Hlavní navigace

Bezpečnostní střípky za 39. týden roku 2006

2. 10. 2006
Doba čtení: 9 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Přehledy, konference, obecná a firemní bezpečnost IT, software, malware, viry, hackeři, RFID, bezdrát, VoIP, hardware, forenzní analýza, autentizace, hesla, biometrie, normy a normativní dokumenty, kryptografie.

Přehledy, konference

Ke konferenci Usenix 2006, která proběhla ve dnech 31.7 – 4.8 2006 (Vancouver, Kanada) si lze ze stránky USENIX Security Symposium stáhnout online dostupné materiály (anotace, prezentace, MP3,…)

Information Security 2006 (International Network Services) – to je desetistránkový přehled zpracovaný společností INS. Přehled byl zpracován na základě odpovědí 84 IT profesionálů z celého světa. Cílem přehledu bylo získat náhled na současný stav a budoucí plány v IT bezpečnosti v organizacích respondentů. Komentář k přehledu obsahuje článek Most firms satisfied with security, but still looking to improve, says survey. Ze závěrů přehledu:

  • Celkem 91 procent respondentů považuje zlepšení bezpečnosti za jednu z vrcholných priorit své organizace v nejbližších 12 měsících.
  • E-mail a vzdálený přístup mobilních pracovníků jsou považovány za hlavní dva zdroje bezpečnostních průniků.
  • Externí hackeři jsou hlavním původcem útoků, ale interní hrozby je rychle dohání.

Podle zprávy, kterou vydal tento týden Symantec – Internet Security Threat Report se domácí uživatelé se stávají jedním z hlavních cílů počítačové kriminality, a to proto, že jsou snadnějším cílem. Samotná zpráva (má 120 stran) popisuje vývoj celé řady současných hrozeb a obsahuje řadu statistik. Symantec změnil metodologii pro zpracování tohoto materiálu, v důsledku toho nelze získané výsledky jednoduše porovnávat s výsledky z minulých období (Internet crime to hit homes hard). V článku Faster-changing viruses and Web 2.0 threaten security upozorňuje jeho autor (Phil Muncaster) na další problémy, které jsou ve zprávě zmíněny – polymorfní viry a zranitelnosti technologií Web 2.0.

Obecná a firemní bezpečnost IT

Pět kroků pro bezpečnost vašeho e-mailu (5 Steps to Make Your Email Secure). Kevin Townsend v tomto článku dává následující doporučení:

  • 1. Používejte pro e-mail bezpečného klienta (autor vyzdvihuje The Bat!, dále rozebírá Outlook Express, Tiger Mail, Thunderbird)
  • 2. Používejte vždy formát TXT (HTML může vést k akcím, které jste nezamýšleli,…)
  • 3. Bezplatné e-mailové účty používejte pro objednané elektronické informační žurnály (free newsletter) a pro posty
  • 4. Používejte další ochrany – ve více vrstvách (antiviry, anti-spyware/adware,…)
  • 5. Citlivé e-maily šifrujte

Ochrání Google vaše soukromí? Na to se ptá Daniel Dočekal v článku Deset kroků, které Google používá k ochraně soukromí uživatelů.

Jeremiah Grossman – top 5 doporučení, jak nebýt hacknut online (Top 5 Tips to Not Get Hacked Online ):

  • 1) Místo IE používej Firefox, Mozilla, Safari,…
  • 2) Lépe svůj prohlížeč zabezpeč (NoScript – Firefox extension, Netcraft Anti-Phishing Toolbar, E-Bay Toolbar a Google Toolbar)
  • 3) Neklikej na odkazy v e-mailech (raději se tomu vyhni, pokud nemusíš)
  • 4) chraň svou mailovou schránku na webu (kvalitní heslo, měň ho každých 6 měsíců,…)
  • 5) Pro online nákupy používej jedinou kartu

Metasploit Project – to je populární balík softwaru pro penetrační testy. Metasploit Framework je pokročilá open source platforma, která je nástrojem pro vývoj, testování a aplikací kódů pro exploity. Framework je napsán v skriptovacím jazyku Perl a obsahuje i komponenty napsané v C, v assembleru a v Pythonu. Projekt má duální licenci (GPLv2 a Perl Artistic Licenses) a lze ho používat pro projekty, které jsou jak charakteru open source, tak i pro komerční projekty (Fear the Metasploit Framework).

Bezpečnostní profesionálové se obvykle k využívání škál, měření, metrik staví spíše zády. Mathias Thurman v článku (Measuring the Value of Metrics) dokumentuje, že některé nástroje tohoto typu mají svoji užitečnost (např. z pohledu řídících pracovníků).

Recenzi knihy Mark Osborne, Paul M. Summitt : How to Cheat at Managing Information Security (October 2006, Paperback, 400pp, O'Reilly Media, Incorporated) obsahuje stejnojmenný článek na webu Slashdot.

Software

Na stránkách TechRepublic se objevilo několik nových zajímavých článků, které se týkají Windows Vista a bezpečnosti (nutná registrace):

A ještě jeden článek z téhož zdroje

– je věnován využití nástrojů Winternal k obnově dat, souborů resp. dat z Active Directory.

Hardik Shah ve své osmistránkové studii (Understanding Cross Site Scripting) vysvětluje obsah technik XSS, jednotlivé typy těchto útoků, možnosti útočníků a možné obrany.

Nebezpečí XSS – jak s ním bojovat (How to defeat the new No. 1 security threat: cross-site scripting) je druhý článek tohoto týdne na téma XSS, tentokrát je jeho autorem Martin Heller.

Konfigurace Ubuntu pro autentizaci prostřednictvím Active Directory (HOWTO: Configure Ubuntu for Active Directory Authentication) – článek je napsán s cílem specifikovat konfiguraci vztahující se k Active Directory v Samba 4 (みる directory server).

Anick Jesdanum (The Hidden Costs of Security Freeware) diskutuje vlastnosti nabízených bezplatných bezpečnostních produktů (balíků). Reálná ochrana, kterou tyto produkty poskytují, je většinou neúplná a uživatelé mohou získat falešný pocit bezpečí.

Nessus – jak zde docílit, aby skenoval pouze určité porty (Limiting the Ports Probed by Nessus Scans)? Je zde několik doporučení pro ty, kdo Nessus používají.

Mod_evasive je bezpečnostní modul v serveru Apache. V článku na IT Observer ( Using mod_evasive for Blocking HTTP DoS Attacks) jsou obsaženy některé související informace, které lze využít pro odvrácení útoků DoS (instalace modulu, parametry).

Bryan Sullivan (SPI Dynamics) vysvětluje nezbytnost bezpečnostního posouzení programů v AJAXu a diskutuje otázku, jak vyhledávat a odstraňovat možné zranitelnosti (Testing for Security in the Age of Ajax Programming).

Protokol AoE umožňuje přímý síťový přístup hostitelským počítačům klientů k diskům. Je součástí mainstreamového linuxového jádra. Článek (Access over Ethernet: Insecurities in AoE) analyzuje bezpečnostní slabiny protokolu AoE a obsahuje návrh, jak využít infrastrukturu AoE bez starostí ve vztahu k popsaným kompromitacím.

SWAAT – Securitycompass Web Application Analysis Tool – to je bezplatný nástroj pro statickou analýzu kódu (PHP, ASP a JSP). Adresa k jeho stáhnutí – download SWAAT.

Seznamte se s některými zkušenostmi k Torparku v diskusi na Schneierově blogu.

Malware

Studie věnovaná problematice dynamického dešifrování v malware (Dynamic decryption procedures in malware) ukazuje vlastnosti jedné z technik, kterou používají autoři malware jako ochranu proti reverznímu inženýrství.

Is Spyware Getting the Best of You? – k boji se spyware. Nejprve zodpovíte několik otázek (na tělo). Potom zde najdete přehled potřebných informací a vlastní doporučení (co by si měl koncový uživatel ověřit – checklist). Je nutná registrace.

Hackeři

Hardik Shah ve stručné studii Understanding SQL Injection vysvětluje základní principy těchto útoků (podstatou techniky je to, že útočník využívá zranitelností webové aplikace k získání nelegálního přístupu k vzdálenému počítači), rozebírá různé typy útoků (select-union, select-insert, select Update). V závěru studie pak najdete několik jednoduchých doporučení pro obranu před těmito útoky.

Rychlé výměny informací (chat,…) mezi uživateli sítí sociálních komunikací (MySpace apod.) jsou díky své zranitelnosti snadným cílem hackerů (Social Networking Sites: New Hacker Target ).

Zombie počítače v ohrožení: past na ně chystá Trend Micro – novou službu InterCloud určenou k boji proti zombie počítačům představila společnost Trend Micro.

Hardware

Nové typy USB disků jsou ještě více nebezpečné (USB memory sticks pose new dangers. Some new drives can be used to automatically run malware). Automatické spouštění aplikací na disku vytváří nebezpečný potenciál z hlediska šíření malware. V několika vteřinách lze disk přeměnit na zařízení, které automaticky instaluje zadní vrátka, získává hesla nebo krade kódy softwarových produktů (viz také IT Risks Rise On USB Drives Auto-run apps add to security threats ).

Také v článku Roaming worries: How to manage the misuse of mobile devices. Employees are tempted to use their work gadgets to watch movies, listen to music and download porn najdete diskusi na téma USB mobilní zařízení – o hrozbách a odpovědnostech. Zaměstnanci tato zařízení používají stále častěji – k poslechu hudby, sledování filmů i k nahrávaní porna. Bohužel často se k tomu přidávají nevítaní hosté v podobě malware. A možná jsou i jiná zneužití (krádeže firemních informací,…). Co s tím je obsahem zamyšlení autora článku Davida Haskina.

RFID

Článek (Storm building over RFID-enabled passports), jehož autorem je John Fontana přináší shrnutí diskusí, které se na téma pasy s RFID a jejich bezpečnost (USA) vedou v posledních měsících. A to včetně objevených zranitelností, náhledů bezpečnostních specialistů (Bruce Schneier) a náhledu pracovníků státní správy, kteří toto řešení přivádí do praxe.

Forenzní analýza

Digital Forensic Research Workshop – najdete zde odkazy na materiály z poslední doby. Viz také doplněná The Forensics Wiki a nástroje zde doporučované – Tools.

Autentizace, krádeže ID

Pozor na webovské stránky s certifikáty TRUSTe – obsahují (podle analytika spyware – Ben Edelman) dvakrát více malware než běžné stránky bez certifikátu. Je vidět, že nekvalitní metodologie ověřování, kterou TRUSTe používá (a možná i některé jiné CA) nevede k cíli, naopak je zneužívána (Malware lurks behind safety seal).

Autor článku ‚Shopadmins‘ And the ID Theft Cycle posbíral infomace o zkušenostech zhruba dvou tuctů obětí. Viz také další související článek téhož autora (Brian Krebbs): ID Thieves Turn Sights on Smaller E-Businesses.

Biometrie

Dokument Keystroke Dynamics: Low Impact Biometric Verification je desetistránková studie, ve které se autor (Tom Olzak) jednak obrací k obecným vlastnostem biometrických řešení a jednak se podrobněji rozepisuje k biometrii dynamiky práce s klávesnicí.

Clickprints on the Web: Are there signatures in Web browsing data? – zajímavě zformulovaný problém – lze anonymního uživatele na webu sledovat pomocí popisovaných postupů (blízkých k biometrii dynamiky práce s klávesnicí)? Odpověď autorů zní – spíše ano. Autoři diskutují také o tom, jak jejich metodika může být využita při detekci online podvodů. Komentář k studii obsahuje článek Does Your Web browsing Create a Unique Clickprint?.

Normy a normativní dokumenty

NIST vydal drafty tří publikací z řady SP 800:

A dále NIST vydal čtyři finální verze publikací:

Kryptografie

Americký NIST také oznámil (New quantum encryption record claimed ), že byl dosažen nový rekord v kvantové kryptografii. Kvantové rozdělování klíčů funguje při spojení dvou rychlých eternetových sítí na vzdálenost 184.6 km. Byl použit nový typ detektoru.

V článku Efficient Pseudorandom Generators Based on the DDH Assumption (Reza Rezaeian Farashahi; Berry Schoenmakers; Andrey Sidorenko) byla navržena nová rodina pseudonáhodných generátorů, jejíž principy se opírají o rozhodovací podobu Diffie-Hellmanova předpokladu. Autoři modifikovali a zobecnili generátor Dual Elliptic Curve tak, že tato modifikovaná verze je prokazatelně bezpečná při platnosti předpokladu DDH. Autoři říkají, že jejich generátor je efektivnější než kterýkoliv jiný generátor, který se opírá o obtížnost úlohy řešení diskrétního logaritmu.

NSA Bibliographies – nově zveřejněné bibliografie publikací NSA. Viz komentář Bruce Schneiera Indexes to NSA Publications Declassified and Online.

root_podpora

Různé

Kým vlastně je bezpečnostní guru Bruce Schneier? Začínal ve státních službách, věnoval se intenzivně kryptologii, nyní píše knihy, články, eseje k problémům bezpečnosti IT, píše svůj blog,… Viz článek Encryption expert teaches security .

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?