Obecná a firemní bezpečnost IT
Deset nejhloupějších chyb, které dělají správci sítě, je popsáno v článku – The 10 dumbest mistakes network managers make. Jejich přehled vznikl na základě rozboru firmy Verizon Business (získán byl analýzou 90 velkých bezpečnostních průniků):
- Nevymění defaultní hesla u všech síťových zařízení.
- Je sdíleno (použito) heslo pro více síťových zařízení.
- Neumí najít chyby v kódování SQL.
- Nejsou správně nakonfigurovány seznamy kontrol přístupů.
- Je umožněn nezabezpečený vzdálený přístup.
- Nejsou testovány nekritické operace z hlediska základních zranitelností.
- Adekvátní cestou nejsou chráněny servery před malware.
- Nejsou vhodně nakonfigurovány routery k ochraně před nežádoucím výstupním provozem.
- Nevědí, kde jsou uložena data zákazníků k platebním kartám a jiná jejich citlivá data.
- Nejsou aplikovány požadavky příslušných bezpečnostních norem (Payment Card Industry Data Security Standards).
Jsou ve vaší organizaci správně chápána interní rizika? Michael Kassner se v Insider risk or threat: Which are you? ptá, zda správně rozlišujeme rizika a hrozby, zda umíme podchytit ta nebezpečí, která vznikají v důsledku (neúmyslných) chyb zaměstnanců a nebezpečí pocházející od záměrných aktivit zaměstnance.
Security issues surrounding the incoming head of MI6 prove more education on social networking sites is needed aneb budoucí šéf MI6 a výchova uživatelů sociálních sítí. Článek kromě konstatování bezpečnostního pochybení manželky tohoto funkcionáře poukazuje na nevhodná bezpečnostní nastavení těchto sítí.
Stacy Collett napsala článek How to Stop Fraud (jak se bránit podvodům), který je určen zejména bezpečnostním ředitelům (CSO). Rozebírá v něm celou řadu nezbytných opatření. Za zmínku stojí určitě i odkazovaný článek z roku 2004 – Anatomy Of A Fraud.
Recenzi knihy Beautiful Security: Leading Security Experts Explain How They Think najdete na Slashdotu. Autory knihy jsou Andy Oram a John Viega, kniha má 300 stran a vydalo ji nakladatelství O´Reilly v květnu 2009. Najdete ji na Amazonu.
Identifikace příchozích hrozeb a formování adekvátních odpovědí, to je problém, kterým se zabývá článek Identifying and Addressing Evolving Threats. Proč potřebujete bezpečnostní strategii a jak ji zformovat, vysvětlují Nalneesh Gaur a Mike Heindl.
Rozlišení pojmů riziko, hrozba a zranitelnost je provedeno v článku Understanding risk, threat, and vulnerability. Tyto pojmy hlouběji objasňuje Chad Perrin.
Země, kde je největší počítačová kriminalita, takovýto žebříček najdete na stránce Countries with the Most Cybercrime (zpracováno podle Symantecu). Je zde uvedeno prvních 20 zemí, první tři místa: 1. USA, 2. Čína, 3. Německo. Česko v tomto žebříčku nefiguruje (zatímco třeba Polsko ano).
Dvě třetiny britských organizací čelily problému s průnikem do svých dat – Two-thirds of organisations hit by data breach in last year. Informace vychází z výsledků průzkumu společnosti Ponemon.
Deset největších rizik bezpečnosti v pojetí Microsoftu je popsáno v osmistránkové studii. Jejím autorem je Royce Howard – The 10 Most Dangerous Risks to Microsoft Security.
- Fyzická bezpečnost
- Politika pro práci s hesly
- Privilegované účty a sociální inženýrství
- E-mailové útoky
- Červy
- Stále více škodlivější malware
- Neoprávněné síťové přístupy
- Neaktualizace SW (záplaty)
- Aplikace třetích stran
- Lidský faktor
Lepší bezpečnost a jak ji lze dosáhnout bez utrácení velkých sum peněz – Security on a Budget. James Michale Stewart formuluje v tomto směru některé myšlenky, které si lze ověřit v každé organizaci.
NSA buduje velké datové centrum v státě Utah – NSA Building Massive Data Center in Utah. Viz také – Utah will host new $1.9 billion NSA spy center.
Software
Společnost Postini byla koupena Googlem před dvěma lety, monitoruje nyní 3 miliardy e-amilových zpráv denně. Článek Postini: Google's take on e-mail security přináší některé informace vztahující se k této společnosti a bezpečnosti G-mailu.
Informaci k novému útoku na uživatele Internet Exploreru najdete na této stránce – Microsoft confirms attacks against IE6, IE7. Imunní se zdá být IE7 pod Windows Vista a také IE8.
Encrypting Files with WinZip, to jsou doporučení NSA pro šifrování souborů s programem Winzip. Pokud Winzip k těmto účelům používáte, nepřehlédněte.
Kon-Boot na USB flash disku – obejde přihlašovací hesla Windows a Linuxu – Using Kon-Boot from a USB Flash Drive: Bypass those pesky Windows and Linux login passwords completely. Autor upravil nástroj původně připravený pro spouštění z CD pro využití i na USB flash disku.
Nový operační systém Google budí obavy ve vztahu k soukromí uživatelů – Google's new OS raises privacy, antitrust concerns. Vzroste nepochybně množství osobních dat, které bude moci Google sbírat.
Dále – Bruce Schneier zpochybňuje vyhlášení Google (o tom, že jeho OS Chrome bude bez virů) – Making an Operating System Virus Free. Diskutující zde rozebírají, zda je něco takového vůbec možné, a v zásadě se k názoru Schneiera připojují. Viz také článek Roberta Vamosiho – Will Google´s OS Make the Desktop Safe?.
John Edwards v VPN: The Pros and Cons rozebírá z různých pohledů vlastnosti VPN, klady a zápory této technologie
Praktická příručka pro efektivní správu záplat připravila společnost Del, nezbytná je registrace – Patch management. A practical guide to building an effective patch management process.
Malware
Darren Grabowski uvádí několik doporučení k tomu, jak eliminovat rostoucí hrozby botnetů – How to Mitigate the Increasing Botnet Threat.
Snahy zabránit dalšímu šíření červa Conficker jsou popisovány na stránce Researchers thwart Conficker worm spread. Pracovníci bonnské univerzity připravili některá řešení, která těmto snahám mají pomoci.
Hackeři
Online útok na vládní stránky Spojených Států, weby USA a jižní Koreje zaměstnával v uplynulém týdnu media :
- Online attack hits US government Web sites
- No sign of N. Korean backing in bot attacks on U.S. sites, says researcher
- Web attacks hit U.S., South Korean sites
- North Korea: Culprit in DDoS Attacks?
- Details on Cyber-Attack on U.S., South Korea Emerge
- Korea DDOS virus mission shifts to destroying, erasing data
- DDoS attacks with zombie computers – ´North Korea´s powerful hacker army´?
Útok botnetu byl založen na desetitisících infikovaných PC (zřejmě jednou z verzí červa MyDoom) a byl typu DDoS (distributed denial of Service), tj. napadené stránky byly zahlcovány množstvím příchozích dat. Podle posledních zpráv měl v pátek vyvrcholit útok tím, že červ stojící za útokem zašifruje data na infikovaných PC anebo přeformátuje pevný disk. Uživatelé takto postižených PC mají přijít o svá data.
Podle studie lze také čísla sociálního pojištění používaná v USA hacknout – Study: Social Security Numbers May Be Hack. Většinu čísel sociálního pojištění lze podle bezpečnostních odborníků (Carnegie Mellon University, Pittsburgh) odvodit z jména a data a místa narození. Do budoucna se předpokládá, že bude zaveden systém, kdy čísla sociálního pojištění budou volena náhodně.
Ukrajinští hackeři ukradli šerifovi z amerického zapadákova 415 000 dolarů – Darn them Dukenko boys! Ukrainian hackers steal $415,000 from podunk sherriff. Pomocí trojana (keyloggeru) získali potřebné bankovní informace a chytrou cestou najali několik dobrovolníků a s jejichž pomocí převedli peníze na Ukrajinu.
Slovensko: Hackerom za útok núkali dohodu. Je to informace k vývoji situace týkající se útoku na NBÚ v roce 2006: Polícia chce obžalovať dvoch hackerov pre útok na Národný bezpečnostný úrad. Dohodu o vine a treste dvaja muži odmietli. Vyjadrovať sa nechcú.
Možnému DNS hacku největšího irského poskytovatele internetového připojení se věnuje autor článku Possible DNS Hack at Ireland's Largest ISP. Zákazníci Eircomu byli během víkendu při požadavcích na řádnou adresu přesměrování na stránky s reklamou.
Příručku, která má napomoci orientovat se v boji proti hackerům, hoaxům a jiným internetovým hororům, najdete na stránce . Network Box white paper: Hacks, Hoaxes and Horrors. Stručný komentář k příručce je v článku Guide to common hoaxes, hacks and Internet horrors.
Centrální registr exekucí napadl hacker, z úvodu: Na Centrální evidenci exekucí České republiky zaútočil hacker. Útok byl údajně proveden z Rumunska a Exekutorská komora ČR se kvůli němu rozhodla podat trestní oznámení na neznámého pachatele. Podle vedení firmy NeutriCS, která evidenci technicky zajišťuje, nebyla žádná data ohrožena a útok se udál už dříve.
Mobilní telefony
Bezpečnosti mobilů s operačním systémem Symbian je věnována 40stránková studie From 0 to 0Day on Symbian. Jejím autorem je Bernhard Müller. Článek Security on Symbian mobiles: Early signs of crumbling shrnuje její výsledky.
Elektronické bankovnictví
Bankovní podvodníci přichází s trikem, ke kterému jim stačí pouze telefon – High Crimes Using Low-Tech Attacks. Zavolají oběti s tím, že má nějaký problém s účtem a že ji přepojí na specialistu. Zavolají pak skutečně do banky a spojí s ní oběť. Zatímco je zákazník bankou autentizován, podvodník je mlčící (a poslouchající) stranou na lince. Často se takto dostanou k cenným datům (např. heslo, PIN, číslo sociálního pojištění, množství peněz na účtu atd.).
Robert Lemos diskutuje situaci okolo stažení prezentace (jejímž autorem je Jack Barnaby, Juniper) z konference Black Hat, která se týkala vážné zranitelnosti bankomatu (s dalekosáhlými dopady pro uživatele – podle komentáře společnosti Juniper) – Flaw Opens ATMs to Hackers.
Autentizace, hesla
Brandon Gregg ukazuje na některé možnosti vedoucí k cestám pro identifikaci anonymních zdrojů na internetu – Tools To Identify Anonymous Users Online.
Bruce Schneier uznává, že v otázce maskování vkládaného hesla mohl chybovat – Schneier says he was ‚probably wrong‘ on masked passwords. Security guru gets a bit carried away by the moment. Maskování vkládaného hesla: ano či ne? Existují argumenty pro obě odpovědi.
Phishing
Komentář ke zprávě společnosti Fortinet Threatscape Report – June 2009 Edition popisuje mj. rekordní útoky phisherů v červnu 2009 – Phishing attacks hit record high in June.
Normy a normativní dokumenty
Desetistránkový dokument amerického NISTu The Transitioning of Cryptographic Algorithms and Key Sizes je věnován úpravám kryptografických algoritmů (délek klíčů) v jednotlivých normách, které NIST vydává.
Kryptografie
High-speed cryptography and DNSCurve – DNSSec versus DNSCurve – co je bezpečnější? Prezentace známého odborníka D.J. Bernsteina je věnována kritice nedostatečného využívání kryptografie v internetových protokolech. Zejména proti sobě staví dvě pojetí bezpečnosti DNS – DNSSec a DNSCurve (poslední se opírá o využití eliptické kryptografie).
QTRU – nový kryptografický systém s veřejným klíčem je rezistentní proti starým útokům – QTRU: A Lattice Attack Resistant Version of NTRU. PKCS Based on Quaternion Algebra. QTRU vychází ze známého kryptosystému NTRU, používá však algebru kvaternionů (která je nekomutativní).
Problematice FPGA a kryptografie je věnován článek Turn FPGAs Into „Key“ Players In The Cryptographics Field. Mandel Yu vysvětluje některé vlastnosti PUF (physical-unclonable-function) obvodů a jejich možnosti.
Kryptografie v zabudovaných systémech je zase předmětem dvoudílné série článků. V její první části Understanding Crypto Performance in Embedded Systems: Part 1 Geoff Waters diskutuje faktory, které ovlivňují výkonnost kryptografických operací v zabudovaných systémech. Druhá část článku je pak na tomto odkazu – Understanding Crypto Performance in Embedded Systems: Part 2. Autor zde uvádí metodologie, které umožní měření výkonnosti kryptografických operací v zabudovaných systémech.
Bruce Schneier se vyjadřuje na svém blogu k objevu homomorfního šifrování (Gentry, IBM) Homomorphic Encryption Breakthrough . Obsaženy jsou zde pochybnosti k těmto P.R. aktivitám IBM.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
