Hlavní navigace

Bezpečnostní střípky: o peníze jde až na prvním místě

10. 10. 2011
Doba čtení: 16 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme na tradiční okruhy (hackeři, mobily a online bankovnictví), na desítku volně dostupných ochranných nástrojů a na dokument věnovaný vývoji bezpečného software.

Přehledy a konference

Nedávnou zprávu Fortinet Threat Landscape Research lze najít na stránce Threat Landscape report. Zpráva informuje o několika nových hrozbách, jmenuje tzv. Apache Killer, nástroj, který využívá zranitelnost serverů Apache pro útoky DoS (zranitelnost již byla opravena ve verzi Apache 2.2.20). Jsou zmíněny také poslední aktivity Anonymous (služba #RefRef pro útoky DDoS, byla použita pro akci Operation Occupy Wall Street). Komentář k výsledkům zprávy obsahuje článek Fortinet Threat Landscape Report Highlights ´Apache Killer´ Tool, Anonymous Attacks.

Derbycon 2011, videa z této konference jsou na stránce Derbycon 2011 Videos. Akce se konala ve dnech 1 a 2. října 2011 (Louisville). Na stránce najdete i vystoupení, které připravil Kevin Mitnick (adaptivní penetrační testy) a mnoho dalšího. Videa jsou postupně doplňována.

Global Survey on Social Media Risks, tento přehled připravil Ponemon Institute. Pro přístup k dokumentu (22 stran) je nezbytná registrace. Komentář k výsledkům studie a stručná jejich rekapitulace je v článku Malware attacks up due to social media. Přehled byl zpracován na základě odpovědí 4 000 respondentů, z toho více než polovina konstatovala, že díky sociálním sítím dochází k nárůstu množství malware.

Obecná a firemní bezpečnost IT

Trusted Computing Fortifies Cyber-Defenses – k technologiím “Trusted Computing”. Autor článku informuje o akci September National Security Agency (NSA) Trusted Computing Conference & Exposition in Orlando, Fla. Tyto technologie by měly hrát důležitou roli při posílení kybernetických obran proti nejnovějším kyberútokům.

Vládní a soudní orgány stále častěji požadují po společnostech přístup k datům – Law enforcement increasingly asking Internet companies to share data. Například každá slušně veliká americká telekomunikační a internetová společnost má tým, který nedělá nic jiného, než odpovídá na tyto požadavky. Jsou většinou placené, Google a Yahoo z toho dokonce profitují (Facebook a Microsoft to provádí zdarma). Autor článku informuje o akci Internet Governance Forum (konala se v Nairobi).

Proč nejsme všichni hacknuti, a to každý den? Why isn't everyone hacked every day? – Michael Kassner se takto ptá v rozhovoru s jedním z autorů studie Where Do All The Attacks Go? Citováno je jedno pravdivé doporučení: “Definitely avoid being predictable”.

Ještě k ukradeným zdravotním záznamům americké armády se vrací článek Proving it's hard to prevent stupid: Military medical records stolen from car. Jeho autor oprávněně nevychází z údivu na celou situací. Rozsah krádeže i to, koho se dotkla, je prostě skandál neuvěřitelného rozměru.

Rusko a další země protlačují rezoluci OSN ke kybernetickému prostoru – Russia pushes for UN resolution on cyberspace. V článku je poukazováno také na problematičnost dokumentu EU – Convention on Cybercrime (v některých směrech narušuje zákony zemí a jejich suverenitu).

APT Shaping SIEM – hrozby APT a systémy SIEM (security information event management), Kelly Jackson Higgins se zde věnuje současným potřebám ve vývoji těchto systémů.

Americké podniky a průmysl čelí stále většímu množství kybernetických útoků – Cyberattacks on Utilities, Industries Rise. Stále více vybavení, zařízení různého typu se připojuje k internetu. Autor článku informuje o práci kontrolních systémů amerického ministerstva národní bezpečnosti, ale také o mezinárodních souvislostech.

Velká Británie: jednotka boje proti e-kriminalitě zachránila za posledního půl roku 140 miliónů liber – Scotland Yard cyber-crime squad ‚saved L140m‘. Police Central e-Crime Unit (PCeU) ve svém vyhlášení charakterizuje operace, které vedly k těmto výsledkům.

Jak reagovat při podezření na kyberšikanu svých dětí? Net Nanny – Suspect cyberbullying? Here's five tips on what to do – nabízí pětici doporučení:

  • Adresujte ji okamžitě
  • Rozkryjte celou historii
  • Pochopte cítění svého dítěte
  • Spolu vytvořte plán
  • Vyhledejte profesionální pomoc

Ten Security Essentials for the Networked Enterprise – deset bezpečnostních záležitostí, které jsou podstatné pro sítě v podnicích. Simon Burson v podrobnějším článku rozebírá řadu bodů jako ustavení bezpečnostního ředitele, zpracování bezpečnostních zpráv, plán pro reakce na bezpečnostní incidenty, zhodnocení bezpečnostního stavu všech iniciativ atd.

Propadli jste v bezpečnostním auditu? Považujte to za dobrou zprávu! Říká Andreas M. Antonopoulos. Pokud auditem projdete, pak to může být jen ze dvou důvodů:

  • Vaše bezpečnost je perfektní
  • Málo jste se snažili

Přitom, když se obrátíte na jakéhokoliv bezpečnostního odborníka, žádný z nich vám neřekne, že daná bezpečnost je perfektní – Fail a security audit already – it's good for you.

Belgičané blokují Pirate Bay – Belgian telcos ordered to blockade Pirate Bay. Takovéto nařízení přišlo od odvolacího soudu. Viz také – Pirate Bay encourages filesharers to dodge Belgium block.

Americký zákonodárce obviňuje Čínu kvůli kybernetické špionáži – U.S. Lawmaker Slams China for Cyber Espionage. Článek se zabývá vystoupením kongresmana Mikea Rogerse.

Obama vydal vyhlášku své exekutivy, která směřuje na lepší zabezpečení chráněných dat – Obama looks to avoid more Wikileaks-type incidents. Ministr obrany a šéf NSA mají za úkol připravit odpovídající normy (standardy). Vydání vyhlášky je zjevně reakcí na únik dat přes WikiLeaks.

Kasperský navrhuje zřídit internetový Interpol – Security upgrades needed with growing cyberwar threats . Článek je věnován jeho vystoupení na akci firmy v New Yorku.

UAE ups its battle against cybercrime – Spojené arabské emiráty a boj proti počítačové kriminalitě, to je pohled na situaci v jedné méně tradiční zemi.

Sociální sítě

Facebook ve spolupráci s Websense bude detekovat škodlivé odkazy – Facebook adds protection against malicious links, informuje o tom Joan Goodchild. Viz také – Facebook Using Websense To Fight Malicious Links.

Ale v podstatě téměř vzápětí se objevila informace – Facebook: jeho skener odkazů je zranitelný – Facebook's URL scanner is vulnerable to cloaking attacks. Členové Blackhat Academy ukázali, že existuje možnost tzv. “převlékacího útoku”, kdy stránky jsou naplněny obsahem, který se liší od obsahu, který vidí běžní návštěvníci.

Technické podrobnosti jsou na stránce Facebook and content forgery – Facebook a vnucení obsahu, na stránce je popsán útok označovaný jako FQL injection (obdoba SQL injection). Odpovídající zranitelnost pak je nazývána XSCF (Cross-Site Content Forgery). Viz také následující informaci k infikovaným reklamám na Facebooku – Facebook adverts infect users with malware.

Podvodníci na Facebooku zneužívají smrt Steve Jobse – Facebook scammers exploit Steve Jobs' death. Za vyplnění online přehledu bude rozdáno 50 iPadů. Ovšem – je to výmysl (hoax), ale podle firmy Sophos už 15 000 lidí si na odkaz k podvodné stránce už kliklo.

Software

Google aktualizoval Chrome kvůli chybě Microsoftu – Google updates Chrome to restore browser after Microsoft blunder. Microsoftí antivir označoval Chrome za trojana (Zeus). Viz také – Microsoft tweaks antivirus after Chrome blocking.

Desítku volně dostupných a fungujících nástrojů pro ochranu před malware a viry najdete na stránce No Moola Malware, Anti-Virus Protection: 10 Free Security Tools That Actually Work. Slideshow připravil Andrew R Hickey, obsahuje nástroje Malwarebytes, Avast, AVG, Comodo, BitDefender, ClamWin, ESET, Rising, PC Tools a Ad-Aware.

Bezpečnostní řešení Deep Security od společnosti Trend Micro získalo certifikaci EAL 4+, a to v rámci Canadian Common Criteria Evaluation and Certification Scheme. Součástí procesu byla také certifikace použitých kryptografických algoritmů (AES, SHA-1/SHA-256 a RSA) dle norem FIPS – Trend Micro Deep Security Parns Common Criteria EAL 4+ certification.

Pozor na útoky na servery Apache – Attack on Apache server exposes firewalls, routers and more. Zranitelnosti verzí 1.3 a všech 2.x lze využít sice jen za určitých podmínek, přesto se vyskytují dostatečně často, aby bylo vydáno – varování.
Viz také komentáře:

Dále, byla vydána záplata – Apache Issues Patch To Stop Reverse-Proxy Bypass Attack.

Pětici nejhorších postupů při šifrování databází na stránkách DarkReading uvádí Ericka Chickowski (Five Worst Practices In Database Encryption):

  • Ukládaní klíčů na nevhodném místě
  • Není centralizovaná správa klíčů
  • Závislost na podomácku uvařených řešení
  • Zálohy nejsou šifrovány
  • Použití zastaralých šifrovacích algoritmů

Proč staré prohlížeče ohrožují vaši bezpečnost – How Your Old Browser Threatens Your Security. Vysvětluje to Craig Spiezle (v zastoupení iniciativy ´Why Your Browser Matters´).

Co je to exploit nulového dne? Kromě objasnění pojmu uvádí autor (What is a Zero Day Exploit?) také dva nástroje, které pomohou při vyhledání záplat pro aplikace třetích stran:

Back to the future: Why IT managers should care about firewall management – proč by se IT manažeři měli věnovat správě firewallů. Autor vysvětluje problematiku (i v návaznosti na dokument NIST SP 800–41 Guidelines on Firewalls and Firewall Policies).

CheckPoint připravuje technologii, která bude bojovat s botnety – Check Point Cooks Up Technology That Battles Botnets. Informace o chystané technologii Anti-Bot Software Blade byla zveřejněna minulý týden.

Funkce určená vývojářům umožňuje phishing ve vztahu k American Express – Developer function enables phishing at American Express. Bezpečnostní díru objevil Niklas Femerstrand.

Zpráva Secure SDLC: Reducing Risk Throughout the App Dev Process se zabývá otázkou, jak zabudovat bezpečnost v jednotlivých fázích vývoje software. Autorem tohoto šestnáctistrán­kového dokumentu je John Sawyer (InGuardians). Komentář ke zprávě je na stránce How To Bake Security Into Software Development.

Malware

On the front line against the next Stuxnet aneb než přijde příští Stuxnet. Robert McMillan popisuje problémy, které mohou vzniknout a také existující snahy o připravenost na jejich řešení.

QR (Quick Response) kód ukrývá trojana pro Android – Android trojan hides behind QR code. Informuje o tom blog společnosti Kaspersky – Malicious QR Codes Pushing Android Malware. Objevila se další cesta pro šíření malware.
Viz také – Crazy square barcodes can point your phone to MALWARE.

CSI internet: Episode 4: Open heart surgery, Frank Boldewin přichází s epizodou 4 svého seriálu. Tentokrát za ním přišel přítel s tím, že někde chytil vira.

Historii malware na počítačích Mac najdete na stránce The short history of Mac malware: 1982 – 2011. Užitečný přehled ukazuje vývoj této problematiky.

Hackeři a jiní útočníci

Útoky typu “Binary Planting” popisuje článek More Misconceptions About Binary Planting. Autor v něm navazuje na své rok staré poznámky – Clearing up Some Misconceptions About Binary Planting.

Anonymous cílí na společnosti s pochybnými aktivitami, které se týkají cenných papírů – Anonymous starts activism via corporate securities research. Jak se zdá, pro Anonymous v tomto směru funguje docela rozsáhlý analytický tým. O jeho výsledcích (například ve vztahu k firmě z Hongkongu – Chaoda Modern Agriculture) informuje Ellen Messmer.

Anonymous Deutschland vyzývají k akci “Operation Paperstorm”. Protestuje se proti… no, je toho hodně – Anonymous Deutschland ruft zu „Operation Paperstorm“ auf (Update).

Linux – někteří vývojáři mají hacknuté mašiny – Check your machines for malware, Linux developers told. Greg Kroah-Hartman jim doporučuje sedm kroků pro ověření jejich počítačů – Hints.

Útoky XSS mohou žít věčně, varuje odborník – XSS web attacks could live forever, researcher warns. Michal Zalewski na svém blogu An origin is forever říká, že obvyklé cesty k neutralizaci tohoto typu útoku (záplatování zranitelnosti, zneplatnění cookies) jsou nedostatečné. Útočník má přitom několik možností, jak ve svém útoku pokračovat.

Lessons From the RSA Breach – autor dává dohromady poučení, která vyplynula z průniku RSA. K problému sama společnost zveřejnila poměrně málo podrobností, tento článek rekapituluje (s časovým odstupem) zjištěná fakta.

Anonymous vyhrožují, že “vymažou” New York Stock Exchange – Anonymous Threatens to ‚Erase‘ New York Stock Exchange from Internet. A to 10. října 2011. Video v článku ukázané je ale rozporováno jinými částmi Anonymous – má to být podle nich podvrh, který zorganizovaly vládní agentury.
Viz také – Messages Conflict on Anonymous Hacking Threat on NYSE. FBI však již situaci vyšetřuje – Hacker Group Anonymous Threatens to Attack Stock Exchange.

AnonyPwnies a slabiny webových stránek bundeswehru – AnonyPwnies: Sicherheitslücken auf bundeswehr.de (Update). Využitím vyhledávače Google se správnými parametry lze na těchto stránkách získat přístup k řadě citlivých dokumentů. Přišla s tím skupina hacktivistů, odnož Anonymous, říkají si AnonyPwnies.

Další skupina, která si říká Anonymous Analytics, chce odhalovat korupci – Anonymous Analytics: Hacktivisten wollen Korruption aufdecken. Pod tak obecnou střechou, jakou je pojem Anonymous, se vyskytují (a jistě dále vyskytovat budou) aktivity zcela odlišných typů.

Špičkový detektiv dal výpověď, bude hlídat soukromou firmu před hackery, zpráva z našich luhů. Jeden z klíčových členů protikorupční policie Petr Vincenz nastupuje do ústecké energetické firmy Centropol Energy. Vincenz je jedním z elitních detektivů, kteří odcházejí od policie. V Centropolu bude mít na starost mimo jiné boj s hackery, kteří se v poslední době snaží prolomit bezpečnostní systémy firmy.

Top DDoS attacks of 2011 – největší DDoS útoky roku 2011, kromě jejich přehledu jsou v článku uvedena i některá doporučovaná protiopatření (pochází od Corero Network Security).

Němečtí hackeři tvrdí, že jejich vláda má program s trojanem, který může sledovat uživatele bez jejich vědomí – Chaos Computer Club: German gov't software can spy on citizens. Na stránkách Chaos Computer Club analyzes government malware a Analysis of the government malware (v němčině) je uvedena jeho analýza.
Viz také Chaos Computer Club: „Staatstrojaner“ rechtlich und technisch fragwürdig.

Bezdrát

Uživatelé bezdrátu žijí ve falešném pocitu bezpečí – Wi-Fi users live in a false sense of security. Článek informuje o výsledcích nedávného rozboru (Wakefield Research ho připravila pro Wi-Fi Alliance). Kromě těchto výsledků jsou v článku uvedena tři základní doporučení:

  • Používejte WPA-2
  • Dostatečně silná hesla jsou nezbytností
  • Na cestách se připojujte jen k sítím, které znáte a kterým důvěřujete (vypínejte přitom automatické sdílení)

Viz také komentář – WiFi Users Blissfully Ignorant About Real Security, Research Finds.

VoIP

Masivní útoky DDoS jsou rostoucí hrozbou pro služby VoIP – Massive DDoS attacks a growing threat to VoIP services. Článek je věnován jednomu vystoupení na akci Comptel Plus Conference (Don Poe, vicepresident of network engineering at TelePacific Communications).

Mobilní telefony

iPhone5 spam vede k infekcím malware – iPhone 5 spam emails lead to malware. Žhavá očekávání nahrávají (nahrávala) tvůrcům těchto podvodů. Viz také – Fake iPhone 5 Promotion Connects You with Malware.

Jaká bezpečnostní vylepšení by měl obsahovat iPhone5? Paul Roberts – The Five Security Improvements Apple Needs To Make in iPhone 5 – zformuloval následující pětici:

  • Silná hesla (uzamykání zařízení čtyřmi číslicemi je nedostatečné)
  • Méně zranitelností
  • Správa mobilních zařízení
  • Šifrování dat, které funguje
  • Ztížení pohodlí

Mobily HTC s Androidem, objevila se nepříjemná zranitelnost, je chystána oprava – HTC to plug private data backdoor leak slurp vuln. Na zranitelnost se přišlo minulý týden – HTC Android handsets spew private data to ANY app. Umožňuje aplikacím využívat uživatelova soukromá data (a to bez jeho povolení).

Bezpečnostní vlastnosti iPhone, jaký byl jejich vývoj v jednotlivých rocích, takovouto informativní slideshow připravil Brian Donohue – Slideshow: iPhone Security Features Through the Years.

Objevilo se malware pro Android kontrolované z blogu – Android malware under blog control says Trend Micro. S informací přichází Trend Micro. Varuje – pozor na čínské e-čtečky. Viz také komentář – Android malware downloads instructions from blog.

Mobilní bezpečnostní hrozby nastupují – Mobile security threats heat up. Autor článku shrnuje současnou situaci v problematice a konstatuje její narůstající závažnost.
Výsledky nedávné zprávy IBM (Crypto-world), komentuje také článek Mobile Security Threats to Double by End of 2011: IBM Study.

V zdravotnické péči je šifrování v mobilních zařízeních nezbytností – Dell's Marchand Says Encrypting Mobile Device Data Essential in Health Care. Článek obsahuje zajímavý rozhovor s Davem Marchandem (CTO for Dell Healthcare & Life Science Services). Je zde diskutována řada konkrétních otázek.

Which smartphone is the most secure? aneb který chytrý mobil je nejbezpečnější? Spencer McIntyre si vzal na paškál rozdíly mobilů a hrozby specifické pro jednotlivé typy. Rozebírá iPhone, Windows Mobile, BlackBerry, Symbian a Android.

Spam

Hacknuté e-mailové účty – celkový pohled na tuto problematiku přináší studie The State of Hacked Accounts. Desetistránkovou studii, která se tímto problémem zabývá, připravila společnost Comtouch. Komentář k jejím výsledkům je obsažen v článku The state of hacked accounts. Dvě třetiny kompromitovaných účtů jsou využívány k rozesílání spamu. V studii jsou popsány současné taktiky spamerů, cesty, kterými jsou účty kompromitovány, jakých účtů se to týká a co útočníci s ukradenými účty provádí.

Elektronické bankovnictví

Monstrózní kampaň spamu šíří bankovní trojany – Monster Spam Campaigns Lead to Cyberheists. Brian Krebs se vrací k informaci Symantecu ohledně nárůstu polymorfního malware oznámeného ve zprávě, která byla vydána minulý týden. Malým organizacím je doporučováno pro online bankovnictví používat počítač vymezený jen pro tyto účely.

Probíhají soudy s členy gangu, který pomocí trojana Zeus kradl peníze z bank – Zeus fraud gang member gets jail sentence. Ve Velké Británii nyní byla odsouzena Karina Kostromina (Litva), manželka šéfa gangu (Yevhen Kulibaba, Ukrajina). Toho čeká soud v listopadu. Kostromina používala svůj britský bankovní účet k příjmu kradených peněžních sum. Bankovní ztráty prokázané tomuto gangu činí téměř 3 milióny liber. Kromě dvou jmenovaných, bylo obviněno dalších 11 členů gangu. Viz také – ZeuS Trojan Gang Faces Justice.

Bankovní podvody posledního období – přehled (UK) – Card fraud and online banking fraud losses fall, but cheque fraud and phone banking fraud losses rise. Klesá množství podvodů s kartami a v online bankovnictví, dopředu se prodraly tradičnější postupy – falešné šeky a podvody související s telefonním bankovnictvím. Komentáře k této zprávě britské UK Cards Association si lze přečíst v článcích:

Desítku doporučení pro podnikání – ve vztahu k obraně před podvody s platebními kartami si lze přečíst v článku Top 10 Business Best Practices for Fighting Credit Card Theft and Fraud. Tato doporučení (pocházející od 3Delta Systems) jsou poměrně podrobně rozebírána. Viz komentář – Best practices for fighting credit card theft.

K aktuálním útokům SpyEye na mobilní SMS bankovnictví se obrací článek SpyEye Trojan hijacks mobile SMS security for online fraud. V článku je popsán celý postup útoku (typu man-in-the-middle), jak o něm informuje společnost Trusteer.
Viz také komentáře v článcích:

Hackers sell PayPal accounts for 50 cents – hackeři prodávají PayPal účty a ne draho… . Hacknuté účty byly k dispozici na undergroundovém fóru. Viz také stránky blogu Briana Krebse – How Much is That Phished PayPal Account?

111 zatčených při rozbití jedné z největších krádeží ID – 111 arrested in massive ID theft bust. Jsou mezi nimi i zaměstnanci restaurací a interní pracovníci bank. Celkem za jeden a půl roku bylo ukradeno 13 miliónů dolarů. Jedná se o dosud největší podvodné ID/karetní schéma, se kterým se stát vypořádal. Zaměstnanci restaurací či pokladní v obchodě byli placeni za to, aby ukradli data karet. Data byla pak převáděna na undergroundová fóra a objevovala se dokonce například i v Rusku, Číně a Libye. Viz také:

Autentizace, hesla

Většina Australanů má jediné heslo pro všechno – Most Australians Have One Password for Everything. Vyplývá to z přehledu, který se společností PayPal připravilo středisko Centre for Internet Safety (Faculty of Law at Australia's U­niversity of Canberra). Snad ani není třeba říkat, o co si říkají…

Phishing

Objevil se phishing využívající reklamní schéma Google Adwords – New Google AdWords Phish In-the-wild. M86 SecurityLabs varují uživatele s účtem pro Google AdWords.

Elektronický podpis

Pád CA DigiNotar bude stát její mateřskou firmu (Vasco) zhruba 5 miliónů dolarů – DigiNotar collapse could cost parent nearly $5 million. Odhad zatím nezahrnuje možné výlohy ze soudních řízení. Vedle krátkého článečku je dlouhý seznam odkazů, které se týkají problému DigiNotar. Viz také – VASCO: Losses from DigiNotar Bankruptcy Under $5 Million.

Normy a normativní dokumenty

ISO 27001 Documentation Toolkit, je to sice placená služba, ale věřím, že pro řadu organizací je toto užitečná informace. Viz komentář ISO 27001 documentation toolkit. Předpřipravené dokumenty jsou cíleny zejména na pomoc malým a středně velikým organizacím.

Americký NIST vydal několik publikací. Jedná se o:

Kryptografie

Bletchley Park získal hodnotný grant – Bletchley Park lands L4.6m restoration bonanza. 4,6 miliónu liber přichází od nadace Heritage Lottery Fund.

root_podpora

How to Be a Cryptologist aneb co je třeba k tomu, abyste se mohl stát kryptologem? Pár poznámek (zejména pro ty, kteří se ještě v problematice příliš neorientují).

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?