Hlavní navigace

Bezpečnostní střípky: Twitter znova hacknut

Jaroslav Pinkava 17. 8. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit především na zpřístupněné prezentace vystoupení na konferenci Black Hat, diskuze k budoucnosti IT bezpečnosti v USA a některé informace k problematikám forenzní analýzy.

Přehledy a konference

Prezentace a články k vystoupením na konferenci Black Hat 2009 (Las Vegas 25.-30. července 2009) jsou nyní online – Black Hat USA 2009. Tyto informace jsou tedy nyní k dispozici na internetu.

Obecná a firemní bezpečnost IT

Bezpečnostní politiky – proč nemusí vždy fungovat? Michael Kassner v článku IT security policies: Why they don't always work rozvádí tři základní příčiny:

  • Politika je příliš vágní
  • Nastává střet politiky s produktivitou
  • Politiky mají platit pro každého (a to není vždy dodrženo)

Význam bezpečnosti pro podnikání formuluje v bodech Khalid Kark (Forrester Research) – The Five Rs: Building A Business Case For Information Security – v následujících pěti bodech (pět „r“):

  • reputation (reputace, pověst)
  • regulation (nařízení a předpisy)
  • resilience (pružnost, připravenost na neobvyklé situace)
  • revenue (příjmy)
  • recession (efektivnost nákladů na bezpečnost v období recese)

Sledují vás online. Osm hrozeb a jen jediná účinná obrana, to je článek Pavla Kasíka na Technetu: Armáda zombií, počítačové viry, spam i krádeže identity – to vše na nás denně číhá v internetové džungli. Obrana není jednoduchá, ale existuje. Vyžaduje však alespoň základní uživatelské povědomí a pečlivost.

Obama přišel o dalšího odborníka na bezpečnost IT – Obama loses (another) cybersecurity bigwig. Oh, the bureaucracy. Tentokrát se jedná o Mischel Kwon – šéfku US Department of Homeland Security´s Computer Emergency Readiness Team. Jako důvod dotyčná uvedla byrokratické překážky a nedostatečnou autoritu své mise. Viz také komentář k příčinám odchodu Malissy Hathaway – Cybersecurity: Curiouser and curiouser.

Co se očekává od budoucího „cara“ americké kybernetické bezpečnosti – ‚Czar‘ Prospect on Federal Cybersecurity, Howard Schmidt v interview rozebírá následující okruhy otázek:

  • Stěžejní role Obamova koordinátora kybernetické bezpečnosti, kterou bude hrát ve vztahu k řízení federální IT bezpečnostní politiky.
  • Výzvy, kterým čelí federální vládu při rozvíjení kultury kybernetické bezpečnosti.
  • zajištění IT bezpečnosti při omezených prostředcích v období recese.
  • Potřeba mezinárodní spolupráci v boji proti kybernetickým hrozbám

USA – ministerstvo národní bezpečnosti plánuje připravit wiki pro kybernetickou bezpečnost – DHS plans cybersecurity wiki. National Cyber Security Center a další federální střediska pro IT bezpečnost ji budou používat pro vzájemné sdílení aktuálních informací a také zde budou uloženy technické informace.

An Ethical Code for Intelligence Officers – k etice výzvědných služeb. Bruce Schneier na svém blogu přetiskuje materiál (resp. jeho podstatu), jehož autory jsou Brian Snow a Clint Brooks (bývalí pracovníci NSA).

Recenzi knihy The Myths of Security najdete na stránce – New book: „The Myths of Security“. Autorem knihy je John Viega, knihu vydalo nakladatelství O´Reilly v červnu 2009. Kniha má 260 stran a lze ji nalézt např. na Amazonu. Autor zde tlumočí svůj pohled na situaci v bezpečnosti, kterou považuje za žalostnou.

Palm je obviňován kvůli špionáži uživatelů Palm Pre – Palm accused of spying on Pre owners. You're collecting what?. Bez vědomí uživatele jsou z aparátu odesílány informace o tom, jakou aplikaci používá, jak dlouho ji používá a také, kde se uživatel zrovna nachází. Odesílaná data uživatel nevidí. Viz také komentář (Mikael Ricknäs) – Palm Pre debacle highlights location privacy issues.

Zpráva pro britský parlament – Annual Report of the Chief Surveillance Commissioner – přináší ucelený pohled na problematiku dozoru a není proto bez zajímavosti. Poznámku k této zprávě najdete v článečku Initial password prosecutions in UK (týká se osob, které odmítly prozradit heslo či kryptografický klíč). A ještě jeden odkaz – odmítli dešifrovat svá data, hrozí jim až pět let vězení – Two convicted for refusal to decrypt data. Up to five years in jail after landmark prosecutions. Umožňuje to britská legislativa.

Čína odstoupila od svého plánu s Green Dam (to měl být podle oficiální informace filtr pro pornografii) – China will not enforce Green Dam porn filter plan. Příslušný software měl být instalován na každém počítači. Kromě filtrování nevhodného obsahu z internetu však byla možná i jeho různá zneužití.

Článek Free P2P security guide obsahuje stručný výtah volně dostupné příručky k bezpečnosti P2P. Samotnou příručku si můžete stáhnout zde – download. Materiál formuluje existující rizika a uvádí některá doporučení pro firmy ve vztahu k chování jejich zaměstnanců.

Sociální sítě

Twitter se stal předmětem dalšího útoku – Twitter briefly knocked offline by hackers (again). Just when you thought it was safe to go back into Twitter…. Minulé úterý byl Twitter třicet minut opět nedostupný.

Proč jsou sociální sítě jako Facebook předmětem útoků hackerů? Falešný pocit bezpečí uživatelů těchto sítí láká ke zneužití – Why are criminals targeting Facebook and other social networking sites?.

Proč se Twitter nedokáže bránit DDoS útokům – Analysis: Why Is Twitter So Vulnerable To DDoS Attack?. Samara Lynn zde rozebírá podstatu problému. Je zde několik faktorů, jedním z nich je fakt, že Twitter nemá zabudovány příslušné ochrany typu bezpečnostních produktů, které používají technologie firewallu či IPS/IDS.

Software

Byla vydána knihovna jCryption 1.0 – jCryption 1.0 released , tato knihovna JavaScriptu umožňuje vývojářům zašifrovat HTML, a to aniž by používali SSL.

V USA probíhá diskuze okolo používání cookies na vládních stránkách – Potential gov't cookie policy change prompts concerns. Podle návrhu (White House Office of Management and Budget) má dojít k jejich širšímu využívání. Objevují se obavy o možná zneužití.

Top websites using Flash cookies to track user behavior – mažete cookies? A co Flash cookies? Podle analýzy (UC Berkeley) 54 ze sta předních webů využívá Flash cookies, které však prohlížeče nekontrolují. Pokud si smažete http cookies, nemažete Flash cookies.

Malware

Sophos aktualizoval svůj volně dostupný nástroj proti rootkitům, informaci k tomu najdete zde – Sophos Anti-Rootkit updated – download it for free. A nástroj Sophos Anti-Rootkit lze stáhnout odsud – download.

Deset aktuálně největších hrozeb podle TS Trend Micro Incorporated (TrendLabs) je popsáno na této stránce – Desať najväčších hrozieb počas letných prázdnin.

Byl zjištěn botnet, který používá Twitter jako povelové a řídící centrum – Twitter-based Botnet Command Channel. Informaci o tom zveřejnil Jose Nazario – příslušný účet nyní zkoumají pracovníci Twitteru. Viz také – Brazilian ID thieves using Twitter as botnet command channel.

Internet security threats last just 24 hours – Většina internetových hrozeb „žije“ méně než 24 hodin. Podle zprávy PandaLabs, hackeři modifikují svůj malware takto proto, aby byla menší pravděpodobnost jejich dopadení.

Hackeři

Jaké jsou výsledky analýz, kdo stál za korejským útokem? I když již uplynulo několik týdnů, nepodařilo se identifikovat útočníka. Zjištěno bylo pouze, že botnet, který byl k útoku použit, byl téměř celý lokalizován v Jižní Koreji. Tento botnet (nyní není aktivní) byl směrován výhradně na tento útok. Počítače byly infikovány variantou červa MyDoom – Attacks on U.S., Korea Web sites leave a winding trail.

Situaci okolo najímání hackerů britskou vládou komentuje M. E. Kabay – Hiring hackers (part 1) (první část článku).

Hardware

How to hack a Sony Reader – jak hacknout Sony Reader? Nigel Whitfield popisuje, co vše se dá provést se čtečkou e-knih Sony PRS-505. Řadu dalších informací lze nalézt na fóru – MobileRead.

Je možnost hacknutí IP kamer reálným nebezpečím? Autor článku Is the hacking of IP cameras a major risk? reaguje na demo hacku, které bylo předvedeno na Defconu. Argumentuje nereálností celé situace a říká, že existují daleko závažnější rizika, kterým je třeba věnovat pozornost.

Mobilní telefony

Charlie Miller ze společnosti Independent Security Evaluators odpovídá na otázky v interview, které se týkalo hackování iPhone prostřednictvím SMS – Exclusive Interview: Hacking The iPhone Through SMS.

Útoky na mobilní telefony se stávají realitou – Android security chief: Mobile-phone attacks coming. Robert McMillan komentuje vystoupení Riche Canningse (Android Security Leader) na konferenci Usenix.

Spam

Last week's top 10 countries sending spam, zde je uveřejněn top ten zemí, z nichž je rozesílán spam. V čele je Brazílie následovaná Koreou a Vietnamem, další jsou USA a Rusko.

Forenzní analýza

Xplico, to je forenzní nástroj pro síť, který vytáhne z internetového provozu data, která vás zajímají – Xplico – Network Forensic Analysis Tool.

Memory forensics: A practical example, zde je uveden praktický příklad forenzní analýzy paměti. Manuel Humberto Santander Peláez je autorem tohoto popisu. Využil nástroj Mantech MDD tool.

Computer Forensic Guide To Profiling USB Devices on Win7, Vista, and XP, zde zase je diskutována problematika forenzní analýzy USB zařízení. Autor poukazuje na odlišnosti ve vztahu k různým operačním systémům (Windows XP, Windows Vista a Windows 7). Dvě přiložená pdf vás provedou celým postupem.

Elektronické bankovnictví

How tech is changing banks. Deposit checks with your iPhone camera? Banks as cyber cafes? Tech makes banking fun aneb jak technologie mění práci bank. Mike Elgan: kvalita finančních instituci, není tomu ještě tak dávno, se hodnotila podle zabezpečení trezorů a pevnosti zdí. Dnes jsou peníze především data. Jaké úlohy před banky staví mobilní bankovnictví?

Autentizace, hesla

Britská vláda tvrdí: naše ID karty nemohou být hacknuty – ID card cannot be hacked, UK Government claims – encryption secrets revealed. Podle jejího vyhlášení je tvrzení o tom, že to bylo provedeno za 12 minut, nepravdivé (Adam Laurie – UK national ID card cloned in 12 minutes). Asi se dočkáme ještě pokračování …

Schneier se vyjádřil k jedné sadě doporučení pro práci s hesly  – Password Advice. Bruce Schneier k tomu říká – já sám porušuji nejméně sedm z těchto doporučení. Rozsáhlá diskuze není bez zajímavosti.

Chraňte své ID v školních prostředích – 12 tips to protect your identity at school. To je 12 doporučení zaměřených více méně na podmínky USA, ale i tak stojí za to se s nimi seznámit.

Krátké heslo ve Windows je k ničemu. Prolomili jsme je za tři sekundy, pod tímto odkazem je článek Václava Nývlta na Technetu k praktickým zkušenostem s lámáním hesel pro Windows.

Unmask your passwords – ještě k maskování hesel, JavaScript pomůže s kontrolou. Chad Perrin uvádí cestu, pomocí které lze vložené heslo „demaskovat“.

Phishing

Nigerian 419 scammers: What you didn't know, nigerijské podvodné e-maily, na této stránce Michael Kassner komentuje článek Worldwide Slump Makes Nigeria's Online Scammers Work That Much Harder.

Normy a normativní dokumenty

Příručka NIST k bezpečnostním kontrolám je nedostatečná – Report: NIST's Cyberse­curity Guidelines Aren't Enough. Jedná se o nedávno vydaný dokument Special Publication 800–53, Recommended Security Controls for Federal Information Systems and Organizations. Kritika je obsažena v předběžné verzi zprávy – Cyber Secure Institute.

NIST vydal v tomto týdnu dokument

Draft je rozdělen do čtyř dokumentů a je určen k připomínkám. Jednotlivé části:

  • Pt. 1– End Point PIV Card Application Namespace, Data Model and Representation
  • Pt. 2– PIV Card Application Interface
  • Pt. 3– PIV Client Application Programming Interface
  • Pt. 4– The PIV Transitional Data Model and Interfaces

Kryptografie

Co chcete vědět o kvantové kryptografii – Shedding Light on Quantum Cryptography. Daný materiál je více méně populárním úvodem do problematiky, obsahuje také několik odkazů na další informace.

Různé

Lockpicking and the Internet – lockpicking a informace k němu na internetu, to je esej Bruce Schneiera. Najdete zde diskuzi k otázce, která se (i díky internetu) stává problémem.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

27. 8. 2009 21:35

vandrovnik (neregistrovaný)

Ano, vím jak si odkaz opravit. Ale snad by autor článku mohl vědět, jak napsat odkaz, a mohl by si odkazy otestovat a mohl by svoji chybu opravit, když je na ni upozorněn…

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET