Konference
Hackeři pozorují svět potápějící se do chaosu – Hackers Watch a World Collapsing Into Chaos. Takovýto poněkud hrozivý titulek uvádí informace o akci – 27th annual Chaos Computer Club (CCC) Congress, která proběhla poslední týden prosince 2010. Stránky samotné konference – CCC Event Weblog, program je pak zde – Fahrplan.
Přehledy
Ohlédnutí: top 10 bezpečnostních trendů roku 2010 – Top Security Trends of 2010: A Look Back. Tony Bradley zde předkládá svůj pohled na hodnocení průběhu roku 2010.
Také ICSA zveřejnila svůj pohled na krajinu IT bezpečnosti v roce 2010 a její předpokládané změny v roce 2011 – The security landscape from 2010 to 2011. Testovací a certifikační firma ICSA předkládá svůj pohled na tyto oblasti:
- Mobilní bezpečnost
- Bezpečnost cloudů
- Firewally nové generace
- Smart grid
- Anatomie útoků v roce 2011 a dalších
- Trendy vlády
Privacy Alert: 10 Biggest Threats of 2010 aneb 10 největších hrozeb roku 2010. Dan Tynan vyjmenovává takové hrozby jako:
- Slídění bezdrátu (Google)
- Únik e-mailů (Apple iPad)
- Facebook – bezdrát
- Mobilní malware
- Sledování mobilů (geolokace)
- Zombie cookie
a další.
IT bezpečnost 2010 – rok v přehledu, ve kterém Larry Barrett shrnuje to nejvýznamnější IT Security 2010: The Year in Review. Cituje mj. nárůst těch útoků, které sponzorují státy.
Nejhorší bezpečnostní pohromy roku 2010 vyjmenovává zase ve stručnosti John E Dunn – Worst security disasters of 2010. Článek obsahuje množství odkazů k jednotlivým událostem.
Obecná a firemní bezpečnost IT
4 Components of the Insider Threat aneb čtyři komponenty interních hrozeb. Shari Lawrence Pfleeger poukazuje na nezbytnou součinnost (ve vztahu k vytvářeným hrozbám) těchto faktorů – jednotlivec, organizace, technologie a prostředí.
Computer Incident Response and Product Security, to je recenze stejnojmenné knihy. Autorem recenze je Zeljka Zorz, kniha vyšla v prosinci 2010, má 256 stran, jejím je Damir Rajnovic a najdete ji např. na Amazonu.
New Year's Tech Resolutions for Small Businesses – zde najdete novoroční předsevzetí pro malé podnikání. Christopher Null (PC World) sestavil šikovný přehled námětů.
WikiLeaks
Proti WikiLeaks zatím nebyla vznesena oficiální obvinění, banky však již s WikiLeaks nechtějí mít nic společného – Banks and WikiLeaks. Mimochodem – Assange slibuje, že v roce 2011 zveřejní materiály, které se bank týkají.
Poslouží aféra s WikiLeaks jako budíček pro autority v USA? WikiLeaks: Will The Lapses In Security Serve As A Wakeup Call For Us?, to je komentář společnosti Forrester Research, který shrnuje existující nedostatky v kontrolních a bezpečnostních opatřeních.
Federální policie (USA) zasahuje proti útočníkům ze skupiny Anonymous – Feds raid server farms in bid to root out PayPal DDoS perps. Konfiskovány byly servery, ze kterých probíhal útok DoS na PayPal. Viz také
- FBI raids ISP in Anonymous DDoS investigation
- FBI Raids Texas Server Farm for Clues to Anonymous Group, Operation Payback
Sociální sítě
7 social media resolutions to keep in the new year , zde najdete sedm předsevzetí ohledně sociálních sítí pro rok 2011 tak, jak je zformuloval Dan Rowinski:
- Zorganizuji si to
- Seznámím se s nástroji
- Budu důsledný
- Budu mít svůj osobní status
- Budu chápat bezpečnost, ale nebudu překážet transparentnosti
- Chápu, že lidé, nikoliv platformy, jsou slabým článkem
- V komunikaci budu spatřovat dobro
Starší aplikace pro Facebook nechrání soukromí vaše a vašich přátel – Older Facebook apps threaten your and your friends' privacy. Vanessa Dennis k tomu informuje ve své zprávě – Delete Older Facebook Apps – or Risk Everyone's Privacy.
Software
Co je to traitorware? Eva Galperin vysvětluje – What is Traitorware? – co (nejen teoreticky) může provádět některý SW za vašimi zády. Různá zařízení mohou být nenápadnými zrádci ohledně vašeho soukromí.
Jak vás ochrání různé bezpečnostní sady před nebezpečími na internetu – Battle of the Security Superpowers. Robert Vamosi a Christopher Null vyzkoušeli celkem třináct takových sad.
OWASP SCP Quick Reference Guide v2, to je příručka: Bezpečné postupy při programování (OWASP). Na stránce The secure coding practices quick reference guide najdete doprovodné video – vystoupení na konferenci OWASP AppSec USA 2010 (Keith Turpin).
Microsoft varuje před wordovskými útoky – Microsoft warns of Word attacks. Citovaná zranitelnost již byla ve většině verzí záplatována. Není záplatován Word 2004.
Bezpečnostní problémy pdf byly diskutovány na konferenci 27C3 – 27C3: danger lurks in PDF documents . Julia Wolf z americké firmy FireEye rozebrala celou řadu takovýchto problémů.
Stuxnet
Zpráva o dopadech červa Stuxnet v Iránu je komentována autorem článku Report Strengthens Suspicions That Stuxnet Sabotaged Iran’s Nuclear Plant. Jedná se o zprávu Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant? (desetistránkový materiál), kterou vydal Institute for Science and International Security, (ISIS).
Na akci 27C3 proběhla také diskuze k červu Stuxnet – A Four-Day Dive Into Stuxnet’s Heart. Zástupce Microsoftu informoval o tom, jak po červnovém oznámení běloruské bezpečnostní firmy probíhaly v Microsoftu analýzy zneužitých zranitelností.
Předpověď: varianty červa Stuxnet budou v roce 2011 dělat neplechu v informačních systémech – Stuxnet Variants Will Wreak Havoc on More Information Systems in 2011. Většina takovýchto útoků proběhne bez toho, aby si jich veřejnost vůbec všimla, říká Panda Security.
Viry
25 let virů: Slušňáci vymřeli po přeslici, Pavel Čepský na Lupě: V lednu to bude přesně čtvrt století od vzniku a rozšíření prvního viru, který ale oproti svým potomkům žádnou zkázu nepřinesl. Jak se neškodný koncept dokáže během doby změnit v krvelačnou bestii?
Hackeři
Hackeři o vánocích zaútočili na kriminální stránky – Hackers Attack Criminal Sites, Security Experts to Expose Security Flaws. Stránky patří skupinám sdílejícím informace o platebních kartách, ale také chybujícím „bezpečnostním odborníkům“.
McAfee předpovídá, jaké budou útoky v roce 2011 – Apple, Google TV, Foursquare to Face Malware Attacks in 2011, Says McAfee. Budou probíhat na produkty společnosti Apple, dále mezi cíli bude Google TV, Foursquare, Gowalla (poslední dvě jsou geolokační služby)a další sociální média.
Fórum 4chan pro aktivisty skupiny Anonymous bylo hacknuto – 4chan Forum for Anonymous Activists Hit by DoS Counterattack. Vypadá to jako odvetná akce.
Milióny vlastníků Hondy jsou obětí datového průniku – Millions of Honda owners victims of data breach. Výrobce Hondy říká, že se to týká dvou miliónů majitelů vozu Honda v USA. E-mailová databáze obsahovala některé osobní údaje.
Jak se hackeři dostali k soukromému PS3 klíči (27C3)? Komentář Hackers obtain PS3 private cryptography key due to epic programming fail? (update) obsahuje také video z konference. Krátkou informaci napsal také John Leyden na stránce PlayStation 3 code signing cracked.
DoS pod pokličkou: Jak odstřelit nepřítele, Pavel Čepský na Lupě: Útoky spadající do kategorie DoS a DDoS mají bohatou historii, nedávno se dočkaly výrazného oživení. Jaké jsou jejich základní principy a co dnes útočníci pro jejich úspěšné zvládnutí potřebují?
Komentář – Hacking the Hacker Stereotypes – věnovaný zajímavému tématu – sterotypnímu chování hackerů – napsal John Borland. Do komunity hackerů přichází i osoby ženského pohlaví a přináší sem i určité novum.
Mobilní telefony
27C3 – každý může odposlouchávat GSM hovory – Breaking GSM With a $15 Phone… Plus Smarts. Stačí k tomu mobil za 15 dolarů, notebook, open source SW a trochu chytrosti. Karsten Nohl a Sylvain Munaut na akci Chaos Computer Club Congress demonstrovali, jak konstruovat sniffer, cracknout šifrovací klíč a pak dešifrovat a zaznamenat hovor během pár minut.
Komentáře k tomuto výsledku si lze také přečíst v článcích:
- GSM cracking is all about knowledge, not money
- 27C3: GSM cell phones even easier to tap
- Gear & Gadgets$15 phone, 3 minutes all that´s needed to eavesdrop on GSM call
Slajdy z konference jsou na této stránce:
Jednodušší mobily nejsou odolné proti smrtícím SMS – Android mobile malware has botnet-like traits. Na akci 27C3 v Berlíně to ukázal německý odborník. Jedná se o mobily, které umějí přehrát MP3 či brouzdat po internetu, ale nemají takovou kapacitu jako mobily iPhone či s Androidem. V článku jsou typy dotčených mobilů vyjmenovány. Viz také komentář – 27C3 presentation claims many mobiles vulnerable to SMS attacks.
Malware Geinimi a první botnet na platformě Android, toto téma je rozebíráno v článku Android mobile malware has botnet-like traits . Informuje o tom Kevin Mahaffey (Lookout Mobile Security). Malware komunikuje s řídícím a kontrolním centrem, odesílá informace o geolokaci zařízení s Androidem a o některých HW identifikátorech (IMEI, karta SIM). Viz také – New Geinimi Android Trojan Steals Data from Infected Mobile Applications a Chinese bot will slurp your Droid.
Spam
Ve 4. čtvrtletí 2010 byl konstatován pokles objemu spamu – The significant decline of spam. Článek obsahuje komentář k datům, která vydala organizace Spamit.
Forenzní analýza
Chcete být odborníkem na počítačovou forenzní analýzu? 12.2010 Debra Shinder ukazuje ve svém přehledu So you want to be a computer forensics expert několik cest, jak je možné začít.
Elektronické bankovnictví
Banky si stěžují na příliš detailní článek – A Merry Christmas to all Bankers. Jedná se o článek Chip and PIN is Broken, jehož spoluautorem je Ross Anderson. Vánočním dárkem pro bankéře je chystaný nový článek, který je této problematice věnován a bude přednesen na konferenci Financial Cryptography 2011.
A ještě – příspěvek k bezpečnosti Chip-and-PIN z Cambridge je předmětem kritiky bank – Cambridge boffins rebuff banking industry take down request. S takovýmito informacemi by neměla být veřejnost seznamována (podle bank). Je tu snaha zastavit zveřejňování informací tohoto typu. Diskuze se točí okolo práce Omar Choudary (master thesis), která již zveřejněna byla. Viz také komentář – Researcher rejects chip-and-PIN flaw ´censorship´.
The Smart Card Detective (SCD) – zajímavé udělátko, které umožňuje jeho uživateli nahlížet do jím prováděných EMV transakcí (resp. povoluje i úpravy).
Odpoví bankovní sektor v roce 2011 dostatečně na podvody? Tracy Kitten (2011's Answers to Fraud?): v roce 2011 pokusů o bankovní podvody ještě přibude. Banky ještě stále nemají dostatečná opatření ve vztahu k autentizaci, využívání bankami Google Docs se nejeví jako dostatečně bezpečné. Proč také jinak může zafungovat takový typ útoku jako je SQL injection?
Russian e-Payment Giant ChronoPay Hacked – byla hacknuta největší ruská online platební služba – ChronoPay.com. Stovky nic nepodezřívajících návštěvníků byly přesměrovány na podvodné stránky určené ke krádeži dat zákazníků. Hackeři také zveřejnili kryptografické klíče, které ChronoPay používal k podpisu SSL certifikátů.
Autentizace, hesla
Nalezeny byly chyby v TOR anonymizační síti – Flaws Spotlighted in Tor Anonymity Network. S tímto výsledkem vystoupil na konferenci 27C3 Dominik Herrmann.
Normy a normativní dokumenty
Americký NIST v posledním týdnu roku 2010 vydal následující čtyři dokumenty:
- Draft Special Publication 800–70 Revision 2, National Checklist Program for IT Products–Guidelines for Checklist Users and Developers
- The Common Configuration Scoring System (CCSS): Metrics for Software Security Configuration Vulnerabilities
- Special Publication 800–119, Guidelines for the Secure Deployment of IPv6
- Special Publication 800–135, Recommendation for Application-Specific Key Derivation Functions
Kryptografie
Jaké útoky na kryptografii se objevily v roce 2010? Marcia Hofmann – UPDATED: 2010 Trend Watch Update: Attacks on Cryptography – se ohlíží na to, jak byly naplněny predikce z dokumentu 12 Trends to Watch in 2010 – vztahující se ke kryptografii.
Polští vědci představili novou Enigmu. Tvrdí, že šifry nikdo neprolomí, z úvodu článku: Zájem o nové šifrovací zařízení má armáda i soukromé firmy. „I kdybychom zapojili všechny počítače připojené k internetu a určili jim, aby pracovaly celá léta, nikdy se ta šifra nedá prolomit,“ řekl matematik a vedoucí projektu Jerzy Gawinecki.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
ČLÁNKY DO MAILU