Hlavní navigace

Bezpečnostní střípky: vítáme nový rok 2012, co takhle zkusit nějaká předsevzetí?

2. 1. 2012
Doba čtení: 14 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne zmíníme pochopitelně rekapitulace roku 2011 a předpovědi na rok 2012, velkou pozornost vzbudil vánoční hack Stratforu a nové informace se objevily na konferenci 28C3.

Konference a přehledy

Akce Chaos Communication Congress (28C3) probíhala ve dnech 27. a ž 30. prosince 2011 v Berlíně. Program konference je na stránce Fahrplan.
První komentáře jsou věnovány inzerovanému útoku na GSM mobily – 28C3: New attacks on GSM mobiles and security measures shown a Experte kritisiert Sicherheit von GSM-Netzen.
Problému se věnuje také článek Daniela Dočekala na Lupě:

Jinému výsledku prezentovanému na konferenci je věnován článek Berlin Hacking Conference: Hackers could shut down train lines (hackeři mohou zastavit vlaky).

V článku 28C3: Denial-of-Service attacks on web applications made easy je podrobněji informováno o výsledcích, se kterými na 28C3 vystoupili Alexander Klink a Julian Wälde. Popsali techniky využitelné pro útoky DoS, opírají se o využití kolizí hashovacích funkcí.

Hackeři mají v plánu vypustit satelit, aby bránili internetové cenzuře – Hackers Plan Satellites To Block Internet Censorship – zaznělo na berlínské akci Chaos Communication Congress.

Na akci 28C3 byla věnována dvě vystoupení (Andrei Costin a Ang Cui+Jonathan Voris) rizikům síťových tiskáren – Networked Printers at Risk.

Studie Ponemon Institute Insecurity of Privileged Users – Global Survey of IT Practitioners byla zpřístupněna. Další komentář k tomuto 33stránkovému dokumentu (informace o něm zde již proběhla) najdete na stránce Analyzing the Poneman Study on Privileged Users.

Obecná a firemní bezpečnost IT

Six Security Resolutions for the New Year, šest bezpečnostních předsevzetí pro rok 2012, jejichž autorem je výkonný šéfredaktor SecurityNewsDaily Paul Wagenseil:

  • Aktualizace mých hesel
  • Zapnutí automatických aktualizací
  • Nainstalování antiviru na všech mých zařízeních
  • Na mém chytrém mobilu bude zapnut heslový zámek
  • Pro můj počítač bude vytvořen administrátorský účet a bude používán pouze zřídka
  • Na mém počítači bude zapnut firewall

Co můžeme udělat pro bezpečnost koncového bodu – What you can do to enforce endpoint security. Danny Bradbury poměrně podrobně rozebírá tuto problematiku, popisuje vhodné strategie, ukazuje, čemu by se měla věnovat pozornost v organizacích.

Organizace by měly mít řádné dispoziční politiky k ochraně svých citlivých dat – Enterprises Need Proper Computer Disposal Policies to Protect Sensitive Data. Co se děje s daty, která zůstávají na starých počítačích? Autor článku uvádí několik příkladů situací, kdy osobní a jiná citlivá data zůstávají na pevných discích počítačů. Mj. je zde uveden Manningův notebook, kdy data byla jednou přemazána (přepsána nulami) a přesto se vyšetřovatelům podařilo je obnovit.

Bude mít Čína obdobu americké Cyber Command? V článku Ideas about China’s Cyber Command jsou hojně zmiňovány citace z čínského tisku – nezbytnost “a highly effective command system for cyber war mobilization”.

Projektům SRI International (BotHunter atd.) je věnována stránka First Siri, Now Threat Detection: Inside SRI’s Amazing R&D. Je to zajímavé počtení o těch, kteří využívají technologie umělé inteligence k odchycení botnetů a nejen k tomu.

Rok 2011

Sedm “nej” hacků roku 2011, takovýto přehled The 7 Coolest Hacks Of 2011 připravil Kelly Jackson Higgins:

  1. Remotely starting a car via text message
  2. Powering down the power plant – literally
  3. Mini-hacker time-travels
  4. Insulin pumps go rogue
  5. ´Warflying´: Hacking in midair
  6. When laptop batteries turn against you.
  7. Hot ´Diggity´ hack

Jiný pohled zpátky na rok 2011, nejvíce čtené bezpečnostní historie roku 2011 (na SecurityNewsDaily), přináší stránka SecurityNewsDa­ily´s Most-Read Stories of 2011.

Co vévodilo zprávám z IT bezpečnosti v roce 2011? Fahmida Y. Rashid v slideshow zmiňuje RSA, Anonymous a další – Anonymous, RSA Lead the Top IT Security News of 2011.

A glance back at 2011, další rekapitulace roku 2011 (Special Report, jedenáctistránkové pdf), nezbytná je registrace. Z obsahu:

  • Big enterprise news stories of 2011
  • 2011´s biggest security snafus
  • Big events that shaped Cisco
  • Microsoft: Smart and dumb moves
  • Top quotes of 2011
  • 10 biggest ERP software failures

Soubor různých žebříčků za rok 2011 najdete na stránce Book of Lists: 2011's strongest trends, weirdest news. Tato šestice žebříčků přináší různé pohledy na situaci v IT v končícím roce.

Co nás čeká v roce 2012

Rok 2011 byl rok útoků,, rok 2012 bude rokem posílení a přizpůsobení se, říká Art Coviello (společnost RSA) – RSA's Art Coviello predicts 2012 to be the year of resiliency and adaptation. Článek cituje informace z otevřeného dopisu, ve kterém Coviello hodnotí současnou situaci a charakterizuje vývoj v příštím roce. Celý dopis je zde – Coviello: ´2012 Will Be the Year of Resiliency´.

Co se pro nás objeví v obchodech v roce 2012 (a bude předmětem nových hrozeb)? Předpovědi v tomto směru připravila společnost Zscaler – What's in store for us in 2012.

10 Security Predictions For 2012, 10 bezpečnostních předpovědí pro rok 2012, tuto sérii předpovědí připravil Antone Gonsalves, je v podobě slideshow.

Obdobně – Five Security Predictions for 2012, tento přehled uvádí:

  • The rise of the chaotic actor
  • Facebook Jumps The Shark With IPO, Privacy Backlash
  • Pre-Owned Hardware
  • Google’s day of reckoning
  • Stuxnet Part II, III and IV

Deset zpráv z IT, které budeme číst v roce 2012, tak to jsou předpovědi pro rok 2012 podané v jiném formátu – Ten IT news stories we'll read in 2012.

Smyslu predikcí na další rok je věnováno vysvětlení v článku What´s the Point of Yearly Virus-Threat Predictions?

Další bohatá várka předpovědí pro rok 2012 je na Computerworldu – 2012 tech predictions: From IDG´s editors worldwide. Podílela se na ní řada šéfredaktorů IT médií z IDG.

McAfee: které hrozby budou hlavními hráči v roce 2012? Citovány (Emerging threats to become major players in 2012) jsou následující:

  • Industrial attacks: Cybercriminals target utilities
  • Advertisers will “legalize” spam
  • Mobile threats: Attackers will bypass PCs
  • Embedded hardware: The promised land for sophisticated hackers
  • Hacktivism: Joining forces online and on the front lines
  • Virtual Currency: A cybercriminal payment plan
  • Cyberwar: Flexing its muscles
  • Rogue Certificates: Untrustworthy and undetectable
  • Tomorrow´s internet looks more like yesterday’s In­ternet
  • Advances in operating systems moves hackers “down and out”

KasperskyLab vydalo zprávu: Cyberthreat Forecast for 2012, její jednotlivé odstavce mají následující titulky:

  • Cyber weapons
  • Mass targeted attacks
  • Mobile threats (Android, Other mobile platforms)
  • Attacks on online banking
  • Users´ private lives
  • Hacktivism
  • Conclusions

Široký komentář k tomuto dokumentu (čtyřstránkové pdf) je v článku Kaspersky veröffentlicht IT-Sicherheits-Prognosen für 2012.

Kyberzločin 2012 podľa ESET: Ideologické útoky, 60-eurové weby a zraniteľný Android, to je přetištění tiskové zprávy společnosti ESET.

Sociální sítě

Analýzu útoků ve Facebooku připravila společnost Commtouch – Analysis of Facebook attacks. Tři čtvrtiny přesměrování vedou k stránkám přidružených marketingových společností, kde jsou uživatelé tlačeni k vyplňování různých přehledů.

Software

PacketFence ve verzi 3.1.0 (NAC systém), to je volně dostupný, open source program kontrolu přístupů v síti. Podrobnější informace k němu si lze přečíst v Issue 32 of (IN)SECURE Magazine.

Aplikační a databázová bezpečnost jsou dvě stránky téže mince – App And Database Security: Two Halves Of A Whole. Ericka Chickowski v tomto směru cituje názory dvou odborníků, jsou to Joe Levy (CTO of Solera Networks) a Chris Eng (vice president of research for Veracode).

Microsoft si pospíšil, vydal bezpečnostní bulletin k chybě v ASP.NET – Microsoft releases MS11–100 for ASP.NET DoS attack. Přitom informace o ní se objevila teprve v těchto dnech na CCC konferenci v Berlíně.
Viz také – Microsoft delivers rare out-of-band patch for ASP.NET issue a Microsoft Ends Year With First Emergency Patch.

Malware

Pracovníci KasperskyLab prokázali, že tvůrci Stuxnetu a Duqu jsou jedni a titíž – Kaspersky claims ‘smoking code’ linking Stuxnet and Duqu. Warns of three other unknown variants. Navíc ukázali na tři nové rodiny malware, které jsou nyní v oběhu. Viz vyjádření laboratoře – Kaspersky Lab Experts: Duqu and Stuxnet Not the Only Malicious Programs Created by the Responsible Team a podrobnosti jsou pak na stránce Stuxnet/Duqu: The Evolution of Drivers.
Komentář k těto výsledkům obsahují články:

QR Code Malware Picks Up Steam – QR kódy a malware. Wikipedie – QR Code je příklad dvojrozměrného kódu, zapisovaného do čtverce. Ten musí mít ve třech vrcholech poziční značky ve formě soustředných čtyřúhelníků, ve čtvrtém vrcholu značku ve tvaru menšího čtyřúhelníku a ve spojnicích mezi těmito hraničními čtyřúhelníky úsečky tvořené střídavě bodem a mezerou.
V článku se hovoří o tom, jak útočníci stále častěji využívají podvržené QR kódy k tomu, aby oběti nasměrovali na podvodné stránky a aplikace.

Botnety jsou převažující hrozbou podnikům, článek Research: Botnets, the Most Prevalent Threat in the Enterprise tlumočí výsledky výzkumu společnosti ZScaler. Viz Web threats: trends and statistics.

Hackeři a jiní útočníci

Dot-dash-diss: The gentleman hacker's 1903 lulz  – o hackeru-gentlemanovi, který “hackoval” před sto lety. Využil morseovku, aby narušil demonstraci Marconiho telegrafu, která byla určena pro veřejnost. Objevitelem bezpečnostní díry byl Nevil Maskelyne, 39letý kouzelník.

Chraňte svá interní data proti vyhledávačům (Google hacking atd.) – Protect Insider Data By Googling First, Often. Robert Lemos upozorňuje na bohužel časté opomenutí, uvádí příklady. Poukazuje například na OpenDLP jako na nástroj, který je v těchto souvislostech využíván.

Tianya, China's biggest online forum 40 million users data leaked aneb únik osobních dat 40 miliónů Číňanů, to jsou trochu jiné rozměry úniků… Tentokrát se jednalo o uživatele největšího online fóra Tianya. Únik byl oznámen pouhé tři dny po to, co byl oznámen únik dat 6 miliónů uživatelů vývojářského webu CSDN.

K průběhu slyšení s Manningem (WikiLeaks) se obrací článek Alleged Leaker Case More Tech than Military, jehož autory jsou David Dishneau a Pauline Jelinek.

Anonymous

Objevily se aktualizované informace k útoku Anonymous na Specialforces.com – UPDATE: Anonymous Hacks SpecialForces.com, Posts Passwords and Credit Card Data. Krádež dat proběhla před několika měsíci, Anonymous se však nyní rozhodli data zveřejnit. Společnost Special Forces Gear, které webové stránky patří, vydala k tomu své vyhlášení.

Anonymous 101 (to je přehled jejich aktivit) – Anonymous 101 Part Deux: Morals Triumph Over Lulz. Quinn Norton si dala práci a zmapovala “výsledky” těch, kteří se jako Anonymous označují (resp. příbuzných skupin jako LulzSec a podobně).

Anonymous chtějí v příštím roce napadat izraelské weby – Anonymous, TeaMp0isoN Hackers Plan Op Free Palestine. Má to být součástí plánu “Operation Free Palestine”.

Stratfor

Anonymous zaútočily na Stratfor (americké centrum pro vyhodnocování mezinárodního dění, je to soukromá firma) – Hackers Target U.S. Security Think Tank Stratfor. Ukradena byla data tisíců zákazníků (čísla platebních karet, hesla, domácí adresy a další osobní informace). Získali také důvěrný seznam klientů Stratforu, který obsahuje jména osob ze známých společností, jména klientů z americké armády atd. Další informace jsou na stránce 13,000 More cc Details From STRATFOR Leaked By Anonymous.
Viz také:

Soubor odkazů na různé dokumenty související s hacknutím Stratfor je na stránkách Cryptome.

Jaké měl Stratfor povinnosti k ochraně dat a co ho může tento průnik stát? Autor článku What was Stratfor’s obli­gation to secure data and what might this breach cost them? přináší pohled na celou situaci z hlediska použitelné legislativy státu Texas.

Článek Stratfor´s privacy policy rekapituluje ustanovení obsažená v politice Stratforu, ta, která se týkají ochrany soukromí.

Stratfor popírá, že Anonymous se dostali k seznamu jeho klientů – Confidential client list safe from Anonymous, Stratfor says. Součástí zveřejněných dat byla pouze jména těch, kteří si koupili nějakou publikaci, nejsou to ti, s nimiž Stratfor spolupracuje na základě hlubších vztahů.
Viz také – Stratfor Denies Anonymous Compromised Client List.

Vánoční “dárek” Anonymous je pochopitelně předmětem řady komentářů:

Uniklá data Stratforu – Anonymous informují o informacích, které se týkají speciálních sil (Special Forces) – Special Forces Information Leaked from Anonymous STRATFOR Attack. Jedná se o e-maily a osobní informace, hesla.
Z dalších informací k tomuto úniku dat:

Nejprve se pak objevila informace, útočníci se chystají zveřejnit e-maily ukradené ze společnosti Stratfor – Stratfor attackers prep to publish emails. Článek se odkazuje na informaci na Pastebin.
Útočníci zatím zveřejnili osobní data 50 000 lidí – Anonymous Stratfor hack affects 50,000 people.

Posléze byl aktualizován tento seznam zveřejněných dokumentů, které Anonymous ukradli Stratforu (viz výše uvedený odkaz – Cryptome). Doplněny byly údaje z posledních dní.

Další informace:

Viz také komentář – LulzXmas: Daten von Militärausrüster veröffentlicht.

10 věcí, které je třeba vědět o hacknutí Stratforu, autor článku 10 things you need to know about Anonymous’ Stratfor hack uvádí v užitečném přehledu odpovědi na následující otázky:

  • What is Stratfor?
  • What is Anonymous?
  • What got hacked?
  • What information has Anonymous published?
  • If I’m a Stratfor customer, am I at risk? What should I do?
  • How does the U.S. government use Stratfor?
  • Does this put government data or military operations at risk?
  • What will happen to the charities that Anonymous “donated” money to using fraudulent credit card numbers?
  • Where can I follow up-to-the-minute updates about the Stratfor hack?
  • What can we expect to come next?

Mobilní zařízení

Lax Security Exposes Voice Mail to Hacking, Study Says – analýza říká, že evropská mobilní bezpečnost obsahuje značné množství slabin. Karsten Nohl, známý berlínský hacker a bezpečnostní odborník, prezentoval na 28C3 studii, která se týká 31 mobilních operátorů. Mezi operátory, kteří poskytují nejméně bezpečnosti je jmenována česká Telefonica O2 (in preventing the impersonation and use of another´s mobile account details for calling, texting or other purposes).
Viz také:

Pentagon schválil Android pro používání svými úředníky – Pentagon approved Android to be used by DoD officials. Jedná se o verzi Androidu, která běží na zařízeních společnosti Dell a na BlackBerry. Svým způsobem je to porážka iPhone. Dell Mobile Security pro platformy Android byla certifikována agenturou DISA (Defense Information Systems Agency). Důvod schválení byl jednoduchý – je to open Source.

Video ukazuje hacknutý Android 4.0 na Kindle Fire – Video: Android 4.0 Hacked Onto The Kindle Fire. Zatím tedy to má být důkaz o proveditelnosti takovéhoto útoku.

McAfee: uživatelé mobilních telefonů zůstávají laxní k otázkám kybernetické bezpečnosti – Mobile Phone Users Remain Lax About Cyber-Security, Says McAfee. Článek obsahuje komentář ke zprávě společnosti Consumer Reports (ta je za peníze).

Malware pro mobilní zařízení

Zajímavá diskuze k problému Carrier IQ se objevila na stránce Carrier IQ's MSIP: Spyware according to some. Otázky kladl a názory posbíral Michael Kassner.

Trojan pro Android se maskuje jako aplikace pro pozdravy – Data-stealing Android Trojan masquerades as greeting-sending app. Trojan AdBoo směruje na čínské Androidy a krade takové informace, jako jsou model aparátu a číslo, verze Androidu a číslo IMEI a posílá je na vzdálený server.

Podvody s falešnými antiviry cílí na uživatele Androidu – Fake Antivirus Scams Targeting Android Users. Článek informuje o výsledcích pracovníků KasperskyLab. Podrobnější informace zveřejnil Denis Maslennikov na blogu – Android malware: new traps for users.

Elektronické bankovnictví

Trh s kradenými daty platebních karet je dnes význačnou šedou ekonomikou – Beware of the cyberthief. Symantec třeba odhaduje, že data ukradená kybernetickými zloději (za rok) mají hodnotu 114 miliard dolarů. Oproti tomu FBI říká, že v bankovních loupežích v USA v roce 2010 bylo ukradeno (jen) 43 miliónů dolarů.

DestructiveSec’s “Personal Piggy BANK” of 3000 cc details aneb tzv. DestructiveSec a Personal Piggy BANK. Na Pastebin se objevila data 3000 platebních karet (z Německa).

Autentizace, hesla

Varování: přestaňte používat tatáž hesla pro různé weby (pracovní a osobní využití) – Memo to feds: Stop using the same passwords for personal and work accounts. Říkají to úředníci Arizona Department of Public Safety, kteří to poznali ze svých zkušeností. Vůbec – oběti Anonymous by o tom mohly vyprávět…

Phishing

Vánoční phisherský útok cílí na zákazníky Apple – Report: Phishing attack targets Apple customers. Podle společnosti Intego (bezpečnost SW pro Macy) se jedná o rozsáhlý útok, cílem je (jak jinak) vytáhnout ze zákazníků informace k platebním kartám. Viz také komentář:

Elektronický podpis

Američané aktualizovali pravidla pro elektronické podepisování. Americká Asociace pro elektronické podpisy a elektronické záznamy vydala novou verzi norem pro práci s elektronickým podpisem a pro uchovávání dokumentů (SPeRS – The Standards and Procedures for Electronic Records and Signatures).

Biometrie

Biometrie se nově zabývá… zadkem uživatele – Japanese boffins crack arse-based ID recognizer. Zpráva zní skoro silvestrovsky. Japonští odborníci vyvinuli sedadlo, které rozpozná sedící osobu. Zařízení obsahuje 360 senzorů a nyní funguje s 98procentní přesností. Viz také diskuzi na Schneierově blogu – Butt Identification.

Normy a normativní dokumenty

V uplynulém týdnu se objevil draft TLS:

root_podpora

Různé

Všem čtenářům přeji pokud možno bezproblémový nový IT rok.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?