Bezpečnostní střípky: konference Black Hat

Jaroslav Pinkava 23. 2. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na popis triků sociálního inženýrství, na seznamy nástrojů, bez kterých se neobejdou IT profesionálové a samozřejmě na materiály a komentáře k vystoupením na konferenci Black Hat.

Konference

Letošní konference Black Hat 2009 proběhla ve dnech 16.-19. února 2009. Stručné anotace jednotlivých vystoupení najdete na této stránce – Black Hat DC 2009 Briefings Speakers. Podrobnosti pak na Speakers and Topics, na této stránce jsou k dispozici různé formy přednesených materiálů (video, audio, článek, prezentace). Pokud materiál existuje v některé ze zmíněných podob, je příslušná ikona osvětlena. Některá z těchto vystoupení budou zmíněna v další části přehledu.

Obecná a firemní bezpečnost IT

USA potřebují mít vydefinovánu politiku pro zvládnutí kybernetického prostoru – Advisor: U.S. needs policy to defend cyberspace . ROBERT LEMOS komentuje vystoupení Paula Kurtze (poradce amerických prezidentů George Bushe a Billa Clintona pro kybernetickou bezpečnost) na konferenci Black Hat. Podle Kurtze by potřeba této strategie se měla odrazit v již probíhající šedesátidenní revizi politiky kybernetické bezpečnosti. Měly by se ujasnit tyto tři okruhy problémů:

  • Strategie výzvědných služeb ve vztahu k ovládání kybernetického prostoru
  • Vývoj a používání kybernetických zbraní
  • Která organizace má stát na čele v případě velkého výpadku internetu či útoku

Potřebujeme nový internet? JOHN MARKOFF v New York Times není první, kdo klade tuto otázku – Do We Need a New Internet?. Internet, tak jak byla jeho původní koncepce vytvářena, měl sloužit akademickým a vojenským kruhům, nepředpokládalo se, že jednou bude zahrnovat veškeré světové komunikace a obchod. Autor pak zmiňuje projekt Stanfordské univerzity – Clean Slate.

Jak zachránit data – DAVID SILMEN na Digitálně.cz: „Data jsou v podstatě to nejcennější, co uživatel na počítači má. Přitom o ně může přijít vcelku jednoduše, a to i vlastní vinou. Co dělat, když si smažete důležitá data nebo poškrábete médium?“ Autor v článku uvádí některé využitelné nástroje.

Naruby: Největší mýty počítačové bezpečnosti, to je šest poznámek, jejichž autorem je ONDŘEJ BITTO.

Message Labs předkládají doporučení k webové a e-mailové bezpečnosti pro rok 2009 – Top 5 Security Tips for 2009. Podrobněji rozebráno je pět následujících doporučení (nezbytná je registrace):

  1. Zabezpečte více než jen jednu linii obrany
  2. Vychovávejte své uživatele ve vztahu k rizikům
  3. Kontrolujte přístup na web
  4. Postavte se čelem k hrozbám
  5. Buďte si vědomi svých povinností, které vyplývají ze zákonů

BT (British Telecom) – britská vláda ho úkoluje k monitoringu internetového provozu – UK.gov to tap BT as data harvester. Opírá se přitom o evropskou směrnici: European Union Data Retention Directive (EUDRD).

Devět špinavých triků sociálního inženýrství popisuje v článku na csoonline.com JOAN GOODCHILD – 9 Dirty Tricks: Social Engineers' Favorite Pick-Up Lines. Dozvíme se, čemu tedy bychom neměli věřit. Některé triky až zaráží svou jednoduchostí, přečtěte si.

Hrozbám, jejichž původem jsou interní zaměstnanci, je věnován článek New Insider Threat Emerges in the New Economy . Je popsáno pět kroků pro zpracování programu, který detekuje a chrání před interními hrozbami. Dále je rozebíráno, proč tyto hrozby v roce 2009 porostou a také je zde obsažena klasifikace typů interních hrozeb.

Na téma nebezpečí pocházející od interních zaměstnanců (bohužel aktuální) napsal esej rovněž BRUCE SCHNEIER – Insiders . V připojené diskuzi je zmíněna i trochu rozsáhlejší studie (10 stran) na toto téma – Towards A Theory Of Insider Threat Assessment.
Schneierova doporučení jsou následující:

  • Omezte počet lidí, kterým je svěřena důvěra
  • Ujistěte se, že tito lidé jsou také důvěryhodní
  • Omezujte množství důvěry svěřené každému z těchto lidí
  • Využívejte překrývající se sféry důvěry
  • Detekujte narušení důvěry po jeho nastání a požeňte viníky k odpovědnosti

Zdravotní data v elektronické podobě a jejich ochrana v USA, touto problematikou se zabývá článek Security Challenges of Electronic Medical Records. Jeho autor FEISAL NANJI rozebírá využívání tzv. Electronic Medical Record (EMR) a problémy s ochranou těchto záznamů před možným zneužitím.

Pirátství na pracovištích, to je starý známý problém. Vrací se k němu JOHN MOORE v článku Content Pirates Behind Company Lines. Co s tím mohou udělat firmy (organizace)?

Komentář k vystoupení ADAMA LAURIE na konferenci Black Hat si můžete přečíst v článku Satellite-hacking boffin sees the unseeable. Zajímavé bylo jeho téma – hackování satelitní komunikace.

Software

Třináct IT profesionálů odpovídá na otázku: Bez kterých nástrojů se neobejdou ve své práci? Odpovídají přitom profesionálové různých typů (konzultanti, vývojáři, administrátoři), v odpovědích najdete pochopitelně i bezpečnostní nástroje (pro přístup k článku je nezbytná registrace na TechRepublic) – 10+ IT pros share the utilities and tools they can't live without. Zmíněny jsou např.:

Bezpečnostní hodnocení TCP (Transmission Control Protocol) najdete na stránce SECURITY ASSESSMENT OF THE TRANSMISSION CONTROL PROTOCOL (TCP). Na rozsáhlý (130 stran) materiál upozornil Jaroslav Vorlíček. V dokumentu jsou identifikovány možné hrozby a tam, kde to bylo možné, jsou navržena vhodná protiopatření.

Kaminsky vyzývá k používání DNSSec – Kaminsky calls for DNSSEC deployment . Jeho vystoupení na konferenci Black Hat komentuje ROBERT LEMOS. Mimo jiné je také poukazováno na problémy související s implementací DNSSec. Tyto jsou přitom až politického rázu (rootové domény).

Fórum k síťové bezpečnosti a bezpečnosti internetu – je na stránce Internet / Network Security forum . Můžete tam najít odpovědi na různé otázky, třeba i ty, které vás momentálně zajímají.

Bezpečným alternativám pro ftp je věnována stránka FTP, SFTP and FTP/S. V článku najdete základní popis vlastností protokolů ftp, ftp/s, sftp a scp.

Na základě zranitelnosti opravené záplatou Microsoftu minulý týden rozpracovali hackeři nový útok na IE 7, který umožňuje krást informace. Útok se šíří prostřednictvím wordovského dokumentu (na nezáplatovaných počítačích) – New attacks on IE7 go wild. Info-stealing software remotely installed.

Zatímco v minulém případě zachrání včasná záplata, tak nově se objevivší útok prostřednictvím infikovaných souborů pdf je účinný i tehdy, když máte plně záplatovaný Adobe Reader – New in-the-wild attack targets fully-patched Adobe Reader. Nalezená zranitelnost (nezáplatovaná) zřejmě funguje na více typech operačních systémů a může být zneužita k instalaci malware na počítači nic nepodezřívajícího uživatele. Doporučuje se vypnout javascript v Readeru.

Potřebu bezpečného provedení e-mailu rozebírá CHAD PERRIN – Email needs safe rendering. HTML e-maily, jejich potenciální nebezpečnost je známa, co by se tedy mělo změnit?

MICHAEL SUTTON na konferenci Black Hat popsal možný útok na PC prostřednictvím Gmailu – Google gears Gmail for PC hack attack.

Open source SW je bezpečnější než proprietární SW, prohlásil ROMAN TUMA (Sun Microsystems) na akci Open Source Singapore Pacific-Asia Conference – Open source traits lead to secure applications.

Reckless Driving on the Internet aneb co způsobila česká firma (a chyby v SW). Earl Zmijewski podrobně rozebírá postup českého poskytovatele Supronet. Viz také Malý český ISP způsobil světový kolaps.

Komentář k vystoupení MOXIE MARLINSPIKE na konferenci (útok man-in-the-middle proti SSL) najdete v článku Man-in-the-middle attack sidesteps SSL. Prezentaci autora najdete na tomto odkazu – New Tricks For Defeating SSL In Practice. Viz také – Hacker pokes new hole in secure sockets layer. Opět se ukazuje, ža v praxi nejde jen o to využívat bezpečný protokol (nějak), ale, že je třeba zajistit i prostředí, ve kterém pracuje.

S analýzou hacku Intelovského TXT (Trusted Execution Technology) vystoupili na konferenci Black Hat RUTKOWSKA a WOJTCZUK – Researchers detail Intel TXT hacks at Black Hat. Tento hack byl oznámen již v lednu, na konferenci pak autoři přišli s dalšími podrobnostmi. TXT (Trusted Execution Technology) je technologie, která má za cíl zajistit bezpečné stahování systémového software (aktualizace jádra operačního systému apod.).

Top-10 Vulnerability Discoverers of All Time (as well as 2008) – Who's in Pole Position? – top 10 objevitelů zranitelností všech dob. Kdo objevuje většinu bezpečnostních zranitelností? GUNTER OLLMANN informuje o výsledcích týmu X-Force Vulnerability Database.

Bezpečnostní problémy Twitteru rozebírá JOAN GOODCHILD – 3 Ways Twitter Security Falls Short. ukazuje následující tři:

  • Krácené url
  • Příliš snadné následování jednotlivých uživatelů
  • Chybí autentizace e-mailů

Viz také – Is Twitter Bad for National Security?.

Malware

Missing the Wood for the Trees – nevidíme les kvůli stromům, konstatuje RICHARD CLAYTON v komentáři ke zprávě CANN working group report on fast-flux hosting (k doménám s malware). Zpráva se zabývá problémem phishing versus hosting (resp. tzv. fast-flux hosting).

Conficker má dvojče – nebezpečnější – Conficker worm gets an evil twin. Nová varianta červa Conficker/Downadup obsahuje nové techniky ke stahování malware a jeho tvůrci mají více možností pro manipulaci s infikovanými počítači.

Hackeři

Stránky firmy BitDefender obsahují bezpečnostní chybu – Hackers: BitDefender site exposes private data (yet again). Již podruhé během krátké doby hackeři nalezli problém na stránkách této firmy (ale minule se to týkalo prodejce produktů této firmy v Portugalsku, nyní jsou to přímo stránky mateřské firmy). Mimochodem, týž rumunský hacker našel prý bezpečnostní chybu i na stránkách Symantecu, firma však její nebezpečnost popřela – Hacker Claims SQL Bug on Symantec Site.

Je reálné hacknout Obamovo Blackberry? To je zamyšlení TOMA OLZAKA, ve kterém uvádí možná pro a proti – Repeat after me, anything can be hacked.

VoIP

NSA offering ‚billions‘ for Skype eavesdrop solution – nabízí NSA miliardy firmě, která jí pomůže odposlouchávat Skype? Informace, která snad pronikla u příležitosti akce v Londýně – Counter Terror Expo.

Autentizace, hesla

CAPTCHA pro Hotmail byla znovu rozbita – Spammers break Hotmail's CAPTCHA yet again, spammeři slaví úspěch.

Balancing Security and Usability in Authentication, autentizace jako kompromis bezpečnosti a použitelnosti, tyto otázka je rozebírána v nové eseji BRUCE SCHNEIERA. Schneier mimo jiné diskutuje otázku, proč jsou stále používána slabá hesla (a to i administrátory sítí a serverů). Politiky by měly být přitom nastaveny tak, aby takovéto momenty byly vyloučeny. Připojená diskuze stojí určitě rovněž za přečtení.

Phishing

Příklad phishingu (tzv. aktualizace účtu PayPal) prostřednictvím HTML e-mailu najdete na stránce A practical example of why HTML email is a bad idea. CHAD PERRIN rozebírá e-mail, který on sám obdržel.

Nový typ kombinovaného phisherského útoku (wildcard DNS a XSS) je diskutován v článku New Phishing Attacks Combine Wildcard DNS and XSS. Poprvé byl tento útok detekován 10. února (společností Netcraft). Celý postup (využívající stránky obsahující zranitelnou verzi iRedirector Subdomain Edition) lze bohužel snadno automatizovat.

Biometrie

Vietnamští odborníci na konferenci Black Hat ukázali, jak lze oklamat biometrický systém (biometrie obličeje) zabudovaný v některých noteboocích (Lenovo, Toshiba a Asus). Zranitelnost nelze opravit – Researchers hack facial biometrics.

Kryptografie

Průvodcem pro implementace kryptografického párování je studie Implementing cryptographic pairings: a magma tutorial . Autoři (Luis J Dominguez PEREZ, Ezekiel J KACHISA, and Michael SCOTT) se při popisu algoritmů zaměřili na využití balíku Magma software package.

widgety

Materiál FBI z roku 2000, který však stále není bez zajímavosti, je malým přehledem šifer a kódů, které využívá podsvětí – Analysis of Criminal Codes and Ciphers.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Digi2GO u Alza.cz a s balíčkem Sport zdarma

Digi2GO u Alza.cz a s balíčkem Sport zdarma

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Podnikatel.cz: Dva měsíce na EET. Budou stačit?

Dva měsíce na EET. Budou stačit?

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Podnikatel.cz: Kalousek chce odklad EET. Předvolební tah?

Kalousek chce odklad EET. Předvolební tah?

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír