Bezpečnostní střípky: IT bezpečnost a politika

Jaroslav Pinkava 29. 6. 2009

Pravidelný přehled informací k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na doporučení pro administrátory ve vztahu ke kontrole bezpečnosti sítí, na popis rizik sociálních sítí a na některá základní bezpečnostní doporučení. Microsoft přichází s novým bezpečnostním softwarem.

Přehledy a konference

Z přehledu (Tufin) vyplývá, že 20 procent bezpečnostních profesionálů při auditech podvádí – Survey: 20% of IT security professionals cheat on audits. Je to z toho důvodu, že auditoři mají zájem, aby audit ve svém finále prošel. V krátkém článečku je dále obsaženo několik statistik získaných v tomto přehledu (zpracovaném na základě odpovědí 151 bezpečnostních profesionálů).

Společnost Finjan vydala svůj Cybercrime Intelligence Report, Issue 2, 2009. Najdete v něm několik aktuálních informací. Týkají se informací k síti a botnetu Golden Cash, systému jeho operací (distribuce malware) a „obchodování“.

Bezpečnost IT – zásahy do politiky

Situace v Íránu a boj na kybernetické frontě jsou předmětem článku Iranian hacktivists hand-crank DDoS attack. Farsi hackers do without botnets. John Leyden informuje o podobách kybernetických útoků souvisejících s děním v Íránu. Těmito otázkami se zabývají také články

Robert Gates, ministr obrany USA, schválil vznik U.S Cyber Command – Defense Secretary Gates approves creation of U.S. Cyber Command. Úkolem této organizace je ochrana vojenských sítí před kybernetickými hrozbami. Velením byl pověřen generál Keith Alexander. Organizace zahájí svou činnost 1. září a plně operační by měla být do října 2010.

Čínský cenzorský program umožňuje, aby malware mohl kontrolovat každý počítač v Číně – Exploit code for China's „Green Dam“ censorship app permits remote control of any Chinese PC. Green Dam musí být od 1. července 2009 na každém počítači, který je v Číně prodáván. Obsahuje zranitelnost umožňující vzdálenou kontrolu každého počítače s tímto programem. Další související informace jsou obsaženy v článku U.S. Demands China Revoke Web Filtering Requirement.

Také Velká Británie bude mít nové vedení pro kybernetickou bezpečnost – Cyber security tsar announced . Kybernetický boj proti jiným zemím, teroristům a kriminálním živlům se rozhodli nepodceňovat ani zde.

Velká Británie má kapacity k provedení kybernetického útoku – UK ‚has cyber attack capability‘ . Podle britského ministra je však nepoužívá ke špionáži proti jiným zemím.

7 ways to protect your brand from cybersquatters – jak se bránit proti kybernetickým squatterům? Tento problém se stává stále více aktuálním. Robert L. Mitchell se dotázal odborníků a zformuloval sedm doporučení.

Cyber-Scare. The exaggerated fears over digital warfare – jsou hodnocení kybernetických nebezpečí přehnaná? Jevgenij Morozov v rozsáhlém článku vyslovuje spíše skeptický pohled na současné popisy kybernetických hrozeb. Poukazuje na to, že jsou často vyslovována silná slova, která však nejsou podepřena faktickými argumenty. Odvolává se třeba na Marcuse Ranuma, analytika, který je rovněž tak znám svými skeptickými názory v tomto směru.
Poznámka (J.P): Autor však zanedbává jeden moment. Na situaci se dívá staticky, z hlediska právě aktuálního stavu. Bohužel vývoj v této oblasti jde dopředu velice rychle a právě obavy z dynamiky tohoto vývoje jsou skutečně na místě. Stačí se jen podívat na vývoj malware (a cest k jeho zneužití) v posledních dvou letech.

NSA a monitoring e-mailů jsou předmětem článku E-Mail Surveillance Renews Concerns in Congress . JAMES RISEN a ERIC LICHTBLAU v něm komentují jednání amerického Kongresu.

Evropská komise navrhuje zřízení nové nezávislé agentury ke správě velkých IT systémů určených ke kontrole hranic – Pan-European security agency proposed. Součástí spravovaných dat se mají stát již existující tři databáze (pro pasy, víza a otisky prstů), následně přibudou další biometrická data.

Obecná a firemní bezpečnost IT

Podstatné rysy pro cloud computing, tak jak je vidí Gartner, najdete sepsány v článku Gartner highlights five attributes of cloud computing. V článku je uvedena definice těchto výpočetních postupů a pět jeho základních atributů.

Byla zpracována příručka věnovaná identifikaci a interpretaci vznikajících hrozeb – Identifying and Addressing Evolving Threats. Příručka se skládá ze tří částí:

  • Better Safe Than Sorry: Why You Need an Information Security Strategy, and How to Build One
  • Data Breach: Creating an Organizational Strategy
  • Looking Back, Looking Ahead: Several CISOs Share Their Biggest Information Security Challenges This Year and Their Expectations for 2009

Secunia: co se týká nezabezpečených programů, které jsou na jednotlivých počítačích, jejich poměr je v současné době značně vysoký – Secunia: Average insecure program per PC rate remains high. Dancho Danchev v článku informuje o statistikách, které připravila společnost Secunia – WorldMap of patched and unpatched PCs.

Riziky sociálních sítí se zabývá článek Survey reveals social networkers' risky behaviors. Jsou v něm popsány výsledky přehledu, který připravila společnost Webroot. Příslušníci sociálních sítí jsou zranitelnější ve vztahu k finančním ztrátám, krádežím ID a infekcím malware.

Why Enterprises Shouldn't Limit Web Traffic aneb proč by podniky neměly omezovat provoz na internetu? Don Rosinger konstatuje mj., že zaměstnanci pak tráví více času pokusy obejít firewall než samotnou prací.

Schneier se pokoušel prodat svůj notebook na eBay – Fraudsters try to scam security expert on eBay . První dva kupující neměli se solidností nic společného, první z nich nakupoval z hacknutého účtu (Schneiera o tom informovala eBay), druhý stornoval platbu na PayPal a pokoušel se donutit Schneiera, aby poslal notebook i tak (opět ale Schneiera zachránilo varování PayPal).Viz také Schneierův blog – Fraud on eBay.

Trh s bezpečnostním SW roste i navzdory ekonomické recesi – Security-software market shrugs off economy . Vyplývá to ze šetření společnosti Gartner. Poněkud s tímto výsledkem nekoresponduje vystoupení Bruce Schneiera na akci Enisa (European Network and Information Security Agency) minulý pátek, kdy varoval před možným snižováním bezpečnostních rozpočtů organizací – Schneier: Security neglected in economic gloom.

Sedm smrtelných hříchů bezpečnosti domácí kanceláře vyjmenovává Joan GoodchildSeven Deadly Sins of Home Office Security. Jsou to následující:

  • Nedostatečná fyzická bezpečnost domácí kanceláře (přístup dětí,…)
  • Nemáte v počítači nainstalovánu většinu základních bezpečnostních opatření (routery, firewally, antiviry)
  • Zapomenete na bezpečnost bezdrátu (který používáte protokol, máte bezdrát správně nakonfigurován)
  • Zapomenete oddělit pracovní záležitosti od domácích (přístup členů rodiny k počítači s pracovními záležitostmi)
  • Kancelář musí budit důvěru
  • Nezálohujete svá data
  • Není zabezpečena kontinuita vašeho podnikání (živelné pohromy)

Síťová bezpečnost

Jestliže se zabýváme bezpečnostní sítě v organizaci, co vše je třeba prověřovat? Craig LoweryA Checklist for Network Security připravil pro systémové administrátory přehled opatření, kterými by se měli zabývat a které by měli ověřovat ve vztahu k bezpečnosti své sítě.

Software

Co chcete vědět o L0phtcrack 6, na související otázky odpovídá člen jeho vývojového týmu Chris Wysopal – Q&A: L0phtcrack 6.

Objevila se nová verze Security Onion LiveCD – Security Onion LiveCD: New version is available. Obsahuje SW potřebný k instalování, konfiguraci a testování systémů pro detekci průniků. Příslušné ISO si lze stáhnout zde – security-onion.

Microsoft vypustil do světa svůj nový bezpečnostní SW – Security Essentials (Morro) – Microsoft Security Essentials not quite a must-have. Stáhnout si jeho beta verzi mohlo jen 75 000 uživatelů v USA, Izraeli, Brazílii a Číně. Seth Rosenblatt uvádí první kritické připomínky. Viz také další komentář – Is Microsoft´s ´Morro´ Malware in Disguise?

SecureZip komprimuje, podepisuje, šifruje – SecureZip: More than just data compression. Michael Kassner popisuje základní vlastnosti tohoto programu. Jeho bezplatnou verzi si lze stáhnout zde – SecureZip Express.

Politika, která umožní se vyhnout XSS zranitelnostem, je součástí nových přístupů vývojářů Mozilly (Content Security Policy) – Shutting Down XSS with Content Security Policy. Viz také komentář – Mozilla´s new security policy.

Exploit, který využívá zranitelnost čínského cenzorského programu Green Dam, již koluje internetem  – Green Dam exploit in the wild. Ve svém článku o tom informuje Tom Espiner. Zranitelnost spočívající ve využití přetečení bufferu existuje i v poslední záplatované verzi Green Dam 3.17.

Malware

Útok Nine-ball, jeho význam je bezpečnostními odborníky hodnocen nejednotně – Nine-ball attack splits security researchers. Ruck over whether figures stack up. Se zprávou o tomto útoku přišla společnost Websense, oznámila v ní, že napadeno bylo 40 000 webů. Společnost ScanSafe však popisuje tento útok jako bezvýznamný, téměř neexistující. Carl Leonard, pracovník Websense k tomu říká: Útok Nine-ball je složitější než většina dosavadních útoků a není lehké ho pochopit a odhalit.

Your Botnet Questions, Answered aneb co byste měli vědět o botnetech. Hezký základní přehled problematiky, který zpracoval Erin Early (Lavasoft).

Deset cest, jak se vyhnout spyware a virům uvádí Erik Eckel (10 ways to avoid viruses and spyware) :

  1. Nainstalujte si kvalitní antivir
  2. Nainstalujte si ochranu proti spyware (fungující v reálném čase)
  3. Aktualizujte antimalwarové aplikace
  4. Provádějte každodenní skeny
  5. Zakažte autorun
  6. Zakažte předběžné prohlížení obrázků v Outlooku
  7. Neklikejte na odkazy v e-mailu a na jeho přílohy
  8. Brouzdejte opatrně
  9. Používejte HW firewall
  10. Služby DNS – využívejte ochrany (např. OpenDNS)

Nový bezpečnostní program Microsoftu je v testech úspěšný – MS no-frills security scanner gets thumbs up in early tests. Security Essentials does what it says on the tin. Program Microsoft Security Essentials (Morro) byl testován nezávislou testovací laboratoří AV-test.

Hackeři

Rozhovor s Kevinem Mitnickem najdete na stránce Q&A: Kevin Mitnick, from ham operator to fugitive to consultant. Mitnick v něm vypovídá o své životní cestě, jak začínal a také čím se zabývá nyní.

Hardware

Akustický útok z postranního kanálu na tiskárny je předmětem studie, o které informuje článek How Printers can Breach our Privacy: Acoustic Side-Channel Attacks on Printers. Pětice autorů (Michael Backes, Markus Dürmuth, Sebastian Gerling, Manfred Pinkal, Caroline Sporleder) vyzkoušela tento typ útoku na jehličkové tiskárny, které jsou používány v zdravotnické praxi. Viz také diskuzi na Schneierově blogu – Eavesdropping on Dot-Matrix Printers by Listening to Them.

Bezdrát

Neautorizovaná bezdrátová zařízení ve firemní síti, touto problematikou se v článku Pull the Plug on Unauthorized Wireless Devices zabývá John Edwards. Ve své analýze problematiky uvádí existující hrozby, cesty detekce a nápravy.

Mobilní zařízení

V článku Survey shows concern about mobile device security jsou uvedena některá číslu z přehledu, který zpracovala Harris Interactive a je věnován bezpečnosti mobilních zařízení. Dvě třetiny vlastníků mobilních zařízení mají obavy z jejich bezpečnosti, část je pak raději nepoužívá k finančním službám a online nákupům.

Forenzní analýza

Sysinternals Live – web, který pomůže online, pokud nemáte sebou potřebné nástroje – Live Investigations. Z webu této služby si můžete potřebné nástroje k vašemu šetření stánout kdekoliv zrovna jste. V článku je popsána funkčnost některých z nich (odkaz na samotné stránky – SysInternals).

Autentizace, hesla

Práce s hesly je problémem i pro IT bezpečnostní profesionály, konstatuje se v článku Even IT security pros can't be bothered with passwords. Tento uvádí data z přehledu Credant Technologies, který se týkal práce s mobilními zařízeními.

Elektronický podpis

Kryptografický guru volá po nových SSL certifikátech – Crypto guru urges incentives for SSL cert rec. Come in MD5, your time is up. Dr. Taher Elgamal (vynálezce technologie SSL) – certifikáty s MD5 jsou stále používány, a to i přes známé výsledky o možnostech pro vytváření kolizí této hashovací funkce.

Kryptografie

IBM přichází s novým přístupem k šifrování – IBM Researcher Solves Longstanding Cryptographic Challenge. Homomorfní šifrování má umožňovat práci se zašifrovanými daty a to tak, že nebude zpochybněna jejich důvěrnost. Autorem metody je Craig Gentry. Bohužel odkaz na konkrétní popis algoritmu chybí.

widgety

Různé

Akademie CZ.NIC je dalším z projektů sdružení CZ.NIC, správce české domény nejvyšší úrovně. Výukové centrum, jenž se pod tímto názvem skrývá, nabízí zájemcům možnost odborného vzdělávání v oblasti internetu a internetových technologií. Kurzy jsou určeny všem, kteří se chtějí dozvědět více o vypsaných tématech, vyzkoušet si přednášenou látku v praxi, podělit se o zkušenosti s lektory, ale také s ostatními návštěvníky kurzů.

  • Problematika infrastruktury veřejných klíčů (PKI), 25.06.2009, Pavel Vondruška
  • ENUM v praxi, 10.-11.09.2009, Petr Hruška, Lukáš Macura
  • Problematika infrastruktury veřejných klíčů (PKI), 23.09.2009, Pavel Vondruška
  • Principy a správa DNS, 14.-15.10.2009, Ondřej Surý
  • Optimalizace PostgreSQL, 26.10.2009, Ing. Pavel Stěhule
  • DNSSEC – zabezpečení DNS, 29.10.2009, Ondřej Surý

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Dostal malý pivovar ze Slovenska do Tesca

Dostal malý pivovar ze Slovenska do Tesca

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Koncesionářské poplatky pro RTVS

Koncesionářské poplatky pro RTVS

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Chystá se smršť legislativních novinek

Chystá se smršť legislativních novinek

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: 5 pravidel proti infekci močových cest

5 pravidel proti infekci močových cest