Hlavní navigace

Bezpečnostní střípky za 11. týden roku 2006

Jaroslav Pinkava

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Konference, přehledy, obecná a firemní bezpečnost IT, software, malware, hackeři, viry, RFID, rootkity, VoIP, autentizace, hesla, hardware, normy a normativní dokumenty, dokumenty NIST, kryptografie.

Konference, přehledy

Byla zveřejněna společná analýza firem Counterpane a Messagelabs 2005 Attack Trends & Analysis. Zpráva analyzuje klíčové kybernetické útoky (včetně trojanů, spyware, e-mailových virů a cílených útoků) zhruba v patnácti hospodářských odvětvích. Hackeři se učí, jak obcházet (silná) autentizační schémata. Již se objevil trojan, který nekrade heslo, ale čeká, až se oběť spojí s bankou a potom tiše vysaje peníze z konta. Autoři analýzy očekávají, že tento druh aktivit začne převažovat, jakmile banky přejdou na silnější formy autentizace. Hlavní závěry analýzy:

  • Zhruba 40 procent finančních služeb a bankovního průmyslu je předmětem většiny útoků trojanů. Toto odvětví vůbec je vystaveno četným útokům (skoro 30 procent všech cílených útoků)
  • Hackeři konstruují útoky trojanů a cílené skeny tak, aby využily bezpečnostní slabiny finančních institucí. Finanční sektor je zkrátka lukrativním cílem pro finančně motivovaného hackera.
  • Farmaceutické odvětví a zdravotnictví jsou odvětvími, na které je nejčastěji útočeno prostřednictvím spyware. Největší nárůst spyware v tomto období zaznamenalo odvětví energetiky.
  • Spyware se stává novou hrozbou, jejímž prostřednictvím jsou hackovány podnikové sítě. Nejzranitelnější jsou odvětví zdravotnictví, farmaceutiky a energetiky.
  • Instant Messaging prezentuje rostoucí atraktivní bránu pro kriminální přístupy do podnikových sítí.
  • Cílené rhybaření (spear phishing) je směrováno na nejslabší články obchodního řetězce. Kompromitace vedou ke ztrátě zisku, reputace a také možnému nedodržení legislativních a regulačních podmínek.

Dále byla publikována analýza společnosti IBM – U.S. Businesses: Cost of Cybercrime Overtakes Physical Crime. IBM Survey Shows Changing Nature of Crime Causes Organizations to Look Inside. Vychází z odpovědí 600 odborníků (CIO či jiné kvalifikované osoby) z amerických společností. Podle jejich názoru:

  • 60 procent věří, že kybernetická zločinnost stojí jejich společnosti více než klasická fyzická zločinnost;
  • 84 procent soudí, že organizované kriminální skupiny vybavené potřebnými technickými znalostmi nahrazují osamělé hackery;
  • rostoucí hrozbou jsou nechráněné systémy v rozvojových zemích (skoro 3/4 respondentů)
  • 61 procent se domnívá, že legislativa (v USA – federální ale i lokální) by měla více pomáhat v boji proti počítačové kriminalitě
  • 83 procent amerických organizací věří, že se chrání proti počítačové kriminalitě a podniká k tomu různé kroky (aktualizace antivirů, firewallu, implementace technologií pro prevenci a detekci průniků, implementace systému pro správu zranitelností/zá­plat).

Tentýž průzkum provedla IBM i v dalších 16 zemích. Srovnatelný pohled je v těchto zemích na význam počítačové kriminality. Avšak zatímco americké společnosti tvrdí (v 83 procentech), že jsou na boj s počítačovou kriminalitou dostatečně vybaveny, zahraniční společnosti toto konstatují pouze v 53 procentech odpovědí.

2005: The Year of the Breach? – to je třiceti stránková analýza společnosti Intersections Inc. věnovaná otázce – Spotřebitelé a bezpečnost obchodování na internetu. Komentář k této zprávě najdete na Consumers Want Companies to Do More to Protect Privacy. Zajímavá jsou výsledná doporučení (best practices) rozdělená na doporučení pro plánování, výchovu, analýzu a aktivaci, komunikaci a asistenci.

Obecná a firemní bezpečnost IT

Autorka článku Social engineering reloaded (Sarah Granger) zkoumá, jak se obsah sociálního inženýrství vyvíjel v posledních několika letech. Zajímavým úvodem článku je poukázání na „hackovací“ momenty z filmů posledních let (Independence Day, Hackers, War Games, Ferris Bueller's Day Off, Star Wars) – každý z těchto uvedených příkladů sociální inženýrství využívá. Totéž ale platí i v reálných scénářích. Autorka pak popisuje některé používané triky (včetně rhybaření) a na příkladu imaginární společnosti X ukazuje příklady možných problémových situací, ale i doporučovaných protiopatření.

Po vstupní registraci (free) se na stránkách Bitpipe dostanete k článku – Best Practices for Protecting IP-based Storage společnosti CipherOptics. Autoři zde dávají celou řadu doporučení (ve vztahu k ukládání dat), samozřejmě včetně využití technologií pro šifrování dat.

Software

Sedm mýtů okolo bezpečnosti webovských aplikací popisuje Eric Battistoni v The 7 myths about protecting your web applications:

  • Mýtus 1. Systém prevence průniků ochrání před útoky na aplikace. Tento systém byl vyvinut především pro monitoring a signalizaci podezřelých aktivit a chování systému, ale neochrání proti novým typům útoků (např. v provozu pod SSL)
  • Mýtus 2. Firewall chrání aplikační vrstvu. Ale síťové firewally chrání jen protokol http a nezabezpečují další kritické části aplikací.
  • Mýtus 3. Zranitelnosti aplikací jsou podobné zranitelnostem sítě a systému.
  • Mýtus 4. Síťová zařízení nerozumí kontextu aplikace.
  • Mýtus 5. SSL zabezpečí aplikaci. SSL chrání proti útoku man-in-the-middle, ale nezabezpečí logiku aplikace.
  • Mýtus 6. Skener zranitelností ochrání webovské prostředí.
  • Mýtus 7. Správa zranitelností a záplat fungují.

Druhou částí pokračuje Joseph Guarino ve svém popisu firewallu pro Linux – The Perfect Linux Firewall Part II– IPCop & Copfilter (první část – viz Firewall pro Linux – GNU/Linux GPL IPCop – část 1.).

V článku Tips to Secure Linux Workstation najdete několik tipů pro zabezpečení pracovní stanice (Gentoo Linux).

Gartner se kriticky vyjadřuje ke Google Enterprise Search – Gartner: Google enterprise search has its limits. Analytici říkají – Google nenabízí ve svém produktu bezpečnost ani transparentnost či flexibilitu.

Secure an IIS Web server with these 10 steps – zde najdete doporučení (10 tipů) pro zabezpečení webovského serveru IIS (Internet Information Services).

Byla nalezena bezpečnostní chyba v GPG – Security Flaw Discovered in GPG – aktualizujte si GPG na verzi 1:4.2.2.

Malware, hackeři

Podívej se na svou síť očima hackera – Look at your network through a hacker's eyes to je článek, kde autor (Michael Mullins) dává několik rad, jak se podívat na problém bezpečnosti i trochu jinak než je obvyklé. Pod článkem najdete také celou řadu dalších užitečných odkazů věnujících se obdobným pohledům. Viz dále také Recognize and react to the signs a hacker is preparing to attack your network a IT pros need to understand IP scanning as well as hackers do – here's how.

E-mail a hackeři (What E-Mail Hackers Know That You Don’t) – David Stanley v článku analyzuje možné postupy hackerů, které se opírají o využití e-mailu. Článek uzavírá sérií doporučení.

Objevil se nový trojan – Cryzip -, který vám zašifruje soubory. Je to v pořadí již třetí malware tohoto typu. Trojan potom, co najde na vašem počítači soubory určitého typu, tyto soubory zašifruje (používá knihovnu komerčního programu zip). Požaduje pak zaplacení 300 dolarů za informaci, jak zašifrované soubory znovu dešifrovat, a dává k tomu důkladný popis – Trojan Characteristics.

Hlasovým poštovním schránkám věnují hackeři také pozornost Voice mail hacking warning issued by Telus. Opět – je třeba se vyvarovat používání slabých hesel atd.

Máme zde i trojana, který hlídá kromě klávesnice i myš (její klikání) – Say Hi to the mouse click capturing Trojan. Zaměřen je na zákazníky finančních institucí v Brazílii (zatím).

Podle článku – Internet faces new attacks  – se objevil nový nebezpečný typ útoku na internetu. Útočník je pomocí daného postupu schopný dosáhnout až nevídaného potenciálu (článek uvádí až 8 Gbit za vteřinu).

Viry

Výsledky srovnávacího testu antivirových programů najdete na odkazu AV-comparatives (Andreas Clementi) – z února 2006. Nově zařazený TrustPort Antivirus Workstation (obsahuje v sobě engine Norman a BitDefender) – od AEC, spol. s r.o. – uspěl mezi elitou na výtečnou.

SC Magazinese objevily výsledky jiného hodnocení (bohužel bez odkazu na hodnotitele, předpokládám tedy, že je to hodnocení SC Magazine) – nejlepší anti-malware, antivir atd. Výsledky:

  • Všechny kategorie a best antimalware – Webroot Software-Spy Sweeper Enterprise 2.5
  • Best Anti-Trojan – Aladdin eSafe
  • Best Antivirus – AVAST! (Czech Republic, ALWIL Software !)
  • Best Anti-Worm – Mirage Networks NAC

RFID

Další popis k Shamirově útoku (mobilní telefony a bezpečnost RFID) najdete na A Reality Double-Check. Viz také komentář na Further Reflections on RFID Security.

RFID malware za dveřmi – aneb může být vaše kočka infikována počítačovým virem? Pozornost tento týden vzbudila studie pracovníků z Amsterdamské univerzity – RFID Viruses and Worms. Komentáře ke studii najdete např. na RFID tags vulnerable to viruses, study says a Study Says Chips in ID Tags Are Vulnerable to Viruses.

Rootkity

Jsou VM rootkity příští velkou hrozbou? Článek VM Rootkits: The Next Big Threat? obsahuje informaci o výsledcích práce odborníků Microsoftu a Michiganské univerzity. Zkonstruovali prototyp rootkitu (s názvem SubVirt) pro virtuální stroje. Implementovali své postupy na dvou platformách – Linux/VMWare a Windows/VirtualPC.

VoIP

V minulých Bezpečnostních střípcích proběhla informace o některých problémech Skype na úrovni administrace v počítačové síti. Pokud vás problematika zaujala, je zde odkaz na příručku síťového administrátora – Skype. Guide for Network Administrators.

Autentizace, hesla

Server čínské banky byl použit pro rhybaření (u amerických bank) – Chinese Bank's Server Used in Phishing Attacks on US Banks. Poprvé v historii byla využita infrastruktura jedné banky k útoku na jinou banku.

Jak se nechytit na phishingovou návnadu, to je článek Ondřeje Bitta na Lupě reagující na první pokusy o rhybaření v českém jazyce.

Objevily se ještě další komentáře k problémům okolo Citibank (krádeže PINů?), např. Citibank ATM fraud ‚just tip of iceberg‘ – analyst. Diskutuje se o možné příčině kompromitace.

Na americké univerzitě – University of Maryland’s A. James Clark School of Engineering – je vyvíjena nová technologie pro DRM (Digital Right Management) – University researchers develop new digital rights technology. Among those interested in the technique are Sony BMG and the Defense Department.

Hardware

New options for securing USB devices – zde najdete popis bezpečnostního nástroje, který lze používat jako ochranu proti používání nepovolených USB zařízení. Článek je sice sdělení P.R., ale ukazuje, že jsou již hledána řešení chránící firemní sítě proti těmto cestám průniku.

Udělej si sám – historické šifrovací zařízení Enigma – Enigma-E Cypher Machine DIY Building Kit! Enigma-E DIY Building Kit stojí 119.99 anglických liber – pokud si ho objednáte z Bletchley Park anebo 130 euro – pokud si ho objednáte z muzea Jana Corvera. Kit obsahuje všechny komponenty potřebné k sestrojení zařízení.

Normy a normativní dokumenty

Minulý týden byly vydány:

a byla publikována nová norma

Dokumenty NIST

V minulém týdnu NIST opublikoval celou sérii dokumentů:

Problematice elektronického podpisu jsou věnovány dokumenty:

Podrobnější komentář (nové velikosti parametrů podpisových schémat) najdete v posledním čísle Crypto-Worldu (3/2006).

Kryptografie

NIST dále vydal svoje stanovisko k dalšímu používání hashovacích funkcí – March 15, 2006.

Druhá zpráva z ponorky rozluštěna (Enigma, druhá světová válka) – PC Collective Cracks 2nd Enigma U-boat Message. Výsledek byl získán díky distribuovaným výpočtům.
Znění zprávy:
Ausgang FT. 0246/21/203: Auf Geleitkurs 55° nichts gefunden, marschiere befohlenes Qu. Standort Marqu. AJ 3995. SO 4, See 3, 10/10 bedeckt, 28 mb steigend, Nebel, Sicht 1 sm. Schroeder.
Zbývá rozluštit ještě jednu zprávu.

Různé

Černé díry a kvantové počítače – zajímavý a spíše netradiční pohled na problematiku.

Jak bezpečně brouzdat stránkami s XXX obsahem.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

20. 3. 2006 20:43

cm3l1k1 (neregistrovaný)
Social engineering reloaded -- jezish
The 7 myths about protecting your web applications -- ujde
Tips to Secure Linux Workstation -- temer nic zajimaveho
Look at your network through a hacker's eyes -- zrejme pokus o hloupy vtip (kdyz se o hackovani mluvi jako o hlavnim vyuziti nslookup a traceroute)
Cryzip -- to uz je kvalitne drzy trojan :)
Voice mail hacking warning issued by Telus -- mno kvalitnejsi clanek v cestine je na http://www.security-portal.cz/clanky/jak-jsem-volal-zdarma.html
I…





20. 3. 2006 20:32

Karlos (neregistrovaný)
teda nechci rejpat. Ale dneska jsem si nadatloval www.root.cz a ..................... hodilo mi to tam nějakej zasr@nej XXX.iinfo.cz/.....www.root.cz
Tomu říkám bezpečnost a ne nějaké ty kydy tučnej hochů co nudně s myšma stepujou.

Husté, opravdu husté


120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Boreliózu nelze žádným testem prokázat

Boreliózu nelze žádným testem prokázat

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Vitalia.cz: 7 originálních adventních kalendářů pro mlsné

7 originálních adventních kalendářů pro mlsné

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: V Plzni odstartovalo Radio 1

V Plzni odstartovalo Radio 1

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D