Hlavní navigace

Bezpečnostní střípky: změny na Facebooku

3. 10. 2011
Doba čtení: 16 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především na několik informací, které se týkají ochrany mobilních zařízení, na několik obsažných bezpečnostních přehledů a na některé snahy o řešení problému SSL/TLS.

Přehledy

Ponemon Institute vydal studii Global Survey on Social Media Risks Survey of IT & IT Security Practitioners. Studie mj. prokázala vazbu využívání sociálních médií s nárůstem infekcí malware. V tomto smyslu odpovědělo 63 procent respondentů (zaměstnanci, kteří používají sociální média, přináší další bezpečnostní rizika), jen 29 procent respondentů si myslí, že bezpečnostní technologie jimi používané tvoří dostatečnou hráz proti těmto rizikům. Studie byla zpracována na základě odpovědí 4 640 IT bezpečnostních profesionálů z USA a řady dalších zemí. Komentáře k výsledkům studie jsou na stránkách:

V minulém týdnu byla vydána pravidelná zpráva Symantecu – Intelligence Report: September 2011. Mj. je v ní konstatováno, že v e-mailech prudce stoupá podíl polymorfního malware (72 procent nového malware v e-mailech). Stále častěji je k útokům používáno sociální inženýrství. JavaScript se stává populárním jazykem mezi autory spamu a malware. Komentář k této zprávě obsahuje článek Mail-borne polymorphic malware soars.

Dále se objevila rozsáhlá pololetní zpráva (92 stran, je věnována situaci v prvním pololetí 2011) – IBM X-Force 2011 Mid-year Trend & Risk Report. Nezbytná je registrace. Shrnutí některých výsledků této podrobné a obsažné zprávy si lze přečíst na stránce:

Jsou zde obsaženy některé pozitivní výsledky (menší počet zranitelností webových aplikací, zranitelností prohlížečů, rychleji jsou k dispozici záplaty k nalezeným zranitelnostem. Klesl objem spamu a méně se setkáváme s tradičními taktikami phisherů. Ale samozřejmě je poukázáno na rok 2011 jako na rok bezpečnostních průniků. Přichází jak od profesionálních útočníků, tak také ze strany skupin hacktivistů. Mobilní technologie se stále častěji stávají cílem hackerů. Komentáře k výsledkům zprávy:

Obecná a firemní bezpečnost IT

Co dělat, pokud vaše firma byla hacknuta? Sadu doporučení pro dnes ne tak už vzácnou situaci připravil Ben Worthen (The Wall Street Journal´s San Francisco bureau) – What to Do if You've Been Hacked (podtitulek – překvapivá rada – nevypínejte počítače).

Joan Goodchild ve svém článku 5 more dirty tricks: Social engineers' latest pick-up lines rozebírá nejnovější triky sociálního inženýrství:

  • “This is Microsoft support – we want to help.”
  • “Donate to the hurricane recovery efforts!”
  • “About your job application…”
  • “@Twitterguy, what do you think about what Obama said on #cybersecurity? http://shar.es/HNGAt ”
  • “Get more Twitter followers!”

Chystaná americká legislativa říká, že poskytovatelé internetu budou mít povinnost detekovat a informovat uživatele, že je součást botnetu – U.S. Government Proposal Would Enlist ISPs to Fight Botnets. Mohla by to být efektivní obrana, mohla…

Špionážní agentury kupují čas na pronajímání botnetů – The Best Spies Money Can Buy. Důkazy o tom zjistily bezpečnostní firmy. V článku je komentováno vyjádření Dariena Kindlunda ze společnosti FireEye, Stuarta McClure (McAfee) a Rika Fergusona (Trend Micro).

Americké ministerstvo národní bezpečnosti se obrací k veřejnosti ohledně nápadů, jak likvidovat nebezpečí botnetů – US DHS asks public to share ideas on botnet mitigation. Kdokoliv může poslat svoji myšlenku, která by mohla pomoci. Další podrobnosti lze najít zde – Models To Advance Voluntary Corporate Notification to Consumers Regarding the Illicit Use of Computer Equipment by Botnets and Related Malware.

Fyzická a logická bezpečnost a jejich vzájemná konvergence jsou tématem článku Physical, Logical Security Worlds Continue Slow Convergence. Autor v něm informuje o nedávném setkání profesionálú ze dvou zdánlivě zcela různých oblastí – ASIS (fyzická bezpečnost) a (ISC)2 (logická bezpečnost.

Společnosti mění podmínky svých služeb tak, aby omezily svoji odpovědnost za hacky – Companies change their Terms of Service to limit their liability against hacks. Autor článku v této souvislosti hovoří především o společnosti Sony, ale zmiňuje i řadu dalších firem.

Evropské podnikání – brzy přijde povinnost oznamovat průniky – Exclusive: European businesses face mandatory-disclosure law. Nová verze směrnice (Data Protection Directive) bude publikována někdy okolo prostředku listopadu. Proces jejího zavádění v jednotlivých členských zemích by měl trvat zhruba jeden rok, např. ve Velké Británii by to mělo být od roku 2013. Viz také komentář obsahující kritické reakce – Europe rubs online privacy advocates the wrong way with Data Retention Directive.

IT profesionálům chybí nástroj, který by chránil podniky před dopady při používání sociálních médií uživateli – IT Pros Lack Tools to Protect Enterprises From Employee Social Media Use. IT profesionálové říkají, že sociální média jsou sice užitečný nástroj (i ve vztahu k podnikatelským aktivitám), ale nejsou zde nástroje, které by chránily před hrozbami, které ze sociálních sítí přichází (ani technologie ani politiky).

IT Security & Network Security News & Reviews: Google's Expanded Privacy Tools Span Search, Ads, Chrome, YouTube, Gmail aneb Google a ochrana soukromí. Co pro tuto ochranu Google dělá, ukazuje přiložená slideshow (přehled nástrojů). Prohlédněte svá nastavení.

Co se týká procesů pro správu ID v organizaci , jak je vyhodnotit, jaké použít metriky? Frank Villavicencio – 10 identity management metrics that matter – uvádí desítku nejčastěji používaných charakteristik:

  1. Password reset volume per month
  2. Average number of distinct credentials per user
  3. Number of uncorrelated accounts
  4. Number of new accounts provisioned
  5. Average time it takes to provision or de-provision a user
  6. Average time it takes to authorize a change
  7. Number of system or privileged accounts without an owner
  8. Number of exceptions per access re-certification cycle
  9. Number of reconciliation exceptions
  10. Separation of duty violations

Ron Rivest se v interview vyjádřil k aktuálním otázkám (SSL, APT, budoucnost IT bezpečnosti) – Interview: Crypto Legend Ron Rivest On Fixing SSL, APTs and The Future Of Security. Zmiňované slajdy k Rivestově vystoupení na konferenci Crypto 2011 jsou na tomto odkazu – Slides.

Data ve zdravotnictví

Zdravotnické organizace nejsou dostatečně připraveny k tomu, aby chránili data pacientů, konstatuje zpráva společnosti PwC – Old Data Learns New Tricks: Managing Patient Privacy and Security on a New Data-Sharing Playground. Komentáře k této zprávě si lze přečíst na stránkách:

Byla ukradena osobní data 5 miliónů současných a bývalých vojáků USA – Not in the army now: personal data of five million US soldiers. Data na záložních páskách patřila zdravotnické společnosti Tricare, ukradena byla ze zaparkovaného automobilu, kde ležela několik hodin (nezašifrovaná). Viz také SAIC: Medical records for 4.9 million TRICARE beneficiaries were stolen.

Sociální sítě

Facebook vás sleduje, i když nejste přihlášeni – Facebook tracks you even after logging out. Stačí, že navštívíte web, kde je tlačítko či widget Facebooku. Jediným řešením je odstranit všechna cookie Facebooku anebo pro Facebook používat separátní prohlížeč.
Viz také:

Reakce Facebooku – Facebook: ´We don´t track logged-out users´. Také – Facebook slibuje, že upraví problém s cookies – Facebook allegedly promises to fix logout cookies issue.

Změny Facebooku budí vážné bezpečnostní obavy – Facebook changes raise serious security concerns. Autor článku zformuloval pětici hlavních obav:

  1. Smart Lists will push users to share more info publicly, supplying the perfect weapon for targeted attacks
  2. Subscribers could increase the number of spambots, just like on Twitter
  3. Everything you’ve ever shared on Facebook is now available and easy to browse
  4. Health is now social and public
  5. Widgets: the open door to interactive scams

Co obsahují vaše akta, se kterými pracuje Facebook? Facebook má soubor, kde má všechna data, která se vás jako uživatele týkají a které dokázal nashromáždit. Autor článku What's In Your Facebook File? More Than You Think se to pokouší rozebrat.

Facebook Timeline: věnujte pozornost novinkám v nastavení vašeho soukromí – Facebook Timeline: Important Privacy Settings to Adjust Now. Kristin Burnham objasňuje tři cesty:

  1. Jak docílit, aby vaše posty byly dostupné jen přátelům.
  2. Omezit posty ostatních, které se objevují na vaší stránce.
  3. Editovat manuálně každý post.

Tipy pro ochranu soukromí na Facebooku pocházející od amerických mariňáků najdete na stránce That's an Order! 10 Facebook Privacy Tips from the Marines. Slideshow je provázena názornými fotografiemi.

Software

Vydán byl víceúčelový skener TCP Port Scanner ve verzi 2.0. Na stránce jsou popsány stručně změny obsažené v této verzi. Odkaz ke stažení – Version 2.0 – 22 September 2011.

A log review process for detecting security incidents aneb k procesům pro analýzu logů při hledání bezpečnostních incidentů. Alfonso Barreiro zde formuluje požadavky, které musí být splněny pro úspěšnost těchto postupů a ukazuje, jak by takováto analýza měla být pak prováděna.

Neaktualizované prohlížeče vystavují podniky útokům – Outdated Browsers Leave Many Enterprises Vulnerable To Attack. Robert Lemos reaguje na iniciativu OTA (Online Trust Allliance) – Why Your Browser Matters.

Prohlížeč Amazonu Silk (Kindle) budí pochybnosti ohledně ochrany soukromí – Amazon's Silk browser raises privacy, security eyebrows. Každá stránka, kterou si uživatel prohlíží, jde přes Amazon. Ten tak vlastně se dostává do stejné situace jako poskytovatelé internetového připojení. Viz také – Amazon introduces Silk, a cloud-accelerated web browser a Kindle Under Fire: New Tablet Heats Up Privacy Debate.

Co se týká rozšíření pro Chrome, čtvrtina z nich není bezpečná – Security Bugs in Google Chrome Extensions (And How To Avoid Them). Autoři to říkají na základě své analýzy stovky takovýchto rozšíření.
Viz také – Insecure Chrome Extensions (diskuze na Schneierově blogu) a komentář – 25% of tested Google Chrome extensions allow data theft.

Volně dostupný skener zjistí všechny aplikace ve vaší síti – Lumension® Application Scanner Tool. Jedná se o zkušební verzi, při stáhnutí získáte i dokument “Endpoint Security: Moving Beyond AV”.

Zranitelnost SSL/TLS

K útoku BEAST na SSL se obrací článek World takes notice as SSL-chewing BEAST is unleashed. John Leyden v něm líči reakce společností Google, Microsoft a Mozilla. Viz také – First solutions for SSL/TLS vulnerability.

Microsoft vydal nástroje reagující na zjištěnou zranitelnost SSL/TLS – Microsoft releases fix-it tools for SSL/TLS vulnerability. Rizika související s využíváním módu CBC AES doporučuje odstranit využitím proudové šifry RC4. Microsoft doporučuje přechod na TLS 1.1.

Qualys endorses alternative to crappy SSL system – Qualys a alternativa pro řešení problému SSL. Společnost Qualys na konferenci v San Franciscu oznámila, že spustila dva servery pro využití projektu Convergence, se kterým přišel Moxie Marlinspike.
Dalším reakcím jsou věnovány články:

Malware

Trojan pro Mac(a) se šíří v podobě souboru pdf, pokud je aktivován, instaluje zadní vrátka – Mac Trojan Disguised As PDF File.

Two-Timing Trojan Infects Internet Explorer, Firefox in One Swing – nebezpečný trojan infikuje IE, Firefox. Falešný plug-in je ve skutečnosti Trojan.Tracur.C, který ve skutečnosti sleduje a zaznamenává chování uživatele. Šíři se maskovaný jako aktualizace pro Adobe Flash Player.

Microsoft uštědřil ránu dalšímu botnetu – Microsoft delivers fatal blow to yet another botnet. Jedná se o botnet Kelihos, který má potenciál šířit téměř 4 miliardy spamových zpráv denně. Soud povolil uzavřít 21 internetových adres a to včetně cz.cc (registrační služba v České republice).
Viz také – Microsoft disrupts Kelihos botnet, names alleged mastermind. Dominique Alexander Piatti, který kontroluje botnet, má žít v České republice.
Další komentář – Striking a domain provider, Microsoft kills off a botnet.

Microsoft ve svém oznámení okolo botnetu Kelihos se zapomněl zmínit o významném partneru v této akci – Microsoft fails to credit Kelihos takedown partner. Tímto partnerem byly KasperskyLab – viz vyjádření The flipside of the Microsoft´s ta­kedown of Kelihos (Hlux) botnet. Viz také komentáře:

Přehled CSIS popisuje cesty, kterými jsou Windows infikovány (s malware) – This is how Windows get infected with malware. Především se jedná o to, že pro Java JRE, Adobe Reader/Acrobat a Adobe Flash přichází záplaty pozdě, uživatelé na to zapomínají. Rizikem jsou zejména systémy, na kterých běží zranitelné verze těchto programů. Viz také komentář k tomuto přehledu – Java, Adobe vulns blamed for Windows malware mayhem.

In-House Malware Analysis: Why You Need It, How To Do It, to je odkaz odkud lze stáhnout stejnojmennou studii. Výtah z jejího obsahu si lze přečíst na stránkách Dark Reading. Analýza malware může být užitečná i v organizacích, je to užitečná zkušenost pro reakce na incidenty. Určité znalosti v tomto směru pomohou hájit organizaci.

Přečtěte si recenzi knihy Silent Internet-Killer Awaits Its Master’s Orders: Book Review. Autorem knihy, který vypráví o červu Conficker, je Mark Bowden. Knihu (245 stran) vydává nakladatelství Atlantic Monthly Pres.

Antiviry

Antivir Microsoftu (Security Essentials) považoval prohlížeč Chrome (Google) za malware – Microsoft kills Google Chrome with bad malware signature. A odstraňoval ho z počítače. Problém již měl být odstraněn aktualizací definicí.

Hackeři

Official Syrian sites hacked – hacknuty byly oficiální weby syrských měst (Anonymous). Na stránkách se objevila interaktivní mapa Syrie ukazující data zabitých silami vlády. Další informace tohoto typu je na stránce Activists Hack Official Syrian Websites.

Ještě k pravolevé fintě, která pomáhá e-mailovým útokům, se vrací Brian Krebs – ‘Right-to-Left Override’ Aids Email Attacks.

MySQL.com Sold for $3k, Serves Malware – hacknuté MySQL.com. Administrativní přístup k tomuto webu byl v undergroundu prodáván za 3000 dolarů. Stačilo navštívit stránku mysql.com a návštěvníkův počítač (obsahující zranitelnost) byl infikován.
Viz také:

Anonymizační služba HideMyAss obhajuje svoji účast při zatčení členů LulzSec – HideMyAss defends role in LulzSec hack arrest. Informace byly předány úřadům na základě soudního příkazu. Viz také:

Jaké typy útoků dnes hackeři nejčastěji používají – The Most Prevalent Attack Techniques Used By Today's Hackers. Rozebírá se v tom Noa Bar-Yosef, vyjmenovává následující:

  1. SQL Injection (SQLi)
  2. Remote File Inclusion (RFI)
  3. Directory Traversal (DT)
  4. Cross Site Scripting (XSS)

Hackeři zaútočili na online fórum přívrženců Al-Kajdy – Hackers assault Al Qaida-linked online forum. Funguje ještě ale druhé obdobné fórum – Al-Fidaa.

Japonci říkají, že během útoku proti jejich armádnímu dodavateli nebyla ukradena žádná citlivá data – Japan says no known loss of sensitive data in cyberattack on largest defence contractor. Společnosti Mitsubishi Heavy Industry Ltd. bylo uloženo posílit svá bezpečnostní opatření.

Kalifornská hostingová firma InMotion byla kompromitována, napadeny (defacement) tisíce webů jejích klientů – Thousands of sites compromised following hosting provider hack. Podle některých zákazníků se navíc na jejich stránkách objevilo malware (JavaScript).

Anonymous znovu útočí na scientologickou církev (útok DoS) – Anonymous legt Buchhändlerweb­seiten für Scientology-Literatur lahm.

Finanční společnost Goldman Sachs se stala předmětem útoku hackerů – Hackers target Goldman Sachs. Byly zveřejněny osobní informace řady zaměstnanců a je mezi nimi dokonce i CEO společnosti Lloyd Blankfein.

Hackeři z Rakouska

Hackeři zveřejnili data 25 000 osob – personálu rakouské policie – AnonAustria hackers publish personal police data. Má to být protest proti návrhu zákona, který ukládá telekomunikačním společnostem uchovávat šest měsíců data ohledně veškeré telefonní a internetové komunikace.

AnonAustria ukradly další citlivá data, tentokrát se jedná o 600 000 abonentů tyrolské zdravotní pojišťovny – Anon Austria erbeutet 600.000 Kranken­versicherten-Datensätze. Tohle probíhá kousek od našich hranic…

Hardware

Podvodníci se vydávají za tiskárnu, která patří organizaci – Scammers pretend to be friendly office printers. Řada tiskáren umožňuje odeslat e-mailem oskenovaný dokument. Podvodníci touto cestou chtějí přinutit oběť, aby otevřela přílohu e-mailu. Např.: “Attached document was scanned and sent to you using a Hewlett-Packard HP Officejet 05701J”. Viz také komentář – Office Printers Can Be Trained to Attack PCs.

Na eBay byla nabízena k prodeji data citlivého charakteru, týkající se leteckého provozu Velké Británie – Air traffic control data found on eBayed network gear. Jednalo se o přepínač Cisco Catalyst, data v něm uložená (hesla, konfigurace) mohla být zneužita.
O dalším nákupu na eBay podobného charakteru informuje článek – eBay: Festplatte gekauft – Patientendaten inklusive.

Mobilní telefony

Další doporučení uživatelům Androidu k ochraně jejich mobilů najdete v článku Android Users: Here's Some Advice to Protect Your Phones. Autor zde tlumočí doporučení, která pochází od Loredana Botezatu ze společnosti BitDefender.

Android Market nabízí pět aplikací, které kradou data – 5 data-stealing apps offered on Android Market, to je komentář k nálezu společnosti BitDefender – All data stored on your smartphone ….. gone in 60 seconds.

Máte si dělat starosti s tím, zda váš mobil není hacknut? Autor článku diskutuje metody hackerů (orientované na mobily) a uvádí sadu doporučení – Should you be concerned about cell phone hacking?

Vyhněte se rizikům vyplývajících z geolokačních možností mobilních zařízení – Avoid mobile device geolocation risks. V článku jsou citovány názory ISACA (které s tímto problémem souvisí). Jsou zmíněny typy existujících rizik a uvedena některá doporučení.

NSA chce svůj vlastní chytrý mobil – The NSA Wants Its Own Smartphone. Důvody jsou zřejmé, navíc jeho využitelnost by byla nepochybně širší (ministerstvo obrany atd.). Článek informuje o projektu Troye Langa – US spies developing top-secret smartphone.

Uživatelé chytrých mobilů dávají přednost pohodlí před bezpečím – Survey Shows Mobile Users Choose Convenience Over Security. Komentář k výsledkům studie společnosti Confident Technologies (nezbytná je registrace) je obsažen v článku Smartphone users choose convenience over security.

7 Steps to Secure Mobile Devices aneb sedm kroků k zabezpečení mobilních zařízení. V článku prezentuje Eric Chabrow následující doporučení (pocházející od Elayne Starkey):

  1. Strong password
  2. Password history
  3. Password that expires
  4. Inactivity time out
  5. Lock out after seven failed attempts to log on
  6. Remote wipe if device is compromised or failure to log on after seven failed tries
  7. Encryption, if device is capable of employing it

Spam

Útočníci cílí na marketingové firmy, které používají e-mail a zneužívají tyto firmy k šíření spamu – Attackers Targeting Email Marketing Firms, Using Them to Spam. Komentář k výsledkům zprávy společnosti Websense – Compromised Email marketing companies sending spam.

Operace Pangea IV, zastaven provoz 13 500 “lékárenských” webů – Nominet suspends fake pharma domains. To je informace o zásahu, který provedl Interpol. Viz také – Police take down illegal drug websites.

Autentizace, hesla

Ruská firma přichází s nástrojem, který crackuje hesla BlackBerry – Russian firm unveils tool to crack BlackBerry passwords. A pochopitelně – tou firmou je Elcomsoft. Nástroj funguje jen tehdy, když uživatel umožní šifrování na kartě (media card). To je sice defaultně vypnuté, ale z poznatků vyplývá, že 30 procent uživatelů toto šifrování zapíná.

Elektronický podpis

Tři poučení vyplývající z podvržení certifikátů – Certificate Breach: 3 Lessons. Tracy Kitten na BankInfoSecurity jednak shrnuje existující fakta okolo průniku do CA DigiNotar a jednak uvádí tato tři zjištění:

  1. Okamžité informování o průniku je nezbytností
  2. Vzhledem k tomu, že hackům se nelze vyhnout, je nezbytné zpřísnění bezpečnostních a monitorovacích opatření
  3. Současný systém má chyby

The SSL Landscape – A Thorough Analysis of the X.509. PKI Using Active and Passive Measurements – problémové oblasti SSL, TLS, HTTPS, X.509 PKI. Tato zajímavá studie pracovníků mnichovské univerzity (Ralph Holz, Lothar Braun, Nils Kammenhuber a Georg Carle, dokument má 14 stran) obsahuje celou řadu praktických postřehů. Na základě své analýzy konstatují autoři, že celá problematika je v žalostném stavu.

Biometrie

Přichází rychlá analýza DNA – Prototype „Rapid DNA“ technology exhibited; could bolster forensic investigations. Ellen Messmer informuje o prototypu technologie “Rapid DNA”, o kterém byla podána zpráva na akci Biometric Consortium Conference.

Kryptografie

Bakterie jako šifrovací prostředek – Bacteria encode secret messages. Antibiotika pomáhají dešifrovat atd. Zajímavá myšlenka, nakolik praktická, si ale netroufnu posoudit.

Šifrování: kvíz odhalí vaše znalosti – The encryption quiz. Zkuste…

UX DAy - tip 2

Neznámý kupec vydražil nacistický šifrovací stroj Enigma za miliony. Dražba německého šifrovacího přístroje Enigma v britské aukční síni Christie´s předčila všechna očekávání. Kódovací přístroj z dob druhé světové války se prodal za rekordních 133 250 liber (více než 3,7 milionu korun).

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?