Bezpečnostní střípky: nové vydání Computer Security Handbook

Jaroslav Pinkava 9. 3. 2009

Pravidelný přehled informací k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na nové stránky s informacemi k počítačové bezpečnosti určené pro širokou veřejnost (USA), zprávu společnosti Secunia k bezpečnosti prohlížečů a na páté, značně rozšířené vydání knihy Computer Security Handbook.

Přehledy a konference

Roční přehled Online Wellbeing společnosti F-Secure říká, že lidé nejsou online stále dostatečně chráněni – F-Secure survey finds people still insecure online. Lidé pociťují nejistoty ve vztahu k online bankovnictví, k bezpečnému brouzdání dětí po internetu a také ve vztahu k ochraně informací ohledně platebních karet při online nákupech. V odkazovaném článku je z tohoto přehledu vytaženo několik statistik dokumentujících stávající situaci. Např. 54 % respondentů je přesvědčeno, že nenaletí na phisherský e-mail, zatímco 27 % respondentů si není jisto, jestli phisherský e-mail rozpozná. Padesát procent respondentů věří bezpečnosti svého online bankovnictví, ale jen šest procent respondentů se cítí být chráněno při online transakcích prováděných s pomocí platební karty.

Obecná a firemní bezpečnost IT

NSA povede kybernetickou obranu USA – Spy agency gains support for key cyber role. Právě ona k tomu má mít dostatečný odborný potenciál, který dále bude rozšiřován. Tato otázka byla po nástupu Baracka Obamy předmětem rozsáhlých úvah.

Vyzkoušejte agenta, který vás bude varovat před nebezpečnými weby, to je informace k programu McAfee SiteAdvisor 2.9 – freeware. Podobnou funkci má třeba také AVG.

Sociální sítě – mění se pohled na přístupy k nim z počítačů organizací – Facebook, Twitter, LinkedIn: Security Pros Warm to Web 2.0 Access. Facebook, Twitter, LinkedIn atd., většina organizací (podle provedeného přehledu to bylo 86 procent) již neblokuje přístupy zaměstnanců do těchto sociálních sítí, některé organizace dokonce vytváří politiky, které říkají, jak se zaměstnanci mají v těchto sítích chovat.

V USA vzniklo nové fórum (Je určeno široké veřejnosti), které je věnováno problematice ochrany dat – Surveillance Self-Defense site. Komentář k jeho vzniku najdete v článku EFF launches data protection toolkit for all. Smyslem projektu je vytvořit volně dostupný archiv informací ohledně nejlepších bezpečnostních postupů. Informace přitom mají zahrnovat rozsáhlé spektrum otázek, např. přivést uživatele k nástrojům, které mohou používat při šifrování a anonymizaci dat. Již dnes na těchto stránkách lze najít širokou škálu informací (ve formě dostupné řadovému uživateli).

Na YouTube se můžeme mimo jiné setkat také s nelegálním obchodem – Illegal Trading on YouTube. Na odkazované stránce je uvedena řada příkladů.

Computer Security Handbook Fifth Edition is ready, to je recenze pátého vydání knihy Computer Security Handbook. Tato dvoudílná kniha má nyní celkem 2040 stran a 77 kapitol (oproti 54 v minulém vydání). Vyšla v únoru 2009, najdete ji například na Amazonu. Autory knihy jsou Seymour Bosworth, M. E. Kabay a Eric Whyne.

Ochrana organizace a správa rizik jsou tématem článku Securing the corporation. The Alpha and Omega of risk management. Jon Collins v něm rozebírá východiska pro kvalitně nastavenou správu rizik. Navazuje na své dva předchozí články:

Chraňte svoji organizaci před nespokojenými zaměstnanci – Protect your organization from disgruntled workers. Selena Frye posbírala několik zdrojů z poslední doby, které se daného tématu týkají. Některé z nich již byly na těchto stránkách zmíněny.

Child porn suspect ordered to decrypt own hard drive. Self-decryption not self-incrimination – podezřelému z dětské pornografie bylo nařízeno dešifrovat svůj pevný disk. V USA je to jedno z prvních použití takovéhoto nařízení. Viz diskuzi na Schneierově blogu – Judge Orders Defendant to Decrypt Laptop.

Únik citlivých informací k prezidentově helikoptéře je možnou hrozbou pro Obamovu bezpečnost – Navy Releases New Information On Presidential Security Leak. Informace unikly již v loňském létě.

Příklad z praxe aneb jak ze zákazníků udělat piráty – How To Turn Customers Into Pirates. Uplatnění některých prostředků pro ochranu autorských práv (DRM) může ve svém konečném dopadu mít zcela opačný efekt.

Bruce Schneier vydal novou esej – Privacy in the Age of Persistence (ochrana soukromí v kritických obdobích). Nové technologie pronikají hlouběji do našeho soukromí a mění se celý obraz světa. Schneier říká, že musíme diskutovat tyto velké sociální změny a také to, co přináší. Budoucnost musí být taková, aby naše děti na nás mohly být hrdé.

Software

Společnost Secunia vydala zprávu, která se zabývá bezpečností prohlížečů v roce 2008 – Secunia Stay Secure. 2008 Report. Komentář k této zprávě je obsažen v článku Fanning the Flames of the Browser Security Wars. Kromě množství objevených zranitelností je třeba také si všímat, s jakou rychlostí na ně bylo reagováno.

How to integrate the security of both physical and virtual machines – jak integrovat bezpečnost fyzických a virtuálních počítačů? Michael Cobb poukazuje na číslo (pocházející ze zprávy společnosti Gartner), které říká, že 60 % virtuálních strojů bude v roce 2009 zabezpečeno hůře než jejich fyzické protějšky. Rozebírá pak problémy související se zabezpečením virtuálních počítačů. Týkají se dvou úloh, jednak takových, které se vztahují k lidem (správa bezpečnosti, politiky) a jednak takových, které se týkají použitých bezpečnostních nástrojů.

Spravujte svá rizika, která se týkají webových aplikací – 10 ways to manage your risk with Web applications. Polly Schneider Traylor uvádí deset doporučení:

  • První svůj projekt tohoto typu naplánujte do oblasti, kde pro vaše podnikání nemohou vzniknout velké škody.
  • Vyhodnoťte svá rizika.
  • Poskytovatele vybírejte opatrně.
  • Pochopte do hloubky jeho infrastrukturu a přístupy.
  • Zajímejte se, jak se váš poskytovatel vypořádává s obnovou po havárii.
  • Mějte vše v písemné formě.
  • Mějte dobré vztahy se svým poskytovatelem.
  • Vyhledávejte nové monitorovací nástroje.
  • Zvažte pomoc bezpečnostního konzultanta.
  • V případě průniku či ztráty dat mějte promyšleny vhodné strategie (typu PR a pro vhodné reagování).

Nezáplatovaná pdf zranitelnost je velmi nebezpečná – Unpatched PDF bug poses growing threat, say researchers. Doporučení společnosti Adobe (vypnout JavaScript) je zřejmě nedostatečné. Záplata bude k dispozici snad v nadcházejícím týdnu.

S deseti doporučeními pro zabezpečení databáze Microsoft Access přichází Susan Sales Harkins – 10 tips for securing a Microsoft Access database:

  • Ověřujte a resetujte bezpečnostní nastavení prostřednictvím makra AutoExec.
  • Skryjte okno databáze.
  • Nastavte AllowBypassKey na False.
  • Rozdělte databázi.
  • Vyhněte se funkci Compact On Close.
  • Skryjte některé objekty (tabulky, dotazy, formuláře) před uživateli.
  • Jako bezpečnostní prvek používejte také vyhodnocování chyb.
  • Databázi chraňte heslem.
  • Konvertujte do formátů mde či accde.
  • Také systém chraňte heslem.

Proč a zda Supronet shodil Internet – horké hlavy utichly, a tak je možná čas na klidnější analýzu.

Bezpečnost sítí

Sniffing: Odposlech datové komunikace, Jiří Obl ml. v úvodu tohoto článku říká: Sniffing je technika, při které dochází k ukládání a následnému čtení TCP paketů. Používá se zejména při diagnostice sítě, zjištění používaných služeb a protokolů a odposlechu datové komunikace. V tomto článku si popíšeme, co s touto metodou zvládne rozhněvaný zaměstnanec nebo šikovný hacker a co proti tomu můžeme dělat.

Malware

Beyond Downadup: Security expert worries about smart phone, TinyURL threats  – červ Downadup/Conficker – co přijde po něm? Ve svém zamyšlení Bob Brown poukazuje zejména na možné hrozby, které přijdou ve vztahu k mobilním zařízením (chytrým mobilům, netbookům). Poukazuje také na nebezpečí, která se mohou skrývat v sociálních sítích.

A o některých očekávaným aktivitám červa Conficker v březnu se můžete dozvědět z článku Conficker to disrupt legitimate domains in March. Společnost Sophos ve své zprávě (Conficker Collateral Damage for March 2009) uvádí, že nejméně čtyři domény budou mít narušenu svou činnost.

Červ Conficker, přichází další aktualizace Conficker gets upgraded with defenses. Anti-cabal resistance. Podle odborníků ze společnosti Symantec se objevil nový modul, který byl rozpoznán na některých infikovaných počítačích. Autorům červa zřejmě v současné době nejde ani tolik o zvyšování počtu počítačů, které jsou červem infikováni, jako o zvýšení jeho „užitkových vlastností“. Viz také článek - Conficker Worm Strikes Back With New Variant.

V průměru pět procent firemních PC je infikováno botem – Five per cent of all company PCs infected with bots . Obvykle přitom trvá až 54 dní, než je bot detekován. A dokonce po 180 dnech zbývá ještě patnáct procent nedetekovaných infekcí. Zranitelnost firem vůči botům vyplývá především z nedostatečné jejich detekce.

From (& To) Russia, With Love – z Ruska, s láskou – parafráze titulu známého filmu vede k článku o aktivitách kybernetické kriminality pocházející z Ruska. Zavirované e-maily a viry však přichází i z adres patřících různým vládním agenturám a bankovním institucím.

Hackeři

Německá policie uzavřela hackerské fórum – German police close down cracker forum . Fórum se zabývalo nelegální činností (prodej SW pro kradení hesel, nabízelo informace jak vyhledávat a krást citlivá data a jak padělat platební karty), jeho operátorem byl 22letý Švýcar.

Autentizace, hesla

Identifikačním kartám je věnována volně dostupná kapitola Identity Cards and Identity Romanticism knihy Lessons from the Identity Trail: Anonymity, Privacy and Identity in a Networked Society profesora Michaela Froomkina. Jsou zde zejména diskutovány rozlišné kritické názory k jejich využívání (v různých zemích). Komentáře najdete na Schneierově blogu – Michael Froomkin on Identity Cards.

Phishing

Phishing for dummies, to je článek na blogu společnosti KasperskyLabs. Jsou zde obsaženy komentáře k předpokládanému vývoji v roce 2009 (ve vztahu k problematice phishingu) a také je podrobněji rozebrán jeden příklad phishingu.

Studie, kterou vytvořili autoři Tyler Moore a Richard Clayton – Evil Searching: Compromise and Recompromise of Internet Hosts for Phishing – je věnována otázce: odkud přichází phisherské útoky? Komentář (napsal ho jeden z autorů studie) k jejím výsledkům najdete na stránce Evil Searching. Za 75,8 % útoků jsou zodpovědné kompromitované počítače, bezplatný hosting za 17,4 % a za zbytek jsou zodpovědny různé gangy. Právě ty však z phishingu vytěžují většinu peněz.

Normy a normativní dokumenty

Pracovní skupina IETF pkix vydala v uplynulém týdnu pět draftů:

Americký NIST vydal následující tři dokumenty:

Kryptografie

Starší Schneierův materiál (Kryptoanalýza blokových šifer – samostudium – Self-Study Course in Block Cipher Cryptanalysis), je nepochybně stále užitečný přehled titulů, se kterými je vhodné se v této problematice seznámit.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

DigiZone.cz: Milan Fridrich: ČT se soustředí na prime time

Milan Fridrich: ČT se soustředí na prime time

DigiZone.cz: Jsou obchody připraveny na DVB-T2/HEVC?

Jsou obchody připraveny na DVB-T2/HEVC?

120na80.cz: SOS aneb spálená pokožka

SOS aneb spálená pokožka

120na80.cz: Jaké plavecké pomůcky vaše dítě ochrání?

Jaké plavecké pomůcky vaše dítě ochrání?

Vitalia.cz: Paní výčepní: Holka, co mluví chlapům do piva

Paní výčepní: Holka, co mluví chlapům do piva

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

DigiZone.cz: Skylink: do pátku může docházet k výpadkům

Skylink: do pátku může docházet k výpadkům

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Vitalia.cz: Bio vejce nepoznají ani veterináři

Bio vejce nepoznají ani veterináři

Měšec.cz: Investice do drahých kovů - znáte základní chyby?

Investice do drahých kovů - znáte základní chyby?

Podnikatel.cz: Prodej na Alibabě? Malí hráči utřou nos

Prodej na Alibabě? Malí hráči utřou nos

Lupa.cz: eIDAS: elektronické dokumenty platí jako papír

eIDAS: elektronické dokumenty platí jako papír

DigiZone.cz: Kauza technik: oficiální vyjádření Novy

Kauza technik: oficiální vyjádření Novy

Vitalia.cz: Největší chyby při podávání vína?

Největší chyby při podávání vína?

Vitalia.cz: Zmrzlinu? Ani snad ne

Zmrzlinu? Ani snad ne

Měšec.cz: Banky umí platby na kartu, jen to neříkají

Banky umí platby na kartu, jen to neříkají

Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin

DigiZone.cz: Žhavé novinky u IPTV operátorů

Žhavé novinky u IPTV operátorů

DigiZone.cz: Ve Varech představeni i noví "Četníci"

Ve Varech představeni i noví "Četníci"