Bezpečnostní střípky: vyrobte si klon pasu vašeho souseda

Jaroslav Pinkava 9. 2. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze určitě upozornit na velmi rozsáhlý přehled událostí v roce 2008 od společnosti IBM, na článek k bezpečnosti notebooků a na „praktický“ nástroj ke klonování biometrických pasů.

Přehledy a konference

Objevil se nový přehled společnosti Ponemon – Fourth Annual U.S. Cost of a Data Breach Study. Uvedený odkaz vede na tiskovou zprávu, která byla zveřejněna u příležitosti vydání studie a která obsahuje její stručné shrnutí. Viz také komentář – Data Breaches More Costly Than Ever. Organizace musely vydat v roce 2008 celkem 6,6 milionu dolarů pro obnovu své image a uchování svých zákazníků – je otázkou, zda se jim to vždy podařilo. V roce 2007 uvedené číslo bylo 6,3 milónu dolarů, v roce 2006 pak 4,7 miliónu dolarů. Samotnou zprávu (po registraci) si můžete stáhnout zde – 2008 Annual Study: Cost of a Data Breach.

Rozsáhlou zprávu

X-Force Threat and Risk Report vydala společnost IBM. V roce 2008 se více než polovina zranitelností (55 procent) týkala webových aplikací (podle statistik divize IBM ISS security tools). Přitom pro tři čtvrtiny těchto zranitelností chyběla záplata. Celá zpráva má 106 stran a stojí rozhodně za povšimnutí. Pokud se chcete seznámit alespoň se stručným shrnutím, pak ho připravil John Leyden v článku Unpatched web vulns turn internet into drive-by warzone. Kromě zmiňovaného pohledu na zranitelnosti se věnuje také problematikám spamu, phishingu, webovému obsahu a malware. Viz také shrnutí na stránce Web applications are the Achilles’ heel for corporate IT security (webové aplikace jsou Achillovou patou bezpečnosti IT společností).

V pátek a o víkendu proběhla známá hackerská konference Shmoocon. Stručné anotace připravených příspěvků najdete zde – Shmoocon – presentations.

Obecná a firemní bezpečnost IT

Evropa potřebuje strategii pro ochranu dat svých občanů, říká ENISA (The European Network and Information Security Agency) ve svém novém dokumentu – Citizen data protection in focus: Europe needs a strategy. Materiál obsahuje přehled ochranných vlastností eID karet používaných v Evropě. Celou zprávu, kterou zveřejnila ENISA, si můžete stáhnout zde – Privacy Features of European eID Card Specifications.

17 High-Risk security Threats (And How to Fix Them) – aneb 17 vysoce rizikových hrozeb ( a jak se před nimi chránit), najdete je v této sérii sedmi článků:

Profesionálové společnosti Google se ocitli před italským soudem kvůli ochraně soukromí – Google Privacy Exec Facing Criminal Charges. Jedná se o Google video, vznesený požadavek na stažení videa s násilnickým obsahem nebyl ze strany pracovníků Google akceptován. Viz také – Google in the dock.

Na počítače NATO v Bruselu jsou prováděny neustálé útoky – Nato's cyber defence warriors . Novináři z BBC hovoří s pracovníky těchto služeb NATO. Útoky neustávají ani po ustavení nových bezpečnostních politik a nového kybernetického týmu „rychlého nasazení“ – ve stálé pohotovosti.

Jak funguje sociální inženýrství, popisuje profesionála v této problematice (CHRIS NICKERSON) – Social Engineering: Anatomy of a Hack.

Pět nápadů pro bezpečnost malého podnikání sepsal zase LAUREN GIBBONS PAUL (SMB Security: Five Bright Ideas):

  1. Správa rizik musí být základem vašich bezpečnostních praktik
  2. Současné splývání postupů informační a fyzické bezpečnosti
  3. Dohlížení prostřednictvím videa je nyní dosažitelné i pro malý byznys
  4. Outsourcing je stále více populární
  5. Pochopte, že lidi nelze násilně měnit

Pokud v organizaci, ve formě dochází k reorganizaci (a to v současné době není zase tak vzácný jev), pak je řada věcí, na které je třeba dávat pozor, a to i z hlediska bezpečnosti. CHAD PERRIN v článku 10 important categories of employment transition security vyjmenovává v této souvislosti deset bezpečnostních okruhů pří řízení zaměstnanců a vytváření odpovídajících politik. Pozornost je třeba věnovat následujícím otázkám:

  1. Kontrola přístupu
  2. Účty
  3. Vyřazení zaměstnance formou rozhovoru
  4. Dokumentace
  5. Inventář
  6. Zámky (fyzické, programové)
  7. Logy
  8. Hesla
  9. Personální elektronika
  10. Soukromí (každý zaměstnanec by měl mít chráněný prostor pro svá soukromá data)

Software

Srovnání bezpečnosti IE a Firefoxu, toto téma zdaleka není nové. Rozdíly mezi nimi existují, ale i dnes je obtížné říci, který z prohlížečů je bezpečnější. Závěr článku BILLA BRENNERA, ve kterém se o takovéto srovnání pokouší, nevyznívá optimisticky, žádný z prohlížečů není sám o sobě bezpečný dostatečně – IE or Firefox: Which browser is more secure? Surprise! Opinions on which Web browser offers better security are not as stark as they were a few years ago.

Poslední verze IE 8 má lépe chránit i proti XSS útokům nového typu – Microsoft fortifies IE8 against new XSS exploits. DAN GOODIN zde komentuje současné snahy Microsoftu.

Byla nalezena UAC zranitelnost ve Windows 7 beta – UAC vulnerability found in Windows 7 Beta. Viz originální materiál (LONG ZHENG) – Sacrificing security for usability: UAC security flaw in Windows 7 beta (with proof of concept code). Microsoft nalezenou „vlastnost“ jako zranitelnost nejprve popíral. Ale potom (po kritice) Microsoft oznámil, že ve Windows 7 změní chování UAC – Microsoft caves in, will change Windows 7 UAC. Admits mistake, bows to critics by adding prompt to ensure hackers can't silence warning. Ohlásil dvě změny. Viz také další informace v článku Windows 7 security faces growing criticism.

Pracujte bez administrátorských práv ve Windows a zbavíte se většiny zranitelností, to doporučuje studie „Reducing the Threat from Microsoft Vulnerabilities“ společnosti BeyondTrust. Viz také komentář Removing administrator rights on Windows is the way to go. Uživatelé však (alespoň někteří) chtějí mít nad svým počítačem plnou kontrolu…

Hackeři

Server Libimseti.cz po hacknutí zvyšuje bezpečnost, PATRICK ZANDL na Lupě: „Po posledních bezpečnostních problémech pracoval jeden z největších českých komunitních serverů Líbímseti na zvýšení bezpečnosti. Vynucená změna všech uživatelských hesel a jejich šifrování a zvěsti o tom, že úspěšných hackerských útoků kompromitujících hesla bylo více, takové jsou poslední zprávy.“

Crackulous, aplikace crackující SW pro iPhone, je nyní veřejně dostupná – One-Click iPhone App Cracker Released to the Public. Tento bezplatný SW lze podle autora článku stáhnout ze stránek Hackulous Cydia Repo.

Muž ze Seattlu se stal obětí hackerů sociální sítě Facebook – Man falls victim to Facebook hackers. Hacker, který se zmocnil jeho účtu (změnil také přístupové heslo) vylákal peníze od jeho přátel pod záminkou, že majitel účtu je v nesnázích.

Welcome to Scam City: Rogue Anti-Spyware Apps , pozor na falešné anti-spywarové aplikace. BRIAN SATTERFIELD v tomto článku upozorňuje na vlastnosti těchto podvodných programů a odkazuje mj. na jejich seznamy, které lze na internetu nalézt, např.: Rogue Security Program.

Rozhovor s významným hackerem si můžete přečíst na stránce The great hacker opens up. CHRIS GOGGANS mj. v květnu 2008 hacknul databázi FBI. Jeho názory na současnou bezpečnost internetu či tzv. kyberterorizmus určitě nejsou bez zajímavosti.

Byly hacknuty také stránky phpBB.com  – Open sourcey bulletin board offline after hack attack. phpBB coughs up names, addresses, passwords. Útočník tvrdí, že získal přístup ke 400 000 účtů, viz také phpBB hacked, 400,000+ account details intercepted.

Hardware

Deset věcí, které byste měli vědět o bezpečnosti notebooků – Security Slideshow: 10 Things You Need to Know NOW About … Laptop Security. Informace je podána formou deseti slajdů:

  • V uplynulém roce poprvé počet prodaných notebooků byl vyšší než počet prodaných desktopů
  • Nové hrozby se objevují s využíváním mini notebooků (netbooků)
  • Podle FBI v posledních dvou letech počet ukradených notebooků vzrostl o 48 procent
  • Počet datových průniků v roce 2008 vzrostl o 50 procent – proti roku 2007. Řada z nich vznikla díky kradeným notebookům
  • Nepodceňujte cenu datového průniku
  • Preventivním opatřením je šifrování dat na notebooku, ne vždy je bohužel používáno
  • Zde je připomenut BitLocker z Windows Vista
  • Řada notebooků má vestavěny další bezpečnostní prvky
  • Měla by existovat vhodná bezpečnostní politika pro práci s notebooky
  • Nezapomínejme na biometrickou ochranu (čtečky otisků prstů)

New disk encryption standards could complicate data recovery. So, what do you do if you lose your password? – k problematičnosti chystaných norem pro šifrování disků – co obnova dat? Pokud ztratíte heslo, k datům se nedostanete. Je ale otázkou, zda námitky tohoto typu jsou dostatečně kritické. Vhodná bezpečnostní politika může nařídit např. uchování kopie hesla v zapečetěné obálce v trezoru atd.

K chystané normě pro šifrování pevných disků probíhá diskuze také na Schneierově blogu – Hard Drive Encryption Specification . Mj. se objevuje i názor, že záměr normy je cílen hlavně na prosazování DRM (Digital Right Management).

Budget encryption. Attacking a weak crypto system – čínské pevné disky a jejich rozbitelné šifrování. CHRISTIANE RÜTTEN popisuje provedenou analýzu produktů společnosti Raidan (pevné disky série Staray-S, v Evropě prodávané pod označením Stardom)).

X-box Live a útoky hackerů jsou předmětem obsahu článku Hackers Use DIY Botnets To DDoS Xbox Gamers. Botnety typu „udělej si sám“ umožňují útoky DDoS.

Přepíšeme data na pevném disku, co se zde vlastně děje? Autor v článku What happens when you overwrite data? vysvětluje fyzikální podstatu dění (objasnění výsledku článku autorů Wright, C.; Kleiman, D, & Sundhar S. R. S. – osmý článek v citovaném seznamu literatury).

VoIP

VoIP Security: The Basics, tento článek je věnován základům bezpečnosti VoIP. BOB BRADLEY v něm vyjmenovává celkem šest možných hrozeb a vysvětluje, jak se vyhnout existujícím rizikům. Předkládá také doporučení pro serverovou část komunikace.

RFID

Laciný nástroj pro klonování biometrických pasů na světě, 250 dolarů na eBay, to není drahé, že? CHRIS PAGET touto demonstrací chce oponovat argumentům typu, že mezi teoretickou prací a jejím uvedením do praxe je ještě velká mezera – Passport RFIDs cloned wholesale by $250 eBay auction spree. Ve videu Video: Hacker war drives San Francisco cloning RFID passports pak vysvětluje své postupy.

Spam

Většina spamu je svázána s deseti doménovými registrátory – Report: Most Spam Sites Tied to Just 10 Registrars. 83 procent spamu vychází z domén registrovaných u 10 v článku vyjmenovaných registrátorů.

Autentizace, hesla

Banky říkají, že dnešní ID karty nejsou pro nás dostatečně bezpečné – Banks: ID cards ‚have been stripped of useful features‘. Neobsahují totiž původně předpokládané bezpečnostní prvky.

Biometrie

Sony připravuje biometrii cév – Sony taps veins for better biometrics. Technologie se nazývá Mofiria, zatím však není jasné, zda kamera rozpozná, zda cévami teče krev. Mafie zatím mohou spát…

Normy a normativní dokumenty

Hidden Assumptions in Cryptographic Protocols, článek se obrací k problémovosti některých norem pro kryptografické protokoly. Kritika přístupu některých tvůrců normativních dokumentů zazněla na setkání odborníků, které uspořádal Microsoft Research minulý týden. Některé normy nejsou dostatečně specifické a konkrétní implementace kryptografických protokolů nejsou pak kompatibilní.

Americký NIST vydal novou verzi draftu

Různé

Internet se zbláznil, chybou Google z minulého týdne se zabývala řada médií – Google makes mistake, internet goes crazy. Poslední den v lednu se na výsledcích vyhledávání pravidelně objevovala hláška: „This site may harm your computer“. Viz také – Google taking security a little too seriously?.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Ohodnoťte jako ve škole:

Průměrná známka 3,25

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
Vitalia.cz: Odchytili 43 000 sardinek s kadmiem

Odchytili 43 000 sardinek s kadmiem

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Vitalia.cz: Kdy je čas na kouče a kdy na psychologa

Kdy je čas na kouče a kdy na psychologa

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Vitalia.cz: Vydával se za český, prozradila ho DNA

Vydával se za český, prozradila ho DNA

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

120na80.cz: 10 dezinfekcí: Vede „starý dobrý“ peroxid

10 dezinfekcí: Vede „starý dobrý“ peroxid

120na80.cz: Jak si udržet zdravou vaginu

Jak si udržet zdravou vaginu

Podnikatel.cz: Přechod z OSVČ na firmu? Totální šok!

Přechod z OSVČ na firmu? Totální šok!

DigiZone.cz: Podzim přinese sport Viasat Ultra HD

Podzim přinese sport Viasat Ultra HD

DigiZone.cz: V RS7 ukončila vysílání Retro Music Television

V RS7 ukončila vysílání Retro Music Television

Podnikatel.cz: Když už je sexy, tak ať taky funguje

Když už je sexy, tak ať taky funguje

Vitalia.cz: 10 rad šéfkuchařů pro perfektní grilování

10 rad šéfkuchařů pro perfektní grilování

DigiZone.cz: Kolik lidí sleduje hokej na webu ČT?

Kolik lidí sleduje hokej na webu ČT?

120na80.cz: Co jí dělá? Sklerotizaci

Co jí dělá? Sklerotizaci

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

DigiZone.cz: Změní se veřejnoprávní status ČT?

Změní se veřejnoprávní status ČT?

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?

120na80.cz: Jak správně vytrhnout mléčný zub?

Jak správně vytrhnout mléčný zub?