Konference
KAREL WOLF v článku na Lupě Trendy v internetové bezpečnosti: největší hrozbou zůstává uživatel informuje o průběhu čtvrteční konference o trendech v internetové bezpečnosti.
Obecná a firemní bezpečnost IT
Jaké jsou vlastně bezpečnostní hrozby? Je to sofistikovaný malware či jsou to lidé? Ptá se TOM LOCK v článku What are the security threats? Sophisticated Malware or just People?. Navazuje v něm na svůj předchozí článek – Making IT security matter, uvádí určité statistiky ohledně podílu jednotlivých typů hrozeb, podtrhuje význam lidského činitele.
Why Information Must Be Destroyed aneb proč je třeba ničit informace. BEN ROTHKE v rozsáhlém článku vysvětluje: informace jakého typu je třeba ničit, jaké jsou k tomu důvody – legislativní, etické, konkurenční – a cituje příklady z praxe ve vztahu k využívaným postupům. Poukazuje na význam existence formalizovaného postupu a objasňuje, co by mělo být jeho součástí.
Skoro dvě třetiny zaměstnanců kradou data při odchodu ze zaměstnání. Toto číslo vyplývá z přehledu (Jobs at Risk = Data at Risk), který zpracoval Ponemon Institute – Nearly Two-Thirds of Ex-Employees Steal Data on the Way Out. Na přehledu se podílelo 945 respondentů. Zajímavé číslo, které se zde objevilo – 24 % těch, kteří opustili zaměstnání, má stále přístup do počítačového systému svého bývalého zaměstnavatele.
Twenty Most Important Controls and Metrics for Effective Cyber Defense and Continuous FISMA Compliance – celá řada amerických organizací a agentur spolupracovala na vydání tohoto seznamu dvaceti nejdůležitějších kontrol, kterými mají procházet federální instituce USA:
Press Release Announcing the Draft Available for Public Comment
Consensus Audit Guidelines Draft 1.0
- Consensus Audit Guidelines – Introduction (Draft 1.0)
- Critical Control 1: Inventory of authorized and unauthorized hardware.
- Critical Control 2: Inventory of authorized and unauthorized software; enforcement of white lists of authorized software.
- Critical Control 3: Secure configurations for hardware and software on laptops, workstations, and servers.
- Critical Control 4: Secure configurations of network devices such as firewalls, routers, and switches.
- Critical Control 5: Boundary Defense
- Critical Control 6: Maintenance, Monitoring and Analysis of Complete Audit Logs
- Critical Control 7: Application Software Security
- Critical Control 8: Controlled Use of Administrative Privileges
- Critical Control 9: Controlled Access Based On Need to Know
- Critical Control 10: Continuous Vulnerability Testing and Remediation
- Critical Control 11: Dormant Account Monitoring and Control
- Critical Control 12: Anti-Malware Defenses
- Critical Control 13: Limitation and Control of Ports, Protocols and Services
- Critical Control 14: Wireless Device Control
- Critical Control 15: Data Leakage Protection
- Critical Control 16: Secure Network Engineering
- Critical Control 17: Red Team Exercises
- Critical Control 18: Incident Response Capability
- Critical Control 19: Data Recovery Capability
- Critical Control 20: Security Skills Assessment and Appropriate Training To Fill Gaps
Další komentář k vydání tohoto seznamu je na stránce US Dept of Defense lists top 20 security controls . Obamova administrativa, jak se zdá, bere otázky kybernetické bezpečnosti skutečně vážně (viz nedávná informace o šedesátidenní revizi stavu kybernetické bezpečnosti USA).
Bezpečnost webových stránek a internetu
Microsoft vyvíjí nový bezpečnější prohlížeč – Gazelle – Microsoft researchers devise new browser with stronger security. Měl by být bezpečnější než současné prohlížeče – Firefox, Google Chrome a Internet Explorer (IE 8 má již být podle některých zpráv hotov). Principy konstrukce prohlížeče Gazelle jsou popsány ve studii The Multi-Principal OS Construction of the Gazelle Web Browser. Odlišnost Gazelly od jiných prohlížečů spočívá mj. v tom, že Gazella chápe jednotlivé součásti webové stránky (rámce, pluginy,…) jakožto separátní prvky a takto s nimi i pracuje.
Zranitelnost proxy serverů je předmětem popisu DANA GOODINA v článku Proxy server bug exposes websites' private parts. Útočník se zneužitím popisované slabiny může dostat k informacím, které jsou normálně offline.
Jak nainstalovat Open SSH ve Windows Vista – Installing OpenSSH on Windows Vista? SETH FOGIE vysvětluje využití Cygwin a základní nastavení Open SSH. Dále – objevila se nová verze Open SSH – OpenSSH version 5.2 released.
SSL: Broken even more, k současným problémům SSL diskutuje MICHAEL KASSNER. Vrací se k výsledkům, které na konferenci Black Hat přednesl MOXIE MARLINSPIKE. Vysvětluje fungování nástroje SSLstrip. Nepřehlédněte také další související stránku (v článku je na ni odkaz) – HTTPS web hijacking goes from theory to practice.
eWeek – jeho hacknuté stránky šířily malware – Malicious advertising banners distributed by eWeek . Reklamní banner odkazoval na stránku, odkud si oklamaný čtenář stahoval tzv. Anti-Virus 1. K útoku byl zneužit Adobe Flash.
Co se celkově týká útoků na weby, příčinou je většinou stále vandalismus. Vyplývá to ze zprávy, kterou zpracovalo Web Application Security Consortium (WASC) – Study: Hackers still driven by urge to vandalize Web sites. Analysis of Web-site hacks shows defacement was biggest motivation for attackers. Penize ještě zatím nejsou tím hlavním tažným momentem, i když jejich role narůstá. Většina útoků využívá techniky SQL injection.
To Catch a Thief – o útocích na internetu typu přesměrování. EARL ZMIJEWSKI zde popisuje výsledky, které byly předneseny na nedávné konferenci Black Hat – Defending Against BGP Man-In-The-Middle Attacks.
Proč je třeba využívat DNSSec, vysvětluje MIKE FRATTO v článku DNSSEC: Forgetting The User, Again. Jeho hodnocení DNSSec je však kritické a autor zároveň poukazuje na jeho nedostatky, resp. nezbytnost dalších navazujících opatření.
Jak vybírat registrátora domény, na které nám záleží, k tomuto problému předkládá CHAD PERRIN pět svých doporučení – 5 tips for choosing a registrar for sites you care about.
Používáte G-mail? Pozor na pokusy o krádež vašich přihlašovacích údajů – ID thieves go phishing for GTalk, GMail passwords. Podvodné maily vás zvou k přihlášení – např. na phisherskou stránku Google Talk (falešnou pochopitelně).
K úterním (z minulého týdne) problémům G-mailu se vrací článek Google's email service goes down. Gmail tumbles out of cloud – again (jeho autorem je KELLY FIVEASH). Co se vlastně stalo? Podle článku Oldest trick in the book sends Gmail crashing se jednalo o soustředěný DDoS útok z tisíců počítačů.
Software
Společnost Adobe vydala záplatu na díru ve Flashi – Adobe plugs Flash-player hole . Očekávaná záplata k programům Adobe Reader 9 a Acrobat 9 bude vydána teprve 11. března.
Byla vydána nová verze programu – Cain and Abel 4.9.28. Cain & Abel je nástroj k obnově hesel v systémech Microsoftu. Jak funguje, vysvětluje názorné video – Recovering lost passwords with Cain & Abel.
Cesty ochran před útoky na databáze jsou tématem článku Database Crime Scene Prevention. AMICHAI SHULMAN v rozsáhlejším článku rozebírá postupy útoků, které rozdělil do pěti fází:
- Tools of the Trade
- Initial Access
- Privilege Abuse
- Privilege Elevation
- Covering the Tracks
Navazují pak doporučení pro ochrany před útoky pro každou z těchto fází (2.-5.).
An expert’s guide to open source software security – open source a bezpečnost – odborník komentuje problematiku. ROB RACHWALD poukazuje na záludnosti, které ve vztahu k bezpečnosti při využívání open source SW mohou vzniknout a dává některá doporučení.
Microsoft vydal opravu pro Autorun – After CERT WARNING, MICROSOFT DELIVERS AUTORUN FIX. Pokud jste u systémů Windows 2000, XP a Server 2003 dříve odstavili funkci Autorun, nestačilo to (odstavení nebylo plně funkční) a některé útoky toto nedostatečné zajištění zneužívaly.
Malware
Objevila se další varianta Confickeru – New variant of Conficker worm circulates. Po Confickeru A a Confickeru B přichází Conficker B++, má mít nový typ zadních vrátek s „aktualizací“.
Microsoft Conficker worm offers attack prevention lesson aneb lekce, které udělil červ Conficker. ERIC OGREN na jeho příkladě uvádí činnosti a kroky nezbytné k ochraně počítačových sítí.
Také na Schneierově blogu se objevila diskuze k nové variantě červa Conficker – Another Conficker Variant. Najdeme zde několik užitečných poznámek.
Hackeři
Jak se bránit před útoky typu man-in-the-middle – How to protect from man-in-the-middle attacks. To je několik doporučení jednak pro koncové uživatele a jednak pro podnikání.
Nejlepší postupy pro obranu před hackováním jsou rozebírány v Best practices against hacking. PAOLO PETROLINI a IRIS MARIANO diskutují různé cesty útoků a obrany před těmito útoky.
Proveden byl útok DDoS na stránky Metasploitu – Metasploit And Other Sites DDoSed. A tento útok se měl týkat i jiných stránek.
Hardware
Čtečky karet používané pro online bankovnictví nejsou bezpečné – Optimised to Fail: Card Readers for Online Banking. Vyplývá to z analýzy, kterou na konferenci Financial Cryptography prezentovali pánové SAAR DRIMER, STEVEN J. MURDOCH a ROSS ANDERSSON. Komentář k jejich vystoupení je obsažen v článku Cambridge security boffins slam banking card readers.
VoIP
Snahám o odposlech Skype se věnuje také diskuze na Schneierově blogu – NSA Wants Help Eavesdropping on Skype .
Elektronické bankovnictví
Další platební systém se stal předmětem útoku – Another payment firm breached, details few. Vyplývá to ze zjištění dvou bank, jedná se o jiný platební systém než Heartland (nedávná oběť hackerů). O který konkrétní systém se jedná, zatím zveřejněno nebylo.
Normy a normativní dokumenty
Americký NIST vydal v uplynulém týdnu následující dokumenty
- SP 800–106, Randomized Hashing for Digital Signatures
- SP 800–107, Recommendation for Using Approved Hash Algorithms
- draft – SP 800–46 Revision 1, Guide to Enterprise Telework and Remote Access Security
Pracovní skupina IETF pkix vydala draft
Kryptografie
Je to matematická bomba anebo…? Seznamte se se zajímavou diskuzí na Schneierově blogu – The Doghouse: Singularics – okolo publikací jakéhosi JEFFA COOKA, který „dokázal Riemannovu hypotézu, vymyslel stoprocentně nerozbitelné kryptoschéma s veřejným klíčem, umí luštit RSA algoritmus“ a kdoví co ještě… Nesmírně šikovný chlap.
Historii prokazatelně bezpečných kryptosystémů s veřejným klíčem popisuje studie A Brief History of Provably-Secure Public-Key Encryption. Koncept prokazatelné bezpečnosti je někdy předmětem kritiky, přesto při vhodné volbě výchozích předpokladů přináší užitečné výsledky. ALEXANDER W. DENT seznamuje čtenáře s hlavními výsledky dosaženými v tomto směru ve vztahu k systémům s veřejným klíčem.
NSA pokračuje ve zveřejňování historicky zajímavých informací, tentokrát to jsou čtyři interview – Oral History Interviews. Mimo jiné také s jedním z pionýrů moderní americké kryptologie – Dr. Solomonem Kullbackem – známým i širší odborné veřejnosti publikací své knihy Information Theory and Statistics, náhled na obsah knihy je na http://books.google.com).
Zajímavé odkazy
Pět zajímavých odkazů měsíce února zprostředkovává CHAD PERRIN – 5 interesting security links for February 2009.
Různé
Bude mít americká armáda EMP granáty? Diskuze na Schneierově blogu je věnována zprávě, že snad je u konce vývoj technologie umožňující vyzbrojit armádu zbraněmi produkujícími elektromagnetický puls (který vyřadí protivníkovu elektroniku) – Electromagnetic Pulse Grenades .
Vyšlo nové číslo (březen 2009) – (In) Secure Magazine. Z obsahu:
- Improving network discovery mechanisms
- Building a bootable BackTrack 4 thumb drive with persistent changes and Nessus
- What you need to know about tokenization
- Q&A: Vincenzo Iozzo on Mac OS X security
- A framework for quantitative privacy measurement
- Why fail? Secure your virtual assets
- Phased deployment of Network Access Control
- Web 2.0 case studies: challenges, approaches and vulnerabilities ISP level malware filtering
- Q&A: Scott Henderson on the Chinese underground
Přehled vychází z průběžně publikovaných novinek na Crypto – News.