Ušetřete

Hlavní navigace

Bezpečnostní střípky za 4. týden roku 2006

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: konference, obecná a firemní bezpečnost IT, software, firewally, malware, hackeři, rootkity, bezdrátové sítě, spam, autentizace, normy a normativní dokumenty, kryptografie.

Konference

Tento týden se na webu objevily informace ke dvěma nedávným konferencím (zaměřeným na bezpečnost IT). První z nich – ShmooCon – proběhla ve dnech 13–15. ledna 2006 ve Washingtonu. Komentář jednoho z účastníků najdete na TaoSecurity Blog, přehled jednotlivých vystoupení pak na Speakers.

Druhá konference minulých dní – Black Hat – se konala rovněž ve Washingtonu, ve dnech 23.-26. ledna 2006. Na webu konference pak najdete prezentace jednotlivých jejích účastníků – Presentations. Některá zajímavá vystoupení:

Obecná a firemní bezpečnost IT

Komentář k zprávě IBM – Security Threats and Attack Trends Report (samotný dokument však na webu není – je to placená služba) najdete na Attackers To Go After 2006's Weakest Link: People. IBM ve svém ročním přehledu shrnuje hlavní události uplynulého roku a dává některé bezpečnostní předpovědi. Nejslabším článkem bezpečnosti zůstává člověk. Narůstat bude počet útoků „zevnitř“ sítě. Slabiny Windows byly v loňském roce součástí deseti z jedenácti nejvážnějších hrozeb. Malware směrovaný na VoIP se měl podle IBM projevit výrazněji již v roce 2005, zatím k tomu nedošlo. Neznamená to však, že letošní rok již nebude v jejich znamení (viz také vyjádření profesora Crowcrofta – Cambridge professor warns of Skype botnet threat ).

Bezpečností koncového uživatele se zabývá Robert L. Schier v článku Endpoint Security Without the Pain na ComputerWorldu.

NSA zveřejnila detailní návod – How to Safely Publish Sanitized Reports Converted From Word to PDF – jak bezpečně publikovat očištěné dokumenty převedené z Wordu do PDF. Často „unikající“ informace vznikají např. nedostatečnou redakcí textu a diagramů (začernění zde nefunguje!), redakcí obrázků (překrytí části obrázku jinou grafikou) a také jsou obsaženy v metadatech a vlastnostech dokumentu (autorství a původ,…). V dokumentu mohou být i některá další skrytá data (např. při formátování dojde k zakrytí jednoho obrázku jiným). Materiál NSA upozorňuje na nedostatečný nástroj Microsoftu – volně dostupný – Remove Hidden Data (ve dvou verzích – jedna je pro XP, druhá pro Office 2003). Převod wordovského dokumentu do formátu PDF také nevede k odstranění některých dat, která mohou být v jistých případech citlivá (informace o verzi, sledování změn,…). Nejprve je proto třeba očistit původní wordovský dokument – k tomu materiál uvádí detailní postup, co vše je třeba zkontrolovat (tvoří to vlastně hlavní a podstatnou část předkládaných doporučení). Dále pak při samotné konverzi do PDF je třeba příslušný software vhodně nakonfigurovat – tak, aby metadata z wordovského dokumentu nebyla kopírována. Jako příklad je uvedena konfigurace pro PDFMaker v Acrobatu 6.0. Komentář k tomuto 14 stránkovému materiálu NSA najdete na NSA offers guidance to U.S. agencies on data-breach protection.

Problematika cookies také spíše patří do oblasti obecného povědomí ve vztahu k bezpečnosti IT. Na stránkách http://www.alla­boutcookies.or­g/ lze nalézt celou řadu informací, které s cookies souvisí. Komentář k obsahu těchto stránek pak dává Phil Muncaster v Best practice for cookies.

Jako houby po dešti rostou články na téma paměťová USB zařízení a bezpečnost. Martin Allen v MP3s – The Big Security Risk In 2006 ukazuje, že řešení tohoto problému nebude jednoduché.

Software

Skype ve verzi 2.0.0.73 opravuje chybu, která vedla ke spuštění DEP ve Windows – Security Patch Watch (Windows XP s SP2– viz informace z minulého týdne).

Problémem bezpečnosti VoIP se zabývá Leon Erlanger v Making VOIP secure.

Prvním kryptografickým modulem typu open source, který obdrží certifikát dle FIPS 140–2 se stane OpenSSL – OpenSSL receives FIPS certification. Knihovna byla validována (Cryptographic Module Validation Program  – CMVP) na FIPS 140–2 Level 1 (nižší úroveň).

David Litchfield oznámil na konferenci Black Hat existenci zranitelnosti v aplikaci firmy Oracle – Zero-day details underscore criticism of Oracle. Zároveň firmu Oracle kritizoval za nedostatečný přístup k odstranění této zranitelnosti. Objevilo se potom několik dalších článků, které hovoří o vztahu Oracle a bezpečnost (Analyst: Oracle not on the ball, Gartner: Oracle no longer a bastion of security , Oracle admins admonished over security). Zatímco dříve byl databázový software firmy považován z hlediska bezpečnosti za – dalo by se říci – téměř vzorový, v poslední době je vystaven v tomto ohledu rostoucí kritice.

K zveřejnění chyby v KDE – Red Hat, Suse patch critical KDE security hole (a vydání záplaty) hovoří i Vojtěch Bednář v článku Obavy o bezpečnost Linuxu.

Firewally

Zapněte logy a dozvíte se více od svého firewallu ve Windows – How to get more out of your Windows Firewall.

Popis několika užitečných příkazů pro správu firewallu ve Windows XP prostřednictvím příkazového řádku najdete v článku Managing Windows XP Firewall Through Command-line. Autorem je Pavan Shah.

Chystaný dvoucestný firewall ve Windows Vista komentuje Robert McMillan – Microsoft Readies Two-Way Firewall for Vista. Firewall by měl být široce konfigurovatelný.

Vyšla dále první část článku The Perfect Linux Firewall Part I – IPCop. Autor – Joseph Guarino – v této části popisuje, jak firewall GNU/Linux GPL IPCop nainstalovat a jak vytvořit malou (domácí) síť.

Malware, hackeři

John Leyden – Malware potency increases as numbers drop – komentuje současný vývoj malware. Zatímco jeho počet klesá, jeho možnosti rostou. Počet zavirovaných e-mailů v loňském roce klesl (zavirovaný byl jeden e-mail u 36.16 e-mailů, zatímco v roce 2004 to byl jeden z 16.39). Ale třeba červ Mytob již dokáže vytvořit ve vašem počítači základ pro jeho vzdálenou kontrolu. Počítač pak může být součástí botnetů (sítí zombií počítačů).

V Coming to Your PC's Back Door: Trojans popisuje Brian Grow reálné problémy s výskytem malware, trojských koní.

Na přelomu roku uskutečnili čínští hackeři útok na britský parlament prostřednictvím WMF zranitelnosti – Hackers attacked parliament using WMF exploit.

Zajímavé vystoupení Kasperského obsahuje i kritiku některých současných představ – Kaspersky boss debunks security myths.Současný vývoj malware je takový, že je třeba zbavit se některých stereotypů. Hackerům nejde již jen o průniky do systémů, ale sami chtějí pro své cíle vytvářet vlastní funkční systémy.

Rootkity

Na konferenci Black Hat (prezentace) diskutoval John Heasman možnost napsání (ACPI Source Language) rootkitu pro BIOS – Researchers: Rootkits headed for BIOS.

Připravovaný rootkit pro Oracle bude obtížně detekovatelný – hovoří o své práci na databázovém rootkitu Alexander Kornbrust (Red Database Security GmbH) – Harder-to-Detect Oracle Rootkit on the Way.

Bezdrátové sítě

Matthew Gray komentuje zabezpečení Wi-Fi sítí – What to watch out for with Wi-Fi. Obvykle používané prostředky (autentizace, šifrování a VPN) jsou nedostatečnou ochranou WLAN před hackery. Autor diskutuje možné typy útoků, jako např. hledání chyb v implementacích, existující kompromitace, vytváření různých „pastí“ na uživatele atd.

Spam

Přes sliby Billa Gatese před dvěma roky jsme spamem stále obtěžováni – Hey Bill, why am I still getting spam?. Ukazuje se, že to není tak jednoduché, jak byly původní představy. Údaje o šiřitelích spamu najdete v Most spam still coming from the U.S.

Srovnání pěti antispamových aplikací (MailFrontier Desktop, Norton AntiSpam, McAfee SpamKiller, Qurb, Cloudmark) uvádí Robert Vamosi v Slam that spam 2005: we compare five antispam apps

Autentizace

Byly zveřejněny informace o dalších hromadných kompromitacích osobních dat. ChoicePoint, Inc., zde se to týkalo 163 000 zákazníků (ChoicePoint fine could indicate tougher FTC enforcement efforts – viz také komentář na blogu RSA Security – U.S. Federal Trade Commission announces settlement related to data security). Dále – ukradený notebook firmy Ameriprise Financial Inc. obsahoval osobní údaje 158 000 zákazníků a 68 000 finančních poradců (jména, čísla účtů, čísla sociálního pojištění) – Ameriprise notifying 226,000 customers, advisers of data theft.

Ke zprávám o ztrátách osobních dat diskutuje také Jack Gold v When Data Goes Missing: Will You Even Know?, také se vrací k problému paměťových USB zařízení.

Nad tím co bude dál v oblasti Digital Right Management (DRM) se zamýšlí Ryan Singel v článku – The Year of Living DRMishly .

Autorem zajímavé studie k problému elektronického notáře – Electronic Notarization je profesor Massachusetts Institute of technology (MIT) Daniel J. Greenwood. Komentář ke studii najdete na Financial Cryptography.

Ochrana genetických informací, toto téma je obsahem zamyšlení autora článku – Next on your agenda: Genetic privacy (Jay Cline). Dříve sci-fi, dnes již někde realita. Testy DNA se používají například při hodnocení vhodnosti uchazečů.

Normy a normativní dokumenty, kryptografie

Vyšlo RFC.4359 – The Use of RSA/SHA-1 Signatures within Encapsulating Security Payload (ESP) and Authentication Header (AH).

Další workshop NISTu k hashovacím funkcím proběhne 24.-25. srpna letošního roku v Santa Barbaře (po konferenci Crypto 2006) na UCSB (University of California, Santa Barbara) – podrobnosti v e-mailové informaci.

Různé

Vyšlo nové číslo (IN)SECURE Magazine- leden 2006. Z obsahu:

  • Web application firewalls primer
  • Review: Trustware BufferZone 1.6
  • Threat analysis using log data
  • Looking back at computer security in 2005
  • Writing an enterprise handheld security policy
  • Digital Rights Management
  • Revenge of the Web mob
  • Hardening Windows Server 2003 platforms made easy
  • Filtering spam server-side

Dále – někoho možná zaujme občasník Uninformed. V aktuálním čísle najdete např. následující témata:

  • Bypassing PatchGuard on Windows x64
  • Attacking NTLM with Precomputed Hashtables
  • Rootkit Technology – FUTo

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Ohodnoťte jako ve škole:
Průměrná známka 3,03

Školení: Jak na firemní Facebook prakticky

  •  
    Jak efektivně propojit Facebook s firemním webem.
  • Jak měřit a vyhodnocovat zapojení firmy do sociálních sítí.
  • Jak řešit krizové situace v sociální síti nebo jejím prostřednictvím.

Detailní informace o školení Facebooku »

       

Tento text je již více než dva měsíce starý. Chcete-li na něj reagovat v diskusi, pravděpodobně vám již nikdo neodpoví. Pro řešení aktuálních problémů doporučujeme využít naše diskusní fórum.

Zasílat nově přidané příspěvky e-mailem