostní dodavatele v Iráku, dva dřívější agenty FBI atd.

Datové průniky, u každého pátého incidentu trvá roky než je detekován – Serious data breaches take months to spot, analysis finds. V článku jsou uvedena zjištění společnosti Trustwave.
Viz také komentář – Highlights from 450 global data breach investigations.

Hacknuto bylo Cryptome – Cryptome site, Twitter and email account hacked again. Také e-mailový účet Johna Younga, který Cryptome provozuje a i jeho účet na Twitteru.

Jsou APT hrozbou národní bezpečnosti? V článku Do APTs present a credible threat to national security? jsou shrnuty výsledky studie ISACA.
Viz také komentáře:

Hackeři infikují legitimní kódy JavaScriptu tak, aby tento šířil malware – Hackers pollute legitimate JavaScript code to spread malware. Takto infikovány jsou JavaScripty, které se nachází na běžných webech. Informuje o tom společnost Sophos – Malware injected into legitimate JavaScript code on legitimate websites.

Hacktivisté hrozí dalšími útoky DDoS – Hacktivists Threaten More DDoS Attacks. Izz ad-Din al-Qassam Cyber Fighters ve svém vyhlášení z 12. února oznámili, že útoky DDoS na americké banky a finanční instituce budou brzy obnoveny.

Asijští političtí aktivisté jsou napadáni prostřednictvím zadních vrátek Maců – Asian political activists whacked in Mac backdoor hack attack. Podrobné vysvětlení útoků najdete na stránkách:

Odborníci zjistili totožnost čínského hackera – Researchers reveal the identity of a Chinese hacker. Zhang Changhe z města Zhengzhou je zároveň autorem řady akademických prací, učí na univerzitě…

Hacknuté americké televizní vysílače varovaly v pondělí večer před zombie apokalypsou – Gehackte US-Sender: Zombie-Apokalypse hat begonnen. Hackeři se dostali k ovládaní vysílaní pro nouzové situace (v Montaně a v Michiganu). Varování: nepřibližujte se k mrtvým :-)

Zombíci. Někteří policisté brali varování skoro vážně – Montana TV warns of ZOMBIE ATTACK in epic prank hack. Citát (Lt. Shane Sorensen with the Great Falls Police): We had four calls checking to see if it was true. And then I thought, Wait. What if? We can report in the city, there have been no sightings of dead bodies rising from the ground.

K zranitelnosti systémů rozhlasu a TV pro výstražné zprávy se pak obrátil autor článku Emergency Alert System devices vulnerable to hacker attacks, researchers say. Je v něm řeč o U.S. Emergency Alert System (EAS). Podle zjištění odborníků obsahuje kritické zranitelnosti.
Viz komentář – Known bugs could be to blame for zombie alert prank.

Anonymous

Anonymous plánovali narušit streamované video s Obamovým projevem (Ke stavu unie – State of the Union). Nepodařilo se – Anonymous plans to knock State of the Union offline. Viz také článek – Obama live stream unaffected despite Anonymous threats.
Komentář k hrozbě Anonymous najdete na stránce Anonymous State of the Union threat is official: What you should know.

Hardware

Deset věcí, které se dají dělat se starým počítačovým vybavením – 10 things to do with old computing equipment. O takovémto problému přemýšlí většina z nás, z článku lze zjistit, jaké jsou v tomto směru možnosti. Pochopitelně – pozor, co uděláte s daty na pevném disku.

M2M (Machine-to-machine) bezpečnost – nové místo pro útoky hackerů – M2M offers hackers a new frontier for mischief. Zatímco dříve bylo obtížné hacknout takováto zařízení díky jejich nízké inteligenci, situace se nyní mění.

Web otestuje váš router, zda nemá kritické chyby – Website Tests Your Router for Critical Flaws. Stránka Router Security Check ověří provoz sítě návštěvníka ve vztahu k chybám v síťovém protokolu Universal Plug and Play (UPnP).

Boffins FREEZE PHONES to crack Android on-device crypto – úspěšné útoky ”cold boot“ proti zařízením s Androidem. Neautorizované strany takto mohou získat data ze zašifrovaných mobilů s Androidem – při teplotách pod minus deset stupňů. Podrobnosti najdete ve studii FROST. Forensic Recovery of Scrambled Telephones (má 18 stran).
K bezpečnosti zařízení s Androidem obecně se obrací článek Android security suffers the slings and arrows of outrageous fortune.

RFID

Jak bezpečné jsou RFID bezkontaktní platby? Davey Winder popisuje existující obavy a upozorňuje na to, že při zavádění těchto postupů je nezbytné se důkladně věnovat otázkám bezpečnosti a ochrany soukromí – How secure are RFID contactless payments?

Mobilní zařízení

Hack umožňuje přístup k datům uvnitř iPhone s iOS.6.x – iOS 6.x hack allows personal data export, free calls. Lze se tak dostat ke kontaktům, posílat e-maily a telefonovat.
Viz také komentář – How To Bypass iOS 6.1 Passcode Lock And View iPhone & Photos – zde je popsán celý postup. Jeho fungování bylo ověřeno.
Další komentář – iOS 6.1 bug lets anyone bypass iPhone lock screen.

Šest hrozeb, kterým čelí BYOD – 6 threats facing BYOD. Adrian Kingsley-Hughes rozebírá následující:

  1. Software bugs
  2. Lost devices
  3. Buggy apps (viz také: The cost of being social; which apps upload your contacts)
  4. Malicious apps
  5. Rooting/Jailbreaking
  6. Untrustworthy employees

Autor uvádí i možná řešení.
Jak se vyhnout možným základním chybám připráci s BYOD popisuje zase článek – Avoiding basic BYOD blunders.

Elektronické bankovnictví

18 lidí bylo uvězněno v souvislosti s karetními podvody (USA). Objem těchto podvodů činil 200 miliónů dolarů – $200 Million Card Fraud Scheme Alleged. V případu figuruje více než 25 000 falešných platebních karet.

Bulhar v Česku skenoval platební karty, z účtů zmizel milión. Soud mu potvrdil osm let vězení, z úvodu: Čtyřiatřicetiletý Bulhar instaloval na bankomaty zařízení na kopírování platebních karet, jeho komplicové pak vyráběli kopie a v USA a Keni pak tyto karty používali. Z účtů tak neoprávněně odčerpali téměř 1,2 miliónu korun. Stejným způsobem se neúspěšně pokoušeli ukrást další 2,2 miliónu korun. Soudy za to Bulhara potrestaly 8 lety vězení.

Mobilní bankovní aplikace nejsou chráněny proti zranitelnostem OS – Banking apps not safe from OS vulnerabilities. Nic nepomůže, pokud samotný OS obsahuje chyby. V článku jsou popsány některé cesty útočníků, které zranitelnosti OS využívají.

Bankovní trojan Zeus cílí na pět velkých japonských bank – Zeus banking Trojan targeting five major banks in Japan. O situaci informovala společnost Symantec. Útočníci používají Blackohole exploit kit.

Autentizace, hesla

Tipy k ochraně před krádeži identity připravila společnost Equifax – Identity theft protection tips.

Lenovo, PayPal a další přichází s plánem, který má nahradit hesla – Lenovo, PayPal, launch post-password plan. S návrhem nové normy pro autentizaci přichází skupina Fast Identity Online Alliance (FIDO). Dvoufaktorová autentizace může využívat celou řadu různých technologií.

Phishing

Bogus money transfer notice leads to theft of online banking credentials – k jedné phishingové kampani. S upozorněním na ni přišla společnost Symantec – Money Transfer Spam Campaign with HTML Attachment.

Elektronický podpis

K nedávnému útoku na TLS se obrací na svém blogu i Bruce Schneier – Really Clever TLS Attack. Připojená diskuze obsahuje některé zajímavé body.

Symantec/VeriSign – pro práci s SSL digitálními certifikáty lze nyní použít i eliptickou kryptografii – Symantec/VeriSign Expands Encryption Options For SSL Digital Certificates. Vedle šifrování RSA lze nyní použít i algoritmus Elliptic Curve Cryptography (ECC) algorithm a Digital Signature Algorithm (DSA). Poznámka: od 1. ledna 2014 bude NIST pro RSA vyžadovat používání klíčů v minimální délce 2048 bitů. Podle některých poznatků ale se mohou pro práci pro práci s takovouto délkou klíče vyskytnout realizační problémy.
Viz také komentáře:

O nově zřízené skupině Certificate Authority Security Council (CASC) informuje článek Certificate Authorities to push for better certificate-revocation checking.

Normy a normativní dokumenty

IETF vydalo draft:

Kryptografie

Přihlašte se do výzvy společnosti Thawte: Dokážete rozbít šifru? Thawte Crypto Challenge – akce je spouštěna na začátku tohoto týdne. První cenou bude Apple iPad 16Gb. V horní části stránky si můžete rozkliknout odkaz na stručnou historii kryptografii anebo na článek hodnotící význam kryptografie – nikdo zde kryptografickou historii nevydává za úsvit hackerů :-)
Pokud se o historii kryptografie skutečně zajímáte, existuje na internetu množství zdrojů, např.:

S pomocí Google najdete další nepřeberné množství zdrojů k tomuto tématu. Nepřekonatelná je obsáhlá kniha Davida Kahna The Codebreakers. V české jazyce vřele doporučuji knihu Pavla Vondrušky – Kryptologie, šifrování a tajná písma.

root_podpora

Password Hashing Competition, tato iniciativa chce vyhledat nová hashovací schémata. Stojí za ní skupina jednotlivců, nikoliv nějaké organizační těleso. Další informace najdete v článku Cryptographers Aim to Find New Password Hashing Algorithm.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?