Bezpečnostní střípky za 9. týden roku 2006

Přehledy

Americká společnost Websense opublikovala přehled Security Trends Report, který časově pokrývá události v druhém pololetí roku 2005. Z obsahu:

• Nové cíle rhybářů
• Změny v typech rhybaření
• Podvodné webovské stránky
• Malware (keyloggery, boty, spyware)

K některým faktům, které jsou ve zprávě uvedeny:

• Množství malware i počty podvodných webovských stránek rostou.
• Rhybaření – útoky se stávají sofistikovanějšími. Často byl třeba použit motiv pomoci obětem živelných pohrom (tsunami, hurikán Katrina,…). Cílem útoků se stávají i nefinanční organizace (jako Microsoft, Volkswagen, Symantec a McAfee). Například jeden typ podvodného e-mailu vyžadoval kliknutí na odkaz, který jakoby vedl k stažení a instalaci záplaty od společnosti McAfee. Nic netušící oběť se dostala na podvodnou webovskou stránku, která imitovala stránku McAfee Security. Záplata byla ve skutečnosti trojským stahovačem (downloader).
• Ale i v druhém pololetí roku 2005 byly nejlákavějšími cíly rhybářů finanční služby (banky, úvěrové společnosti) a základním prostředkem tedy sociální inženýrství.
• Cílené rhybaření (spear phishing) jako technika podvodu se v pololetí 2005 dále vyvíjelo k větší rafinovanosti. Tyto postupy si vybírají jako cílovou skupinu specifickou podmnožinu lidí (například členy jedné organizace, pracovníky jedné firmy). K přesvědčení obětí, že se jedná o legální postupy, jsou často využívány ukradené interní informace. Cílem útoků také není již jen krádež osobních (např. bankovních) údajů, ale také např. informace, které bývají předmětem průmyslové špionáže (plány, pracovní postupy, atd.).
• Pomocí trojanů jsou počítače obětí infikovány keyloggery nebo programy stahujícími části obrazovky (screen-scraping). Objevuje se také software (zde je použit termín crimeware), který přesměrovává uživatele jinam než tento zamýšlel (je měněna informace vztahující se k DNS a existují další podobné triky). Jiným útokem analogického typu jsou tzv. homografické útoky. Útočník ovládá stránku s názvem blízkým nějakému známému odkazu a počítá s tím, že se řada lidí při zadávaní adresy splete (překlep, častým trikem je například záměna písmena O za číslici 0). Oběť si pak nevšimne, že není na správném odkazu atd.
• Většina rhybářských stránek sídlí v USA, Číně a Jižní Koreji. Stránky s crimeware mají poměrně obdobné rozložení, jen mezi nejčetnějšími zastoupila Jižní Koreu Brazilie.
• V budoucnosti autoři studie předpovídají využití RSS jako efektivního prostředku pro šíření obdobných podvodů a infekcí. Kromě bezprostředního finančního zájmu se budou organizátoři takové kriminality orientovat na informace typu průmyslová špionáž. Zranitelnosti typu CSS resp. XSS (cross site scripting) budou používány k útokům na stránky finančních institucí, elektronického obchodu. Mezi předpověďmi se objevuje také využití VoIP.
• Jak byly rhybářské útoky v druhé polovině roku rozděleny? Finančních služeb se týkalo 89,3 % útoků, poskytovatelů internetových služeb – 5 %, maloobchodu – 2,5 %.
• Problém rychlosti záplatování u zranitelností a publikací jejich exploitů je stále vážnější. Některé webovské stránky využily tři publikované zranitelnosti prohlížečů k infekci nikoho nepodezřívajících návštěvníků. Obdobná situace byla s WMF zranitelnosti Windows koncem roku.
• Objevují se tzv. „toxické“ blogy. Autoři popisují situaci, kdy jeden rodinný blog byl použit k infekci, která oběť přivede až k stáhnutí trojana se zadními vrátky.
• Nejrychleji rostoucím spyware v sledovaném období byly tzv. bankovní trojské koně. Pokud si je oběť (na základě nějakého triku) nainstaluje, hlídají znaky vkládané klávesnicí (keyloggery). Existují i postupy pro oklamání ochran proti keyloggerům (anti-key logging programs), jsou stahovány části obrazovky.
• Roste počet útoků DoS (denial of service), které se opírají o využití botnetů. Dokonce jsou nabízeny tyto sítě jako obchodní artikl. Potřebujete potrápit konkurenci?
• S tím souvisí i jiná rozšiřující se metoda – kybernetické vyděračství. Zaplať a my ti odstraníme tvůj problém anebo v jiné verzi – zaplať a my ti problém neuděláme. Objevují se dokonce společnosti, které se vydávají za ochránce proti spyware a pod tímto pláštíkem vám budou tzv. pomáhat. U vás se objeví podvodná hláška typu – váš počítač je ohrožen – no a firma vám pomůže – od peněz. Tento typ kriminality se objevuje v Rusku, na Ukrajině a také v Mexiku.
• Rok 2005 je také rokem rostoucí spolupráce hackerů. Nové skupiny mladých hackerů pochází z východní Evropy a Brazilie. Výstupem činnosti hackerů nejsou již pouze vlastní kriminální aktivity, ale objevují se i publikované sady nástrojů (kits). Jejich jednoduchá úprava pak umožňuje konkrétní provedení útoku.

V článku Botnet threat growing at alarming rate. najdete další komentáře k této zprávě.

Obecná a firemní bezpečnost IT

Microsoft 5 safety tips for using a public computer zveřejnil pět jednoduchých tipů při používání veřejně dostupného počítače:

• 1. Neukládej svoje informace, které jsi použil při přilogování.
• 2. Neodcházej od počítače, pokud je na obrazovce citlivá informace.
• 3. Smaž svoji historii.
• 4. Kontroluj, jestli tě někdo nesleduje přes rameno.
• 5. Citlivé informace nesvěřuj veřejně dostupnému počítači.

(v samotném článku jsou samozřejmě další podrobnosti).

Šest pravidel pro šifrování dat ve vašem podniku, to je název desetistránkového dokumentu na stránkách Bitpipe (je zapotřebí registrace – free). Autor článku se opírá o americkou legislativu (a samotný článek je z části PR), přesto jeho doporučení jsou využitelná i obecněji:

• 1. Formuluj cíle (naplnění potřeb ochran informací instituce, naplnění legislativních požadavků, požadavků z norem, bezpečnostní politika, požadavky auditu)
• 2. Nedovol narušení běhu pracovních operací podniku (plánování, výkon systému, návaznost na podnikovou infrastrukturu)
• 3. Rozmysli architekturu šifrování (typ, uložení klíčů).
• 4. Integruj se souvisejícími technologiemi (návaznost na kontroly přístupu,…)
• 5. Rozmysli procesy pro migrace dat
• 6. Definuj procesy pro správu klíčů

Rozhovor se známým spisovatelem Sci-Fi a internetovým aktivistou Cory Doctorowem najdete na A conversation with Cory Doctorow. Tématem zajímavého rozhovoru jsou DRM (Digital Right Management) a ochrana obsahu ve vztahu k internetu.

Také Scott Granneman (SecurityFocus) se v článku The big DRM mistake zamýšlí nad problémem ochrany autorských práv děl v digitální podobě a kritizuje DRM.

A do třetice na téma ochrany autorských práv, tentokrát se to dotýká oficiální příručky CISSP Study Guide. Objevila se informace (Dr Michael Workman – College of Information at Florida State University), podle níž některé části příručky jsou okopírovány z jiných zdrojů (bez jejich uvedení) – Official CISSP Study Guide riddled with plagiarism .

The Register píše o bezpečnostních chybách známých velkých auditorských firem – Ernst & Young fails to disclose high-profile data loss – kromě firmy Ernst & Young se to týká také firmy Deloitte & Touche, Viz také McAfee employees at risk. Příčinou jsou ztráty nosičů – notebook, CD – které obsahovaly nešifrovaná data…

Software

V RSA Laboratories vznikl návrh nové technologie, tzv. aktivní cookies – Active Cookies for Browser Authentication. Měla by napomoci i jako nástroj v boji proti rhybaření a fharmaření.

Chris Bell – How secure is open source? – shrnuje názory odborníků, kteří nesdílí nadšení Bruce Schneiera, co se týká open source a jeho vztahu k bezpečnosti. Jedno je pravda, oba pohledy mají své minusy. Např. připomeňme si názor Kevina Mitnicka (Bezpečnostní střípky za 5. týden roku 2006) – open source je snazší hacknout.

Tony Bradley doporučuje SiteAdvisor – plugin (free) pro IE a Firefox. Varuje vás před nebezpečnými stránkami. Viz také Barevné visačky upozorní na stránky, ze kterých hrozí viry.

Systémovým administrátorům lze doporučit System Administrators Toolkit: Process administration tricks – aneb jak zjistit, co vše běží na vašem unixovém systému.

Hackeři

Profesor univerzity kritizován za testy online útoků – Professor criticized for online-attack test. Domácí úkoly studentů mohly vést až k narušení zákonů. Ani výuka kriminalistiky nevyžaduje jako praktickou zkoušku provedení krádeže v bance…

Skandál v Řecku (Vodafone) – neznámý hacker odposlouchával i politiky – More on Greek Wiretapping – a to včetně amerického velvyslanectví a řeckého premiéra. Podle odborníků to musel být někdo zevnitř systému.

Robert Lemos (SecurityFocus) zveřejnil interview – Spreading security awareness for OS X – s tvůrcem červů pro Mac OS X. Kevin Finisterre (25 let) v tomto rozhovoru říká následující: „Chtěl jsem prokázat, že teze pro Maca viry nemohou existovat je mylná a absurdní.“

Malware

Symantes spustil novou službu veřejnosti – bezpečnostní barometr (Symantec Internet Threat Meter). Zahrnuje více bezpečnostních faktorů (na rozdíl od konkurence – Symantec Threat Meter Gauges Online Activity ):

• e-mail
• brouzdání webem
• instant messaging
• sdílení souborů

Objednejte si malware podle vašich potřeb – Crimeware code sells trojans to hackers. Trojan „na míru“ stojí 990 dolarů. Viz také Panda Detects Complex For-Profit Malware Scam.

CNET (spolu s Download.com) provedl test test antispywareových aplikací a na jeho základě zveřejnil následující žebříček:

• 1. Lavasoft Ad-aware
• 2. ZoneAlarm Anti-Spyware
• 3. Tenebril SpyCatcher
• 4. Webroot Spy Sweeper
• 5. PC Tools Spyware Doctor
• 6. McAfee AntiSpyware
• 7. Spybot Search and Destroy
• 8. Microsoft Windows Defender beta 2
• 9. Trend Micro Anti-Spyware
• 10. CA eTrust PestPatrol

Softwarové keyloggery jsou na postupu. Jen v USA je prý v současné době (SANS) infikováno 10 miliónů počítačů keyloggerem nějakého typu (Cyberthieves Silently Copy Your Passwords as You Type).

Zone-h zveřejnilo přehled útoků na webovské servery v roce 2005 – Statistics for web server attacks for year 2005.

Také Kaspersky Lab zveřejnila zajímavý přehled Internet Attacks 2005. Dokument obsahuje mj.:

• Top 20 – internetové útoky a sondáže
• Top 10 – zranitelnosti použité v internetových útocích
• Top 20 – porty použité k internetovým útokům
• Zeměpisné rozdělení internetových útoků
• Důležité záplaty

Můžete se podívat na vizualici výsledku činnosti honeypotů – Honeypot Visualization Tools. Ukázán je vždy aktuální stav za poslední hodinu (viz také Nepenthes).

A páteční zpráva – Pozor na 2000 od Citibank, první český phishing.

Rootkity

Joanna Rutkowska je známý odborník na rootkity (mj. jí vděčíme za nástroj pro jejich odstraňování – Patchfinder2), vystupuje k této problematice na různých konferencích. Na jejích osobních stránkách (Papers and conference presentations…) najdete celou čadu prezentací a dalších materiálů.

Rootkit Haxdoor (Rootkit Pharming) je používán k fharmářským a rhybářským útokům proti online bankám (The New Face of Phishing).

Viry

Objevil se nový vir – pro všechny mobily s Javou (J2ME) – All Java phones at risk from new mobile virus, Russia-based criminal mobile malware found. A zbývá jen podotknout – zase jsou za tím – peníze.

Podle přehledu – Department of Trade and Industry (DTI) největší škody způsobují i nyní viry. Jsou stále největší hrozbou, větší než hackeři a rhybaření. Roste ovšem význam spyware.

Výsledky testu antivirových programů, který provedla také CNET, najdete na CNET 2006 antivirus performance test scores. Výsledné pořadí:

• 1. Trend Micro PC-cillin Internet Security 2006
• 2. F-Secure 2006
• 3. CA eTrust EZ Antivirus 7.1
• 4. McAfee VirusScan 2006
• 5. Norton AntiVirus 2006

Autentizace, hesla

IBM a Novell připravují open source správu ID jako alternativu k InfoCard (Microsoft) – IBM, Novell Unveil Open-Source Online ID.

Třídílné zamyšlení nad otázkou, kam směřují technologie pro správu identit (Identity Management) najdete na Identity on the move I – Stefan Brands on user-centric identity management, Identity on the move II – Microsoft's „Identity Metasystem“ TM, R, Passport-redux, Identity on the move III – some ramblings on „we'll get it right this time, honest injun!“.

Objevil se problém s nedostatečně zabezpečenými platebními kartami – Hacker Outsmarts Kinko's ExpressPay Cards. Další informace najdete na Fedex Kinko s response a FedEx Kinko's Payment Card Hacked (diskuse).

Shrnutí výsledků analýzy praktických postupů online uživatelů pro práci s hesly (passwords) přináší studie Password Security: What Users Know and What They Actually Do. Analýza využila odpovědi 328 účastníků různých věkových skupin (Wichita State University – USA). Viz také diskusi na Schneierově blogu.

Normy a normativní dokumenty

Vyšlo rfc.4434 – The AES-XCBC-PRF-128 Algorithm for the Internet Key Exchange Protocol (IKE) . Obsahuje popis k tomu, jak používat pseudonáhodnou funkci odvozenou z algoritmu AES pro některé implementace IPSec.

Vyšla opravená verze draftu NIST Special Publication 800–53, Revision 1: Recommended Security Controls for Federal Information Systems.

Kryptografie

Práce japonských kryptologů (Yu Sasaki, Yusuke Naito, Jun Yajima, Takeshi Shimoyama, Noboru Kunihiro, Kazuo Ohta) How to Construct Sufficient Condition in Searching Collisions of MD5 obsahuje další podrobnosti ke kolizím. Nedávno k SHA-0, nyní k MD5. Týká se tvorby diferenční cesty a tzv. postačujících podmínek (Vl.Klíma).

Bruce Schneier (Distributed Enigma Cryptanalysis) upozorňuje na projekt M4, kde se můžete podílet na distribuovaném řešení kryptoanalytické úlohy – nevyluštěné zprávy zašifrované Enigmou z 2.světové války. První zpráva ze tří (zachyceny v severním Atlantiku v roce 1942) již byla vyluštěna.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.