Bezpečnostní střípky: bezpečnost IT - quo vadis?

Jaroslav Pinkava 24. 5. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na několik doporučení: jak formovat vaše bezpečnostní oddělení, jak obnovit provoz sítě a jak provádět podnikovou analýzu průniků. Sociální sítě zůstávají v médiích žhavým tématem.

Obecná a firemní bezpečnost IT

Is cryptography the future of physical access control? – je budoucností kontroly fyzického přístupu kryptografie? Zack Martin uvažuje nad doporučeními takových dokumentů jako jsou FIPS 201, Special Publication 800–116 a implementací PKI.

Historii počítačů NSA do roku 1964 obsahuje dokument (nyní deklasifikovaný, 106 stran) – History of NSA General-Purpose Electronic Digital Computers. Viz k tomu také diskuzi na Schneierově blogu – History of NSA Computers.

Také NATO se musí vyzbrojit pro případ kybernetické války – Nato should tool up for cyber war, say globo-bigwigs. John Oates komentuje dokument New Strategic Concept, který připravila skupina v jejímž čele stojí Madeleine Albright.

Podniková analýza průniků je předmětem materiálu Enterprise Intrusion Analysis, Part One. Stephen Barish v užitečném článku na stránkách Symantecu rozebírá problematiku průniků. Starší článek, ale informačně obsažný.

Microsoft objevil nový typ klikacích podvodů – Microsoft chases ‚click laundering‘. Podvodníci to provádí prostřednictvím svých serverů, kde pozměňují informace k provozu. Viz ale také článek – Microsoft´s a­lleged ´click launderers´ maintain innocence.

Doporučení, jak formovat vaše bezpečnostní oddělení najdete na stránce Tips for Building Your Security Organization. Známý komentátor Brian Prince tlumočí závěry nedávné zprávy Forrester Research.

Bezpečnost IT – quo vadis? Andreas M. Antonopoulos se v Our growing security quagmire zamýšlí nad vývojem významu této problematiky, nad dopady, které zde mají nové technologie. Informační bezpečnost již není jen doménou vědců a analytiků, ale proniká stále blíže k nám všem, do našich domácností, do každodenního života.

Máte či očekáváte problémy v síti? A víte, jak potom obnovit provoz? Reuven Harrison (CTO of Tufin Technologies) sepsal strategii o třech základních krocích (Surviving and recovering from network interruptions), která má minimalizovat rizika při změnách konfigurací:

  • Zredukujte pravděpodobnost konfiguračních chyb
  • Detekujte problém co nejdříve
  • Ujistěte se, že můžete provést rychlou obnovu, pokud něco půjde špatně

Workshop at UF to address threat of insect-based terrorism, a co takhle terorizmus prostřednictvím hmyzu? Co všechno budí obavy v dnešním světě. Nad tématem workshopu na Floridě se zamýšlí i diskuze na Schneierově blogu – Insect-Based Terrorism.

Sociální sítě

Facebook zrušil stránku fanoušků torrentů – Facebook Deletes Torrent Site Fan Page. A to i když stránky neobsahovaly přímé odkazy na adresy torrentů.

Co byste měli vědět o pravidlech užívání Facebooku, Daniel Dočekal: Setkáte se s tím zcela běžně – firemní profil vás žádá o přátelství. Na firemních stránkách se vyhlašují a pořádají soutěže. Máte problém odlišit, která Stránka je skutečně firemní a kterou provozuje někdo jiný. A navíc jsou tu stovky účtů, které se zapojují do předvolebního boje. Falešných účtů. Jakými pravidly se musíte na Facebooku řídit?

Facebook a soukromí: Víte, co já vím? Zamyšlení nad problémy Facebooku, které dnes hýbou médii a spousta odkazů, to vše obsahuje článek Facebook and Privacy: Do You Know What I Know?.

Objevil se hoax pro uživatele Facebooku, oznamuje sexy video – Facebook users hit by hoax sexy video. Podvodné video má za cíl infikovat počítač s adware.

10 Facebook Privacy Blunders aneb desítka omylů Facebooku. Sága o kritice Facebooku zdaleka nekončí. Toto její pokračování přináší desítku slajdů.

Ověřte si úroveň svého soukromí na Facebooku (test) – Check the privacy level of your Facebook account. Zeljka Zorz informuje o aplikaci Privacy Check.

Průzkum: 60 procent uživatelů uvažuje o odchodu z Facebooku kvůli ochraně soukromí – 60% of Facebook users consider quitting over privacy. Je to zjevný dopad kritiky posledních týdnů i akcí tvůrců Facebooku, kteří značně znepřehlednili nastavení uživatelů, která se dotýkají jejich soukromí.

Hackeři mohou nekontrolovaně mazat přátele ve Facebooku – Hackers can delete Facebook friends, thanks to flaw. O tomto „objevu“ informoval jeden student ze státu New York.

Software

Google nabízí vyhledávání spojené se šifrováním – Google to Offer Encrypted Search Next Week. Data mezi prohlížečem a serverem Google budou zasílána pomocí protokolu https.

Byla záplatována extrémní zranitelnost v Opeře – ‚Extremely severe‘ flaw in Opera web browser. Proto těm, kdo Operu používá: aktualizujte svůj prohlížeč.

Na internetu lze uživatele identifikovat dle unikátního otisku, který zanechává jeho prohlížeč Výsledky výzkumu (detekce historie prohlížečů), který prováděla Electronic Frontier Foundation jsou diskutovány v řadě komentářů

Studie je také diskutována na blogu Bruce Schneiera:

Cryptmount, to je nástroj pro práci se zašifrovanými systémy souborů v Linuxu – Cryptmount: Create and manage secure filing systems on Linux. Je využitelný pro linuxové systémy s jádrem 2.6.

Vydán byl Metasploit Framework ve verzi 3.4.0 – Metasploit Framework 3.4.0 released. Metasploit je platforma pro konstrukci bezpečnostních nástrojů a exploitů. Je používána bezpečnostními profesionály po provádění penetračních testů, systémovými administrátory pro ověřování instalace záplat atd. Viz komentář – Metasploit 3.4 with extended brute force support.

Hotmail má nyní nové bezpečnostní vlastnosti – Hotmail gets new security features. O změnách, které v tomto směru Microsoft provádí, informuje Zeljka Zorz.

Školní špionážní program používaný u studentů má „hacker-friendly“ díru. Zjistila to firma, která prověřovala SW používaný v škole v Pennsylvanii (neblaze proslulé sledovacím skandálem) – School Spy Program Used on Students Contains Hacker-Friendly Security Hole.

Malware

Gang stojící za Koobface odpovídá na své hodnocení v článku Danch Dancheva – A message from the Koobface gang. Koobface je anagram pro Facebook. V článku jsou popsány zajímavé odpovědi gangu (obsažené v šířené části html kódu).

McAfee – počet trojanů, kteří kradou hesla roste, obecně objem malware klesá – The last six months saw an increase in password stealing, as malware levels dropped. Platí to v posledních šesti měsících dle výsledků zprávy 2010 Threat Predictions (shrnuje hrozby v prvním čtvrtletí 2010). Viz také:

Hackeři

Jaká by měla být prevence před útoky XSS – XSS Prevention: Don’t Try This At Home. Autor shrnuje existující informace a říká: nedoporučuji vytvářet vlastní filtry, raději použijte otestovanou knihovnu pro prevenci XSS.

V Nizozemsku byla hacknuta osobní data 168 000 pasažérů veřejné dopravy – Transport website leaking private information of 168,000 passen­gers. Není jasné, zda útočníci se dostali i k tak citlivým datům, jako jsou čísla platebních karet.

LifeLock CEO’s Identity Stolen 13 Times – 13krát zneužili jeho ID (CEO společnosti Lifelock optimisticky zveřejnil číslo svého sociálního pojištění).

Jaké jsou zájmy čínských hackerů v USA? Ira Winkler, bezpečnostní odborník o nich hovořil ve svém vystoupení (Webcast), které organizovala společnost RSA – Black duck eggs and other secrets of Chinese hackers.

Německé hackerské fórum Carders.cc bylo samo hacknuto – Fraud Bazaar Carders.cc Hacked. Chráněný obsah jeho serverů nyní koluje po P2P sítích, přitom je možná i identifikace členů fóra a stejně tak i hesla, informace o platebních kartách a další informace, týkající se obětí hackerů.

Hardware

Kopírky vaší kanceláře mohou obsahovat osobní data – Photocopy Machines in the Office may have your Personal Data. Nikoliv nové varování, připojené video (stojí za zhlédnutí) ukazuje možné problémy – pevný disk, zapomenuté dokumenty) při prodeji použitých zařízení.Viz také starší článek – Paper Torn with a Document Shredder Can Be Reconstructed. I data ze skartovaček lze s určitým úsilím (a za určitých podmínek) rekonstruovat.

Bezdrát

Konec otevřeného, či jen málo zabezpečeného WiFi?. Jiří Peterka na Lupě: Nejvyšší spolkový soud v Německu uložil pokutu 100 € uživateli, jehož WiFi přípojku někdo jiný zneužil k šíření autorsky chráněného obsahu. Soud rozhodl na základě konceptu spoluodpovědnosti (Störerhaftung) a pokutu udělil nikoli za šíření obsahu, ale za nedostatečné zabezpečení vlastního WiFi: vlastník nezměnil výrobcem nastavené heslo na svém zařízení.

Google's WiFi snoop – who knew and who didn't?, ke sběru dat z bezdrátových sítí, které „nechtěně“ prováděla společnost Google. Článek obsahuje reakci na vyjádření Google, které publikovala tato společnost na svém blogu – WiFi data collection: An update.

Britští úřednici požadují, aby Google smazal data z bezdrátu – U.K. officials ask Google to delete Wi-Fi data. Obdobný požadavek vznesou pravděpodobně i další země.

Bezdrátový provoz studentů MIT – The wireless traffic of MIT students  – to je zajímavý přehled, který obsahuje řadu konkrétních čísel a údajů.

Mobilní telefony

Chraňte svá mobilní zařízení (a sebe také) – Protect your mobile device – and yourself. Kenneth van Wyk přichází s několika doporučeními. Jste majitelem zařízení jako jsou iPhone, iPod a iPad? Pak se s těmito doporučeními seznamte.

Elektronické bankovnictví

Je správa ID zákazníků bank dostatečná? Tom Olzak ukazuje, že ne vždy tomu tak je a uvádí některá doporučení – When bank ID management goes wrong.

Autentizace, hesla

Ve Velké Británii dochází k zastavení aktivit ohledně národního programu ID karet – UK to kill national ID card program. Vyplývá to z rozhodnutí nové vládní koalice.

Phishing

Phishing scam hits thousands on Twitter – Phishing na Twitteru, aneb chcete víc přátel? Dejte si však pozor! Tudy cesta nevede.

Normy a normativní dokumenty

Managing the private encryption keys to the kingdom, jak důležitá je správa soukromých klíčů. Článek obsahuje zamyšlení nad naplňováním požadavků PCI DSS v praxi. Viz také – PCI Compliance: Five Things You Need to Know.

Kryptografie

Komerční systém kvantové kryptografie byl hacknut – Science: Commercial Quantum Cryptography System Hacked, to je komentář k informaci – Commercial Quantum Cryptography System Hacked. Podle této informace však lze problém relativně snadno opravit.

Polynomiální redukce pro některé známé kryptografické problémy jsou obsahem studie Intractable Problems in Cryptography. Neal Koblitz a Alfred Menezes diskutují z pohledu teorie výpočetní složitosti takové problémy jako jsou řešení diskrétního logaritmu (DL) a Diffie-Hellmanův problém (DH).

Protecting FPGAs from power analysis aneb jak konstruovat ochranu FPGA před útokem z postranního kanálu typu analýza spotřeby proudu. Pankaj Rohatgi (Cryptography Research ) v rozsáhlejším článku uvádí přehled takovýchto útoků (power analysis – SPA, DPA), vysvětluje zranitelnosti FPGA v tomto směru a uvádí možná protiopatření.

Různé

Český a slovenský workshop Mikulášská kryptobesídka (MKB) se koná letos podesáté. Je zaměřen na podporu úzké spolupráce odborníků se zájmem o teoretickou a aplikovanou kryptografii a další příbuzné oblasti informační bezpečnosti.

Upozorňujeme všechny zájemce, že příspěvky je nutné zaslat do 30. září 2010.

Na workshopu zazní tyto zvané příspěvky:

  • Danilo Gligoroski (NTNU, Norsko) na téma SHA-3 a BMW
  • Paul Leyland (Cepia Technologies, ČR) na téma GPU a kryptoanalýzy
  • Tomáš Rosa (Raiffeisenbank a UK, ČR) na téma bezpečnosti RFID
  • Dan Cvrček (Apoideas, UK a VUT v Brně, ČR) na téma kryptografie v bankovnictví.
  • Petr Hanáček (VUT v Brně, ČR) a Petr Švenda (MU, ČR) na téma kryptografie v bezdrátových senzorových sítích

Součástí MKB je již tradičně i soutěž o nejlepší studentskou práci v oblasti informační bezpečnosti a kryptologie pod názvem KEYMAKER 2010.

Mezi autory nejlepších příspěvků bude rozdělena finanční odměna v celkové výši 150 tisíc Kč, kterou věnovali sponzoři workshopu.

Konečný termín pro podávání příspěvků je i zde stanoven na 30.září 2010.

Všichni zájemci o tuto tradiční akci s velmi přátelskou atmosférou a to ať jak z řad přednášejících, soutěžících nebo posluchačů jsou velmi srdečně zváni.
Další informace získáte na domovské stránce workshopu http://mkb.bus­lab.org/.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
120na80.cz: Cestovní nevolnost. Co pomůže?

Cestovní nevolnost. Co pomůže?

DigiZone.cz: Dabingové ceny znají letošní nominace

Dabingové ceny znají letošní nominace

DigiZone.cz: Deklarace kompatibility? Jen LG...

Deklarace kompatibility? Jen LG...

Vitalia.cz: Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Lupa.cz: Vydavatelé jsou v háji, ale neumí si to připustit

Vydavatelé jsou v háji, ale neumí si to připustit

Podnikatel.cz: 10 citátů Billa Gatese: tesat do kamene

10 citátů Billa Gatese: tesat do kamene

Vitalia.cz: Jíme přesolené potraviny. Zrovna tyhle

Jíme přesolené potraviny. Zrovna tyhle

Vitalia.cz: 7 receptur z pohanky. Svědčí zdraví

7 receptur z pohanky. Svědčí zdraví

DigiZone.cz: Noxon iRadio 1 W bude za pár měsíců

Noxon iRadio 1 W bude za pár měsíců

DigiZone.cz: HbbTV KinoSvět: už jede na dalších TV

HbbTV KinoSvět: už jede na dalších TV

DigiZone.cz: ČTÚ květen: rušení TV vysílání narůstá

ČTÚ květen: rušení TV vysílání narůstá

Lupa.cz: Facebook tlačí Moments a hrozí mazáním fotek

Facebook tlačí Moments a hrozí mazáním fotek

Podnikatel.cz: Výpadek internetu a #EET. Co s tím?

Výpadek internetu a #EET. Co s tím?

DigiZone.cz: Pardubicko: Výrazně posílen Mux 3

Pardubicko: Výrazně posílen Mux 3

Lupa.cz: Zaměstnanec T-Mobilu ukradl data o zákaznících

Zaměstnanec T-Mobilu ukradl data o zákaznících

Podnikatel.cz: Takhle si Babiš představuje nové daně

Takhle si Babiš představuje nové daně

120na80.cz: Léky a dietní opatření při kopřivce

Léky a dietní opatření při kopřivce

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

120na80.cz: Krémy, nebo spreje na opalování?

Krémy, nebo spreje na opalování?

DigiZone.cz: Kanály Novy na Slovensku oficiálně?

Kanály Novy na Slovensku oficiálně?