Bezpečnostní přehled: proč nepodceňovat nástroje pro script kiddies

Pavel Houser , 04. září 2013 10:00 1 komentářů
Bezpečnostní přehled: proč nepodceňovat nástroje pro script kiddies

Protože se toho za poslední dny událo poměrně hodně a v srpnu jsme bezpečnostní přehled trochu zanedbávali, přinášíme jeho první zářijové vydání výjimečně již ve středu. Co nás čeká? Kvantová kryptografie ve smartphonech. Efektivní využívání sandboxu v podnikovém zabezpečení. Jak těžké bylo pro Snowdena dostat se k datům NSA a mnoho dalšího.

Anthony Arrington z ThreatTrack Security uvádí několik tipů, jak získat největší přínos ze sandboxu (míněno pro analýzu potenciálních hrozeb, ne pro zajištění základní ochrany).

Upozorňuje, že je třeba především získat úplný přehled o všech aplikacích (včetně různých verzí) v podnikové infrastruktuře. Je třeba vzít v úvahu, že mnohý malware rozpozná, když je spuštěn ve virtualizovaném prostředí sandboxu a může se chovat jinak než v reálné podnikové síti (za úvahu proto stojí fyzické sandboxy).

Při testování je třeba příslušnou laboratoř izolovat, aby případné nezamýšlené důsledky nemohly ovlivnit zbytek podnikové sítě, ještě hůře propojené sítě partnerů/zákazníků atd. Ideální je používat více různě řešených sandboxů, především pro simulaci heterogenních sítí.

Kauza Snowden byla umožněna zastaralou vnitřní bezpečnostní politikou NSA. Snowden prý nemusel postupovat nijak sofistikovaně. Politika sice např. zabraňovala kopírování souborů na externí úložiště, ale Snowden měl oprávnění správce. Pokud by někdo zjišťoval, co dělá, mohl vždycky říct, že soubory přesouvá kvůli poškození disku nebo údržbě systému. Administrátorský účet mu také umožňoval přihlašovat se pod účty dalších uživatelů, a to včetně těch, kteří měli vyšší stupeň bezpečnostní prověrky. Všechny operace mohl provádět vzdáleně.

Ze 40 000 lidí v NSA má údajně asi 1 000 podobná práva jako Snowden. Obvykle navíc nejde ani o řádné zaměstnance, ale externisty, zaměstnance subdodavatelů apod.

Syrian Electronic Army narušila propagační a náborový web amerického námořnictva. Na hacknutém webu byl publikován text o tom, že Syrian Electronic Army bojuje s Al Kajdou. Problém se týkal webu www.marines.com, který pro námořnictvo provozuje třetí strana (jobs, recruitment, pr...), samotný „vládní“ server www.marines.mil narušen nebyl.

Distribuce šifrovacích klíčů pomocí kvantové kryptografie by měla být dostupná i pro mobilní telefony. Společný projekt je dílem výzkumníků ze 3 západních a 1 čínské univerzity. Architektura klient-server zde umožňuje provádět náročnější operace na straně serveru, a vyhnout se tak problémům s omezenými zdroji smartphonu. Telefon ale musí být vybaven speciální hardwarovou součástí, tzv. kvantovým polarizérem.

Poison Ivy Remote Access Tool (RAT) je obvykle pokládán za nástroj pro začínající podvodníky (script kiddies). Výzkumníci z firmy FireEye ale tvrdí, že zdání klame. Poison Ivy RAT lze skutečně jednoduše používat, nicméně uplatnil se i při tak sofistikovaných útocích, jako byla akce proti RSA v roce 2011 a rok poté kybernetická špionáž Nitro mířící mj. proti chemických firmám. V současnosti se tento asi 8 let starý nástroj používá i v kybernetickém konfliktu na Blízkém východě, v oblibě ho mají skupiny spojované s Čínou atd.

Komunikaci s cloudem Dropbox lze zpětně analyzovat a pak obejít i dvoufaktorovou autorizaci a dostat se k datům. Útočník nicméně už musí mít předem neomezený přístup k cílovému počítači, kde je příslušná hodnota host_ID uložena v šifrované podobě v databázi SQLite. Vzhledem k obvyklému způsobu použití Dropboxu je otázka, zda postup má tedy praktický význam.

V srpnu se o 100 % zvýšil počet uživatelů sítě Tor (denní rekord je 1,2 milionů přímo připojených uživatelů). Příčiny trendu jsou neznámé. Protože nárůst má být do značné míry dán uživateli z USA a Velké Británie, může vše souviset se „sledovací“ kauzou NSA.

Výzkumníci z Georgetown University a US Naval Research Laboratory ve stejnou dobu přišli se studií, že anonymita uživatelů systému TOR je do značné míry stejně iluzí. Studie má být ovšem publikována/prezentována až v listopadu.

Spamování na Facebooku je údajně byznys s celkovým objemem asi 200 milionů dolarů ročně. Spammeři si za příspěvek (odkaz) na stránce s 30 000 fanoušky přijdou v průměru na 13 dolarů, je-li fanoušků přes 100 000, může být cena i 60 dolarů. Odkazy slouží stále častěji spíše k rychlému zpeněžení, např. pomocí prodeje v e-shopu, než ke generování stabilního provozu na určitém webu.

Eset vylepšil svůj autentizační bezpečnostní produkt Eset Secure Authentication, který nyní nativně podporuje Microsoft Exchange Server 2013, VMware Horizon View a řadu dalších virtuálních privátních sítí (VPN). Toto řešení ve formě bezpečné dvoufaktorové autentizace využívá jednorázová hesla (2FA OTP); k samotné autentizaci přitom využívá mobilní telefon uživatele, v němž je nainstalovaná mobilní komponenta řešení (na straších zařízeních lze realizovat pomocí SMS zpráv).

Zdroj: tisková zpráva společnosti Eset

Trend Micro poskytuje možnost virtuálního patchování pro svá řešení Deep Security a OfficeScan Intrusion Defense Firewall. Virtuální patche analyzují operace za použití bezpečné prováděcí vrstvy a zastavují škodlivý provoz předtím, než se může dostat ke zranitelným aplikacím. Řešení je založeno na principu rychlého vývoje a krátkodobé implementace. Ve zdrojovém kódu aplikací se neprovádějí žádné změny, což eliminuje riziko softwarových konfliktů.

Virtuální aktualizace se hodí např. pro systémy, které musí zůstat online; není třeba zastavovat operace, jako tomu je v případě tradičních systémů aktualizací. Navíc virtuální patche není nutno instalovat na všech hostitelských systémech v síti. Zdroj: tisková zpráva společnosti Trend Micro

Sophos oznámil dostupnost řešení Sophos Server Protection – antiviru určeného pro serverová prostředí. Má jít o reakci na přesun serverů do virtualizovaných systémů, kdy je třeba spolu s bezpečností udržet i výkon a hustotu serverů. Integrován je bezagentový antivirus pro vShield, který nevyžaduje žádnou speciální instalaci v provozním prostředí. Podporovány jsou hlavní serverové OS i hypervisory.

Zdroj: tisková zpráva společnosti Sophos

Po první vlně podvodných e-mailů z počátku srpna zaznamenala klientská centra České pošty další phishingové útoky. Podvodné e-maily přicházejí z adres cpost@ceskaposta.net, nově pak také z cpost@ceska-posta.net. Jsou psány ve formě „Informace o zásilce“, kde najde zákazník údaje o nedodání zásilky a upozornění na možné sankce.

Zdroj: tisková zpráva společnosti Česká pošta

Fortinet představuje deset nových platforem UTM (Unified Threat Management) pro malé a střední podniky i pobočky větších společností.

Zdroj: tisková zpráva společnosti Fortinet

Kaspersky Lab představila nejnovější verze svých bezpečnostních řešení pro e mailové servery Kaspersky Security 8.0 for Microsoft Exchange Servers a servery pro správu obsahu Kaspersky Security 8.0 for SharePoint Server. Oba produkty obsahují mj. nově i ochranu před phishingem (tj. odhalení a zablokování phishingových odkazů v e-mailech nebo sdílených dokumentech).

Zdroj: tisková zpráva společnosti Kaspersky Lab

Společnost SkyVera specializující se na IT bezpečnost a telekomunikační řešení v ČR a SR mění od září 2013 svůj obchodní název na Veracomp – podle své mateřské firmy, jež je největším VAD distributorem na polském trhu a jednou z největších distribučních společností ve střední a východní Evropě vůbec.

Zdroj: tisková zpráva společnosti SkyVera

Na téma podnikového zabezpečení na ITBiz viz také Kaspersky: české firmy IT bezpečnost vyloženě podceňují Dle zprávy více než 90 % dotázaných společností zaznamenalo v posledních 12 měsících alespoň jeden externí bezpečnostní incident, přes 80 % pak interní.


Komentáře

ceke #1
ceke 06. září 2013 21:30

Ten nárast popularity Tor je neuveriteľný, ale veľký podiel na tom má aj nejaký botnet, ktorý začal využívať tor pre vlastnú potrebu. A na sieti to strašne vidieť, je to ešte pomalšie, než obvykle.
Taktiež výrazný nárast vidieť aj pre freenetproject.org tam síce ide len o tisícky, ale v posledných dňoch vyzerá byť rýchlejší, než tor ;)

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

19. 10.

22. 10.
For Games 2017
24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
RSS 

Zprávičky

Firma vypsala odměnu za odhalení digitálního podpisu slovenského ministra

ČTK , 21. říjen 2017 08:00

Problém se týká čipů německého výrobce Infineon Technologies, které Slovensko používá v občanských p...

Více 0 komentářů

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů

Dohoda o ochraně dat mezi EU a USA prošla první kontrolou

ČTK , 20. říjen 2017 08:00

Cílem dohody je chránit osobní údaje osob v EU předávané společnostem v USA. ...

Více 0 komentářů

Starší zprávičky

Operátoři: Metro by mohlo být signálem pokryté do konce roku 2018

ČTK , 20. říjen 2017 08:00

Operátoři mají enormní zájem na pokrytí pražského metra, a to na vlastní náklady....

Více 0 komentářů

Firmu Moravia IT koupil britský konkurent RWS Holding

ČTK , 19. říjen 2017 21:26

Mezi zákazníky firmy specializující se na lokalizaci a testování softwaru patří např. Microsoft, IBM...

Více 0 komentářů

Státní ústav pro kontrolu léčiv hájí elektronické recepty

ČTK , 19. říjen 2017 10:00

V ČR se vydá 60-70 milionů papírových receptů ročně. Podle ministerstva je elektronizace zdravotnict...

Více 0 komentářů

Ransomware Locky v září masivně útočil ve světě i v ČR

Pavel Houser , 19. říjen 2017 09:30

Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016....

Více 0 komentářů