Hlavní navigace

Bezpečnostní střípky: útok na Macy, exploity pro Linux

16. 4. 2012
Doba čtení: 14 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne upozorníme na studii konstatující široké používání zranitelných open source komponent v SW, na výsledky testu volně dostupných antivirů a opět na aktivity Anonymous.

Přehledy

An unsecured computer is worse than an unlocked home – nezabezpečený počítač je horší než nezamknutý domov. V článku jsou tlumočeny výsledky přehledu společnosti Webroot, který byl zpracován na základě odpovědí 1637 respondentů (uživatelů internetu starších 18 let). Otázky byly směrovány na charakterizaci rizikového chování.

Poor internal security processes spell disaster – nedostatečné vnitřní bezpečnostní procesy vedou k pohromám. V tomto článku jsou prezentovány výsledky přehledu společnosti AlgoSec. Byl věnován otázce zdrojů rizik v organizacích.

Finanční služby jsou v hledáčku útoků DDoS – Financial Services In The Cross Hairs Of DDoS Attackers. V tomto článku jsou komentovány výsledky čtvrtletní zprávy – Q1 2012. DDoS data and analysis from the front lines společnosti Prolexic.

Obecná a firemní bezpečnost IT

Jak se chránit před datovými úniky z vaší organizace, tato otázka je předmětem obsahu článku How To Prevent Data Leaks From Happening To Your Organization. John H. Sawyer rozdělil svá doporučení do tří vrstev:

  • Lock Down The Network
  • Protect The Host
  • The Human Factor

Je dnešní rámec pro správu rizik zastaralý? Autor článku Are Today's Risk Management Frameworks Antiquated? informuje o pěti cestách, kterými svůj rámec (pro dosažení shody) aktualizuje ISACA – tak, aby byly zohledněny současné požadavky podnikání ve vztahu k rizikům.

I fell for the oldest social engineering trick in the book aneb jak se odborník nachytal na jeden z nejstarších triků sociálního inženýrství. Nikdo není vůči tomu stoprocentně imunní, na svém (pro něho jistě neveselém) příkladě to uvádí Bill Brenner. Mohu se připojit vzpomínkou na virus Iloveyou, který mi přišel v den mých narozenin od dobrého kamaráda (a já to bral jako fór) – i když tady šlo o nešťastnou časovou shodu a kamarád byl obětí, nikoliv úmyslným šiřitelem.

Írán plánuje odpojení země od internetu, chystá vlastní “čistou” alternativu – Iran moving ahead with plans for national intranet. Zatím není jasné, kdy k tomu chce přikročit, původní termíny jsou odsouvány.
Viz ale – Iran claims internet censorship is Western propaganda.
Další informace obsahuje stránka Iran replacing Google, Hotmail with its own internal search engines and email services.

Ke krádežím internetového připojení se obrací autor článku Internet thieves piggyback on legitimate users. Říká, existují tisíce takových situací, ale jen velmi malé procento z nich je předmětem vyšetřování. Uvádí některé příklady.

Nejvíce útoků v roce 2011 zaznamenaly operační systémy Microsoft Windows a mezi aplikacemi Google Chrome, z úvodu tiskové zprávy: Společnost GFI Software, přední poskytovatel infrastruktury pro malé a středně velké podniky (SMB), nabízí 5 tipů, jak prostřednictvím softwarových aktualizací (tzv. patch managementu) minimalizovat bezpečnostní rizika vyplývající z útoků na podnikovou IT infrastrukturu. Mezi doporučované aktivity patří zejména dodržování pravidelného rozvrhu aktualizací, automatizace procesů patch managementu a průběžné skenování aktualizovaných systémů s pomocí specializovaných nástrojů.

EU: Kybernetická bezpečnost a regulace internetu – článek na Živě, z jeho úvodu: Evropská komise chce zavést pravidla kybernetické bezpečnosti, která do hry vtáhnou soukromé firmy. Diskutovali jsme s Prescottem Winterem, šéfem bezpečnosti v HP.

Práce penetračního testera má pomoci odvrátit možný velký datový průnik – FICO Hacks Itself to Prevent Cybercriminal Attacks. Vickie Miller se pokouší nabourat ochrany FICO, jehož síť obsahuje stovky serverů s daty podstatnými pro VISA, MasterCard a další velké firmy. Miller je bezpečnostní ředitel FICO.

Online Privacy: Kids Know More Than You Think  – online soukromí – mladí toho ví více, než byste si mysleli. Obsah tohoto článku je pak (z různých pozic) diskutován na blogu Bruce Schneiera – Teenagers and Privacy.

Šest podvodů typu scareware, na které je třeba si dát pozor – Nix That Click: Six Scareware Scams To Watch Out For. V slideshow je vyjmenována šestice takovýchto “nástrojů” (Security Shield, System Check, Smart Protection 2012, PC Clean Pro, Internet Security a Smart Fortress).

Spring Cleaning for Your Computer in 4 Steps – jarní úklid vašeho počítače aneb několik jednoduchých doporučení pro každého (zálohujte, pozor na spyware, čistota na vašem počítačovém stole, zbavte se zbytečných aplikací).

4 tipy k tomu, jak získat zaměstnání bezpečnostního specialisty najdete v článku 4 Tips: How To Land An IT Security Job. Cindy Waxer konstatuje, že recese tento typ zaměstnání nepoznamenala. Uvádí a rozebírá tato doporučení:

  • Zvaž certifikaci
  • Vrať se do školních lavic
  • Mobilita je aktuálním tématem
  • Střádej poznatky od svých známých

Co vše je třeba zvážit, pokud organizace propustí bezpečnostního admina, takovýto užitečný a dostatečně podrobný přehled (rozdělený do tří časových úseků) obsahuje článek Considerations When Firing a Network Security Administrator.

Na blogu KasperskyLab se objevil první díl chystaného seriálu – A CISO´s Guide To Application Security – Part 1: Defining AppSec. Připravují ho pracovníci společnosti Veracode (firmy, která testuje aplikace).

Energetický sektor v USA – jsou hledány cesty k jeho větší IT bezpečnosti – Cyber czar: Power companies need to watch their backs. Americká vláda (ministerstvo energetiky) budou nyní testovat (nepovinný) modul, který konkrétní systém vyhodnotí a ukáže, co je třeba změnit v první řadě.

Lze očekávat kybernetický útok na chytré rozvodné sítě? Podle odborníka (David Chalk v článku Can we expect a cyber attack on the smart grid?): “Unless we wake up and realize what we´re doing, there is 100% certainty of total catastrophic failure of the entire power infrastructure within 3 years”.

Security Leaders Give Up aneb bezpečnostní lídři to vzdávají. Po přečtení tohoto článku si říkám, že snad to až tak hrozné není – doufám. Anebo, že by to byl přeci jen špatně načasovaný apríl?

Velký Čínský Firewall, stal se příčinou velkého problému? China’s Great Firewall locks up – po 120 minut nemohl v Číně nikdo nic dělat. Je otázkou, zda za problémem byli hackeři (Anonymous zveřejnili nedávno výhrůžku tímto směrem – Anonymous plans to take down Great Firewall of China). Také to mohl být test, jak lze vypnout internet.
Viz komentář – Chinese Internet Outage Points to Government ´Kill Switch´ a informační článek Anonymous wants to take down the Great Firewall of China.

Kritika navrhovaného amerického zákona ke kybernetické bezpečnosti (CISPA) je zmiňována v článku Proposed US cyber security bill criticised. Je v něm komentována současná situace okolo přípravy tohoto zákona, jsou zde odkazy na další informace.
Viz také – CISPA is not SOPA, say sponsors.

Sociální sítě

Státy sponzorovaní špioni vyhledávají status uživatelů Facebooku. Takto posbíraná data mohou sloužit například k informacím o pohybu amerických vojenských částí, říká se v článku, který komentuje chystané vydání nové zprávy společnosti Imperva – State-sponsored cyber spies want your Facebook status, researchers say. Následně byl článek doplněn odkazem na samotnou zprávu Impervy – Why Do Hackers Want Facebook Data, Part I of II . Druhá část této zprávy je pak na odkazu Why Do Hackers Want Facebook Data, Part II of II. Čtenář zde najde i určitá doporučení uživatelům Facebooku.

Facebook defends support for CISPA monitoring bill – Facebook podporuje CISPA. Vydal k tomu své vyhlášení.

Software

Java je noční můrou pro OS X a cross-platformy – Java: The OSX and Cross-Platform Nightmare. Nejedná se jen o nejnovější půlmilionový botnet OS X. Sun/Oracle by se konečně měli situaci řádně věnovat, říká autor článku.
Viz komentář – Many Mac Users Running Vulnerable Java Versions.

K dubnovým záplatám Microsoftu se obrací informace Microsoft warns of targeted attacks exploiting Windows flaw. Je zde poznamenáno, že Microsoft současně varuje před cílenými útoky využívajícími zranitelnosti Windows.

V slideshow 10 SQL Injection Tools For Database Pwnage najdete 10 nástrojů pro SQL injection (Database Pwnage). Používají je hackeři (Black hat) i penetrační testeři. Jejich přehled připravila Ericka Chickowski.

Varování uživatelům Linuxu – záplatujte ihned svoji Sambu – Linux Users Beware: Patch New Samba Flaw ‚Immediately‘. Byla nalezena nebezpečná zranitelnost (a opravena), umožňuje útočníkovi přístup do systému bez jakékoliv autentizace. Viz – Samba vulnerability.
Komentář (Trustwave) – RCE root in all current Samba versions.
Další komentář je zde – Samba security patch fixes critical remote code execution hole .

A také – Backtrack Linux (nejnovější verze), byla zde nalezena kritická bezpečnostní chyba – Critical Flaw Found In WICD Component in Some Versions of Linux. Nalezl ji student etického hackingu (InfoSec Institute) – Ethical Hacking Training. Dostupný je (viz odkazy v článku) jak prokazující exploit, tak i záplata.
Viz také komentář – Student stiffs penetration tool BackTrack Linux with 0-day.

Video k tomu jak funguje kriminální SW (crimepack) najdete na stránce Video: How a crimepack works. James Lyne ze společnosti Sophos zde demonstruje fungování tzv. IcePack. Ukazuje v něm také, jak dnes kriminalita dokáže zakrýt své stopy.

Zranitelné open source komponenty jsou široce používány, říká studie – The Unfortunate Reality of Insecure Libraries (připravily ji Aspect Security a Sonatype, pro přístup k ní je nezbytná registrace). Viz komentář v článku Study finds widespread use of vulnerable open source components.

Malware

Malware Getting Backed Up Along With Data aneb k malware, které zálohujeme spolu s daty. Obnova ze záloh pak pochopitelně vede k reinfekci systému. Podle Olivera Friedrichse ze společnosti Sourcefire se to stává častěji, než byste si mysleli.

ESET informuje o novém útoku malware – přesměrování, které se vyhne bezpečnostním skenerům – Exploit Kit plays with smart redirection (amended). Viz komentář – Web attacks use smart redirection to evade URL security scanners.

Malware Flashback na Macích – objevily se volně dostupné nástroje k jeho odstranění – Security firm offers more Flashback details, free tools. Viz:

Kaspersky pak stáhl svůj nástroj pro odstranění Flashbacku – Kaspersky Lab suspends Flashback-removal tool. Nástroj prováděl v počítačích (Mac) změny, které jsou neakceptovatelné, říká Kaspersky. Jeho náhrada však přišla brzy – Kaspersky Lab Fixes Flashfake Removal Tool, Releases Updated Version.

Malware Encryption Efforts Mixed, But Getting Stronger – malware a šifrování. Robert Lemos v tomto článku charakterizuje využívání šifrovacích technik u dnešního malware.

Ransomware zastaví bootování Windows – Ransomware stops Windows from booting by replacing its master boot record. Změní MBR (master boot record). Viz informace na blogu společnosti TrendMicro – Ransomware Takes MBR Hostage. Toto ransomware bylo detekováno i v západní Evropě.
Další komentář – Ransomware Infects Master Boot Record, Trend Micro Finds.

Stuxnet byl do íránských jaderných elektráren dopraven na USB klíčence – Stuxnet delivered to Iranian nuclear plant on thumb drive. Tuto cestu zvolil íránský dvojitý agent pracující pro Izrael.

Francouzská stránka fanoušků hry Assassin Creed byla infikována (osm týdnů!), odkaz směroval na malware Zeus – Assassin's Creed Fan Site Infected With Zeus Malware. Viz oznámení společnosti Avast – Risky gaming with ZeuS and WordPress. Zmíněná stránka je pouze jednou z 1841 stránek takto zasažených v březnu 2012. Zde byla využitá zranitelnost starší verze Wordpress.

Viry

Výsledky testu volně dostupných antivirů (Stiftung Warentest – Německo) najdete na stránce Free Antivirus Programs Get the Job Done. Na prvních místech se umístily: Avira Free Antivirus, Avast Free Antivirus, AVG Anti-Virus Free Edition 2012 a Microsoft Security Essentials.

Pozor si dejte na nový falešný antivir – New fake anti-virus shakes down frightened file-sharers. SFX Fake AV je směsicí scareware a vyděračského trojana.

Hackeři a jiní útočníci

Utah, zdravotnická data – průnik je desetkrát větší než se původně myslelo – Utah breach 10X worse than originally thought. Server Medicaid ministerstva zdravotnictví tohoto státu – exponováno bylo 280 000 čísel sociálního pojištění a kompromitována byla další osobní data více než půl miliónu lidí (jména, data narození a adresy). Útočníci měli operovat odněkud z východní Evropy.

K hacknutí fór Al-Kajdy se přihlásil americký hacker – U.S. hacker goes after al-Qaida Web sites. Ohlásil, že funguje pod přezdívkou The Raptor. Prý je voják v důchodu a dědeček. Viz – Patriot hacker ´The Raptor´ gains flock of followers after FoxNews.com report.

Útok hacktivistů proti MI6, informuje o něm článek Team Poison Hackers ‚Phone Bomb‘ and Taunt British Spy Service. TeaMp0isoN zablokovali na 24 hodin telefonní linky MI6. Na YouTube bylo zveřejněno video s konverzací FBI a MI6.
Viz další informace na stránkách:

Jak zrazovat pracoviště (úniky), aniž být usvědčen – WorkiLeaks: How to Be a Workplace Leaker Without Getting Caught. Dlouhá sada doporučení “naruby”.

Anonymous

Anonymous tvrdí. že mají e-maily tuniského premiéra – Hackers claim they've snared Tunisian leader's emails.

Anonymous napadli obchodní skupinu – kvůli její podpoře zákona o kybernetické bezpečnosti – Anonymous attacks trade group for supporting cybersecurity bill. Použitým prostředkem byl útok DDoS. Viz také – Anonymous Hackers Attack Trade Groups Over Cyber-Security Legislation.
K dalším útokům Anonymous:

Anonymous také pokračují v útocích proti Velké Británii a Číně – Anonymous Hackers Take Aim Again at China, England.

Rakouští Anonymous si zřizují vlastní blog – Anonymous Austria richtet eigenes Blog ein.

Anonymous pokračují v útocích na britskou vládu, dalším cílem má být GCHQ – Anonymous plans DDoS attack on GCHQ in snoop law protest. Prý to bude nyní každou sobotu. V sobotu 14. dubna to mělo být na protest proti zpřísnění pravidel pro dohled na internetu, viz Anonymous Plans Saturday Attack on British Intelligence Agency.

Malicious Security (MalSec), to je nová skupina v duchu Anonymous – Malicious Security joins the Anonymous cause. MalSec prý ale nebude exponovat data jednotlivců.
Viz informace v článku New Anonymous Spinoff Vows to Be Ethical, Breaks Vow.

FBI vysledovala jednoho z Anonymous – díky zveřejnění fotky jeho spoře oděné přítelkyně na vychloubačném obrázku – FBI track alleged Anon from unsanitised busty babe pic. Čili takovéto chvástání o svém hackerském umění se nevyplácí…

Hardware

FBI: v USA rostou snahy hacknout chytré měřiče spotřeby proudu – FBI frets about dumb security in smart meters. Dotyční se tak chtějí dostat k bezplatnému odběru. Viz zjištění Briana Krebse – FBI: Smart Meter Hacks Likely to Spread. “Hacknout” měřiče není technicky obtížné a stačí k tomu cenově dostupné prostředky a SW dostupný na internetu. Společnosti tak přichází o stovky miliónů dolarů ročně.

K zranitelnostem měřičů (útoky data injection) obsahuje informace článek Smart meters vulnerable to false data injection.
Viz také komentář – Smart Meters Widely Considered Vulnerable to False Data Injection.

Mobilní zařízení

Šéfové firem musí být při zahraničních cestách velice opatrní ohledně svých mobilních zařízení – Executives Abroad May Get Owned Before They’re Off The Tarmac. Jsou zde citována varování, která zmínil Justin Morehouse ve svém vystoupení na akci OWASP AppSec DC 2012. Jmenoval nebezpečí SMS zpráv s odkazy na weby, tyto odkazy vedou ke kompromitaci mobilního zařízení. Jsou např. typu “welcome”, vítáme vás v naší zemi, což jsou zprávy, které uživatel obvykle očekává.

Forensic snoops: It doesn't take a Genius to break into an iPhone – forenzní nástroj umožní přístup k datům v iPhone. Viz informace v článku Here´s How Law Enforcement Cracks Your iPhone´s Security Code (Video)

Mobilní zařízení vystavují data firem zranitelnostem – Mobile devices expose company data to vulnerabilities. V článku jsou uvedeny výsledky studie společnosti Mobilisafe. I zde chybí odkaz na samotnou studii.

Váš mobil může hacknout kdokoliv a kdokoliv vás může sledovat – Your Cell Phone Enables Anyone to Hack You and Track You. Vysvětlení tomuto dosti odstrašujícímu titulku je uvedeno v článku.

Boeing chystá super bezpečný mobil s Androidem – Boeing plans super-secure Android smartphone for top echelons. Určený bude pro armádu, vládu a důležité uživatele z komerční sféry.

Trojanizovaná verze hry Angry Bird je nabízena v neoficiálních obchodech s aplikacemi pro Android – Trojanized Angry Birds offered for download . Uživatelé nic nepoznají, ale GingerBreak exploit otevře zadní vrátka pro stahování a instalaci dalšího malware.

I ty aplikace pro Android, které nemají žádná povolení, i ty mají přístup k citlivým datům – Zero-Permission Android Applications. Prokázal to Paul Brodeur (Leviathan Security Group). Viz komentář Researcher: ´No permission´ Android apps can read data.

Elektronické bankovnictví

Zeus – jeho nová varianta cílí na poskytovatele platebních služeb – New Zeus variant targets billing services providers. Tuto novou variantu objevili pracovníci společnosti Trusteer – Zeus Targets Cloud Payroll Service to Siphon Money from Enterprises.

Is online banking like playing Russian Roulette? – je online bankovnictví jako ruská ruleta? Podle přehledu společnosti Entersekt (1 000 respondentů) čtyři uživatelé online bankovnictví z deseti soudí, že si hrají s ohněm. V článku jsou uvedena další čísla získaná v tomto přehledu.

Zloději nahrazují penežní soumary využitím předplacených karet? Thieves Replacing Money Mules With Prepaid Cards?, Brian Krebs se rozepisuje k novým poznatkům z tohoto “podnikání”. Ochraně před krádežemi z účtů je věnována sada doporučení v závěru článku.

Autentizace, hesla

Identity Management Systems: Building a Business Case for Your Enterprise – k správě identit v podniku. Jaký pro ni zvolit systém? Slideshow by měla pomoci při jeho výběru a upřesňování.

Phishing

How to Tell If an Email Is a Phishing Scam, zde najdete několik tipů k tomu, jak být na pozoru před phisherskými e-maily. Dnešní phisheři jsou často velmi přesvědčiví. Meridith Levinson proto uvádí pět doporučení, která mohou pomoci zjistit, zda daný e-mail je podvrhem.

Biometrie

Japonci spustili biometrické bankomaty – Japanese bank palms off customers with biometric ATMs. Pro službu není zapotřebí ani karta ani osobní doklad. Je použita biometrie cév v uživatelově dlani. Technologii (Fujitsu) zatím používá jedna regionální banka.
Viz také komentář – Japanese Bank Introduces Palm-Scanning ATMs.

Normy a normativní dokumenty

Jaké jsou chystané úpravy americké normy pro digitální podpis – FIPS 186–3, Digital Signature Standard? Jejich popis najdete v dokumentu Announcing DRAFT Revisions to Federal Information Processing Standard (FIPS) 186–3, Digital Signature Standard (DSS), and Request for Comments. Podrobnější popis změn najdete zde – FIPS 186–3, DIGITAL SIGNATURE STANDARD PROPOSED REVISIO

CS24 tip temata

Kryptografie

Jak zkonstruovat kvantové náhodné funkce – How to Construct Quantum Random Functions. Ve světle možné existence kvantových počítačů je třeba také zvážit “odolnost” pseudonáhodných generátorů vůči těmto počítačům (možnost predikce pseudonáhodné posloupnosti na základě znalosti jejího úseku). Autor ukazuje, že skutečně existují pseudonáhodné funkce bezpečné proti “klasickým útočníkům”, ale zároveň takové, které jsou zranitelné proti útočníkům “kvantovým”.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku