Bezpečnostní střípky: nepříliš úspěšná legislativa

15. 6. 2009
Doba čtení: 7 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na článek k firewallům webových aplikací, informaci o dosud bezprecedentním útoku na hosting a samozřejmě na aktualizovanou normu NIST pro digitální podpis.

Přehledy a konference

Ohlédnutí za loňským rokem a shrnující poznatky přináší osmistránkový přehled věnovaný problematice hackingu webových stránek – The Web Hacking Incidents Database 2008: Annual Report. Jsou v něm rozebírány tyto okruhy otázek:

  • Jaká byla zvolena metodika sběru dat?
  • Co je motivací pro hackování webů?
  • Jaké zranitelnosti hackeři využívají?
  • Které typy organizací jsou nejvíce napadány?

Přehled Trust, Security & Passwords společnosti Cyber-Ark je vydáván třetím rokem, tentokrát byl zpracován na základě odpovědí 400 IT profesionálů (USA a UK) – Insider snooping is on the rise. Z výsledků přehledu mj. vyplývá, že počet neoprávněných přístupů interních zaměstnanců k firemním informacím narůstá. Konkrétněji – např. 35 procent IT pracovníků nyní připouští, že měli přístup k informacím společnosti  – neoprávněný, bez autorizace. 74 procent respondentů dokonce říká, že by mohli obejít existující kontroly, které mají chránit přístup k interním informacím.

Obecná a firemní bezpečnost IT

Deset cest k obraně před bezpečnostními průniky najde čtenář v článku 10 ways to avoid IT security breaches. Michael Kassner v něm ukazuje na deset pracovních postupů (zvyklostí), které mohou uživateli pomoci při obraně proti útokům.

  • Změňte implicitní (defaultní) hesla
  • Nepoužívejte jedno heslo vícekrát
  • Zrušte uživatelské účty zaměstnance, který odchází
  • Prověřujte bezpečnostní logy
  • Provádějte pravidelné skeny sítě
  • Monitorujte odchozí provoz sítě
  • Záplatujte a aktualizujte pravidelně
  • Implementujte bezpečnostní plán
  • Zvyšujte povědomí uživatelů ohledně informační bezpečnosti
  • Zainteresujte vyšší management

Spojené státy – Mobile Investigating Data Breach Claims  – T-Mobile vyšetřuje oznámení o datovém průniku. Neznámí hackeři oznámili, že pronikli do systému a chtějí prodat ukradená data uživatelů. Ale reakce společnosti T-Mobile zpochybnila toto vyhlášení – T-Mobile denies hacker break-in.

S využíváním nových technologií narůstají rizika – Security risks grow as businesses rush to adopt emerging technologies. To je komentář k dvěma nedávným studiím RSA, který obsahuje i shrnutí výsledků těchto dokumentů (a příslušné odkazy). Studie se kriticky dívají na postupy organizací právě při zavádění nových technologií.

The Security Apartheid: The beginning of the end? – Podaří se bezpečnost zapojit vhodným způsobem do vývoje IT? Článek na blogu RSA obsahuje zamyšlení Erica Baize nad otázkou, která se ukazuje být stále více a více důležitá.

Americké ministerstvo národní bezpečnosti najalo známého hackera – Homeland Security hires ex-hacker. Jeff Moss (zakladatel konferencí BlackHata a Defcon) byl mezi šestnácti, kteří předminulý pátek přísahali radě ministerstva.

Sociální inženýrství, proběhl další „úspěšný“ praktický experiment – Social Engineering: 5 Security Holes at the Office (Includes Video). Odborník našel několik cest, jak se lze dostat do chráněné budovy. Viz také navazující článek – Social Engineering: The Fine Art of BS, Face to Face (Includes Video).

Čínští a ruští programátoři vítězí v soutěži konané pod záštitou NSA – China dominates NSA-backed coding contest. Zvítězil čínský 18letý student. Ze 70 finalistů bylo 20 z Číny, 10 z Ruska a pouze dva z USA.

Zaměstnanci často ignorují bezpečnostní politiky sítě organizace, to je komentář k výsledkům dalšího nedávného výzkumu, který tentokrát provedl Ponemon Institute – Employees evade and ignore network security policies.

EU hledá další kroky pro boj s počítačovou kriminalitou. Jeremy Kirk v článku Europe looks to step up fight against cybercrime. Revised frameworks will deal with Internet-related child exploitation and increased penalties for cybercriminals komentuje vystoupení Radomira Janského (Commission's Di­rectorate-General for Justice, Freedom and Security).

Akce Second Interdisciplinary Workshop on Security and Human Behavior proběhla v minulém týdnu na MIT – Second SHB Workshop Liveblogging. Bruce Schneier jako její účastník rozsáhle komentuje dění tohoto workshopu s množstvím odkazů na materiály – Schneier on Security.

Vyšla nová kniha – The Secret Sentry: The Untold History of the National Security Agency. Recenzi na knihu, která vyšla v tomto týdnu najdete na stránce A New History of the National Security Agency. Kniha má 432 stran, jejím autorem je Matthew Aid. Podle popisu kniha obsahuje kompletní historii NSA.

Legislativa

Problematický německý zákon vede k tomu, že firmy umisťují svá sídla mimo Německo – Hacker-Tool Law Still Does Little. Zákon, který vstoupil v platnost v srpnu 2007, umožňuje charakterizovat některé typy bezpečnostních programů jako kriminálně závadné.

Digitální práva – co se stane s vaší hudbou (filmy,…), pokud váš dodavatel zkrachuje? Problém je ještě zřetelnější, pokud třeba váš SW po instalaci před spuštěním vyžaduje online autorizaci – Perils of DRM: What Happens to Your Digital Content if the Provider Goes out of Business?. Tento úhel pohledu na DRM (Digital Right Management) není dořešen a vyvolává i nadále otázky.

Piráti vítězí. Francouzský zákon proti nelegálnímu stahování přestal platit. Z úvodu článku: „Francouzská Ústavní rada dnes zamítla hlavní bod nedávno přijatého zákona umožňující odpojit od internetu uživatele, kteří si z něho nelegálně stahují filmy nebo hudbu. Zákon tak ztratil smysl.“ Je to jeden z celé řady komentářů.

Software

Nedostatky firewallů existují, nelze popřít, že prostě jsou, co však s nimi? Ross O. StoreyFirewall Flaws and How to Fix Them poukazuje na skutečnost, že firewally se za posledních 15 let málo změnily, zatímco vývoj ostatního SW (včetně programů útočníků) již dávno pokročil jinam.

Firewally webových aplikací – jak je hodnotit, pořizovat a implementovat? Mary Brandel přichází v rozsáhlejším článku Web Application Firewalls: How to Evaluate, Purchase and Implement se sérií doporučení pro WAF (Web Application Firewall).

Comodo System Cleaner 1.1.649 – na stránce najdete popis tohoto volně dostupného programu, který umí vyčistit váš systém od poškozených či zbytečných souborů, zlepší výkon počítače při bootování pro počítače s Windows XP či Windows Vista.

Byl vydán Kerberos 5 Release 1.7 – Kerberos 5 Release 1.7 is now available . Volně dostupnou verzi si můžete stáhnout prostřednictvím následujícího odkazu – zde.

Facebook a problematická bezpečnost jeho aplikací jsou předmětem článku How Privacy Fails: The Facebook Applications Debacle. Joseph Bonneau v něm rozebírá sporné přístupy Facebooku a konstatuje, že i do budoucna je možné zde očekávat velké bezpečnostní problémy.

The First Few Milliseconds of an HTTPS Connection aneb několik prvních milisekund při spojení https. Na stránce najdete podrobný, velice hezký popis, včetně práce s certifikáty.

Malware

Nová aktualizace Windows odstraní zlodějský antivir – Microsoft update removes rogue antivirus program. Jedná se o Internet Antivirus Pro, který se pokouší krást data uživatelů ftp (jména a hesla).

Škodlivé kódy se do počítačů i v květnu dostávaly především přes vyměnitelná média – ihned.cz: Škodlivé kódy nepřestávaly ani v květnu zneužívat soubor aurotun.inf a přes vyměnitelná média se šířily na další počítače. V Česku nejvíce napadala a zpomalovala počítače uživatelů nevyžádaná reklama. Viz také – Eset: Conficker v Česku prakticky nehrozí, hrozbou jsou hlavně vyměnitelná média.

Viry

Brzy přijde bezplatný antivir od Microsoftu – Free Microsoft antivirus ‚coming soon‘ . Beta verze Morro (to je název antiviru) má být brzy k dispozici na stránkách Microsoftu. Viz k tomu také komentář Franka Ohlhorsta – Will Microsoft´s Free Antivirus App be Worth the Price?.

Hackeři

Britský hosting se stal obětí útoku hackerů – UK Web host falls victim to attack. Ztracena byla data pravděpodobně až ke 100 000 webů. Další komentář – Webhost denies poor passwords led to catastrophic hack. .

Hardware

Odstraňte citlivá data dříve, než budete prodávat staré PC – Remove Sensitive Data Before You Sell an Old PC. Lincoln Spector vysvětluje, proč a jak.

Bezdrát

Pět bezpečnostních doporučení pro iPhone najdete na stránce Network Security & Hardware: Five iPhone Security Tips for IT Departments. Je to výňatek z dokumentu, který zpracoval CIS (The Center for Internet Security, Brian Prince), je v podobě prezentace.

Objevena byla existence nového nebezpečného útoku DoS (Denial of Service) na bezdrátové sítě New DOS attacks threaten wireless data networks. Útok je umožněn existujícími slabinami protokolu Mobile IP.

Elektronické bankovnictví

Malware, který byl objeven v bankomatech, je vysoce sofistikovaný – Global ATMs affected by malware claims researcher. Jeremy Kirk popisuje, jak analytici firmy Trustwave v tomto směru informují o výsledcích svých analýz.

Také diskuze (obsahující řadu zajímavých postřehů) na Schneierově blogu se věnuje problému malware v bankomatech – Malware Steals ATM Data. Za nesmyslný je zejména považován fakt, že bankomaty běží pod OS Windows a ne pod nějakým speciálním operačním systémem.

Phishing

Devět lidí z deseti je zranitelných vůči phishingovým podvodům. Podle přehledu, který zpracovali YouGov a VeriSign, 88 procent uživatelů nerozpozná phishingovou stránku a považuje ji za reálnou. Verisign v této souvislosti připravil pět doporučení – najdete je v závěru článku – Nine out of ten people are vulnerable to phishing scams as more need for online security education demonstrated.

Normy a normativní dokumenty

Americký NIST vydává novou verzi normy pro digitální podpis (FIPS PUB 186–3):

Oficiální komentář najdete na stránce Announcing Approval of Federal Information Processing Standard (FIPS) Publication 186–3, Digital Signature Standard (DSS). Norma mj. umožňuje používat DSA s délkou klíče 1024, 2048 a 3072 bitů a přidává další požadavky, které umožní bezpečné používání podpisových schémat RSA a ECDS.

bitcoin školení listopad 24

Kryptografie

Differential Path for SHA-1 with complexity O(2exp52), je hashovací funkce SHA-1 již blízko konce své bezpečné existence? Čerstvý výsledek australských kryptologů tomu nasvědčuje (útok s dosud nejnižší dosaženou složitostí). Viz komentář Dana Goodina – Crypto attack puts digital sig hash on collision course.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku