Přehledy a konference
Několik slajdů z konference Shmoocon vám přiblíží její atmosféru – Slideshow: Scenes from ShmooCon. Konference se konala o předešlém víkendu ve Washingtonu.
Společnost F-Secure vydala přehled, ve kterém rozebírá následující otázku: Co uživatelé vědí o rizicích internetu? Bezpečnostní software je sice široce využíván, ale bezpečnostní povědomí uživatelů zanechává pesimistický dojem – Survey: 92 % have security software but how many are aware of the threats? Na přehledu se podíleli uživatelé internetu jak ve Spojených státech, tak i v dalších zemích – Kanadě, Velké Británii, Francii, Německu, Itálii, Indii a Hong Kongu. Jednalo se celkem o 2019 uživatelů ve věku od 20 do 40 let.
Obecná a firemní bezpečnost IT
Britain under attack from 20 foreign spy agencies including France and Germany – ke zprávě o kybernetické špionáži ve Velké Británii. Kdo, co a jak, informace ze zprávy pro vládní organizace unikly nějakým způsobem do tisku. I takové země jako spojenci v NATO (Německo a Francie) se pokouší Velké Británii ukrást její největší tajemství. Existují snahy získat informace v takových oborech jako jsou vojenství, optika, komunikace, genetika a letecký průmysl.
Barack Obama spouští revizi kybernetické bezpečnosti – Obama begins cybersecurity review. Koordinovat ji bude Melissa Hathaway. Revize má proběhnout v průběhu 60 dnů. Viz také:
Rozebrány mají být veškeré plány, programy a aktivity oficiálních snah USA ve vztahu ke kybernetické bezpečnosti. Obama již několikrát při různých příležitostech zdůrazňoval strategický význam kybernetické bezpečnosti. Prohlásil mj.: Potřebujeme mít takové kapacity, abychom byli schopni identifikovat, izolovat každý kybernetický útok a umět na něj odpovědět. Je potřeba vyvinout nové normy pro kybernetickou bezpečnost, takové, které se vztahují k našim nejdůležitějším infrastrukturám, od elektráren ke kanalizacím, od kontroly letecké dopravy k našemu trhu.
Safer Internet Programme (2009 – 2013), Na tomto evropském programu se podílí i Česká republika. Desátý únor byl dnem za bezpečnější internet – Safer Internet Day – 10 February 2009.
JOAN GOODCHILD přichází s pěti doporučeními – 5 Tips for Managing Security in a Recession. Řada firem mění v současné době své priority, a proto tato doporučení mají za cíl pomoci řídit správu bezpečnosti IT v době recese:
- Podle rizik/výhod stanovte své priority
- Formujte svůj tým ve správných proporcích
- Vytvořte opakovatelné procesy
- Zvolte optimální strategii ve vztahu k nákladům
- Vtipně své procesy automatizujte popř. použijte outsourcing
Deset chyb, které dělají noví administrátoři Windows, uvádí DEBRA LITTELJOHN SHINDER v užitečném přehledu (nepřehlédněte diskuzi) – 10 mistakes new Windows administrators make:
- Pokouší se najednou všechno změnit
- Přeceňují technické zkušenosti koncových uživatelů
- Podhodnocují technické zkušenosti koncových uživatelů
- Neobrací se k auditu
- Neudržují systémy v aktualizované podobě
- Zanedbávají bezpečnostní otázky
- Nedokumentují změny a úpravy
- Netestují zálohy
- Příliš mnoho naslibují a skutek utek
- Bojí se vyžádat si pomoc
Odcházíte ze zaměstnání? Deset doporučení pro vaši bezpečnost připravil CHAD PERRIN – 10 tips for personal security when you leave an employer. Např.:
- Šifrujte soukromou komunikaci
- Nenarušte firemní politiky
- Chraňte vhodným způsobem svá soukromá hesla a klíče
Víte, kdo jsou hacktivisté? Vznikají spojením aktivistů různého typu s hackery. TOM OLZAK v článku – Hacktivism: Are you vulnerable? – vysvětluje nebezpečí plynoucí z jejich činnosti.
Software
Pro nástroj Metasploit jsou chystány nové služby – Metasploit Hacking Tool To Add New Services-Based Features. V článku je popisuje KELLY JACKSON HIGGINS – tyto služby mají napomoci vytvořit novou generaci postupů vhodných pro penetrační testy.
Váš prohlížeč za vaše problémy nemůže, říká TOM OLZAK v Don’t expect too much from your browser. Rozebírá zde problémy související s brouzdáním po internetu. Vyzdvihuje vlastnosti prohlížeče Chrome (používaný spolu s Sandboxie – Use free sandboxing software to isolate risky behavior).
Jak lze ve Windows serveru 2008 obejít ochranu heslem – Bypassing Windows Server 2008 Password Protection. Podmínkou pro postup popisovaný v této krátké studii je fyzický přístup k serveru.
„MIME sniffing“ v IE umožňuje útoky XSS – Risky sniffing. MIME sniffing in Internet Explorer enables cross-site scripting attacks. Tato vlastnost Internet Exploreru, která původně byla zamýšlena pro bezpečnější práci s prohlížečem, se nyní v prostředí Webu 2.0 stává rizikem.
Malware
Již se zpětnou platností, ale možná ještě přijde vhod připomenutí článku JAKUBA DVOŘÁKA – Pozor na zamilované škodlivé valentýnské e-maily.
Microsoft nabízí čtvrt miliónu dolarů za informaci o autorovi červa Conficker – Microsoft offers $250,000 reward for Conficker arrest. Conficker/Downadup již infikoval milióny počítačů. Požadovaná informace musí vést k uvěznění autora červa. Zatím se přes veškeré úsilí Microsoftu (a samozřejmě také bezpečnostních složek) autora vypátrat nedaří. Viz také – Microsoft, Symantec, VeriSign join forces to fight Downadup worm.
Viry
Fake Infection Warnings Can Be Real Trouble – opět se opakuje varování, pozor na falešné antiviry! ERIK LARKIN popisuje zkušeností s programem Antivirus 2009 a uděluje rady směřující k opatrnosti.
Hackeři
Chyba Kasperského vystavila citlivá data nebezpečím – Kaspersky breach exposes sensitive database, says hacker. Jednoduchý útok typu SQL injection umožňuje přístup do databáze, která obsahuje uživatele, aktivační kódy a řadu dalších údajů. Viz ale také popis reakce – Kaspersky hacker: database exposed for days.
Také BitDefender má obdobné problémy jako Kaspersky – Bitdefender (Portugal) exposes sensitive. Portugalské stránky prodejce produktů společnosti BitDefender umožňují útok,který vede k prozrazení dat zákazníků společnosti.
A do třetice – také stránky F-Secure byly zranitelné ve vztahu k útoku SQL injection – Hacker site claims breach of third security firm Web site in a week. Všechna tři oznámení pochází od rumunského hackera (HackersBlog).
Hackeři ukradli 45 000 záznamů zaměstnanců americké letecké správy – FAA says info on 45,000 workers stolen in data breach. FAA (Federal Aviation Administration) to oznámila 9. ledna.
Nestaňte se další obětí ztráty dat – Don´t be a data loss victim. LINDA MUSTHALER na příkladu objasňuje současné postupy hackerů.
Hacking Exposed 6, to je recenze stejnojmenné knihy. Tuto knihu, která má 720 stran, vydalo v lednu 2008 nakladatelství McGraw-Hill a najdete ji na Amazonu.
Sociální sítě
Slabiny sociálních sítí (jako např. Facebook) byly demonstrovány na konferenci Shmoocon 2009 – Slapped in the Facebook: Social Networking Dangers Exposed. V citovaném článku BILL BRENNER komentuje vystoupení, které na konferenci přednesli Nathan Hamiel a Shawn Moyer.
Používáte Facebook? Zde najdete doporučení k ochraně vašeho soukromí – 10Privacy Settings Every Facebook User Should Know. NICK O´NEILL popisuje vhodná nastavení, která by měl znát každý uživatel Facebooku. Viz také diskuzi na Schneierově blogu – Privacy on Facebook.
Hardware
40 procent pevných disků zakoupených na eBay obsahuje osobní či firemní data – Survey: 40% of hard drives bought on eBay hold personal, corporate data. Přestože se informace tohoto typu objevují periodicky, situace se nelepší.
Šifrování celých disků je jen začátek, říká TOM OLZAK v Enabling drive-level encryption is only the beginning. Reaguje tak na nedávnou informaci o chystané normě TCG (Trusted Computing Group).
Bezdrát
Z konference Shmoocon – Predicting the Hopping Pattern – aneb jak odposlechnout Bluetooth (Bluetooth sniffing). Článek je technicky orientovaný materiál.
Základní příručku k bezpečnosti bezdrátu najdete na stránce The Essential Guide to Wireless Security . Je to pokračování série JOHNA EDWARDSE – The Essential Guide… Skládá se standardně opět ze dvou částí, první z nich popisuje možné hrozby, druhá pak cesty k obranám před těmito hrozbami.
VoIP
Recenzi knihy Hacking VoIP: Protocols, Attacks, and Countermeasures najdete na stránkách HELP NET SECURITY. Autorem knihy je HIMANSHU DWIWEDI, kniha má 220 stran, vyšla v nakladatelství No Starch Press v březnu 2008. Koupit si ji můžete na Amazonu.
Nabízí NSA miliardy firmě, která jí pomůže odposlouchávat Skype? Tato informace snad pronikla u příležitosti akce v Londýně – Counter Terror Expo – NSA offering ‚billions‘ for Skype eavesdrop solution.
RFID
Diskuzi na blogu BRUCE SCHNEIERA ke klonování RFID pasů najdete na stránce Cloning RFID Passports . Jsou zde i některá upřesnění k situaci.
Mobilní telefony
Lokalizujte polohu svojho mobilu pomocou satelitu, stránka pobaví, ale také donutí k zamyšlení.
ESET aktualizuje svůj antivir pro chytré mobily – ESET updates their Antivirus for Smartphones. Článek obsahuje stručný popis novinek.
Objevil se nebezpečný exploit pro Android – Android exploit so dangerous, users warned to avoid phone’s web browser. Uživatelé by podle toho, jak je v článku uvedeno, neměli používat prohlížeč.
Spam
Která slova se ve spamu objevují v poslední době nejčastěji? Zpráva (Spam Omelette) vyjmenovává tato: UND, EMAIL, RECEIVE, UNSUBSCRIBE a TIME – Latest Spam Omelette report focuses on top spam words.
Elektronické bankovnictví
Devět miliónu dolarů bylo ukradeno prostřednictvím bankomatů, a to v rámci koordinovaného podvodu, kdy během 30 minut z bankomatů po celém světě (49 měst, např. Atlanta, Chicago, New York, Montreal, Moskva a Hong Kong) byla (celkově) vyzvednuta tato suma. Byla zneužita data, která byla v roce 2008 ukradena společnosti RBS World Pay – $9 Million stolen in ATM Scam.
The PayPal approach to customer security aneb PayPal a jeho přístup k bezpečnosti jsou rozebírány v rozhovoru s Michaelem Barrettem, bezpečnostním ředitelem PayPal.
Internet-banking – jak předejít útokům?, to je dvoudílný článek DAVIDA SILMENA: „Takzvaný internet-banking je sice skvělá a komfortní věc. Ale s tím, jak se z ní stala masová záležitost, přibylo i zločinců, využívajících relativně snadno dostupných dat. Co hlídat a jak nepřijít o úspory?“Druhý díl článku najdete zde:
Krádež dat z platebního systému Heartland již postihla 160 bank – Heartland data breach hit 160 banks (and rising). Toto číslo přitom pravděpodobně nebude konečné.
Autentizace, hesla
Uživatelé stále používají predikovatelná hesla a usnadňují tak práci hackerům – Database Hack Shows Predictability Of Passwords. Viz také v článku odkazovaný seznam The Top 500 Worst Passwords of All Time.
Analýzu hacknutých hesel PHPBB najdete na stránce PHPBB Password Analysis . Autorovi průniku (ze začátku února) se podařilo pomocí jednoduchého programu na zjišťování hesel podle MD5 hashe bez soli najít 28 000 hesel k účtům. V článku je k dispozici statistická analýza těchto hesel. Je velmi zajímavá, leccos vypovídá o znalostech a chování uživatelů takovýchto webů.
Survey: Identity fraud climbs, but costs less – množství podvodů s ID roste. Klesají však průměrné ztráty spotřebitele. Podle zprávy – 2009 Identity Fraud Survey Report.
Normy a normativní dokumenty
Americký NIST vydal v uplynulém týdnu následující draft:
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
ČLÁNKY DO MAILU