Hlavní navigace

Bezpečnostní střípky: zajímavé výsledky na konferenci 27C3

Jaroslav Pinkava 3. 1. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na pokračující vydávání přehledů za uplynulý rok, dále na to, před čím by měli být na pozoru uživatelé sociálních sítí, na zprávu k červu Stuxnet a také na problémy okolo Chip and PIN.

Konference

Hackeři pozorují svět potápějící se do chaosu – Hackers Watch a World Collapsing Into Chaos. Takovýto poněkud hrozivý titulek uvádí informace o akci – 27th annual Chaos Computer Club (CCC) Congress, která proběhla poslední týden prosince 2010. Stránky samotné konference – CCC Event Weblog, program je pak zde – Fahrplan.

Přehledy

Ohlédnutí: top 10 bezpečnostních trendů roku 2010 – Top Security Trends of 2010: A Look Back. Tony Bradley zde předkládá svůj pohled na hodnocení průběhu roku 2010.

Také ICSA zveřejnila svůj pohled na krajinu IT bezpečnosti v roce 2010 a její předpokládané změny v roce 2011 – The security landscape from 2010 to 2011. Testovací a certifikační firma ICSA předkládá svůj pohled na tyto oblasti:

  • Mobilní bezpečnost
  • Bezpečnost cloudů
  • Firewally nové generace
  • Smart grid
  • Anatomie útoků v roce 2011 a dalších
  • Trendy vlády

Privacy Alert: 10 Biggest Threats of 2010 aneb 10 největších hrozeb roku 2010. Dan Tynan vyjmenovává takové hrozby jako:

  • Slídění bezdrátu (Google)
  • Únik e-mailů (Apple iPad)
  • Facebook – bezdrát
  • Mobilní malware
  • Sledování mobilů (geolokace)
  • Zombie cookie

a další.

IT bezpečnost 2010 – rok v přehledu, ve kterém Larry Barrett shrnuje to nejvýznamnější IT Security 2010: The Year in Review. Cituje mj. nárůst těch útoků, které sponzorují státy.

Nejhorší bezpečnostní pohromy roku 2010 vyjmenovává zase ve stručnosti John E Dunn – Worst security disasters of 2010. Článek obsahuje množství odkazů k jednotlivým událostem.

Obecná a firemní bezpečnost IT

4 Components of the Insider Threat aneb čtyři komponenty interních hrozeb. Shari Lawrence Pfleeger poukazuje na nezbytnou součinnost (ve vztahu k vytvářeným hrozbám) těchto faktorů – jednotlivec, organizace, technologie a prostředí.

Computer Incident Response and Product Security, to je recenze stejnojmenné knihy. Autorem recenze je Zeljka Zorz, kniha vyšla v prosinci 2010, má 256 stran, jejím je Damir Rajnovic a najdete ji např. na Amazonu.

New Year's Tech Resolutions for Small Businesses  – zde najdete novoroční předsevzetí pro malé podnikání. Christopher Null (PC World) sestavil šikovný přehled námětů.

WikiLeaks

Proti WikiLeaks zatím nebyla vznesena oficiální obvinění, banky však již s WikiLeaks nechtějí mít nic společného – Banks and WikiLeaks. Mimochodem – Assange slibuje, že v roce 2011 zveřejní materiály, které se bank týkají.

Poslouží aféra s WikiLeaks jako budíček pro autority v USA? WikiLeaks: Will The Lapses In Security Serve As A Wakeup Call For Us?, to je komentář společnosti Forrester Research, který shrnuje existující nedostatky v kontrolních a bezpečnostních opatřeních.

Federální policie (USA) zasahuje proti útočníkům ze skupiny Anonymous – Feds raid server farms in bid to root out PayPal DDoS perps. Konfiskovány byly servery, ze kterých probíhal útok DoS na PayPal. Viz také

Sociální sítě

7 social media resolutions to keep in the new year , zde najdete sedm předsevzetí ohledně sociálních sítí pro rok 2011 tak, jak je zformuloval Dan Rowinski:

  • Zorganizuji si to
  • Seznámím se s nástroji
  • Budu důsledný
  • Budu mít svůj osobní status
  • Budu chápat bezpečnost, ale nebudu překážet transparentnosti
  • Chápu, že lidé, nikoliv platformy, jsou slabým článkem
  • V komunikaci budu spatřovat dobro

Starší aplikace pro Facebook nechrání soukromí vaše a vašich přátel – Older Facebook apps threaten your and your friends' privacy. Vanessa Dennis k tomu informuje ve své zprávě – Delete Older Facebook Apps – or Risk Everyone's Pri­vacy.

Software

Co je to traitorware? Eva Galperin vysvětluje – What is Traitorware?  – co (nejen teoreticky) může provádět některý SW za vašimi zády. Různá zařízení mohou být nenápadnými zrádci ohledně vašeho soukromí.

Jak vás ochrání různé bezpečnostní sady před nebezpečími na internetu – Battle of the Security Superpowers. Robert Vamosi a Christopher Null vyzkoušeli celkem třináct takových sad.

OWASP SCP Quick Reference Guide v2, to je příručka: Bezpečné postupy při programování (OWASP). Na stránce The secure coding practices quick reference guide najdete doprovodné video – vystoupení na konferenci OWASP AppSec USA 2010 (Keith Turpin).

Microsoft varuje před wordovskými útoky – Microsoft warns of Word attacks. Citovaná zranitelnost již byla ve většině verzí záplatována. Není záplatován Word 2004.

Bezpečnostní problémy pdf byly diskutovány na konferenci 27C3 – 27C3: danger lurks in PDF documents . Julia Wolf z americké firmy FireEye rozebrala celou řadu takovýchto problémů.

Stuxnet

Zpráva o dopadech červa Stuxnet v Iránu je komentována autorem článku Report Strengthens Suspicions That Stuxnet Sabotaged Iran’s Nuclear Plant. Jedná se o zprávu Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant? (desetistránkový materiál), kterou vydal Institute for Science and International Security, (ISIS).

Na akci 27C3 proběhla také diskuze k červu Stuxnet – A Four-Day Dive Into Stuxnet’s Heart. Zástupce Microsoftu informoval o tom, jak po červnovém oznámení běloruské bezpečnostní firmy probíhaly v Microsoftu analýzy zneužitých zranitelností.

Předpověď: varianty červa Stuxnet budou v roce 2011 dělat neplechu v informačních systémech – Stuxnet Variants Will Wreak Havoc on More Information Systems in 2011. Většina takovýchto útoků proběhne bez toho, aby si jich veřejnost vůbec všimla, říká Panda Security.

Viry

25 let virů: Slušňáci vymřeli po přeslici, Pavel Čepský na Lupě: V lednu to bude přesně čtvrt století od vzniku a rozšíření prvního viru, který ale oproti svým potomkům žádnou zkázu nepřinesl. Jak se neškodný koncept dokáže během doby změnit v krvelačnou bestii?

Hackeři

Hackeři o vánocích zaútočili na kriminální stránky – Hackers Attack Criminal Sites, Security Experts to Expose Security Flaws. Stránky patří skupinám sdílejícím informace o platebních kartách, ale také chybujícím „bezpečnostním odborníkům“.

McAfee předpovídá, jaké budou útoky v roce 2011 – Apple, Google TV, Foursquare to Face Malware Attacks in 2011, Says McAfee. Budou probíhat na produkty společnosti Apple, dále mezi cíli bude Google TV, Foursquare, Gowalla (poslední dvě jsou geolokační služby)a další sociální média.

Fórum 4chan pro aktivisty skupiny Anonymous bylo hacknuto – 4chan Forum for Anonymous Activists Hit by DoS Counterattack. Vypadá to jako odvetná akce.

Milióny vlastníků Hondy jsou obětí datového průniku – Millions of Honda owners victims of data breach. Výrobce Hondy říká, že se to týká dvou miliónů majitelů vozu Honda v USA. E-mailová databáze obsahovala některé osobní údaje.

Jak se hackeři dostali k soukromému PS3 klíči (27C3)? Komentář Hackers obtain PS3 private cryptography key due to epic programming fail? (update) obsahuje také video z konference. Krátkou informaci napsal také John Leyden na stránce PlayStation 3 code signing cracked.

DoS pod pokličkou: Jak odstřelit nepřítele, Pavel Čepský na Lupě: Útoky spadající do kategorie DoS a DDoS mají bohatou historii, nedávno se dočkaly výrazného oživení. Jaké jsou jejich základní principy a co dnes útočníci pro jejich úspěšné zvládnutí potřebují?

Komentář – Hacking the Hacker Stereotypes  – věnovaný zajímavému tématu – sterotypnímu chování hackerů – napsal John Borland. Do komunity hackerů přichází i osoby ženského pohlaví a přináší sem i určité novum.

Mobilní telefony

27C3 – každý může odposlouchávat GSM hovory – Breaking GSM With a $15 Phone… Plus Smarts. Stačí k tomu mobil za 15 dolarů, notebook, open source SW a trochu chytrosti. Karsten Nohl a Sylvain Munaut na akci Chaos Computer Club Congress demonstrovali, jak konstruovat sniffer, cracknout šifrovací klíč a pak dešifrovat a zaznamenat hovor během pár minut.
Komentáře k tomuto výsledku si lze také přečíst v článcích:

Slajdy z konference jsou na této stránce:

Jednodušší mobily nejsou odolné proti smrtícím SMS – Android mobile malware has botnet-like traits. Na akci 27C3 v Berlíně to ukázal německý odborník. Jedná se o mobily, které umějí přehrát MP3 či brouzdat po internetu, ale nemají takovou kapacitu jako mobily iPhone či s Androidem. V článku jsou typy dotčených mobilů vyjmenovány. Viz také komentář – 27C3 presentation claims many mobiles vulnerable to SMS attacks.

Malware Geinimi a první botnet na platformě Android, toto téma je rozebíráno v článku Android mobile malware has botnet-like traits . Informuje o tom Kevin Mahaffey (Lookout Mobile Security). Malware komunikuje s řídícím a kontrolním centrem, odesílá informace o geolokaci zařízení s Androidem a o některých HW identifikátorech (IMEI, karta SIM). Viz také – New Geinimi Android Trojan Steals Data from Infected Mobile Applications a Chinese bot will slurp your Droid.

Spam

Ve 4. čtvrtletí 2010 byl konstatován pokles objemu spamu – The significant decline of spam. Článek obsahuje komentář k datům, která vydala organizace Spamit.

Forenzní analýza

Chcete být odborníkem na počítačovou forenzní analýzu? 12.2010 Debra Shinder ukazuje ve svém přehledu So you want to be a computer forensics expert několik cest, jak je možné začít.

Elektronické bankovnictví

Banky si stěžují na příliš detailní článek – A Merry Christmas to all Bankers. Jedná se o článek Chip and PIN is Broken, jehož spoluautorem je Ross Anderson. Vánočním dárkem pro bankéře je chystaný nový článek, který je této problematice věnován a bude přednesen na konferenci Financial Cryptography 2011.

A ještě – příspěvek k bezpečnosti Chip-and-PIN z Cambridge je předmětem kritiky bank – Cambridge boffins rebuff banking industry take down request. S takovýmito informacemi by neměla být veřejnost seznamována (podle bank). Je tu snaha zastavit zveřejňování informací tohoto typu. Diskuze se točí okolo práce Omar Choudary (master thesis), která již zveřejněna byla. Viz také komentář – Researcher rejects chip-and-PIN flaw ´censorship´.

The Smart Card Detective (SCD) – zajímavé udělátko, které umožňuje jeho uživateli nahlížet do jím prováděných EMV transakcí (resp. povoluje i úpravy).

Odpoví bankovní sektor v roce 2011 dostatečně na podvody? Tracy Kitten (2011's Answers to Fraud?): v roce 2011 pokusů o bankovní podvody ještě přibude. Banky ještě stále nemají dostatečná opatření ve vztahu k autentizaci, využívání bankami Google Docs se nejeví jako dostatečně bezpečné. Proč také jinak může zafungovat takový typ útoku jako je SQL injection?

Russian e-Payment Giant ChronoPay Hacked – byla hacknuta největší ruská online platební služba – ChronoPay.com. Stovky nic nepodezřívajících návštěvníků byly přesměrovány na podvodné stránky určené ke krádeži dat zákazníků. Hackeři také zveřejnili kryptografické klíče, které ChronoPay používal k podpisu SSL certifikátů.

Autentizace, hesla

Nalezeny byly chyby v TOR anonymizační síti – Flaws Spotlighted in Tor Anonymity Network. S tímto výsledkem vystoupil na konferenci 27C3 Dominik Herrmann.

Normy a normativní dokumenty

Americký NIST v posledním týdnu roku 2010 vydal následující čtyři dokumenty:

Kryptografie

Jaké útoky na kryptografii se objevily v roce 2010? Marcia Hofmann – UPDATED: 2010 Trend Watch Update: Attacks on Cryptography  – se ohlíží na to, jak byly naplněny predikce z dokumentu 12 Trends to Watch in 2010 – vztahující se ke kryptografii.

Polští vědci představili novou Enigmu. Tvrdí, že šifry nikdo neprolomí, z úvodu článku: Zájem o nové šifrovací zařízení má armáda i soukromé firmy. „I kdybychom zapojili všechny počítače připojené k internetu a určili jim, aby pracovaly celá léta, nikdy se ta šifra nedá prolomit,“ řekl matematik a vedoucí projektu Jerzy Gawinecki.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

6. 1. 2011 21:58

www (neregistrovaný)

jeste k tem dos utokum: usla vam prednaska z berlina, kterou mel djb a hovoril tam zajimave o dnssec ;-) (pokud vas to zajima, dal jsem pred chvili odkazy do diskuse k clanku o dnssec, co tu nedavno vysel)

5. 1. 2011 10:42

Nemyslím si, že by šlo srovnávat vaše špehování s kismetem s tím, v jakém rozsahu to prováděl Google.
Cílem hackerů také nemusí vůbec být snaha získat nějaké tajemství. Jak byste označili osobu, která prostřednictvím malware vytvořila botnet a ten pak z řídícího centra ovládá
(rozesílání spamu, útoky DoS atd.)? Wikipedie (http://en.wikipedia.org/wiki/Hacker) uvádí třeba tuto definici:
Hacker (computer security) or cracker, who accesses a computer system by circumventing its security system.


Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Z tohoto konopí dělají léčivé masti

Z tohoto konopí dělají léčivé masti

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase