Hlavní navigace

Bezpečnostní střípky za 5. týden roku 2006

6. 2. 2006
Doba čtení: 11 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: konference, obecná a firemní bezpečnost IT, software, malware, hackeři, rootkity, bezdrátové sítě, hardware, autentizace, normy a normativní dokumenty, kryptografie.

Konference

Za prvé – objevily se ještě další podrobnosti ke konferencím Shmoocon a Black Hat Federal (informace k nim byla obsažena v minulých Bezpečnostních střípcích). Nejprve tedy ke konferenci Shmoocon – komentáře k některým vystoupením:

První část rozsáhlejšího komentáře k průběhu konference Black Hat Federal 2006 najdete na TaoSecurity Blog, Part 1. Další části jsou pak: Part 2., Part 3., Part 4. a Part 5..

Ve dnech 25–27. dubna 2006 v Londýně se bude konat tradiční konference Infosecurity Europe 2006. Na uvedeném odkazu najdete informace z tiskové konference, kde byla mj. oznámena stěžejní témata letošní konference (e-kriminalita, krádeže totožnosti, rhybaření, spyware, detekce a prevence průniků, bezpečnost bezdrátu,tele­working, bezpečnost VoIP, správa rizik a outsourcing).

Konference DATAKON 2006 se bude konat ve dnech 14.- 17.října 2006 v hotelu Santon v Brně. Z oznámení ke konferenci: DATAKON je prestižní česká a slovenská konference s mezinárodní účasti zaměřená na teoretické a technické základy, nejlepší postupy a vývojové trendy v oblasti využití informačních technologií při budování informačních systémů včetně výsledků jejich aplikace v praxi. DATAKON představuje ideálni platformu pro výměnu zkušeností mezi českými i zahraničními odborníky z řad dodavatelů informačních technologií, jejich zákazníků a akademického světa.

Obecná a firemní bezpečnost IT

Joanne VanAuken říká ve svém článku Feature: The Top 10 Infosec Myths – raději než zmiňovaným mýtům informační bezpečnosti věřte tomu, že vaše data jsou ohrožena. Uvádí následujících deset mýtů (z problematiky informační bezpečnosti), se kterými se můžeme v praxi organizací setkat:

  • M01. Organizace jsou nyní bezpečnější, než byly před rokem. Ano – organizace se vybavily lépe bezpečnostními technologiemi atd. Ale mezitím se objevily nové hrozby a nové technologie a to znova mění obraz situace.
  • M02. Existence či neexistence regulací má velký dopad na ochranu osobních dat či dat zákazníků. Organizace však musí chránit citlivé informace v obou případech. Ztráta osobních dat vede ke ztrátě důvěry zákazníků (a tedy k menším ziskům). I pokud je organizace ve shodě s legislativou, neznamená to automaticky nulové riziko.
  • M03. Externí konzultanti toho vědí o informační bezpečnosti více než personál vlastní organizace. Ne vždy to musí být pravda. Nepodceňujte vlastní lidi (např. síťové a systémové administrátory), školte je. Externí konzultant by měl fungovat jako doplněk vašich vlastních sil a zkušeností.
  • M04. K tomu, aby informační bezpečností byla efektivní, by se jí měla zabývat separátní organizační jednotka. Pokud své specialisty na informační bezpečnost budete mít v rámci výlučné skupiny, riskujete nepřipravenost ostatních skupin. Vrcholné řízení musí chápat, že informační bezpečnost je součástí všech aspektů organizace. Není to jen čistě otázka odpovědnosti, ale jde spíše o funkci organizace. A všechny jednotky organizace musí zajistit organizaci její potřeby, starosti a cíle.
  • M05. Složitá, často měněná hesla zajistí bezpečnost organizace. Hesla s 12–16 znaky, střídající malá a velká písmena, číslice a speciální znaky – ano lze je jen těžko uhodnout. Na druhou stranu – kdo si to má pamatovat. A zvláště pokud – a to je dnes obvyklá situace – pracuji s větším množstvím takovýchto hesel. Je lepší povolit delší hesla a uživatelé ať využívají dlouhé, ale zapamatovatelné fráze (passphrase). Hesla nalepená na obrazovku či uložená někde v počítači v otevřeném tvaru jsou větším rizikem než třeba některé existující algoritmy pro crackování hesel.
  • M06. Ikona zámku, která se objevuje během SSL spojení, znamená, že moje data jsou v bezpečí. Není to pravda. Např. vůbec to neznamená, že webovská stránka, se kterou takto komunikuji, je sama bezpečná. Zkoumáte např. kdo vydal příslušný SSL certifikát?
  • M07. Pokud namísto Internet Exploreru bude v organizaci používán Firefox, organizace bude chráněná. Zranitelnosti se však nevyhýbají žádnému z prohlížečů.
  • M08. Větší náklady na bezpečnost vedou k větší bezpečnosti organizace. Často právě vynaložené peníze na bezpečnost jsou pro některé organizace mírou jejich zabezpečení. Správa rizik organizace by ale měla pomoci správnému a efektivnímu vynaložení prostředků na informační bezpečnost. A nemůže se jednat jen o prostředky vynaložené na SW a HW. Bezpečnost je především otázka povědomí lidí, školte své uživatele a zákazníky.
  • M09. Bezdrátové sítě nejsou bezpečné. Je to jedna z novějších technologií, ale přesto dnes je již dostatečně vybavena technologickými normami (802.11i, resp. autentizace – 802.1×). Pokud ji spravuje kvalifikovaný IT profesionál, měl by dokázat zajistit dostatečnou bezpečnost.
  • M10. Výměna Windows za Linux povede ke zvýšení bezpečnosti. Nikoliv, pokud vše vhodně naplánujete, můžete dostatečně bezpečně používat jak Windows tak i Linux. Linux má tu výhodu, že je to platforma typu open source s rozsáhlou mezinárodní podporou. Chybám se však nevyhne žádný operační systém.

Autorka článku dále uvádí pět nejčastějších mýtů, kterým podléhají zákazníci:

  • 1. Potřeba firewallu pro zákazníkův desktop. Nikoliv, pokud mám Windows XP s SP2, pak firewall je zde zapínán automaticky. Většina zákazníků však neví, jak ho nakonfigurovat (viz BS 04/2006, odstavec Firewally). Autorka zde domácím uživatelům doporučuje používání NAT routeru.
  • 2. Online transakce nejsou bezpečné. Nikoliv, e-obchod je stejně bezpečný jako kamenný obchod. Je velice málo pravděpodobné, že větší množství spotřebitelů bude cílem individuálních ú­toků.
  • 3. Poskytovatelé internetu nás ochrání před krádeží identity. Stoprocentní ochrana neexistuje, každý se musí chránit sám.
  • 4. Pokud je na počítači nainstalován antivir, pak je počítač chráněný. Nikoliv, řada uživatelů totiž nedbá na nutnost aktualizací antiviru nebo nechá předplacenou službu vypršet. Antivir také obvykle nedetekuje spyware.
  • 5. Záplaty dodavatelů softwaru odstraní bezpečnostní díry. Řada uživatelů však dokonce ani nezáplatuje, nebo si díky jedné záplatě myslí, že už je navždy vše v pořádku. Bohužel i samotné záplaty mohou vést ke vzniku nových zranitelností, jsou také nedokumentované zranitelnosti atd.

Zákazníci musí k otázkám své bezpečnosti přistupovat stejně ofenzivně jako organizace. V závěru článku dává autorka ještě některá doporučení k zajištění bezpečnosti prováděných online transakcí – Keeping Online Transactions Safe.

Deset hrozeb, se kterými jste pravděpodobně nepočítali (Ten Threats…), autorem článku je Andrew Bycroft (CISSP). V úvodu říká, že prezentované hrozby netvoří hlavní jádro možných ohrožení, ale i tak 98 procent bezpečnosti je více než 97 procent. Jsou to tyto hrozby:

  • sledování (možná česky lépe – šmírování) přes rameno
  • pozorování – to se děje na rozdíl od předešlého bodu z větší vzdálenosti – ale i tak, v některých situacích i informace typu umístění konkrétního serveru, konkrétního média může útočníkovi v následujících útocích pomoci.
  • odposlechy
  • obsahy odpadkových košů
  • ztracená mobilní zařízení (mobilní telefony – např. někteří si do nich ukládají hesla). Ochrana těchto informací heslem je samozřejmě na místě.
  • informace ve veřejných sdělovacích prostředcích, také takto někdy může uniknout citlivá informace (ve snaze o publicitu)
  • online fóra (hledám radu k problému, který neumím vyřešit, sdělím úplnou konfiguraci, zde je jako příklad uveden Cisco router)
  • webové stránky organizace, nepředvídaně se zde objeví informace z interní sítě (hesla, finanční záznamy,…). A útočníkovi napomůže – Google Hacking. Hledá specifické řetězce znaků tak, aby nalezl citlivé informace, které se týkají dané organizace.
  • online nástroje, zjišťování, kdo je za jakou IP adresou, jako první kroky k dalším útokům
  • sociální inženýrství. Lidské slabosti jsou neomezeným zdrojem problémů a někdy vhodně položená otázka (v osobním styku, e-mailem, telefonem či pomocí jiného komunikačního prostředku) přivede odpovídajícího do situace, kdy nechtěně vyzradí citlivou informaci.

Deb Shinderová v 10 ways to monitor what your users are doing with company computers předkládá seznam možných cest pro monitoring aktivity vnitřních uživatelů, mj.:

  • analýza webovských souborů v cashi
  • monitorování webovských přístupů na firewallu (využití v něm vestavěných funkcí pro podávání zpráv)
  • monitoring IM (např. programem Akonix)
  • filtrování webovských přístupů s pomocí klíčových slov.

Bezpečnostní šéf Microsoftu (Microsoft security chief attacks government) říká, že je nedostatek kanálů, jejíchž prostřednictvím by byla oznamována počítačová kriminalita. A nejspíš to neplatí jen v USA.

Podle analýzy firmy Symantec obsahuje průměrný notebook data v hodnotě jednoho milionu dolarů (Could your laptop be worth millions?). Přitom padesát procent organizací hlásí, že jim byl ukraden notebook nebo jiné mobilní zařízení (USA).

Polák Michael Zalewski diskutuje 3 problémy, které by mohly vzniknout při práci s cookies a vést k potenciálnímu jejich zneužití – Browsers face triple security threat.

Několik doporučení pro začínající webmastery najdete v Practical Web Security for Beginner Web Masters.

A na otázku „je váš server bezpečný?“ se můžete pokusit odpovědět na základě materiálu (je zpracován formou přehledu) – Are your servers secure?.

Software

Roger A. Grimes (Vista's new security features) popisuje, s čím se setkáme v novém operačním systému Windows Vista – ve vztahu k bezpečnostním vlastnostem. Bylo oznámeno (MS to omit anti-virus from Vista), že ve Windows Vista antivir obsažen nebude. MS jej bude dodávat zvlášť jako součást služby OneCare.

Tom Sanders upozornuje na chybu v Microsoft OneCare – Microsoft's O­neCare offers malware loophole.

Problematikou kontroly přístupu ve Windows a jak s ní pracují některé aplikace se zabývá článek Windows Access Control Demystified.

Philip Zimmermann hovoří o svých dalších plánech – Voice-over-IP encryption – Philip Zimmermann on What's Next after PGP. zFone – tak se jmenuje jeho budoucí produkt pro šifrování internetové telefonie.

Malware, hackeři

Dvoudílný článek (Malicious Malware: attacking the attackers – Part 1. a Part 2.) se zabývá otázkou ofenzivního pojetí boje s malware. Obsahuje i některé technické detaily.

WMF zranitelnost prý byla prodána za 4000 dolarů – Was the WMF vulnerability purchased for $4000?!. Že by trh se zranitelnostmi již fungoval?

Techniky pro detekování útoků DoS (Denial of Service) jsou obsaženy v rozboru a doporučeních (Denial-of-Service Attack-Detection Techniques) pánů Glenn Carl and George Kesidis (Pennsylvania State University), Richard R. Brooks (Clemson Universit a Suresh Rai (Louisiana State University). Zainteresovaným lze jen doporučit.

Kevin Mitnick v interview říká (OSS is an easier hack: Mitnick): „open source je jednodušší hacknout. Je s tím méně práce, pokud máte zdrojový kód k dispozici.“

Počítačová kriminalita pochází nejen z ruských zdrojů (Cybercrime does pay; here's how) – Robert Vamosi reaguje na vystoupení Kasperského z minulého týdne.

Přehled existujících crackovacích utilit a podobných nástrojů najdete na Key Recovery Tools (viz také homepage autora D.O.E. SysWorks).

Rootkity

Na Computerworldu vyšel celý seriál článků věnovaný rootkitům:

Bezdrátové sítě

Několik užitečných doporučení k bezpečnosti domácího používání bezdrátu dává Bobby Malik v článku 5 Steps to Home Wireless Security.

  • 1. Změňte defaultní heslo administrátora routeru.
  • 2. Změňte defaultní SSID a zrušte přenosy SSID
  • 3. Změňte nastavení IP adresy
  • 4. Nastavte v routeru šifrování
  • 5. Používejte filtr pro MAC adresy

Hardware

Zajímavé povídání (postupně na čtyřech webovských stránkách) o „léčitelích“ pevných disků najdete na Hard Drive Healers. Lze např. zachránit něco z pevného disku po požáru?

Autentizace

První certifikační autorita začala vydávat kvalifikovaná časová razítka pro (I.CA) elektronické dokumenty – Pravost smluv bude hlídat časové razítko.

Biometrie cév – další firma pracuje na vývoji v této oblasti – Mapping veins as a human ‚bar code‘. Po japonské Fujitsu je to malá americká firma Luminetx.

Rhybaření a S/MIME, to je tématem článku Signed and Sealed? Might Get Delivered! (a obsahem doporučení autora – Simson Garfinkel). Viz také View, Reactions and Impact of Digitally Signed Mail in e-Commerce.

Holandský biometrický pas je cracknut (Face and fingerprints swiped in Dutch biometric passport crack) Útok, který stačí provést ze vzdálenosti asi deset metrů, rozkryje osobní data majitele čipu z pasu – data narození, otisk prstu a obličeje. Útok byl publikován již v červnu loňského roku (Bart Jacobs – presentation), nyní se hledají protiopatření.

Na webu ETSI se objevily nově následující dokumenty k problematice elektronického podpisu (je zapotřebí registrace):

  • Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms
  • Algorithms and Parameters for Secure Electronic Signatures; Part 2: Secure channel protocols and algorithms for signature creation devices
  • CMS Advanced Electronic Signatures (CAdES).

O PKI v americké armádě a využití Tumbleweed Validation Authority™ (VA) se dozvíte v článku US Army Standardizing on Tumbleweed PKI Validation.

Normy a normativní dokumenty

NIST tento týden vydal dva dokumenty:

Vyšla následující rfc:

Kryptografie

Bruce Schneier (Handwritten Real-World Cryptogram) předkládá kryptografickou hádanku z reality. Troufne si někdo ze čtenářů? Dva lidé byli zavražděni. Vrah, který se oběsil, zanechal po sobě kousek papíru se zašifrovaným textem. V diskusi najdete řadu vyjádření…

Různé

O IT bezpečnosti ve formátu avi pro ty, kdož mají klienta pro Bit Torrent nainstalován – Chaos Computer Club. Jinak k BT viz hezký článek tady na Rootu BitTorrent – Technologie, nebo čerstvý článek na Živě µTorrent: nabouraná představa o velikosti, a také Legální BitTorrent? Nevěřím.

root_podpora

Informace k současným postupům NSA ve vztahu k odposlechům najdete na Eavesdropping 101: What Can The NSA Do?.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?