Bezpečnostní střípky: USA přichází s bezpečnostní strategií pro totožnost online

Obecná a firemní bezpečnost IT

USA: některé poznámky k chystaným změnám legislativy (odposlechy, ochrana dětí) najdete v článku Police push to continue warrantless cell tracking. Diskutuje se zejména o problému, zda policie musí žádat o soudní povolení při odposleších – např. osoby podezřelé z nevhodného obtěžování dětské populace. Střetávají se zde požadavky na ochranu soukromí a požadavky policie na efektivní průběh vyšetřování.

Pět kroků při hodnocení rizik kybernetické bezpečnosti připravila společnost CDW – Five steps to cybersecurity risk assessment. Doporučuje v něm organizacím vytvořit solidní základ pro formování bezpečnostní strategie pomocí následujících pěti kroků:

• Identifikace informačních aktiv
• Umístění informačních aktiv
• Klasifikace informačních aktiv (jako pomůcka je zde přiložena pětibodová škála)
• Cvičné provedení s modelem hrozeb
• Finalizace dat a zahájení plánování

Dopadení ruští agenti používali triky moderních technologií – Alleged Russian agents used high-tech tricks. Používali soukromé bezdrátové sítě, flash disky a textové zprávy skryté v obrázkových souborech.
Viz také článek – Russian spy ring bust uncovers tech toolkit a haldu podrobností obsahuje stránka Russian spy ring claim – Live updates.

Jak provádět monitoring v organizaci, který má za cíl snížení rizik – Monitoring Enterprise-wid Business Risk. Jaké změny provází dnešní fungování organizací, firem? Jaké nové hrozby se objevují? Co odsud vyplývá pro bezpečnost a jak zvládat rizika? Na tyto a příbuzné otázky se pokouší odpovědět daný dokument (článek je sice P.R., ale ideje v něm obsažené jsou využitelné i v širším smyslu).

Etický hacker ukazuje, jak je snadné získat ilegální přístup do podnikového cloudu – Ethical hacker reveals the security secrets behind cloud computing – a nastolit zde zmatek a ukrást peníze (video).

Služby pro zjišťování lokace uživatele – proč byste se nad nimi měli důkladně zamyslet – Location-Tracking Services: Why You Should Think Twice. Dan Tynan: Google, Twitter, Facebook, AT&T, Verizon, Apple a další nabízí tyto služby ve svých aplikacích. Autor se ptá, neohrožuje to naši svobodu?

A dále – geolokátory se stávají problémem ve vztahu k soukromí – Geolocators become a privacy problem. Dan Tynan: Google, Twitter, Facebook, AT&T, Verizon, Apple a další nabízí tyto služby ve svých aplikacích. Autor se ptá, neohrožuje to naši svobodu?

Může blokování nežádoucího obsahu na internetu ochránit naše děti?, Jiří Peterka: Blokování je u nás prezentováno jako ochrana před dětskou pornografií a způsob boje proti ní. V zahraničí ale jen jako ochrana před náhodným přistoupením na nežádoucí obsah. Je v tom rozdíl? A proti čemu vlastně bojujeme, či měli bychom bojovat? Proti sexuálnímu zneužívání dětí, nebo proti prohlížení obrázků?

How to be a better spy: Cyber security lessons from the recent russian spy arrests aneb jak být lepším špionem. Johannes Ullrich uvádí doporučení, která dle jeho názoru vyplývají z chyb ruských agentů. Také jsou zde uvedeny odkazy na další články. Viz také článek – Russian spy ring needed some serious IT help.

Ponemon Institute: pokročilé hrozby jsou rostoucím nebezpečím pro IT bezpečnost – Study: Advanced threats a growing problem for security. Joan Goodchild komentuje výsledky nedávné studie, kterou připravil Ponemon Institute. Současné prostředky (politiky a procedury) tyto moderní hrozby nezvládají, konstatuje dokument. Viz také jiný článek, který se dotýká obdobného tématu – Perimeter defenses deemed ineffective against modern security threats.

Jaká je online kriminalita dneška ? John Leyden poukazuje (Online crims not just ‚speccy geeks‘, researchers warn – v komentáři ke zprávě společnosti Trend Micro) na časté mylné představy o hackerech jako o obrýlených nadšencích, přitom pravdou je to, že na ulici bychom je nerozeznali od jiných lidí. Gangy fungují na různých místech světa, liší se svými specializacemi. Fungují v sofistikovaných modelech podnikání, např. využívají třeba i takové nástroje jako je outsourcing. Programátorské skupiny prodávají malware, vládci botnetů zase své armády zombií atd.

RSA's best practices for preventing enterprise data loss – nejlepší postupy pro ochranu před ztrátou podnikových dat (doporučení společnosti RSA). Linda Musthaler na základě materiálu 6 Best Practices for Preventing Enterprise Data Loss zformulovala následující doporučení:

• Porozumějte tomu, která data jsou nejvíce citlivá ve vztahu k vašemu podnikání
• Musíte vědět, kde vaše nejvíce citlivá data jsou umístěna
• Porozumějte podstatě a původu vašich rizik
• Zvolte vhodné kontroly, které vychází z politik, rizik a míst, kde máte umístěna citlivá data
• Spravujte svoji bezpečnost centralizovaně
• Provádějte pravidelné audity bezpečnosti s cílem ji vylepšovat

Prevence internetové kriminality je i státní zájem, Jan Rylich (ke konferenci Prevence internetové kriminality, Praha 17. červen 2010): S bezpečností svého pobytu na Internetu by se měl každý poprat sám. To je jeden přístup. Jenže jsou obecné zásady, které je třeba ctít a stát by měl pomáhat s jejich prosazováním i vymáháním. To je přístup druhý. Jak jsme na tom v Česku?

How Western companies can help crack China's Great Firewall, západní společnosti a velký čínský firewall, autor článku shrnuje dění za posledního půl roku.

Turkey goes into battle with Google, Turecko a blokování Google a YouTube, cenzura internetu se zde začíná projevovat (po vydání zákona z roku 2007 – Law No 5651).

Sociální sítě

Ze sociálních sítí unikají vaše informace. Chcete, aby kdokoliv věděl, kde právě jste? Sharon Gaudin v Social networks leak your information, study says komentuje výsledky studie, kterou tento týden vydal Worcester Polytechnic Institute (WPI)- Massachusetts. Mobilní sociální sítě umožňují zjistit fyzické umístění jejich uživatelů.

Aplikace pro Facebook nyní musí žádat uživatele o svolení pracovat s jeho daty – Facebook apps must now seek permission for user data. Nový autorizační proces byl oznámen Bretem Taylorem (CTO Facebok) zde na blogu – Applications Ask, You Receive: Simplified Permissions Launch.

Software

Google dálkově maže aplikace pro Android – Google uses remote delete to remove Android apps from smartphones – Update. Google si vyzkoušel Remote Application Removal – víceméně cvičně.

Klady a zápory bezpečnosti Windows 7 jsou popsány v článku The pros and cons of Windows 7 security. Analytik společnosti Gartner Neil MacDonald konstatuje, že v některých případech mohou být produkty třetích stran lepší. Ve svém vystoupení na akci Gartner Summit & Risk Management Summit 2010 kritizoval z tohoto pohledu třeba BitLocker, UAC (user account control), DirectAccess a zabudovaný firewall.

Bezpečnostní aktualizace pro Adobe Reader a Acrobat opraví kritické zranitelnosti v Adobe Readeru a Acrobatu ve verzi 9.3.2 – Security updates available for Adobe Reader and Acrobat. Pokud nechcete čekat na automatickou aktualizaci, využijte cestu Help, Check for Updates.

Po oznámené HCP zranitelnosti Windows se objevilo množství útoků, které ji využívají – Microsoft sees spike in attacks targeting 0day Windows bug. Microsoft na tomto příkladě (chyba ve Windows Help and Support Center) dokresluje názor, že je nejprve třeba chybu opravit a teprve potom o ní informovat.
Viz také články :

• Microsoft: 10,000 PCs hit with new Windows XP zero-day attack
• 10,000 XP machines attacked through 0-day flaw

Řada špičkových aplikací nevyužívá bezpečnostní prostředky, které do Windows zabudoval Microsoft – Top Apps Largely Forgo Windows Security Protections. Jedná se o prostředky ASLR (address space layout randomization) a DEP (data execution prevention). Secunia mj. cituje následující aplikace : Apple Quicktime, Foxit Reader, Google Picasa, Java, OpenOffice.org, RealPlayer, VideoLAN VLC Player, a AOL‘s Winamp. Přitom, pokud jsou tyto prostředky správně použity, významně klesá pravděpodobnost nalezení fungujících exploitů.
Viz také – Windows exploit protection mostly unused.

Malware

The longevity of computer worms – jak dlouho žijí počítačoví červi? Technologie a prostředí se vyvíjí, červi jsou jim přizpůsobováni. Autor článku popisuje překvapení, když měl být „naživo“ objeven červ, jehož datum narození je staré 22 let. Nakonec se ale ukázalo, že vše bylo přeci jen trochu jinak.

Proslulý botnet Kraken vstává z popela – Notorious Kraken botnet rises from the ashes. Podle získaných poznatků měl „syn“ Krakena již infikovat 318 058 počítačů. Stejně jako jeho předchůdce je i on fenomenálním generátorem spamu. K rozšíření této sítě zombií přispěl jiný botnet označovaný jako Butterfly. Analytiky tato spolupráce dvou botnetů udivila.

Jak přežít cílené útoky malware – What you need to know to survive targeted malware attacks. Tom Olzak vysvětluje nejprve postupy a cíle útočníků a návazně pak popisuje postupy pro obranu, které v článku vyúsťují v sérii sedmi doporučení.

Regulární domény hostují malware výrazně častěji než domény s erotickým obsahem – Regular domains beat smut sites at hosting malware. Článek komentuje výsledky analýzy, kterou provedla společnost Avast.

Viry

Produkce virů z Ruska už zase roste – Virus production from Russia increases again. Klesla pouze v květnu, kdy byl odstaven nechvalně známý hosting – proxies-net.

Hackeři

Hacker High: 10 Stories of Teenage Hackers Getting into the System – vyšší hackerská – 10 příběhů hackerů-teenagerů. Malý přehled (staršího data), který ukazuje, že mládež umí být někdy velice šikovná – bohužel však na to také někdy doplácí. Některé příběhy mají až podivuhodný charakter …

Analytik NSA: nejlepší obrana proti hackerům? Poznej svého nepřítele – Best defense against hackers: Know your enemy. Tony Sager strávil 30 let studiem chování „špatných hochů“, hackerů a jejich technik. Podle jeho názoru nemůže být cílem budování perfektní obrany, ale mají to být cesty k narušení jednání útočníků a to znamená chápat jejich myšlení. I oni často jdou cestou nejmešího odporu. Význam proto mají takové iniciativy jako Consensus Audit Guidelines, která definuje dvacítku kritických kontrol pro bezpečnostní systémy.

10 Everyday Items Hackers Are Targeting Right Now aneb 10 věcí, které každodenně používáte a které jsou předmětem útoku hackerů. John Brandon vyjmenovává slabá místa běžného dne. Viz také diskuzi na Schneierově fóru :-)

Dopadení hackeři podváděli při online pokeru – Hackers fleece online poker players. Tato informace pochází z Koreje.

Stránky 200 australských organizací byly předmětem vandalského útoku hackerů – Hackers vandalise 200 web sites, cripple 150. Útok byl prováděn přes (nejmenovaný) hosting, kde se nepodařilo provést automatickou záplatu (příčina se zjišťuje). Ke 159 webům se útočníkům podařilo zrušit přístup zcela.

Průnik na web AT&T a následná kompromitace 114 000 uživatelů iPad je vážnější než se zprvu zdálo. Došlo k němu začátkem června a kompromitovány byly e-mailové adresy a čísla karet SIM uživatelů iPad. Mezi těmito uživateli je mj. i řada veřejně činných osob. Z čísel ICC ID je totiž odvozováno i podstatně citlivější číslo IMSI (International Mobile Subscriber Identity), které je používáno k platbám – AT&T-iPad breach could be serious after all.

Hardware

Kosmické záření útočí na počítač. Podle statistických čísel dopad kosmického paprsku může v průměru pozměnit 1 bit v 4 GB RAM denně. Nelson Elhage směřuje tímto směrem objasnění dění na svém počítači – Attack of the Cosmic Rays!.

Jak uzamknout Windows Vista a Windows 7 proti infikovaným USB zařízením – Locking down Windows Vista and Windows 7 against Malicious USB devices. Autor komentuje využití několika nástrojů.

Mobilní telefony

iPhone Hides Geo Location into Images – iPhone skrývá údaje o lokaci do obrázků. GeoLocator řada uživatelů určitě nevypne a to i když zrovna nepoužívají GPS či Gmap.

Co obsahuje nová politika pro ochranu soukromí společnosti Apple? Michael Kassner se v článku What is in Apple's new privacy policy? rozebírá v nastaveních svého nového iPhone4.

Mobilní bezpečnost – příručku pro přežití najdete na stránce The mobile security survival guide. Bill Brenner posbíral dlouhou řadu odkazů na csoonline.com na články, diskuze atd., které jsou věnovány této problematice.

Větší mobilita – větší rizika, Kathleen Else (monažer mobilních aplikací) popisuje (Increased mobility, increased risk) hlavní momenty problému a dává několik doporučení:

• Zabezpečte VPN (nespoléhejte se na předinstalovanou)
• Zabezpečte mobilní zařízení
• Používejte ochranu heslem a šifrování
• Připravte a prosazujte bezpečnostní politiky pro vzdálená zařízení
• Citlivá data zabezpečte
• Opatrně s e-mailem

Elektronické bankovnictví

Nalezená zranitelnost bankomatů bude prezentována na konferenci Black Hat – Hackers Target ATM Security Flaws. S takovýmto vystoupením přijde Barnaby Jack (IOActive Labs), do té doby však své techniky nechce diskutovat.

Kalifornské firmě bylo ukradeno 465 000 dolarů e-bankovními bandity – e-Banking Bandits Stole $465,000 From Calif. Escrow Firm. Takovéto zprávy se prostě bohužel objevují a nejsou už tak velkou vzácností. Zde zaujme připravenost těchto banditů – s jakou dokázali obejít další kontrolní mechanizmy banky. Peníze z účtu firmy byly odeslány jednak na dva bankovní účty v Lotyšsku, jednak různým soumarům v USA. Podle poznámky v článku se soumary nejčastěji stávají lidé, kteří sami chtějí spustit nějakou svou malou firmu

Podvodníci vydělali milióny krádežemi nepatrných sum – FTC: Scammers Stole Millions Using Micro Charges to Credit Cards. Přišli si zhruba na 10 miliónů dolarů a to ve vztahu asi k miliónu platebních karet. Většina jejich majitelů si ničeho nevšimla, výběry se pohybovaly od 20 centů až po 10 dolarů.

Smlouva SWIFT byla podepsána – umožňuje Spojeným Státům pracovat s daty evropských bank – US access to EU Swift bank data agreed. Jejím cílem je zefektivnit boj proti terorizmu.

Regionální bankovní trojany lze obtížně rozpoznat – Regional banking Trojans sneak past security defences. Procento detekce těchto trojanů se pohybuje mezi nulou a dvaceti procenty. Firma Trusteer identifikovala dva Zeus botnety modifikované na podmínky Velké Británie (britská Windows). 

Viz také článek – Trojan writers target U.K. banks with botnets.

Ajťák přiznal krádeže informací o 2000 bankovních zaměstnancích – IT insider admits stealing info for 2,000 bank employees. Adeniyi Adeyemi, bývalý IT pracovník Bank of New York, po dobu osmi let využíval tyto ukradené informace k tomu, aby kradl z účtů těchto lidí a rozesílal tyto peníze na různé účty charity ve světě.

Autentizace, hesla, ID

USA přichází s bezpečnostní strategií pro totožnost online – U.S. Outlines Security Strategy for Online Identity . V novém dokumentu jsou objasněny plány Bílého domu v tomto směru – National Strategy for Trusted Identities in Cyberspace. Je zde popsán systém (Identity Ecosystem), jehož cílem je důraz na posílení autentizace a verifikace identity. Systém má obsahovat tři základní vrstvy :

• governance layer – stanoví pravidla prostředí
• management layer – aplikuje a prosazuje pravidla ekosystému
• execution layer – provádí transakce v souladu s nastavenými pravidly

Viz také další komentáře :

• White House Cybersecurity Czar Unveils National Strategy For Trusted Online Identity (Kelly Jackson Higgins)
• How safe are you in the ´identity ecosystem?´

Jak zabránit krádežím ID – doporučení pro seniory najdete na stránce Tips for seniors on how to avoid ID theft. I důchodci musí být opatrní, platí pro ně také některá specifika zmíněná v doporučeních.

Nový nástroj rozkrývá internetová hesla – New Tool Reveals Internet Passwords. Hesla uložená v cache populárních aplikací jako IE, MS Outlook rozkryje nový nástroj společnosti Elcomsoft – Elcomsoft Internet Password Breaker.

Phishing

Patnáctku phisherských útoků spojených s mistrovstvím světa ve fotbale si prohlédněte v slideshow – Watch Out For These 15 FIFA World Cup Phishing Attacks.

Elektronický podpis

Datové schránky: když ne s časovým razítkem, půjde to s arbitrem?, Jiří Peterka na Lupě: Informační systém datových schránek si pořídil novou funkcionalitu. Dříve se o ní hovořilo jako o institucionálním archivu, dnes je prezentována jako arbitr, který ověřuje pravost datové zprávy. Měla by prý řešit problém s dlouhodobou platností a průkazností dokumentů v elektronické podobě. Nemá ale přímou oporu v zákoně a je dostupná jen pro toho, kdo má přístup k (nějaké) datové schránce.

22 miliónů používaných SSL certifikátů je neplatných. Obrázek o situaci při práci s SSL certifikáty se pokusila vytvořit bezpečnostní firma Qualys. Z 23 miliónů otestovaných SSL certifikátů bylo jen 3,17 procenta takových, že jméno domény se shodovalo s názvem uvedeným na certifikátu. V článku SSL Certificates In Use Today Aren't All Valid jsou pak uvedena některá další čísla zjištěná v analýze.

A Reality Check on Digital Certificates aneb realita SSL certifikátů. Ron Lepofsky vysvětluje principy používání digitálních certifikátů a obrací se k problémům s SSL certifikáty. Uvádí v závěru článku pět doporučení, kterými by se ti, kdo se opírají o důvěru v SSL certifikáty, měli řídit.

Datové schránky po roce, Jiří Peterka: Za rok od spuštění datových schránek bylo přeneseno více než 15 milionů zpráv. Některé provozní problémy se podařilo vyřešit, ale ty zásadnější teprve bublají pod povrchem. Třeba u autorizované konverze MV ČR změnilo názor a jeho nejnovější koncepční materiál již „neobsahuje řešení některých aktuálních otázek, v nichž se dosud nepodařilo nalézt optimální vztah mezi právním názorem a technickým řešením“.

Normy a normativní dokumenty

Americký NIST v minulém týdnu vydal následující dva dokumenty:

• Draft NIST Interagency Report (IR) 7622, Piloting Supply Chain Risk Management Practices for Federal Information Systems
• Special Publication 800–53A, Revision 1

Kryptografie

Cryptography Success Story aneb jak kryptografie uspěla. Na Schneierově blogu je diskutován případ, který se nedávno objevil v médiích (Brazilian banker´s crypto baffles FBI). Ani FBI po dlouhých měsících neuspěla ve snaze dešifrovat data.

Schneier k ruským agentům – Cryptography Failure Story. Poukazuje na problém zapamatování si dlouhého hesla (27 znaků, nalezeno zaznamenané na papírku). Ptá se, k čemu to heslo mohlo sloužit? Steganografii v těchto souvislostech je věnován článek Arrests of alleged spies draws attention to long obscure field of steganography.

A Bruce Schneier po třetí, tentokrát s esejí Data at Rest vs. Data in Motion. Schneier se zde dotýká významu kryptografické ochrany ve vztahu k různým typům chráněných dat. Ne vše může vyřešit.

Srovnání symetrického i asymetrického šifrování najdete na stránce Comparing Symmetric and Asymmetric Key Encryption Systems. Je to krátký, ale přehledně zpracovaný materiál.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.