Bezpečnostní střípky za 30. týden roku 2006

Jaroslav Pinkava 31. 7. 2006

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Konference, obecná a firemní bezpečnost IT, software, malware, hackeři, bezdrát, rhybaření, autentizace, hesla, normy a normativní dokumenty, kryptografie, steganografie.

Konference

Ve dnech 21.-23.7 2006 se konala v New Yorku (hotel Pennsylvania) v pořadí šestá konference Hope. Hope je zkratka pro Hackers On Planet Earth a tato konference (první proběhla v roce 1994) je místem setkání pro tisíce počítačových hackerů, internetových aktivistů a dalších lidí s obdobnými zájmy. Na odkazu Speaker List najdete seznam jednotlivých vystoupení s jejich krátkou anotací. Např. Kevin Mitnick (Hackers in Prison) na konferenci hovořil o tom, jak se změnil jeho život po propuštění z vězení. Také vystoupil společně s dalšími dvěma hackery, které potkal obdobný osud (Mark Abene aka Phiber Optik + bernieS). Z některých dalších vystoupení lze vyjmout např. následující. Jason Davis demonstroval „nejrychlejší webovský cracker MD5“; Seth Hardy se podrobněji podíval na známý koncept „web of trust“ používaný v PGP; Karsten Nohl demonstroval některé novější útoky na RFID a mnoho, mnoho dalších zajímavých přednášek. Na internetu se objevila ke konferenci celá řada komentářů:

Black Hat Conference puts spotlight on NAC, Vista and rootkits – v Las Vegas sobotu 29.7. 2006 byla zahájena každoroční konference Black Hat. V článku jsou zmíněna dvě připravovaná vystoupení – nový rootkit Joanny Rutkowské a dále Ofir Arkin vystoupí k rizikům technologií NAC. Podrobnosti k průběhu konference budou zveřejňovány v průběhu týdne (odkazy najdete pak na Security-News) a vrátíme se k nim za týden.

Obecná a firemní bezpečnost IT

Užitečnou příručku pro implementace ISMS (Information Security Management System – Systém řízení bezpečnosti informací) na bázi BS 7799/ISO 27000 najdete na ISMS Implemetation Guide. Autor vychází z vlastních zkušeností z implementací a auditů ISMS. Dokument se mj. opírá o popis rozdílů, které přináší nová norma ISO 27000 oproti BS 7799–2:2002 (tento popis, který je zajímavý sám o sobě, najdete ve volně dostupném dokumentu http://asia.bsi-global.com/In­formationSecu­rity/ISO27001+Gu­idance/downlo­ad.xalter – nutná registrace). ISO 27001 obsahuje následujících jedenáct kapitol:

  • Security Policy
  • Organizing Information Security
  • Asset Management
  • Human Resource Security
  • Physical & Environmental Security
  • Communications and Operations Management
  • Access Control
  • Information Systems Acquisition, Development and Maintenance
  • Information Security Incident Management
  • Business Continuity Management
  • Compliance

Cestujete s počítačem? Pak jistě využijete alespoň některé náměty obsažené v průvodci ochranou cestovatele před krádeží dat – The Smart Traveler's Guide to Data Theft Protection. Z obsahu průvodce:

  • Základní a všeobecná doporučení
  • Nebezpečí internetových kaváren
  • Ochrana notebooku
  • VPN pro bezpečnou síť
  • Chraňte svoji e-mailovou poštu (šifrování)
  • Vyvarujte se lákavých nabídek pirátů

Studie End Point Security, Securing the Final Three Feet (Charles F. Moore) se zabývá otázkami bezpečnosti koncového bodu. Autor se na problém dívá z pozice síťového administrátora, který stojí před úlohou zvážit a naplánovat politiky a technologie pro zabezpečení počítačů pracovníků své organizace. Doba, kdy stačil kvalitní antivirový program a správně nakonfigurovaný firewall, je již bohužel za námi. V této souvislosti autor diskutuje i vlastnosti nových technologií (bezdrát, mobilní zařízení).

Příručku manažera, která se zabývá správou bezpečnostních rizik IT lze nalézt na stránce The SRM Blueprint: Managers Guide to Proactive IT Security Risk Management (nutná registrace). Desetistránková příručka obsahuje následující paragrafy:

  • 1. Analýza aktuálního stavu správy bezpečnostních rizik (SRM – Security Risk Management)
  • 2. Popis možných bariér pro proaktivní SRM
  • 3. Definice SRM, jeho klíčových procesů, proč analytické a automatizované nástroje hrají klíčovou roli
  • 4. Kroky, pomocí kterých organizace může začít využívat pokročilý model SRM
  • 5. Shrnuje nejlepší postupy (best practices) proaktivní SRM.

NSA (National Security Agency) a soukromí občanů – What Does the NSA Know About You?  – rozsáhlejší zajímavý článek diskutující problematiku práva občanů na soukromí v podmínkách současných technologií (postupující digitalizace života) a také aktuální mezinárodní politické situace (hrozby terorismu,…).

Software

Firefox as a mainstream security risk – three threats – Firefox se stává stejným terčem hackerů jako jiný obvykle používaný SW. Autor komentuje některé poslední útoky a zranitelnosti vztahující se k tomuto prohlížeči.

Volně (po registraci) si lze na TechRepublic stáhnout článek Linux 101: Establish more effective security capabilities with OpenSSH. Chad Perrin zde objasňuje OpenSSH, tj. open source implementaci SSH, vysvětluje, jak funguje a jak SSH používat a konfigurovat v rámci různých linuxových distribucí.

Budeme se s Windows Vista cítit bezpečněji? Deb Shinder v Will Vista make you more secure? přináší popis známých nových bezpečnostních prvků chystaného operačního systému (vestavěné bezpečnostní aplikace – Windows Firewall, Windows Defender, UAC – User Account Control, nová práva běžných uživatelů, zvýšená bezpečnost prohlížeče IE7 a další bezpečnostní prvky).

Bezpečnost webových aplikací není jen kvalitní heslo. Užitečná doporučení obsahuje Quality Assurance and Web Application Security, článek, jehož autorem je Ryan English. V závěru článku najde čtenář poměrně rozsáhlý seznam otázek, které by si při zvažování vlastností konkrétního produktu měl zodpovědět.

Bruce Schneier napsal pro Wired News samostatný článek k problematice botů – How Bot Those Nets?. Co můžete udělat, pokud ovládáte síť s tisíci počítači? Kromě legitimních projektů pro masivní paralelní výpočty (předpovědi počasí, faktorizace velkých čísel, hledání nového Mersennova prvočísla atd.), kdy ovšem se jedná o vědomou spolupráci majitelů těchto počítačů, se však dnes setkáváme i s vytvářením kontroly nad rozsáhlým množinou počítačů, ovšem bez vědomého „posvěcení“ jejich majiteli. Rozměr dnes největší sítě takovýchto botů je odhadován na jeden a půl milionů počítačů. Diskusi k článku s celou řadou zajímavých poznámek lze opět nalézt na Schneierově blogu.

První část návodu – Udělej si sám – SSL VPN – najdete na odkazu A DIY SSL VPN with SSL-Explorer – Part 1 (jedná se o open source SSL VPN s názvem SSL Explorer). Z obsahu:

  • Vlastnosti a HW požadavky
  • Příprava instalace
  • Samotná instalace
  • Nastavení. Tvorba certifikátu
  • Nastavení. Databáze uživatelů, privilegovaný uživatel, webovský server
  • Nastavení. Proxy, rozšíření
  • Nastavení. Přidání uživatele

Otestujte si svůj firewall pomocí Nmap – Nmap: Firewall configuration testing (Michael Cobb). Stručná doporučení, odkazy na celou řadu dalších článků ze stejného zdroje najdete na Network Security Tactics.

Malware, hackeři

Zpráva společnosti Kaspersky Lab Malware evolution: April – June 2006 mj. říká: dávejte si pozor – ransomware! Šifrovací algoritmy, které vyděrači začínají používat (a příslušná délka klíče), budou již příliš složité. Viz také další komentář k problematice na Ransomware getting harder to break.

Poslední díl zajímavého sedmidílného seriálu Odposloucháváme data na přepínaném Ethernetu vyšel tento týden na Lupě (Martin Haller).

80 procent nových typů malware antiviry neodhalí, tvrdí se v zprávě australského týmu Australian Computer Emergency Response Team (AusCERT) – Eighty percent of new malware defeats antivirus . Antiviry nefungují.

Letní varování pro nás napsal Tony Bradley, chraňte se před spyware:

Bezdrát

Šest kroků k ochraně vaší bezdrátové sítě popisuje Preston Gralla v 6 Steps To Protect Your Wireless Network:

  • Skryjte ID vaší sítě
  • Používejte šifrování
  • Odfiltrujte adresy MAC (jsou unikátní pro každý síťový HW)
  • Omezte počet použitelných IP adres (záleží to ale na vlastnostech vašeho routeru)
  • Hledejte vetřelce (sniffing)
  • Pro každé PC použijte firewall

Rhybaření

A druhé letní varování, jehož autorem je Tony Bradley – chraňte se před rhybáři:

Na téma rhybáři a VoIP napsal Kevin McLaughlin následující článek – Voice Phishers Work Harder To Get Your Number . Uvádí některé příklady. Tento typ podvodníků to má těžší – může mít problém se svou anonymitou.

Na serveru interval.cz vyšla první část článku věnovaného problémům souvisejícím s rhybařením – Phishing aneb rhybaření 1. (Jaroslav Pinkava). Najdete tam některé příklady a také informace související s pojmem sociálního inženýrství.

Autentizace, hesla

„Nejrychlejší“ cracker hesel Windows – Ophrack – vyšel ve verzi 2.3 – Ophcrack Live CD – The fastest Windows password cracker. ISO image příslušného Live CD lze stáhnout zde – download the ISO image .

Příručka Securing Your Apache Web Server with a Thawte Digital Certificate (po registraci lze volně stáhnout) podrobně popisuje postupy jednotlivých kroků při zabezpečení webového serveru (Apache) digitálním certifikátem Thawte:

  • systémové požadavky
  • generování soukromého klíče
  • generování žádosti o certifikát
  • použití testovacího certifikátu
  • vyžádání důvěryhodného certifikátu
  • konfigure SSL v Apache
  • instalace vašeho certifikátu
  • zabezpečení virtuálních hostitelských počítačů (host)
  • užitečná url
  • význam autentizace

Normy a normativní dokumenty

NIST tento týden vydal dvě části Special Publication 800–53:

Kryptografie

Využitím SAT (Boolean Satisfiability solver) autoři studie Applications of SAT Solvers to Cryptanalysis of Hash Functions (Ilya Mironov a Lintao Zhang) automatizují postupy při vyhledávání kolizí. Předpokládají, že SAT jako analytický nástroj najde v dalším širší využití pro ověřování a testování i v úlohách kryptoanalýzy.

Steganografie

Přehled steganografie An Overview of Steganography for the Computer Forensics Examiner sepsal Gary Kessler. Materiál je určen k využití při zkouškách z počítačové forenzní analýzy.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
120na80.cz: 7 překážek při odvykání kouření

7 překážek při odvykání kouření

DigiZone.cz: CZ a SK Digi TV budou spolupracovat

CZ a SK Digi TV budou spolupracovat

Vitalia.cz: Tohle je Břicháč Tom, co zhubnul 27 kg

Tohle je Břicháč Tom, co zhubnul 27 kg

120na80.cz: Jak se zbavit nadměrného pocení?

Jak se zbavit nadměrného pocení?

Podnikatel.cz: Daň z nemovitosti? Změny budou v říjnu

Daň z nemovitosti? Změny budou v říjnu

Lupa.cz: IT scéna po brexitu: přijde exodus vývojářů?

IT scéna po brexitu: přijde exodus vývojářů?

Podnikatel.cz: Od baletu k požární ochraně. A jiné rarity

Od baletu k požární ochraně. A jiné rarity

Vitalia.cz: Dermatolog radí: Pozor na citrusové vůně

Dermatolog radí: Pozor na citrusové vůně

Lupa.cz: Největší torrentový web KickassTorrents padl

Největší torrentový web KickassTorrents padl

DigiZone.cz: Skylink o půlnoci vypnul 12 525

Skylink o půlnoci vypnul 12 525

Podnikatel.cz: Tahle praktika stála šmejdy přes milion

Tahle praktika stála šmejdy přes milion

Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin

Vitalia.cz: Nejdůležitější změny v potravinářské novele

Nejdůležitější změny v potravinářské novele

DigiZone.cz: Test Noxon A560+: kvalitka do vaší věže

Test Noxon A560+: kvalitka do vaší věže

Vitalia.cz: Bio vejce nepoznají ani veterináři

Bio vejce nepoznají ani veterináři

Lupa.cz: Největší pitominy s logem “nyní smart a připojené”

Největší pitominy s logem “nyní smart a připojené”

Podnikatel.cz: Co vše musíte udělat, než vypukne EET?

Co vše musíte udělat, než vypukne EET?

Podnikatel.cz: Hlášení k DPH online? Pozor na lhůty

Hlášení k DPH online? Pozor na lhůty

Vitalia.cz: Cheese&Chilli: předsudky o nudné britské kuchyni

Cheese&Chilli: předsudky o nudné britské kuchyni

Podnikatel.cz: Profese budoucnosti? Úředník nepřežije

Profese budoucnosti? Úředník nepřežije