Hlavní navigace

Bezpečnostní střípky: mýty okolo šifrování

Jaroslav Pinkava 14. 9. 2009

Pravidelný přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek týdne lze upozornit na několik informací týkajících se bezpečné práce s cookies, na zprávu ENISA (rostoucí bankomatová kriminalita) a informaci z konference CHESS 2009 ohledně útoku na fyzikální generátory náhodných čísel.

Obecná a firemní bezpečnost IT

Sedm smrtelných hříchů při formování bezpečnostní koncepce sepsala na stránkách csoonline.com Joan Goodchild (Seven Deadly Sins of Building Security):

  • Vytváření požadavků bez předběžné podrobné analýzy
  • Estetično má přednost před bezpečností
  • Je zanedbána příslušná ochrana některých vstupů do budov
  • Managementu je necháno na vůli zda bude ignorovat bezpečnostní pravidla
  • Není ponechán čas k tomu, aby byla správně chápána vaše technologie
  • Nejsou dostatečně chráněny důležité prostory uvnitř budovy
  • Bezpečnostní požadavky jsou přeháněny

Můžete se seznámit se strukturou dat, která jsou evidována o amerických cestovatelích – What Does DHS Know About You?. Zveřejněná informace se týká amerických občanů, obdobné informace se budou uchovávat i o přijíždějících cestujících.

Bezpečnostní cvičení pomohou lépe se vypořádat s bezpečnostními hrozbami – Cyber security exercises prepare you to deal with security threats. V článku je uvedeno, co by takováto cvičení měla obsahovat, respektive na co by se organizace v jejich rámci měly soustředit.

Obama se chystá jmenovat kybernetického šéfa Bílého domu – Report: Obama close to appointing White House cybersecurity chief. Podle kolujících informací by se jím měl stát Frank Kramer, který byl asistent ministra obrany za vlády Billa Clintona. Kandidátů je však stále několik.

Objevila se esej Bruce Schneiera na téma mazání souborů – File Deletion. G-mail, jiné poštovní schránky, nyní cloud computing atd., kde jsou záruky, že naše data budou smazána?

Bezpečnostní otázky, na co by společnosti neměli zapomínat – Network Box advisory: ‘Forgotten Security’. Organizace se často sice intenzivně věnují boji proti malware, ale zapomínají na další záležitosti (např. bezpečnost aplikací). Komentář k uváděným doporučením je na stránce Companies should examine all security issues.

Software

SWFScan, to je volně dostupný skener Flash aplikací – SWFScan – Free Flash Application Security Scanner . Vyvinula ho HP Web Security Research Group, na stránce je ukázáno, jak pracuje a můžete si ho zde stáhnout.

Problémy s útoky SQL injection se stávají vážnějšími – K.biz lax on web app security. SQL injection problems getting worse. Podle výsledků auditů společnosti NTA Monitor ve firmách ve Velké Británii narůstá procento zranitelných webových aplikací. V článku jsou popsány tři identifikované typy rizik a uvedena stručná doporučení k obraně před možnými útoky těchto typů.

Flash cookies: What's new with online privacy – flash cookies, jak se s nimi potkáváme online? Michael Kassner v tomto článku hovoří o svých zkušenostech. Všimněte si odkazu na studii Flash Cookies and Privacy (University of California, Berkeley).

Šest mýtů souvisejících s problémy okolo šifrování dat je rozebíráno na stránce Six urban myths about encryption. Někdy si někdo od šifrování slibuje i věci nereálné anebo nechápe souvislosti. Adrian Lane a Rich Mogull formulují šest takovýchto situací a ukazují, proč tomu tak je:

  • Potřebujeme šifrovat vzhledem k tomu, že kontrola přístupů není dostatečná.
  • Šifrování zkříží plány internetových hackerů a zabrání datovým průnikům.
  • Kompletní šifrování disků na noteboocích je snadné a mělo by být povinné.
  • Šifrování databází je obtížné implementovat a je pomalé při práci.
  • Dříve než začnu se šifrováním, je třeba mít centrální správu klíčů a normy pro klíčové hospodářství.
  • Volně dostupné šifrovací produkty jsou špatnými produkty.

Simple Lesson on Secure Cookies aneb o nechráněných cookies a jak jsou tato vydána na pospas útočníků. Autor popisuje, kde a jak mohou cookies uniknout mimo kontrolu uživatele.

Správa cookies pro paranoika, takovýhle nadpis si pro svůj článek připravil Chad Perrin – Paranoid cookie management. Téma cookies se v poslední době objevuje na internetových stránkách věnovaných bezpečnostním IT problémům často. Autor připravil kuchařku pro ty, kteří se chtějí s problémem vypořádat – skutečně do hloubky anebo alespoň částečně.

Sedm příčin, proč weby nejsou nyní dále bezpečné posbíral Bill Brenner. Zároveň uvádí i cesty k obraně (7 Reasons Websites Are No Longer Safe):

  • Zaneřáděné přídavky (= ads, např. reklamy na stránkách)
  • Útoky SQL injection
  • Obsah dodávaný uživateli
  • Ukradené pověření ke stránce
  • Kompromitovaná hostingová služba
  • Lokální malware
  • Hackerem vytvářené podvrhy

Viry

Where in the World do Viruses Come From? – Odkud přichází viry? To je komentář ke statistikám z analýzy Network Box. Spojené státy jsou hlavním zdrojem virových nákaz – 15,9 procenta, následuje je Brazílie.

Množství virů v P2P sítích se rapidně zvětšilo – Digitálně.cz. David Sillmen: Uživatelé P2P sítí už neriskují pouze tahanice se zákonem, ale také problémy s viry a dalším malware. V posledních týdnech ho totiž právě v této oblasti výrazně přibylo. Nejčastější je pochopitelně v autorsky chráněných souborech.

Hackeři

Chcete hacknout heslo e-mailu své (nevěrné) přítelkyně? „Služba“ YourHackerz.com to umí, za 100 dolarů zjistí heslo k účtu. V příkladu uvedeném v článku to byl e-mail AOL – Password Hackers Are Slippery To Collar.

Podívejte se na diskuzi: Napadené index.php a index.html škodlivým kódem, je to problém, o kterém se na této stránce diskutuje již půl roku.

Online útočníci ukradli firmě téměř půl miliónů dolarů – Cyber Thieves Steal $447,000 From Wrecking Firm. Je zde popsán jeden z konkrétních případů poslední doby, kdy útočníci se dostanou k přístupovým datům k účtům firem a je za tímto účelem (pravděpodobně) používán nějaký typ malware, který se dostane do počítačů firmy (bankovní trojan).

Blackhat SEO – jedna z hlavních taktik dnešních kybernetických podvodníků je popisována na stránce PandaLabs – Blackhat SEO Attack Targets Obama's Speech. Ve vyhledávačích uživatelé zadávají často slova, která se váží k aktuálním událostem. Hackeři toho zneužívají tak, že své podvodné stránky zformují tak, aby se odkaz na ně objevil mezi prvními výsledky vyhledávačů.

V Austrálii, probíhá DDoS útok na vládní stránky – Australian gov't calls on experts over DDoS attack, a to včetně stránek premiéra a jeho kabinetu (stránky však nebyly hacknuty). Útočníci požadují zrušení plánů na filtrování internetu.

Napadené weby, falešnými blogy doputuje malware k uživatelům – Fake Blogs Serve Rogue Malware . Na napadených stránkách se objevují blogy diskutující takové zajímavé věci jako podrobnosti k celebritám typu Britney Spears.

Spam

Jak na filtrování spamu, autorem tohoto článku na digitálně.stahuj.cz je Josef Vavřina: I přes úpravy zákonů o ochraně osobních údajů jsou naše e-mailové schránky neustále terčem velkého množství spamu ze zahraničí. Nevyžádaná pošta dovede někdy opravdu otrávit náladu. Naštěstí jsou i nástroje pro boj se spamem.

Elektronické bankovnictví

Alarmující nárůst v posledních měsících zaznamenává bankomatová kriminalita. Vyplývá to z komentáře ke zprávě ENISA – An alarming increase in ATM crime. Ztráty za rok 2008 činily 500 miliónů Euro, to je nárůst o 149 procent proti předešlému roku. Podvodníci jsou přitom velice vynalézaví a přichází s celou škálou různorodých fines. Samotnou zprávu ENISA najdete na tomto odkazu – ATM Crime: Overview of the European situation and golden rules on how to avoid it. Jiný komentář k této zprávě sepsal John Leyden – EU urges wise-up to combat rampant ATM crime. Don´t stand so close to me.

More Business Banking Victims Speak Out, aneb oběti bankovních podvodů vypovídají. Majdete zde konkrétní podrobnosti k průběhu podvodů.

Phishing

How a Phishing Attack Exposed an Energy Company to Hackers, jak phisherský útok vystavil energetickou společnost hackerům. Využita byla oznámená zranitelnost (Microsoft, zranitelnost nulového dne), podrobnosti jsou pak v článku. Útok je staršího data, dokumentuje však existující nebezpečí.

Co obsahuje portrét phishera? Jsou to zbraně, drogy, ukradená ID – Guns, drugs, stolen identities – portrait of a phisher. The demise of ‚cashout5050‘. Dotyčným je 30letý občan státu Kalifornie ze Sacramenta Tien Truong Nguyen a najdete zde popis jeho „aktivit“, za které se odpovídá před soudem.

Viz také článek v Computerworldu – Man pleads guilty in Wal-Mart card phishing scheme.

Test – jak jste odolní proti phishingu? Vyzkoušejte si 10 příkladů, které najdete zde – SonicWALL Phishing and Spam IQ Quiz.

Elektronický podpis

Datové schránky: pracujeme s epodpisy, III, to je pokračování seriálu Jiřího Peterky na Lupě: V MS Windows jsou předinstalovány kořenové certifikáty pouze jednoho ze tří tuzemských poskytovatelů certifikačních služeb s akreditací (společnosti I. CA). A to dokonce tak důkladně, že ve Vistách nejdou ani odinstalovat. Další kořenové certifikáty se ve Windows mohou automaticky instalovat jako důvěryhodné, aniž by se o tom uživatel dozvěděl.

Předchozí pokračování a související články:

Kryptografie

Bezpečnosti AES-256 a nedávným výsledkům je věnována diskuze What-the-heck happened to AES-256?. Určitě nepřehlédněte připomínku Davida Wagnera.

Britští vědci oznámili, že proběhly první výpočty pomocí optického kvantového čipu – http://www.computing.co.uk/…m-first-ever. S jeho pomocí bylo faktorizováno číslo 15 (využita byla verze Shorova algoritmu). Jonathan Matthews (jeden z realizátorů experimentu) říká, že si myslí, že pokrok, který je nezbytný pro získání možností faktorizace čísel zajímavých pro kryptografii, nastane až tak za 30 až 50 let. Pro nejbližších deset let mohou být uživatelé tradičních kryptosystémů (jako RSA) v klidu.

Útok na fyzikální generátory náhodných čísel byl rozebírán na konferenci Cryptographic Hardware and Embedded Systems 2009 – Tuning in to random numbers. Jeden z autorů (Theo Markettos) komentuje svoji studii – The Frequency Injection Attack on Ring-Oscillator-Based True Random Number Generators. Slajdy z přednesu na konferenci najdete na tomto odkazu – slides. Stránky samotné konference jsou pak zde – Cryptographic Hardware and Embedded Systems 2009. Na konferenci byl přednesen také příspěvek českého autora – Martin Hlaváč : Known-Plaintext-Only Attack on RSA-CRT with Montgomery Multiplication

Historii steganografie stručně, v deseti slajdech od dávnověku po digitální fotografie najdete popsánu na stránce The history of steganography.

Různé

Nepřehlédněte – KEYMAKER – studentská soutěž v rámci workhopu Mikulášská kryptobesídka.
 

KEYMAKER – Pokyny pro autory:

Vyhlášení výsledků studentské soutěže KEYMAKER se koná v rámci workshopu Mikulášská kryptobesídka 3. – 4. prosinec 2009 v Praze.
Přijímány do soutěže jsou příspěvky zaměřené především na oblasti kryptoanalýzy, aplikované kryptografie, bezpečnostních aplikací kryptografie a dalších souvisejících oblastí. Příspěvek pro KEYMAKER má požadovaný rozsah 5–15 stran A4 a připravenost pro anonymní hodnocení (bez jmen autorů a zjevných odkazů). Identifikační a kontaktní údaje prosím pošlete v těle e-mailu s příspěvkem jakožto přílohou a jasným označením KEYMAKER. Přijímány jsou články, bakalářské či diplomové práce, nebo jiná kvalitní ucelená díla, kde v případě rozsahu nad 15 stran požadujeme výtah podstatného obsahu v max. rozsahu 8 stran, s vlastní prací jako přílohou.
Mezi autory nejlepších příspěvků, kde oceněno bude min. 3 a max. 7 příspěvků, budou rozděleny finanční odměny v celkové výši 125 tisíc Kč. Návrhy příspěvků budou posouzeny PV a autoři budou informováni o přijetí/odmítnutí do 30. října.
Příspěvek pak musí být prezentován na workshopu.
Šablony pro formátování příspěvků pro Word a LaTeX lze získat na www stránkách workshopu: http://mkb.buslab.org. Příspěvky mohou být napsané v češtině, slovenštině, nebo angličtině.
Příspěvky připravené podle výše uvedených pokynů zasílejte ve formátu PDF, příp. RTF a to tak, aby na uvedenou adresu přišly nejpozději do 30. září 2009. Pro podávání příspěvků prosím použijte adresu matyas ZAVINAC fi.muni.cz a do předmětu zprávy uveďte MKB 2009
CFP pro soutěž KEYMAKER lze stáhnout např. zde.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

14. 9. 2009 20:07

Zdenek (neregistrovaný)

Přečetl jsem si originální článek a samozřejmě je Vaše poznámka neopodstatněná. Generátor obsahuje 2 různé oscilátory ovlivněné teplem, jejichž výstupy se XORují, latchují hodinami a nakonec ještě vydělí k získání rovnoměrného rozložení. Podstatou útoku je vynucená synchronizace obou oscilátorů externím kmitočtem.
Zmíněná dioda by byla ve skutečnosti mnohem náchylnější na zachycení periodického rušení, než popsané řešení.


14. 9. 2009 14:20

Clock (neregistrovaný)

To ze clovek bere cisla z nejakeho oscilatoru uz dle meho nazoru znamena ze nejsou nahodna. Jako drzost mi pride kdyz k tomu jeste pripisou „true“

Nahodna jsou cisla z kvantoveho sumu a ten neni technicky slozite vytvorit staci dioda v propustnem smeru.

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET