Hlavní navigace

Bezpečnostní střípky za 30. týden roku 2006

31. 7. 2006
Doba čtení: 7 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Konference, obecná a firemní bezpečnost IT, software, malware, hackeři, bezdrát, rhybaření, autentizace, hesla, normy a normativní dokumenty, kryptografie, steganografie.

Konference

Ve dnech 21.-23.7 2006 se konala v New Yorku (hotel Pennsylvania) v pořadí šestá konference Hope. Hope je zkratka pro Hackers On Planet Earth a tato konference (první proběhla v roce 1994) je místem setkání pro tisíce počítačových hackerů, internetových aktivistů a dalších lidí s obdobnými zájmy. Na odkazu Speaker List najdete seznam jednotlivých vystoupení s jejich krátkou anotací. Např. Kevin Mitnick (Hackers in Prison) na konferenci hovořil o tom, jak se změnil jeho život po propuštění z vězení. Také vystoupil společně s dalšími dvěma hackery, které potkal obdobný osud (Mark Abene aka Phiber Optik + bernieS). Z některých dalších vystoupení lze vyjmout např. následující. Jason Davis demonstroval „nejrychlejší webovský cracker MD5“; Seth Hardy se podrobněji podíval na známý koncept „web of trust“ používaný v PGP; Karsten Nohl demonstroval některé novější útoky na RFID a mnoho, mnoho dalších zajímavých přednášek. Na internetu se objevila ke konferenci celá řada komentářů:

Black Hat Conference puts spotlight on NAC, Vista and rootkits – v Las Vegas sobotu 29.7. 2006 byla zahájena každoroční konference Black Hat. V článku jsou zmíněna dvě připravovaná vystoupení – nový rootkit Joanny Rutkowské a dále Ofir Arkin vystoupí k rizikům technologií NAC. Podrobnosti k průběhu konference budou zveřejňovány v průběhu týdne (odkazy najdete pak na Security-News) a vrátíme se k nim za týden.

Obecná a firemní bezpečnost IT

Užitečnou příručku pro implementace ISMS (Information Security Management System – Systém řízení bezpečnosti informací) na bázi BS 7799/ISO 27000 najdete na ISMS Implemetation Guide. Autor vychází z vlastních zkušeností z implementací a auditů ISMS. Dokument se mj. opírá o popis rozdílů, které přináší nová norma ISO 27000 oproti BS 7799–2:2002 (tento popis, který je zajímavý sám o sobě, najdete ve volně dostupném dokumentu http://asia.bsi-global.com/In­formationSecu­rity/ISO27001+Gu­idance/downlo­ad.xalter – nutná registrace). ISO 27001 obsahuje následujících jedenáct kapitol:

  • Security Policy
  • Organizing Information Security
  • Asset Management
  • Human Resource Security
  • Physical & Environmental Security
  • Communications and Operations Management
  • Access Control
  • Information Systems Acquisition, Development and Maintenance
  • Information Security Incident Management
  • Business Continuity Management
  • Compliance

Cestujete s počítačem? Pak jistě využijete alespoň některé náměty obsažené v průvodci ochranou cestovatele před krádeží dat – The Smart Traveler's Guide to Data Theft Protection. Z obsahu průvodce:

  • Základní a všeobecná doporučení
  • Nebezpečí internetových kaváren
  • Ochrana notebooku
  • VPN pro bezpečnou síť
  • Chraňte svoji e-mailovou poštu (šifrování)
  • Vyvarujte se lákavých nabídek pirátů

Studie End Point Security, Securing the Final Three Feet (Charles F. Moore) se zabývá otázkami bezpečnosti koncového bodu. Autor se na problém dívá z pozice síťového administrátora, který stojí před úlohou zvážit a naplánovat politiky a technologie pro zabezpečení počítačů pracovníků své organizace. Doba, kdy stačil kvalitní antivirový program a správně nakonfigurovaný firewall, je již bohužel za námi. V této souvislosti autor diskutuje i vlastnosti nových technologií (bezdrát, mobilní zařízení).

Příručku manažera, která se zabývá správou bezpečnostních rizik IT lze nalézt na stránce The SRM Blueprint: Managers Guide to Proactive IT Security Risk Management (nutná registrace). Desetistránková příručka obsahuje následující paragrafy:

  • 1. Analýza aktuálního stavu správy bezpečnostních rizik (SRM – Security Risk Management)
  • 2. Popis možných bariér pro proaktivní SRM
  • 3. Definice SRM, jeho klíčových procesů, proč analytické a automatizované nástroje hrají klíčovou roli
  • 4. Kroky, pomocí kterých organizace může začít využívat pokročilý model SRM
  • 5. Shrnuje nejlepší postupy (best practices) proaktivní SRM.

NSA (National Security Agency) a soukromí občanů – What Does the NSA Know About You?  – rozsáhlejší zajímavý článek diskutující problematiku práva občanů na soukromí v podmínkách současných technologií (postupující digitalizace života) a také aktuální mezinárodní politické situace (hrozby terorismu,…).

Software

Firefox as a mainstream security risk – three threats – Firefox se stává stejným terčem hackerů jako jiný obvykle používaný SW. Autor komentuje některé poslední útoky a zranitelnosti vztahující se k tomuto prohlížeči.

Volně (po registraci) si lze na TechRepublic stáhnout článek Linux 101: Establish more effective security capabilities with OpenSSH. Chad Perrin zde objasňuje OpenSSH, tj. open source implementaci SSH, vysvětluje, jak funguje a jak SSH používat a konfigurovat v rámci různých linuxových distribucí.

Budeme se s Windows Vista cítit bezpečněji? Deb Shinder v Will Vista make you more secure? přináší popis známých nových bezpečnostních prvků chystaného operačního systému (vestavěné bezpečnostní aplikace – Windows Firewall, Windows Defender, UAC – User Account Control, nová práva běžných uživatelů, zvýšená bezpečnost prohlížeče IE7 a další bezpečnostní prvky).

Bezpečnost webových aplikací není jen kvalitní heslo. Užitečná doporučení obsahuje Quality Assurance and Web Application Security, článek, jehož autorem je Ryan English. V závěru článku najde čtenář poměrně rozsáhlý seznam otázek, které by si při zvažování vlastností konkrétního produktu měl zodpovědět.

Bruce Schneier napsal pro Wired News samostatný článek k problematice botů – How Bot Those Nets?. Co můžete udělat, pokud ovládáte síť s tisíci počítači? Kromě legitimních projektů pro masivní paralelní výpočty (předpovědi počasí, faktorizace velkých čísel, hledání nového Mersennova prvočísla atd.), kdy ovšem se jedná o vědomou spolupráci majitelů těchto počítačů, se však dnes setkáváme i s vytvářením kontroly nad rozsáhlým množinou počítačů, ovšem bez vědomého „posvěcení“ jejich majiteli. Rozměr dnes největší sítě takovýchto botů je odhadován na jeden a půl milionů počítačů. Diskusi k článku s celou řadou zajímavých poznámek lze opět nalézt na Schneierově blogu.

První část návodu – Udělej si sám – SSL VPN – najdete na odkazu A DIY SSL VPN with SSL-Explorer – Part 1 (jedná se o open source SSL VPN s názvem SSL Explorer). Z obsahu:

  • Vlastnosti a HW požadavky
  • Příprava instalace
  • Samotná instalace
  • Nastavení. Tvorba certifikátu
  • Nastavení. Databáze uživatelů, privilegovaný uživatel, webovský server
  • Nastavení. Proxy, rozšíření
  • Nastavení. Přidání uživatele

Otestujte si svůj firewall pomocí Nmap – Nmap: Firewall configuration testing (Michael Cobb). Stručná doporučení, odkazy na celou řadu dalších článků ze stejného zdroje najdete na Network Security Tactics.

Malware, hackeři

Zpráva společnosti Kaspersky Lab Malware evolution: April – June 2006 mj. říká: dávejte si pozor – ransomware! Šifrovací algoritmy, které vyděrači začínají používat (a příslušná délka klíče), budou již příliš složité. Viz také další komentář k problematice na Ransomware getting harder to break.

Poslední díl zajímavého sedmidílného seriálu Odposloucháváme data na přepínaném Ethernetu vyšel tento týden na Lupě (Martin Haller).

80 procent nových typů malware antiviry neodhalí, tvrdí se v zprávě australského týmu Australian Computer Emergency Response Team (AusCERT) – Eighty percent of new malware defeats antivirus . Antiviry nefungují.

Letní varování pro nás napsal Tony Bradley, chraňte se před spyware:

Bezdrát

Šest kroků k ochraně vaší bezdrátové sítě popisuje Preston Gralla v 6 Steps To Protect Your Wireless Network:

  • Skryjte ID vaší sítě
  • Používejte šifrování
  • Odfiltrujte adresy MAC (jsou unikátní pro každý síťový HW)
  • Omezte počet použitelných IP adres (záleží to ale na vlastnostech vašeho routeru)
  • Hledejte vetřelce (sniffing)
  • Pro každé PC použijte firewall

Rhybaření

A druhé letní varování, jehož autorem je Tony Bradley – chraňte se před rhybáři:

Na téma rhybáři a VoIP napsal Kevin McLaughlin následující článek – Voice Phishers Work Harder To Get Your Number . Uvádí některé příklady. Tento typ podvodníků to má těžší – může mít problém se svou anonymitou.

Na serveru interval.cz vyšla první část článku věnovaného problémům souvisejícím s rhybařením – Phishing aneb rhybaření 1. (Jaroslav Pinkava). Najdete tam některé příklady a také informace související s pojmem sociálního inženýrství.

Autentizace, hesla

„Nejrychlejší“ cracker hesel Windows – Ophrack – vyšel ve verzi 2.3 – Ophcrack Live CD – The fastest Windows password cracker. ISO image příslušného Live CD lze stáhnout zde – download the ISO image .

Příručka Securing Your Apache Web Server with a Thawte Digital Certificate (po registraci lze volně stáhnout) podrobně popisuje postupy jednotlivých kroků při zabezpečení webového serveru (Apache) digitálním certifikátem Thawte:

  • systémové požadavky
  • generování soukromého klíče
  • generování žádosti o certifikát
  • použití testovacího certifikátu
  • vyžádání důvěryhodného certifikátu
  • konfigure SSL v Apache
  • instalace vašeho certifikátu
  • zabezpečení virtuálních hostitelských počítačů (host)
  • užitečná url
  • význam autentizace

Normy a normativní dokumenty

NIST tento týden vydal dvě části Special Publication 800–53:

Kryptografie

Využitím SAT (Boolean Satisfiability solver) autoři studie Applications of SAT Solvers to Cryptanalysis of Hash Functions (Ilya Mironov a Lintao Zhang) automatizují postupy při vyhledávání kolizí. Předpokládají, že SAT jako analytický nástroj najde v dalším širší využití pro ověřování a testování i v úlohách kryptoanalýzy.

root_podpora

Steganografie

Přehled steganografie An Overview of Steganography for the Computer Forensics Examiner sepsal Gary Kessler. Materiál je určen k využití při zkouškách z počítačové forenzní analýzy.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?