Hlavní navigace

Bezpečnostní střípky: Ve znamení konference Black Hat

30. 7. 2012
Doba čtení: 17 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme (kromě sady témat přednesených na konferenci Black Hat) na kampaň Microsoftu (Technology Upgrade Week), na nové malware pro Macy, na masivní průnik do databáze hesel a na další aktivity útočníků.

Konference

V indickém Dillí je na 29. července 2012 naplánována akce s názvem The Hackers Conference. Mj. zde bude předveden sedmnáctiletým hackerem vir pro Linux (ELF = The Executable and Linking Format) – The Hacker News.

Welcome…to fabulous BSides Las Vegas! – to jsou stránky akce BSides Las Vegas. Program je na tomto odkazu – Schedule, abstrakty vystoupení jsou zde – Talk Abstracts.

Na Defconu vystoupil generál Keith Alexander – America's Top Cyberwarrior Asks Hackers for Help. Jak se předpokládalo (NSA top spy going to Defcon 2012 ), generál vyzval přítomné k účasti v boji za ochranu kybernetického prostoru a hovořeno bylo také o příležitostech k zaměstnání a kariéře v NSA. Viz také – NSA Chief General Keith Alexander Addresses DEF CON Attendees.

Black Hat

Jejímu zahájení je věnována informace Black Hat Conference Spotlights Mobile Security, Critical Infrastructure. Bylo očekáváno až 6 500 účastníků, bude to zatím největší akce z konferencí Black Hat.

Účast na akci Black Hat není bez rizika, říká se v článku Black Hat draws world hacking gang – and Apple – to Sin City. Autor charakterizuje letošní průběh konference.
Další komentáře:

K některým vystoupením:

Odborná porota vybrala vítěze Pwnie Awards 2012. Viz také – Flame Spyware Wins Top ´Pwnie´ Hacker Award.

Z odpovědí účastníků Black Hat zpracovaný přehled říká, že jedna třetina z nich se podílela na odvetném hackingu – Black Hat Survey: More than 1/3 Have Engaged in Retaliatory Hacking. Společnost nCircle se vyptávala 181 účastníků.
Viz také komentář – Black Hat: Hacking Back – The Best Defense May Not be the Best Offense.

Obecná a firemní bezpečnost IT

Objevil se obsažný seriál věnovaný problematice sociálního inženýrství, k dispozici jsou následující jeho díly:

Íránská armáda chystá jednotku kybernetické bezpečnosti – Iranian nuke plants rocked in midnight ‚heavy metal blast‘. V článku je také informace o e-mailu, který z Íránu obdržela finská společnost F-Secure. Poslat ho snad měl kdosi z Atomic Energy Organisation of Iran (AEOI). Týkal se oznámení o tom, že jejich síť zasáhl červ, který po celou noc hrál velice nahlas skladbu Thunderstruck od AC/DC. Viz – Hard-Rocking Cyberattack Said to Strike Iranian Nuclear Plants.

Russia’s Top Cyber Sleuth Foils US Spies, Helps Kremlin Pals – ruská kybernetická špička Evžen Kaspersky a mezinárodní špionáž, zajímavý článek staví Kasperského do ostrého světla.

Kaspersky Denies Kremlin Ties, Compares Himself to Indiana Jones – Kaspersky popírá vazby na Kreml, přirovnává se k Indianovi Jonesovi. Na svém blogu – What Wired Is Not Telling You – a Response to Noah Shachtman’s Article in Wired Magazine – poukazuje na to, že nedávno o něm zveřejněný článek (Russia’s Top Cyber Sleuth Foils US Spies, Helps Kremlin Pals) obsahuje spoustu chyb.
Viz také komentář – Eugene Kaspersky reacts angrily to alleged Kremlin sympathies.

Při ochraně kritických informací pomůže tzv. whitelisting – Is your intellectual property secure? Whitelisting can help secure against advanced persistent threats. Kate Munro (společnost Bit9) hovoří o hrozbách citlivým informacím, které jsou pro státy důležité. Zmiňuje zprávy informující o prováděných útocích.

Na konferenci Black Hat bylo informováno o novém systému pro sdílení informací o kybernetických hrozbách (STIX) – Black Hat 2012: MITRE to detail STIX cyberthreat intelligence system. Je testován také americkým CERTem (U.S. Computer Emergency Response Team).

Jaké jsou požadované špičkové kvality u IT bezpečnostních profesionálů – Top Qualities for IT Security Pros. Náborářka Kathy Lavinder vysvětluje, jaké požadavky jsou nyní při hledání nových pracovníků tohoto směru formulovány společnostmi. V interview jsou diskutovány tyto tři okruhy problémů:

  • Jaké kvality hledají organizace u IT bezpečnostních profesionálů
  • Proč probíhá fluktuace v IT bezpečnostních zaměstnáních tak rychle
  • Jak rozvíjet zásoby existujících talentů

Firma, kvůli které kolabuje registr vozidel, má chránit stát před kybernetickými útoky, z úvodu: Místo trestu další zakázka. Firma, která nedokázala správně zprovoznit registr vozidel, má ministerstvu obrany dodat technologie za asi 56 milionů. A dokonce mají sloužit pro boj s kybernetickými útoky.

Is North Korea Making Electromagnetic Pulse Weapons? – vyvíjí Severní Korea zbraň využívající elektromagnetický puls (EMP)? Cílem může být elektronika Jižní Koreje a amerických sil na korejském poloostrově. (J.P.: nedávno k tomuto tématu vyšla sci-fi knížka, při jejím čtení mrazí – Vteřinu poté).

Internetový „kočičí signál“ je na světě – Internet ‚Cat Signal‘ Goes Live. Má varovat weby a uživatele před nebezpečnou legislativou (je to akce Internet Defense League).

Black Hat: zahraniční zpravodajské služby jsou největší hrozbou, varuje bývalý pracovník FBI Shawn Henry – Foreign intelligence agencies are biggest online threat, ex-Fed warns.  Největší hrozbou nejsou hackeři a teroristé. Jeho vystoupení jsou věnovány také články:

Jeho výzva k privátnímu sektoru (aby napomáhal v boji proti kybernetickým útokům) byla však přijata chladně – Security experts cold on former FBI official´s Black Hat keynote.
Kybernetické špionáži, tak jak byla na konferenci Black Hat diskutována, je věnován článek Black Hat: Cyber-espionage operations vast yet highly focused, researcher claims.

Forget widgets, invest in staff, say Black Hat alumni – Black Hat: proběhl zde panel, který byl věnován otázce: jak bude vypadat příštích 15 let v IT bezpečnosti? Zúčastnilo se ho pět diskutujících, mezi nimi Bruce Schneier, Jeff Moss a Marcus Ranum. Shodli se na tom, že klíčové jsou investice do lidí.
Viz také komentář – Black Hat panel: Which do you trust less with your data, the U.S. government or Google?.

Dan Kaminsky na konferenci Black Hat přišel s nástrojem proti cenzuře – Kaminsky takes on censorship with info-mapping tools. Hovořil o své práci na novém systému, který chystá vydat v několika příštích měsících. Vystoupení Kaminského je věnován také článek – Black Hat 2012: Dan Kaminsky tackles secure software development.

Black Hat: 6 Lessons To Tighten Enterprise Security – 6 cest k tomu, jak zlepšit podnikovou bezpečnost, formuloval Shawn Henry (nyní CrowdStrike, dříve FBI):

  1. Předpokládejte, že u vás došlo k průniku
  2. Pozor na zahraniční zpravodajské služby
  3. Jednejte aktivně
  4. Důležité informace mějte mimo síť
  5. Změňte metriky, kterými sledujete rychlost odpovědi na průnik
  6. Zvyšte podíl vyměňovaných informací

Viz také komentář – BlackHat 2012 Keynote: Cyber Attack Most Significant Threat to Society & Government Responsible for Defense.

Tatu Ylonen (otec SSH) říká, že situace v bezpečnosti se zhoršuje – Tatu Ylonen, father of SSH, says security is ‚getting worse‘. Článek obsahuje interview s touto známou osobností. Je zde rozebírána řada aktuálních problémů.

Spisovatel sci-fi Neal Stephenson vystoupil na konferenci Black Hat – Neal Stephenson on swordplay, space and depressing SF. Hovořil ve svém vystoupení (keynote) o svém pohledu na řadu momentů kybernetické bezpečnosti. Hovořil o svém vztahu ke kryptografii, nemá rád sociální sítě, rád hraje počítačové hry. Spisovatelé SF by dle jeho názoru měli být optimističtější – zkrátka (J.P.) – moje krevní skupina:-).

Black Hat 2012: There’s not enough smart people in information security, says DHS – v kybernetické bezpečnosti pracuje málo chytrých lidí. Chybí talenty, říká Mark Weatherford (Deputy under Secretary for Cybersecurity for the National Protection and Programs Directorate, NPPD).

Bruce Schneier na konferenci Black Hat hovořil o rozdílu, který nyní panuje mezi potenciálem útočníků a možnostmi obrany – Black Hat 2012: Schneier says Trust & Reputation Trump Technology.

Sociální sítě

Vytěžování sociálních sítí pomáhá při vyšetřování kriminality – Crime Busters Embrace Social Media. V přehledu (společnosti LexisNexis Risk Solutions), na kterém se podílelo 1 200 pracovníků (ze sféry, která se zabývá prosazováním zákonů – law enforcement professionals),  čtyři pětiny z nich potvrdily, že se ve své práci pro získání potřebných informací opírají o používání různých typů sociálních médií.

Facebook virus warning: Massive children charity scam – to je varování před virem na Facebooku, podvod se odvolává na dětskou charitu. Cílem podvodníků je získat vaše osobní data, hlavně tedy údaje k platební kartě.

Pinterest, třetí nejvíce navštěvovaná sociální síť internetu, je předmětem útoků kyberkriminality – Cyber Criminals Target Pinterest with Survey Scams. Autor článku se odkazuje na zprávu společnosti Trend Micro – TrendLabs 2Q 2012 Security Roundup (16 stran).
Výsledky této zprávy jsou komentovány také v článku Personal and financial information under attack.

Software

Čtvrtina uživatelů nechápe užitečnost aktualizace softwaru – Quarter of users see no benefit in updating software. Minulý týden řada velkých firem (Microsoft, Symantec a další) spustila kampaň s názvem International Technology Upgrade Week.

Siemens opravil chyby ve svém SW, které zneužil Stuxnet – Manufacturer declares death of bugs Stuxnet used to sabotage Iran nukes. Jedná se o aplikace Simatic Step7 a Simatic WinCC.

Zranitelnosti Javy jsou útočníky využívány stále častěji – Java flaws increasingly targeted by attackers, researchers say. Také toto téma bylo na konferenci Black Hat diskutováno. Mj. bylo poukazováno na fakt, že situace je horší i díky tomu, že Oracle dělá málo pro bezpečnost svých produktů a neaktualizují své instalace.

Microsoft informuje o Enhanced Mitigation Experience Toolkit (EMET) 3.5 – Microsoft beefs up anti-exploit tool with tech from $250K contest finalist. Nový EMET má řadu nových vlastností, viz informace na blogu EMET 3.5 Tech Preview leverages security mitigations from the BlueHat Prize.
Nástroj si lze stáhnout zde – Enhanced Mitigation Experience Toolkit v3.5 Tech Preview.
Verze má předběžný charakter, není určena pro široké použití.

Wireshark je v nových verzích – Wireshark updates fix DoS vulnerabilities. Opraveny jsou některé zranitelnosti vztahující se k možnostem útoků DoS.

Significant rise in number of SQL injection attacks – význačný nárůst útoků SQL injection, článek informuje o poznatcích společnosti FireHost (cloud hosting service) – Web Application Attack Report For The Second Quarter of 2012.
Další komentář je na stránce SQL injection attacks up 69 %.

Simplifying SQL Injection Detection – jak zjednodušit detekci SQL injection? S novým nástrojem pro detekci přišel Nick Galbreath (libinjection je open source knihovna).

Nový nástroj obsahuje 150 cest k tomu, jak obejít firewally webových aplikací – New tool gives 150 ways to bypass web app firewalls. O tomto testovacím nástroji informuje Ivan Ristic ze společnosti Qualys.

Přinese http 2.0 nové problémy (k protokolu SPDY)? And Encryption For All! Making HTTP More Suitable for the 21st Century Web – veškerý provoz by měl být šifrován (SSL).

Vystoupení Apple na konferenci Black Hat věnováno jejich bezpečnostním architekturám – Apple security guru lays out iPad, iPhone crypto architecture at Black Hat. Týkalo se iOS, iPhone a iPadu.

Black Hat: nové technologie pro letecký provoz nejsou dostatečně bezpečné – Are The Skies Safe? Black Hat Speaker Says No. Na konferenci k tomu vystoupil nezávislý odborník Andrei Costin. Viz také komentář Are The Skies Safe? Black Hat Speaker Says No.

Black Hat: Exploit databáze Oracle umožňuje útočníkovi vystupovat jako administrátor – Black Hat: Shark-bitten security researcher takes another chomp out of Oracle database. Demonstroval ho David Litchfield (Accuvant Labs).

Malware

Jsme uprostřed roku 2012 – jaké je současné malware? Autorova charakteristika: v zásadě nic převratně nového, vše ale má svůj vývoj – Mid-2012 malware: new flavours, same ice cream.

Botnet Grum malinko ožil, nyní je znovu mrtvý – Grum Botnet Briefly Revived, Now Dead Again. O předešlém víkendu se některé z jeho c&c serverů znovu objevily na Ukrajině. 

Mac malware Crisis on Mountain Lion eve? – je tu nové malware (Crisis a Morcut) pro Mac, v předvečer nového OS. Na blogu společnosti Sophos najdete popis vlastností tohoto malware.
Viz také komentáře:

Black Hat: K malware, které využívá exploity Javy – Black Hat: Most Java malware exploits „type confusion“ vulnerability. Jeong Wook (Matt) Oh z Microsoftu rozebíral metody, které využilo malware Flashback. Hovořil o cestách, kterým jsou aplikace Javy klamány (soudí o objektu, že je něco jiného, následují logické chyby, poruchy paměti atd.).

Mahdí

The Madi Campaign – Part II, to je pokračování informací z minulého týdne (z blogu společnosti Kaspersky).

Mahdi Malware Makers Push Anti-American Update – aktualizace Mahdí je antiamerická. Viz také informace na blogu společnosti Kaspersky – Madi is back – New Tricks and a New Command&Control Server.

Kampaň spyware Mahdí pokračuje v nové a vylepšené podobě – New and Improved Madi Spyware Campaign Continues. Kaspersky Lab informuje o aktualizacích.

Viry

Research: 80% of Carberp infected computers had antivirus software installed – kritika účinnosti antivirů: 80 procent počítačů, které byly infikovány Carberpem, mělo nainstalováno antivir. V článku jsou komentovány výsledky studie Malware: New Capabilities & Directions, jejímž autorem je Jim McKenney.

Hackeři a jiní útočníci

U.S. Charges Russian With Launching DoS Attacks Against Amazon.com – Rus byl obviněn za spuštění útoku DoS proti Amazon.com. Minulý týden byl uvězněn na Kypru – kvůli útokům na Amazon z roku 2008.

Australané dostávají SMS s výhrůžkou smrti – Australians receive SMS death threats. SMS vypadají takto: “Someone paid me to kill you, get spared, 48 hours to pay $5000.00 if you inform police or anybody death is promised. Email me now”.

Hacker údajně cracknul slevové kódy Tesca – Hacker allegedly cracks Tesco discount barcodes. Britský řetězec, jak je známo, obchoduje také v Česku.

Více než stovka infikovaných PC byla objevena na japonském ministerstvu financí – More than 100 infected PCs found in Japan’s Finance Ministry. Jednalo se o trojana pro vzdálený přístup – v období od ledna 2010 do listopadu 2011. Jak k infekci došlo, není jasné, problémem je, že malware se dokázalo vyhnout antivirovým systémům ministerstva.
Viz také komentář – Japanese government hit by TWO YEAR Trojan.

Z herního webu Gamigo bylo ukradeno 8 miliónů hesel – 8 million passwords dumped from gaming website Gamigo. Ukradená data obsahují také e-mailové adresy. Jak se zdá, jedná se o zatím objemem největší letošní průnik (data byla zveřejněna online v těchto dnech).
Viz také komentáře

Falešné certifikáty vydělaly čínskému kybergangu 30 miliónů liber – Cyber gang made L30 MILLION from fake gov certs. Čínská policie uvěznila zatím celkem 165 lidí z různých provincií. Falešné certifikáty mělo nakoupit 30 000 lidí.

Black Hat: Roste počet hacků, které mají globální charakter – #BlackHat2012: Global hacking increases in Q2, according to report. V článku jsou uvedeny některé statistiky ze zprávy společnosti NCC Group za období duben-červen 2012, například 22,5 procenta všech monitorovaných hacků mělo svůj původ v USA (Čína 15,8 procenta, Rusko 13,3 procenta).

How Hackers Use Trending Topics Against You – jak hackeři využívají současné trendy proti vám. Olympiáda a jiné velké události – jejich sledování zaměstnanci (z pracovních počítačů) se může stát zdrojem bezpečnostních problémů. Článek zmiňuje také další cesty současných útočníků (jako je např. cílený phishing).

Útoky hacktivistů narůstají, stávají se politickými – Hacktivist Attacks Grow, Governments Get in on the Action. Současný vývoj v rozsáhlejším článku rozebírá Byron Acohido.

Black Hat: Chcete provést odvetu hackerům? Nejprve se poraďte s právníkem! Takto radí Robert Clark, právník z U.S. Army Cyber Command – Strike Back At Hackers? Get A Lawyer.

The Biggest Data Breaches Of 2012 (So Far) – největší datové průniky roku 2012 (zatím). Formou slideshow tentokrát takovýto přehled připravil Ken Presti.

AC/DC v íránských jaderných zařízeních a První světová internetová válka – AC/DC in Iranian nuclear facility attack and World Internet War I. Komentář Marka Gibbse připomíná současnou situaci.

Anonymous

Anonymous útočí na australské weby – Anonymous hits Australia. Má to být protest proti chystaným politikám ohledně uchovávání dat. Viz článek – Anonymous hackers cripple Aussie government websites .

Na 28. července byly plánovány protestní demonstrace Anonymous – Stop INDECT: Länderübergreifende Demonstrationen am 28. Juli. A to v Německu, ve Francii a v Rakousku. Akce je pořádána pod značkou Stop INDECT (INDECT = INtelligent information system supporting observation, searching and DEteCTion for security of citizens in urban environment). Viz také – Piráti v Praze protestovali proti projektu na sledování lidí.

Anonymous se chystají zveřejnit 40 GB dat ukradených australskému poskytovateli internetového připojení – Anonymous to expose 40 GB of ISP data. Jde o data více než 600 000 zákazníků. Viz také – Anonymous hit Melbourne IT to find AAPT documents.

Hardware

Black Hat: hacker poukazuje na potenciální bezpečnostní chybu ve 4 miliónech hotelových karetních zámků – Hacker Will Expose Potential Security Flaw In Four Million Hotel Room Keycard Locks. Codymu Brociousovi, vývojáři pracujícímu pro Mozillu, se podaří prostřednictvím udělátka (jv ceně menší než padesát dolarů) otevřít příslušné zámky (ne tedy vždy), a to během několika vteřin.
Viz video – Black Hat Video: Hotel room locks may not stay locked.

Making Handcuff Keys with 3D Printers – Schneier ke klíčům z 3D tiskárny. Po upozornění na vystoupení na konferenci HOPE (Ray) následuje diskuze.

Black Hat: Existuje možnost hromadné infekce routerů – Mass Router Infection Possible: Black Hat. Poukázali na to bezpečnostní specialisté ze společnosti AppSec Consulting.

Mobilní zařízení

Black Hat: Byl demonstrován útok na chytré mobily využitím vlastnosti NFC (Near Field Communication) – Researcher wows Black Hat with NFC-based smartphone hacking demo. Charlie Miller ukázal, jak útok funguje pro Google/Samsung Nexus S a Nokia N9. Viz také:

Black Hat: špatná bezpečnost mobilních aplikací vede k únikům podnikových dat – Black Hat 2012: Poor mobile app security drains enterprise data. Hovořil o tom Domingo Guerra (společnost Appthority, San Francisco).

Mobilní malware

Rogue Mobile Apps, Phishing, Malware and Fraud – k nebezpečím mobilního malware, článek (ve svém prostředku) obsahuje hezké shrnutí těchto nebezpečí.

Téměř každé Android zařízení je infikováno malwarem – BT: Almost every Android device is infected with malware. Bezpečnostní expert britského Telecomu říká, že analyzovali více než 1 000 aplikací pro Android.

Spam

Indie je králem spamu – India crowned global spam-spewing zombie king AGAIN. V článku jsou citovány výsledky zprávy společnosti Sophos za druhé čtvrtletí roku 2012.

Elektronické bankovnictví

ATM Skimmers Get Wafer Thin – bankomatoví podvodníci v Evropě. Brian Krebs informuje o zprávách European ATM Security Team (EAST), organizace, která sbírá informace o bankomatových podvodech v Evropě. Jedna ze zemí (není jmenována) varuje ohledně nového typu skimovacích zařízení, které je tak tenké, že může být vloženo přímo do otvoru pro kartu. Stránky EAST jsou zde – European ATM Security & Fraud Prevention.

Finanční botnet Gameover infikoval téměř 700 000 počítačů – ‚Gameover‘ Financial Botnet Compromises Nearly 700,000 Victims. Botnet používá privátní verzi rámce pro malware Zeus. Operace cílí na zákazníky bank v Americe, Evropě a Asii.
Viz také článek – P2P ´Gameover ZeuS´ seen as largest bank-theft botnet a komentář ´Gameover ZeuS´ P2P bank-theft botnet has infected 678,000 Windows PCs.

Black Hat: Demonstrovány byly zranitelnosti platebních terminálů – Payment terminal flaws shown at Black Hat. Předvedli je pracovníci britské firmy pro penetrační testy – MWR InfoSecurity.
Tyto výsledky jsou komentovány také v článku Black Hat: Credit Card Payment Terminals at Risk.

Black Hat: Chip and PIN zařízení v obchodech lze snadno oklamat – Chip and PIN keypads ‚easily fooled‘ with counterfeit cards. Dvě cesty k tomu s pomocí speciálně připravených karet ukázali odborníci z britské IT společnosti MWR InfoSecurity.

Autentizace, hesla

Passwords: Attackers vs. Users, Hesla – útočníci a uživatelé, zajímavé srovnání hesel získaných na lákadle SSH (SSH honeypot), tj. hesel, která používají útočníci (soubor 60 000 hesel) s hesly uživatelů (získaná při průniku v Yahoo).

Jak zákaznické karty pomáhají zlodějům identit – autor článku How Shopping Loyalty Cards Help Identity Thieves uvádí příklady zneužití.

Elektronický podpis

Black Hat: Manipulace s linuxovými stroji, na kterých běží Open SSL a autentizace RSA, vede k prozrazení RSA soukromého klíče – Using Chip Malfunction To Leak Private Keys. Odborník z Michiganské univerzity Valeria Bertacco ukazuje, že lze dostat HW do chybového stavu tak, že systém vydává chybně podepsané zprávy, ze kterých lze soukromý klíč vyzískat.

Biometrie

Black Hat: Diskutována zde byla také zranitelnost biometrických skenerů duhovky – Black Hat: Biometric experts reverse-engineer iris scanning systems to create clones. Pokud hacker získá data ze skenu, pak lze využít tato data k vytvoření kopie na kontaktních čočkách.

Normy a normativní dokumenty

Americký NIST vydal dva drafty, jsou to:

5 Tips to Improve Intrusion Detection – pět tipů k zkvalitnění detekce průniků, v článku jsou citovány odstavce z výše uvedeného dokumentu Special Publication 800–94 Revision 1. Guide to Intrusion Detection and prevention Systems (IDPS).

Různé

Vyšel e-zin: Cipher, Electronic Issue (EI) 109, July 2012. Na stránce najdete rozsáhlý přehled chystaných akcí.

root_podpora

The Secret Online Weapons Store That’ll Sell Anyone Anything, skrytý online obchod se zbraněmi, který prodá komukoliv cokoliv. The Armory k svému krytí používá přístup přes TOR. Sama sebe stránka popisuje následovně: ”The Armory is an anonymous marketplace where you can buy and sell without revealing who you are. We protect your identity through every step of the process, from connecting to this site, to purchasing your items, to finally receiving them.“

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?