Hlavní navigace

Bezpečnostní střípky za 2. týden roku 2006

16. 1. 2006
Doba čtení: 9 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: obecná a firemní bezpečnost IT, software, malware, hacking - knihy, rootkity, hardware, autentizace, normy a normativní dokumenty, kvantová kryptografie a kvantové počítače.

Obecná a firemní bezpečnost IT

Komentář k novému přehledu FBI – 2005 FBI Computer Crime Survey – najdete na FBI says attacks succeeding despite security investments. Přehled (který je jinak orientovaný než známý přehled CSI/FBI Computer Crime and Security Survey) byl zpracován na základě odpovědí 2066 organizací (ve státech Iowa, Nebraska, New York a Texas) na 23 zadaných otázek. Některé závěry, které ze získaných odpovědí vyplynuly:

  • Bezpečnostní software a hardware neuspěly při prevenci více než 5000 incidentů. 87 procent respondentů mělo zkušenost s nějakým typem incidentu.
  • Společným zdrojem frustrace respondentů byly neustálé útoky virů, trojanů, červů a spyware.
  • Antiviry, antispyware, firewally a antispamový software používají skoro všichni. Tomuto softwaru se však nedaří zadržet útočníky.
  • Hlavní zdroje externích útoků mají původ zejména v následujících zemích – USA, Čína, Nigerie, Německo, Rusko a Rumunsko.

Zpráva konstatuje, že útoky jsou bohužel úspěšné i přes široké využití bezpečnostního software. Dokonce existuje pozitivní korelace mezi množstvím použitých bezpečnostních opatření a počtem útoků DOS. Je to zřejmě tím, že takovéto (bohatě vybavené z hlediska preventivních bezpečnostních opatření) organizace jsou pro útočníky atraktivnějším cílem a také tím, že díky bohatšímu využití těchto bezpečnostních technik existuje v těchto organizacích více informací o uskutečněných útocích. O tom, že jejich organizace byla cílem útoků, vypovědělo 87 procent respondentů. Obvyklé jsou opakované útoky. Také hrozby zevnitř organizace jsou aktuálním problémem (44 procent respondentů odpovědělo v tomto směru pozitivně).

Na vyžádání (po registraci) lze na stránkách RSA Security získat zajímavý dokument – Trends and Attitudes in Information Security (23 stran). Komentář k němu (a další diskusi) najdete zde – RSA comes clean: MITM on the rise, Hardware Tokens don't cut it, Certificate Model to be Replaced!. Dokument popisuje současné trendy IT bezpečnosti a to i včetně obchodního pohledu. Vychází ze situace na 4 velkých obchodních trzích – USA, Velká Británie, Francie a Německo. Nejprve podává přehled současného vnímání problematiky důvěry a jistot zákazníků ve vztahu k bezpečnosti internetu a následně detailně popisuje rostoucí hrozby útoků typu „man in the middle“. Obecně je pocit bezpečnosti zákazníků na internetu ovlivněn zejména následujícími třemi činiteli:

  • 1. Jistota, že weby, které sbírají a udržují citlivé informace, podnikají všechno možné k zajištění bezpečnosti jejich transakcí.
  • 2. Vnímání skutečnosti, že banky a obchodníci dělají vše, co je třeba k zajištění bezpečnosti internetových transakcí.
  • 3. Pocit faktu, že libovolná finanční ztráta z online transakcí bude nahrazena bankou, společností pro kreditní karty nebo online obchodníkem.

Zajímavá jsou čísla, která uvádí, kolik utratí průměrný zákazník na internetu. Například v září 2005 to bylo 153 Euro (UK – 231 Euro, USA 129 Euro). V druhé části materiálu jsou diskutovány problémy spojené s existujícími hrozbami. Aktuální hrozby typu rhybaření (phishing) jsou efektivní v situacích, kdy oběť používá statický identifikační kód (heslo, PIN). Tyto útoky však jsou neutralizovány použitím jednorázových hesel (generovaných tokenem či čipovou kartou), takovýto kód platí pouze pro velice omezený časový interval (obvykle kratší než jedna minuta), a nebo je využitelný pouze jedenkrát. Dále pak v materiálu jsou rozebírány i další, komplikovanější hrozby.

Ve Velké Británii bylo schváleno založení institutu pro profesionály IT bezpečnosti – IT security body approved. Jeho budoucí název je – The Institute of Information Security Professionals (IISP).

V USA – Feds to banks: Put security policies in writing  – podle nových doporučení v bankovnictví (Federal Reserve Board – new guide je nezbytné, aby bezpečnostní politiky organizací existovaly v písemné formě všude tam, kde se pracuje s osobními údaji klientů.

Problematikou ochrany ukládaných dat ve vztahu k požadavkům na shodu s regulačním ustanoveními (USA) se zabývá článek Security and Compliance: Danger Lurks for Stored Data.

Pět častých chyb při správě zranitelností popisuje Anton Chuvakin v Five mistakes of vulnerability management:

  • 1. Prováděný scan není následován patřičnými aktivitami.
  • 2. Pocit, že záplatování a správa zranitelností jsou jedno a to samé. Není to pravda.
  • 3. Pocit, že správa zranitelností je pouze technický problém.
  • 4. Správa zranitelností není prováděna s ohledem na celkovou situaci.
  • 5. Není dostatečná příprava na neznámé – exploity nulového dne (zero-day exploits).

K tématu – jak zabezpečit nové PC – se vrací článek Jennifer LeClaire New PC? How to Set Up a Safe, Secure System. Autorka dává několik doporučení.

Recenzi nástroje pro provádění penetračních testů Core Impact 5.0 napsal Alessandro Perilli. Je to ve světě asi nejznámější nástroj tohoto typu.

Insider Threat je recenze stejnojmenné knihy, autorem recenze je Ben Rothke. Autory knihy jsou Eric Cole, Sandra Ring. Kniha – 1.vydání – vyšla v prosinci 2005 v naklada­telství Syngress, najdete ji např. na Amazonu. Jak název knihy napovídá, zaměřili se autoři na hrozby pocházející zevnitř organizace, na hrozby, jejichž zdrojem je „důvěryhodný“ interní pracovník (anglické slovo trusted zde svým významem odpovídá ale spíše sousloví – ten, komu byla svěřena důvěra).

Software

Silně kritické zamyšlení nad vztahem Microsoft a počítačová bezpečnost přináší Adam L. Penenberg v Microsoft vs.Computer Security. Podle autora se situace stává jen horší. Na druhou stranu nelze zcela jednoduše říci, že Microsoft v tomto směru nic nepodniká (alespoň v detailech, když už ne v globálu). Například Tom Shinder si dal práci a identifikoval deset technologických nástrojů (pro Windows), jejichž potenciál je podle něho nedoceněn – Top 10 valuable (but underused) Microsoft security technologies. Jsou např.:

  • TCP/IP filtering
  • Group policy software restriction policies
  • Internet Authentication Server (IAS)
  • Encrypting File System
  • Microsoft Certificate Services

Will Windows Vista eliminate third-party security apps? – v článku si Robert Vamosi klade následující otázku – co budou znamenat bezpečnostní prvky, které Microsoft přidává do svého nového operačního systému Windows Vista? Např. Windows Vista budou mít konečně svůj dvoucestný firewall, antispyware atd.

Objevila se aktualizovaná verze (leden 2006) dokumentu Linux Security HOWTO, tedy – „Jak na bezpečnost v Linuxu“ (autorem dokumentu je Kevin Fenzi). Uvedeme názvy alespoň některých kapitol:

  • 3. Physical Security
  • 4. Local Security
  • 5. Files and File system Security
  • 6. Password Security and Encryption
  • 7. Kernel Security
  • 8. Network Security
  • 9. Security-Enhanced Linux
  • 10. Security Preparation (before you go on-line)
  • 11. What To Do During and After a Breakin

Z popisu dokumentu – tento materiál je obecným přehledem bezpečnostních problémů, kterým čelí administrátor linuxových systémů. Dotýká se jednak obecné filozofie bezpečnosti a jednak je v něm uvedena celá řada konkrétních příkladů, které popisují, jak lépe zajistit váš linuxový systém před útočníky.

Rozsáhlejší zamyšlení nad problematikou záplat najdete v článku Opinion: Why Third-Party Patching Isn't A Good Solution For Zero Day Exploit .

Malware

Malware – future trends je studie Dancho Dancheva (AT Hush.com) v rozsahu cca 26 stran. Mj. obsahuje následující – zhodnocení současného stavu, faktory, které podporují vznik a šíření malware a popis budoucích trendů.

Komentář k boji se spyware – Fighting Spyware Is Never-Ending Battle, jehož autorem je Andrew Garcia, se zabývá především následující otázkou. Čemu dnes čelí a dále budou čelit odpovídající antispywarové produkty a také samotné podniky?

Shirley O'Sullivan v Viruses…in an Instant se zabývá v poslední době často diskutovanou otázkou – Instant Messaging a malware. Organizace by neměly tento rostoucí problém podceňovat.

Nápad holandské firmy – distribuce malware ze spolehlivého zdroje :-), za účelem ověření bezpečnostních funkcí (penetrační tety, antiviry,…) komentuje John Leyden – Malware on tap scheme draws flak

Hacking – knihy

První zmíněnou knihou je druhé vydání Counter Hack Reloaded: A Step-by-Step Guide to Computer Attacks and Effective Defenses (autoři – Edward Skoudis, Tom Liston). Autorem recenze je Tony Bradley. Samotnou knihu najdete na Amazonu.

Dále je zde páté vydání knihy Hacking Exposed autorů Stuart McClure, Joel Scambray a George Kurtz – McGraw-Hill. Na internetu lze stáhnout dvě vybrané kapitoly této knihy – Chapter 4: Hacking Windows a Chapter 9: Firewalls

Konečně v listopadu 2005 vyšlo druhé vydání knihy Wireless Hacks: Tips & Tools for Building, Extending, and Securing Your Network (O'Reilly Media, Inc., 463 stran), autory jsou Rob Flickenger a Roger Weeks. Recenzi Tony Bradleyho najdete na Book Review a samotnou knihu pak např. na Amazonu.

Rootkity

ESET oznámil, že jeho antivirový produkt NOD32 (na bázi technologie ThreatSense®) byl doplněn o nástroj chránící uživatele a organizace proti škodlivým aplikacím, které využívají rootkity – ESET Delivers Proactive Protection From Malicious Rootkits.

Mark Russinovich kritizuje Symantec a Kaspersky Lab za používání rootkitů ve svých produktech – Symantec, Kaspersky criticized for cloaking software. Jedná se o Symantec's Norton SystemWorks a Kaspersky's Anti-Virus. Použité techniky by však snad neměly být tak nebezpečné jako technika, která byla použita pro Sony DRM (Sony's XCP – Extended Copy Protection – software).

Hardware

O nedávném patentu (blokace RFID – RSA Security) i o souvisejících problémech v praxi hovoří Burt Kaliski na blogu RSA – The Blocker Tag.

Recenzi HW nástroje pro analýzu bezdrátových sítí – Review: Security – AirMagnet Handheld Analyzer – napsala Laura Taylor. Ze závěru: Pro každou organizaci, která provozuje bezdrátovou síť, bude AirMagnet Handheld Analyzer užitečným nástrojem v problémových situacích a při odhalování bezpečnostních zranitelností (cena samotného analyzátoru je zhruba tři tisíce dolarů).

Autentizace

Rollie Hawk v Windows password auditing and recovery popisuje problematiku auditu a rozkrytí (cracking) hesel ve Windows. Jednak se zabývá celkovou filosofií přístupu k problematice, ale také uvádí konkrétní nástroje (bezplatné – Pwdumpn, Cain & Abel , John the Ripper) a postupy.

Krádeže osobních dat pokračují, tentokrát byl oznámen další případ v exkluzivním hotelu Atlantis (2300 pokojů) na Bahamách – IDs of 50,000 Bahamas resort guests stolen: Kerzner. Byla ukradena data 50 000 zákazníků hotelu (ukradené informace obsahují jména, adresy, detaily kreditních karet, čísla sociálního pojištění, čísla řidičských průkazů a čísla bankovních účtů). Také Connecticut bank hlásí ztracenou pásku s osobními daty bankovních klientů (počet klientů, kterých se to týká je 90 000) – Bank tape lost with data on 90,000 customers.

Na blogu RSA publikuje John Madelin velice zajímavý seriál k problematice autentizace. Poslední část má název The Authentication Continuum II, předešlé dvě části pak – Authentication is bigger than Identification, The Authentication Continuum.

Bruce Schneier publikoval článek k problematice anonymity na internetu – Anonymity Won't Kill the Internet. Doporučuje důsledně rozlišovat vztah dvou pojmů – anonymita a odpovědnost. A poznamenává, v některých situacích je anonymita důležitá z hlediska ochrany osobních informací. Viz také diskusi na Schneierově blogu.

Normy a normativní dokumenty

Byla vydána druhá verze draftu – Elliptic Curve Cryptography with PKIX. Plný název draftu je Additional Algorithms and Identifiers for use of Elliptic Curve Cryptography with PKIX. Jeho autorem je mladý, ale již dobře známý kryptolog Daniel R.L. Brown (Certicom).

Vyšla celá serie rfc pro protokol SSH:

Kvantová kryptografie, kvantové počítače

Spin Doctors Create Quantum Chip – vědci Michiganské univerzity oznamují vytvoření prvního kvantového čipu, který se může stát základem pro novou generaci počítačů. Christopher Monroe, profesor fyziky Michiganské univerzity k tomu říká: „Naším cílem je vývoj čipu, který dokáže zachytit (do tzv. iontové pasti) současně 10 iontů, nejprve však je třeba ukázat, že princip pracuje.” V článku není popsáno využití technologie např. pro Shorův faktorizační algoritmus. Tento vyžaduje pro rozbití algoritmu RSA simultánní práci s vektorem qubitů v délce, která je řádově v tisících.

Nové komunikační zařízení pro kvantovou kryptografii emituje jediný foton – Quantum crypto one step closer. Na UCSB (University of California Santa Barbara) byly dosaženy v tomto směru nové výsledky. Jsou důležité z hlediska zamezení detekce fotonů protivníkem. Ta je možná, pokud je souběžně vysláno několik identických fotonů.

Také Toshiba Research Europe Ltd. (TRRL) a vědci z Cambridgské univerzity (University of Cambridge) oznámily nové výsledky – Entangled photons seen as route to secure comms.

Různé

Profesorka Wangová, technologický růst Číny, čínští hackeři a FBI – to jsou témata zajímavého článku Melindy Liu – High-Tech Hunger. The Goal: Make China a technology powerhouse—critics say by any means necessary. Inside Beijing's ‚863 program.‘

root_podpora

K odposlechům NSA se vrací Mark Rasch na SecurityFocus – Wiretapping, FISA, and the NSA.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?