Bezpečnostní střípky: lepší ochrany pro aplikace Google?

Jaroslav Pinkava 22. 6. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na postupy pro nejlepší archivaci dat, článek na csoonline.com, který pomůže napsat lepší IT bezpečnostní politiku a informaci o chystaném antiviru společnosti Microsoft.

Obecná a firemní bezpečnost IT

Také Velká Británie má v plánu vybudovat nové centrum kybernetické bezpečnosti  – Whitehall plans new cyber security centre to deter foreign hackers. Centrum bude zaměřeno na boj proti zahraničním hackerům. Viz také – UK.gov to create central cybersecurity agency.

Obětí plánů na obranu kybernetické bezpečnosti USA se může stát soukromí – Privacy May Be a Victim in Cyberdefense Plan. Thom Shanker a David E. Sanger komentují plány Obamovy administrace a Pentagonu. O budoucnosti soukromí se široce diskutuje také na Schneierově blogu – The „Hidden Cost“ of Privacy.

Popis nejlepších postupů pro archivaci dat, takový úkol si dal autor studie Best Practices for Data Archiving. Studie (Realtime Publishers) rozebírá implementace systémů, které mají za úkol chránit obsah archivovaných dat. Diskutované postupy třídí do čtyř kategorií:

  • Politiky
  • Procedury
  • Lidé a jejich povědomí
  • Produkty pro archivaci

Článek Protect: Protect Today, Secure Your Future. Best Practices se věnuje problému ochrany dat v koncových bodech. Je to sice P.R. článek společnosti Symantec, obsahuje ale shrnutí důležitých momentů ve vztahu k ochraně dat, k obraně před průniky.

Íránská opozice organizuje kybernetický útok proti vládním stránkám – Iranian opposition launches organized cyber attack against pro-Ahmadinejad sites. Další důkaz toho, jak virtuální svět již zasahuje do světa reálné politiky.

How to Write an Information Security Policy aneb jak napsat efektivní politiku pro informační bezpečnost. Jennifer Bayuk přichází na stránkách csoonline.com s nesporně užitečnými a pro praxi použitelnými informacemi. Článek mj. obsahuje i osm bodů, které popisují ve stručnosti to, co vše by měla taková politika informační bezpečnosti zahrnovat.

Mission Impossible? A Plan to Secure the Federal Cyberspace – USA – zabezpečení vládního kyberprostoru – je to Mission Impossible? První část z chystané třídílné série článků Ariela Silverstona.

Twitter hraje klíčovou roli v útocích DoS v Iránu – Twitter plays key role in DoS attacks in Iran. Jaikumar Vijayan popisuje podrobnosti, sociální síť se ukázala jako efektivní nástroj k mobilizaci kybernetických útoků.

Software

Bezpečnost databází, k této problematice se váže studie Data Discovery and Classification in Database Security Dana Sullivana. Tato studie (první část z třídílné série) se zabývá procesy pro monitorování aktivit databází. Druhá část se pak má věnovat zranitelnostem databází a třetí bude popisovat strategie vhodné k odstranění příslušných rizik a také bude popisovat související kontroly.

New steganographic tool: Virtual Steganographic Laboratory, tento článek ve stručnosti popisuje vlastnosti nového steganografického nástroje. Software lze používat jak pro steganografické účely (samotná steganografie a a její analýza), tak také např. pro vytváření vodoznaků.

Po pěti letech byla vydána nová verze kryptografické knihovny Nettle – Nettle library.

Bezpečnostní kapacity tlačí na Google, aby šifroval – Top Security Minds Urge Google to Encrypt All Services. Bezpečnostní nastavení pro Gmail, Google Docs a Calendar nejsou dostatečná. Objevuje se stále větší množství veřejně dostupných nástrojů, které umožňují hackerům provádět útoky na tyto služby. Viz také článek Google cloud told to encrypt itself. Reakci Google si můžete pak přečíst zde – HTTPS security for web applications. Slovenský článek věnovaný tomuto tématu je na tomto odkazu – Gmail bude štandardne celý zabezpečený.

Byla vydána nové verze programu TrueCrypt s číslem 6.2a – TrueCrypt 6.2a released. Byly opraveny některé chyby. Stáhnout novou verzi si můžete zde – Latest Stable Version – 6.2a.

Na světě je program, který umí analyzovat php kód na XSS a SQL-injection zranitelnosti – MIT/Stanford/Sy­racuse Team Develop New PHP Intepreter-Based XSS and SQL Security Tester. Originální článek je pak zde - Automatic Creation of SQL Injection and Cross-Site Scripting Attacks.

Malware

Prevent malware from spreading by e-mail links and attachments aneb jak se chránit před malware, který je šířen prostřednictvím e-mailů. Michael Kassner v populárním výkladu toho, čeho by si měl být každý vědom.

Bývalí pracovníci Google spustili službu detekující malware na webech – Ex-Googlers behind new security service that flags malware on Web sites. Dasient (název nové firmy) Web Anti-Malware je ale placenou službou (od 50 dolarů měsíčně výše).

Nine-Ball – objevila se nová infekce ohrožující webové stránky – Nine-Ball mass injection attack compromised 40,000 sites. Angela Moscoritolo píše, že již bylo infikováno až 40 000 legitimních webů, které následně infikují uživatele trojanem kradoucím informace.

Viry

O bezpečnostních problémech některých antivirů informuje Symantec – Security problems in multiple anti-virus products.

Jak dobrý bude nový antivir Microsoftu? Ed Bott v článku How good is Microsoft´s free antivirus software? sděluje výsledky své analýzy – pozitivní. Viz také – Bezplatný antivírus od Microsoftu – všetky informácie pokope.

Hackeři

Hackeři IT systémů telefonních společností dopadeni – International telecom hacker group busted. Cílem těchto hackerů bylo získat možnost volání zdarma. Skupina fungovala po celém světě. Viz také – Default Passwords Led to $55 Million in Bogus Phone Charges.

Byla hacknuta služba Cligs – Hacker Hits URL Shortening Service Cligs. Služba, která provádí zkracování url pro Twitter, byla napadena prostřednictvím bezpečnostní díry. Viz také Hacker cracks TinyURL rival, redirects millions of Twitter users.

Útoky zombie jsou na prodej, nekupte to – Zombie attacks on sale for a fiver. Golden Cash a „milestone in the cybercrime evolution“. Pracovníci společnosti Finjan informují o svých zjištěních. Za 5 až 100 dolarů vám (samozřejmě nelegální) síť botnetů nainstaluje malware na 1000 počítačích. Malware umí krást informace a rozesílat spam.

Hardware

Nedostatky v bezpečnosti při využívání tiskáren jsou na denním pořádku – Samsung survey shows poor print security . Vyplývá to z přehledu společnosti Samsung Electronics provedeného v evropskch zemích. Vytištěné dokumenty se snadno dostávají i do rukou těch, kterým nepatří. Také nejdou dostatečně ošetřeny útoky proti samotným tiskárnám (pevné disky z tiskáren lze snadno vyjmout, dále co se týče penetračních útoků v síti proti tiskárnám – jejich možnosti nejsou zjišťovány a tudíž nejsou ani volena vhodná protiopatření.

Objevil se nový nástroj (USB, EnCase Portable) k špionáži v počítačích. Vznikla k němu zajímavá diskuze na Schneierově blogu – New Computer Snooping Toolz.

Bezdrát

Publikován byl SW pro cracknutí šifrování bezdrátové klávesnice – Software for cracking wireless keyboard encryption published. Jeho autory jsou Max Moser a Thorsten Schröder. Týká se to bezdrátových klávesnic Optical Desktop 1000 a 2000.

RFID

Ocelovým pouzdrům na RFID je věnován článek – Stainless steel wallet review. Chad Perrin volně diskutuje využitelnost a vlastnosti takového produktu.

Mobilní telefony

Deset cest k bezpečnějšímu používání iPhone vám poradí Michael Kassner – 10 ways to secure the Apple iPhone.

Zkušenosti z forenzní analýzy zařízení Blackberry jsou obsahem článku Common Pitfalls of Forensic Processing of Blackberry Mobile Devices. Eoghan Casey v něm vysvětluje některé obtíže při prováděné analýze.

Útoky na iPhone jsou zase předmětem článku iPhone Hackers Get a Break. Na konferenci Black Hat příští měsíc budou Charles a Vincenzo Iozzo informovat o své metodě, která umožňuje spouštět neautorizovaný SW i pro verzi 2.0 operačního systému iPhone.

A bezpečnosti nové verze iPhone OS 3.0 je věnován článek The security of iPhone OS 3.0. Tato bezplatná aktualizace přináší vylepšení některých bezpečnostních aplikací a článek o nich poměrně podrobně informuje.

Elektronické bankovnictví

Email Sender Authentication Deployment. Best Practices and Considerations for Financial Institutions aneb bezpečný e-mail ve finančních službách. Rozsáhlá studie se věnuje postupům, které jsou navrhovány jako součást boje proti phishingu. Viz také komentář – BITS releases guide for implementing email authentication protocols.

O jednom podvodu informuje článek An Odyssey of Fraud. Brian Krebs v něm popisuje příběh, který se týkal neoprávněných výběrů z účtů.

Autentizace, hesla

Intellectual property: Do you have a leak?  – intelektuální vlastnictví – ukradli vám něco a umíte to zjistit? Michael Kassner na blogu TechRepublic nejprve rozebírá podstatu problému a uvádí pak několik nástrojů, které by měly v této souvislosti pomoci.

Pět volně dostupných nástrojů pro rozesílání anonymních zpráv v článku An Investigator's To­olkit: 5 Free Tools to Send Anonymous Messages popisuje Brandon Gregg.

Nejlepší bezpečnostní postupy pro OpenID jsou popsány v dokumentu OpenID Security Best Practices (materiál je průběžně upravován). Viz také stručný komentář Eda Bellise – OpenID Publishes Security Best Practices.

Slovensko – Vyhlásili výzvu na elektronický občiansky preukaz. Ministerstvo financií SR (MF) vyhlásilo výzvu na Národný projekt elektronická identifikačná karta, na ktorý vyčlenilo maximálnu sumu 46,5 mil. eur vrátane dane z pridanej hodnoty (DPH). …

Phishing

Zákazníci polského UPC se stali obětí phishingu – Zákaznicí polského UPC obětí phisingu (odkaz je včetně gramatické chyby). Do e-mailových schránek abonentů platformy UPC Polska dorazil podvodný e-mail, který se je snažil přesvědčit, aby klikli na odkaz a následně zadali své přihlašovací údaje do patřičných polí.

O phishingu, jeho metodách informuje na svých stránkách také Tony Bradley – Gone Phishing! Experts Weigh In On Why Phishing „Works“. V závěru článku je několik dalších odkazů, které se také váží k problematice phishingu.

Normy a normativní dokumenty

V uplynulém týdnu se objevily dvě publikace amerického NISTu:

Kryptografie

Tři argumenty k tomu, proč je šifrování přeceňováno, uvádí autor článku 3 Reasons Why Encryption is Overrated:

  • Síla budoucí výpočetní techniky
  • Správa klíčů
  • Legislativa vztahující se k rozkrytí klíčů

Článek vzbudil polemické reakce – viz například – On encryption and why it's overrated.

Bruce Schneier se na svém blogu obrací k poslednímu útoku na SHA-1, nepřehlédněte také diskuzi – Ever Better Cryptanalytic Results Against SHA-1.

Kerckhoffovy principy pro šifry z dnešního pohledu, to je zajímavé téma článku Six principles of practical ciphers. Chad Perrin se pokouší o dnešní upřesnění historických principů Augusta Kerckhoffa (1883).

widgety

Různé

Zajímavý článek The Ultimate Lock Picker Hacks Pentagon, Beats Corporate Security for Fun and Profit vyprovokoval také diskuzi na Schneierově blogu – Lockpicking. I české weby mají k tématu co sdělit, např.: Vše o lockpickingu.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Lupa.cz: Kde leží hardwarový pupek světa?

Kde leží hardwarový pupek světa?

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB