Bezpečnostní střípky: verze protokolů SSL a TLS v centru pozornosti

Přehledy

Čtyřicetistránkový dokument PwC: 14th annual Global State of Information Security Survey je komentován v článku Organizations Over-Confident About Security Strategy: Survey. Byl zpracován na základě odpovědí 9600 manažerů. Některé jeho hlavní závěry:

• Téměř polovina respondentů se považuje za “předběžce” a tyto společnosti se na informační bezpečnost dívají poněkud odlišně
• Celkové povědomí ohledně bezpečnosti i její řízení se v poslední dekádě značně zlepšilo
• Kapacity pro bezpečnost se snížily od roku 2008
• Klíčovými oblastmi, kde došlo k zlepšením, jsou nakoupený SW (C-suite), plánování ve vztahu k sociálním médiím a bezpečnost týkající se cloudů
• Asie kráčí vpřed, zatímco arzenál světové informační bezpečnosti stárne

Přehled říká: e-mail je hlavním zdrojem úniku dat v organizacích – Email Main Source of Data Leaks in Organizations: Survey. Fahmida Y. Rashid komentuje obsah nedávného přehledu Ponemon Institute – The Escalating Importance of Email Encryption. U.S. Survey of IT and Compliance Professionals. V materiálu (33 stran) jsou formulovány jako klíčové následující výsledky:

• Padesát devět procent respondentů vyjádřilo zřetelný souhlas či souhlas s tím, že používání e-mailu zaměstnanci je jedním z hlavních zdrojů úniku dat v jejich organizacích
• Bezpečnost e-mailu na mobilních zařízeních je zdrojem velkých obav u respondentů. Sedmdesát procent respondentů se obává ztrát informací touto cestou (e-mail na mobilních zařízeních)
• Šedesát devět procent respondentů říká, že zaměstnanci ignorují politiky, které ukládají šifrovat důvěrné dokumenty, které cestují nezabezpečený­mi kanály
• Šedesát jedna procent říká, že zaměstnanci posílají nešifrovaně důvěrné informace nezabezpečenými kanály (e-mail)
• Padesát dva procent respondentů říká, že odesilatelé v jejich organizacích jsou frustrováni současnými řešeními pro e-mail, která jsou na pracovištích používána (na straně příjmu to frustruje 57 procent respondentů)

Obecná a firemní bezpečnost IT

5 secrets to building a great security team – využití pěti tajemství pomůže vybudovat kvalitní bezpečnostní tým. Lauren Gibbons Paul rozebírá (podrobně) tyto body:

• Vše znovu promyslete
• Formalizujte podhodnocené funkce
• Vyžadujte prokázaní profesní zkušenosti
• Ustavte osobu pověřenou komunikacemi, které se týkají bezpečnosti
• Pěstujte nesouhlas

David Brin (známý spisovatel) na ZDNet UK – vystupuje v následujícím zajímavém interview jako člověk, který se na problematiku dívá i ze širších hledisek – David Brin: state secrecy and science fiction (utajování státem a science fiction).

Jsou systémy pro odhalování plagiátorství efektivní? Na toto téma proběhla diskuze na Schneierově blogu The Effectiveness of Plagiarism Detection Software Vycházela přitom z článku (Moral) Hazards of Scanning for Plagiarists: Evidence from Shoplifting, kde jeho autor zjišťuje, že to s těmito systémy zrovna příliš slavné není.

Bývalý americký šéf kybernetické bezpečnosti Clarke konstatoval, že nyní jsou velkými problémy chytré mobily a digitální certifikáty – Former Cybersecurity Czar Clarke Says Smartphones, Digital Certificates Create Huge Security Problems. Rozhovor s Richardem Clarkem připravila Ellen Messmer. Clarke nyní pracuje pro Bit9 (jako člen představenstva) – Bit9 Adds Former U.S. Cyber Security Czar to Board of Directors.

Provozovatel stránky pro hraní pokeru byl obviněn, měl okrást hráče o 330 miliónů dolarů – Prosecutor calls poker site ‚global Ponzi scheme‘. Jedná se přitom o jeden z největších herních webů internetu (Full Tilt poker). Viz také – Poker Site Ran Massive Ponzi Scheme on Players.

How To Keep Data Safe In the Cloud – jak udržovat svá data v cloudu v bezpečí? Vineet Jain ukazuje, jak může pomoci poskytovatel cloudu a také, jaké podmínky by měl splňovat samotný uživatel cloudu.

Útoky sociálního inženýrství stojí podnikání mnoho peněz – Social engineering attacks costly for business, Joan Goodchild se tu věnuje výsledkům výzkumu společnosti Check Point. Jeden incident útoku sociálního inženýrství přijde organizaci na 25 000 – 100 000 dolarů (USA, Kanada, Německo, Austrálie a Nový Zéland – to jsou země, kde bylo šetření prováděno). Viz také další komentáře k tomuto přehledu:

• 48% of enterprises targeted by social engineering attacks
• New-starters and contractors are biggest targets of social engineering attacks
• Bigger isn´t better when it comes to social engineering attacks

How the TOR Project defeated Iran filters inside 24 hours aneb jak projekt TOR prorazil íránské filtry během 24 hodin. Celou situaci popisuje Patrick Lambert. Dvaceti miliónům íránských uživatelů internetu je neustále ztěžován život různými filtry (směrovanými hlavně na disidenty).

Massachusetts: osobní data každé třetí osoby v tomto americkém státě byla kompromitována – 1 in 3 in Massachusetts had personal data compromised. Tohle je hodně nepříjemná statistika.

Školy by se měly zabývat výchovou ohledně bezpečného chování na internetu, v IT – A Call for Cybersecurity Education. Určitě to platí i pro Českou republiku.

S několika doporučeními pro bezpečné online nakupování přichází společnost Avira – Tips for safe online shopping.

Jak bude vypadat přicházející svět: kybernetická rizika a budoucnost USA, esej na toto téma připravil Michael Assante – Bad new world: Cyber risk and the future of the United States. Je to rozsáhlejší zamyšlení obsahující charakterizaci současné situace v kybernetické bezpečnosti, i jejích rizik spolu s určitým výhledem. Autor se obrací především k dopadům útoků na fyzická zařízení.

Code red: the cyber spy threat – hrozby kybernetické špionáže, v tomto svém přehledu se Dylan Welch orientuje zejména na hrozby čínského původu. Zmiňuje také Stuxnet.

Sociální sítě

Filutové sociální sítě milují – Con artists love social networks. Nacházejí zde množství příležitostí, jak se “vyřádit” (North American Securities Administrators Association). Článek doprovází několik doporučení k ochraně před těmito výtečníky.

F-Secure nabízí uživatelům Facebooku volně dostupnou aplikaci – sken škodlivých odkazů – Facebook users offered app to scan for malicious links. Jedná se o F-Secure ShareSafe, zatím v beta verzi.

Software umožňuje rodičům sledovat své děti na Facebooku – Software Lets Parents Spy on Kids' Facebook Pages. Jedná se o službu pro chytré mobily – Safely Social Monitor. Článek je uzavírán několika odkazy, které se týkají bezpečného pobytu na stránkách sociálních sítí.

Software

7 Lessons: Surviving A Zero-Day Attack aneb jak přežít útok nulového dne? Sedm doporučení zformuloval (a v krátkosti rozebral) John Foley.

Systémy SAP, zranitelnost v autentizačním protokolu umožňuje přístup útočníkům – Authentication Vulnerability Enables Attackers to Access SAP Systems, Says Expert. Mariano Nunez Di Croce (CEO společnosti Onapsis) o ní informoval na konferenci Ekoparty v Buenos Aires.

Windows 8

Windows 8 server, o jeho orientaci na centralizované pojetí bezpečnosti hovoří článek Windows Server 8 Gets Serious About Centralized Security. Edward J. Correia přichází s těmi několika informacemi, které jsou zatím k dispozici (Active Directory, Dynamic Access Control).

Bezpečný boot pro Windows 8 by měl vyloučit Linux – Windows 8 secure boot would ‚exclude‘ Linux, domnívá se autor tohoto článku. Navrhované změny rozhraní UEFI (Unified Extensible Firmware Interface) budou znamenat, že PC budou bootovat pouze z odvozeného digitálně podepsaného obrazu (image).
Viz také Secure Boot in Windows 8 Worries Researchers.

Microsoft se ale ozval a říká, že Linux vyloučen nebude – MS denies secure boot will exclude Linux. Lock-out security tech can be disabled, if OEMs want a také se o tom píše v článku – Microsoft Defends Secure Boot in Windows 8.

Podrobnosti k změnám, které přinesou Windows 8, obsahuje článek Demystifying Windows 8´s changes, additions, and features.

SSL (TLS) zranitelnost

TLS zranitelnost, hackeři překonali šifrování, které používají milióny webů – Hackers break SSL encryption used by millions of sites. Na akci Ekoparty security conference, která se konala v minulý týden v Buenos Aires, byl prezentován koncept (označovaný jáko BEAST), který demonstroval, jak dešifrovat autentizační cookie, které používá PayPal (pro přístup do účtu). Poznámka: překlad názvu článku z theregister.co.uk odpovídá sice původnímu anglickému znění, ale nikoliv přesnému popisu situace. Může pak dojít k jejímu nepochopení, jak jsem si přečetl na jednom českém webu – „Ohrožena je v tomto případě samotná základní kryptografie“, což pochopitelně není tento případ.
Viz také komentáře:

• New Attack Breaks Confidentiality Model of SSL, Allows Theft of Encrypted Cookies
• Researchers to detail hole in Web encryption

Google připravuje příslušnou opravu pro Chrome – Google preps Chrome fix to slay SSL-attacking BEAST.

Problémem je zde skutečnost, že přesun k novějším verzím TLS je s komplikacemi – Fixes in the Works For SSL Attack, But Support Lacking for Newer Versions of Protocol.

K tématu probíhá také diskuze na blogu Bruce Schneiera – Man-in-the-Middle Attack Against SSL 3.0/TLS 1.0. Další komentáře k problému obsahují články

• Experts suggest SSL changes to keep BEAST at bay
• Researchers Claim Attack Tool Can Crack Encrypted Web Traffic
• BEAST Hack Threatens Security of Webmail, Online Shopping

Bezpečnostní dopady útoku “BEAST” na SSL, takovouto analýzu provádí Eric Rescoria – Security impact of the Rizzo/Duong CBC „BEAST“ attack. Eric Rescoria popisuje, v čem se mu podařilo zatím rozebrat. Doporučuje vypnout Javu a “nevzrušovat se příliš”.

Ještě v pátek 23. září (v den prezentace existující zranitelnosti) bylo navrženo opatření, které by mělo zachránit problém s SSL (TLS) – Experts suggest SSL changes to keep BEAST at bay. PhoneFactor doporučuje – Slaying BEAST: Mitigating the latest SSL/TLS Vulnerability – webům používat místo AES (kvalitnějšího algoritmu) starší kryptografický algoritmus RC4. Je jasné, že je to opatření provizorní, ale umožní webům vyhnout se popisovaným problémům.

Malware

Červu Nimda je deset let – Memories of the Nimda virus. Jeho autor nebyl nikdy zjištěn. Nimda bylo malware, které přišlo týden po 11. září 2001, malware (tzv. hybridní červ), které se dokázalo šířit jak infikovanými e-maily, tak i weby se zranitelnou verzí webového serveru (Microsoft IIS). Viz také – Ten years on from Nimda: Worm author still at large.

Stuxnet: co přijde po tomto červu? Na stránkách Washington Post – After Stuxnet, waiting on Pandora’s box – je zveřejněn rozhovor s německým odborníkem Ralphem Langnerem, jedním z prvních lidí, kteří Stuxnet analyzovali.

Realita Stuxnetu, jste připraveni na něco podobného? Studie z května 2011 (Michael A. Davis, 21 stran) není sice zcela čerstvého data, ale zájemci o informace v tomto směru by jí neměli přehlédnout – Stuxnet Reality Check: Are You Prepared for a Similar Attack?

Jací klíčoví činitelé charakterizují současné malware? Wade Williamson ve svém stručném přehledu The Evolution of Malware uvádí následující:

• Infekce
• Vytrvalost
• Komunikace
• Velení a kontrola
• Škodící funkce

A botnet for the masses aneb botnet pro každého. Pracovníci německé bezpečnostní firmy GData informují, že tvůrce botů Aldi Bot je nyní nabízen na undergroundových fórech. Podle všeho část jeho programového kódu byla převzata z botu Zeus. Aldi Bot je prodáván lacino – všeho všudy za méně než 10 Euro.
Viz také:

• Bargain-basement botnet kit – yours for just €5
• Botnets on discount!
• How to Become a Cybercriminal for Only $7

Otevřte toto malware nebo vás udám – Open this malware or I'll sue you, to je jedna z posledních taktik šiřitelů malware. Adresáta obviní, že šíří spam a zazipovaná příloha obsahuje důkazy. Viz také – Spam Scam Threatens Lawsuit, but Infects Your Computer Instead.

Hackeři

FBI našla hackera, který zveřejnil nahé fotky Scarlett Johansson – Johansson photo hacker identified by FBI. Podle krátké zprávičky to je šéf skupiny hackerů.

Comodohacker udělil interview ZDNet Australia – Comodo hacker claims more CA breaches. Tvrdí, že stále má přístup k dalším třem CA, Austrálii nepovažuje za svůj cíl atd.

O útoku na americkou zpravodajskou agenturu – Intelligence and National Security Alliance (INSA) informuje článek Intelligence and National Security Alliance, or INSA. Již byla zveřejněna jména a e-mailové adresy stovek amerických pracovníků zpravodajských služeb, včetně některých starších úředníků Obamovy administrativy. Na Cryptome se nyní objevila jména všech 3000 pracovníků INSA.

Došlo ke kompromitaci stovek webů Go Daddy – Go Daddy mass hack points surfers towards malware. Podvržené odkazy směrovaly na stránku s malware. Týkalo se to 445 webů. Útočnici se k účtům stránek dostali použitím správného jména a hesla.

Útok na hosting GoDaddy začal s pomocí cíleného phishingu – GoDaddy Attack Started With Spear-Phishing.

Přehled velkých počítačových útoků (z poslední doby), takovouto malou rekapitulaci připravil Julian Ryall – A history of major cyber attacks.

Hacknutá Indie, třetí díl tohoto seriálu najdete na stránce India Hacked! Part III – Building Shadow Armies. V této části provádí autor některá shrnující hodnocení – co Indie dělá a dívá se na doporučení odborníků, co by se ještě dále mohlo dělat.

Proč hackeři nemusí být příliš chytří? Roger Grimes říká, že realita je poněkud jiná, než jaká je prezentována v médiích. Hackeři využívají tytéž nástroje a opírají se o využití těch samých starých zranitelností. Uvádí pro svůj názor příklady (i třeba nedávno se objevivší rootkit Mebromi) – Why Hackers Don't Need to be Smart.

Antiizraelští hackeři omylem napadli palestinské stránky – Anti-Israeli Hackers Accidentally Attack Palestinian Sites. Propagandistický obrázek se objevil na 70 palestinských webech. Útok přišel od tureckých hackerů.

Anonymous, LulzSec

Sabu (šéf skupiny LulzSec) se objevil znovu na scéně? Přes některé informace, že byl dopaden, přes informace, které o něm (?) zveřejnil konkurenční gang, se Sabu znovu ozval a zjevně se stále ještě těší svobodě – Lulzsec leader, Sabu, returns.

Velká Británie: vznesena další obvinění vůči členům Anonymous – BREAKING NEWS: Alleged computer hacker ‘Nerdo’ from Northampton charged with new offences. Christopher Weatherhead (20 let, přezdívka Nerdo) je obviněn z útoků proti webům takových společností jako jsou Mastercard, Amazon a Paypal. Zatím byl obviňován pouze z toho, že nechtěl sdělit šifrovací klíč. Skupina používala software označovaný jako LOIC (Low Orbit Ian Cannon) k útokům DDoS.

USA, proběhla další zatčení v případě Anonymous (LulzSec) – Three more charged in Anonymous hack spree probe. Cody Kretsinger, člen LulzSec, se měl podílet na útoku proti společnosti Sony (web Sony Picture). Zatčeni byli také další dva hackeři.
Viz také:

• Alleged LulzSec Sony hacker arrested
• FBI Claims Arrest of LulzSec, Anonymous Members
• FBI arrests suspect over Sony hacking

Anonymous oznamují – 24. září bude den pomsty – Anonymous Warns of ‚Day of Vengeance‘ Saturday. V sobotu má být proveden koordinovaný protest dotýkající se více zemí. Vyhrůžka se objevila na Pastebin 21. září pozdě v noci (amerického času). V době psaní tohoto článku jsem neměl k dispozici žádné novější informace týkající se tohoto protestu.

Lurid

Lurid, to je sofistikovaná síť kybernetické špionáže zaměřená na cíle v Rusku a v sousedních zemích – Cyberspy attacks targeting Russians traced back to UK and US. Síť objevily pracovníci společnosti Trend Micro. Související malware (Luris Downloader resp. Enfal Trojan) obíhá buď v souborech Adobe anebo v archivech .rar. Infikované systémy odesílají kontrolnímu centru některé dokumenty a soubory. Dva C&C mají hostovat v USA a Velké Británii. Viz také komentáře:

• Hack in the USSR courtesy of Lurid APT
• ´Lurid´ APT-Type Attacks Target Former USSR Region
• Cyberattacks Against Foreign Governments Traced Back to U.S.
• ´Lurid´ malware hits Russia, CIS countries
• Cyber-Espionage Campaign Hits Government Sites in Asia, Eastern Europe 
• Russia and Allies Targeted By Huge Malware Campaign

Mitsubishi Heavy Industries

Největší japonský vojenský dodavatel byl napaden kybernetickými útočníky – Japan's Largest Defense Contractor Hit by Cyber-Attackers. Útoku na Mitsubishi Heavy Industries se účastnilo nejméně osm (!) různých typů malware. Útok byl zjištěn v srpnu letošního roku.
Viz také komentáře:

• Hackers attack high-tech military contractor, break into submarine manufacturing plant (blog společnosti Sophos)
• Japan´s biggest defence contractor hit by hackers. Submarine plant, missile factory among targets (článek Johna Leydena)
• Hackers hit Japan´s biggest defense contractor (Gregg Keizer)
• UPDATE 2-Japan´s defence industry hit by its first cyber attack (Reuters)
• APT Attackers Hit Japan´s Biggest Defense Contractor(Kelly Jackson Higgins)

Čína popírá svoji úlohu v hacknutí japonského armádního dodavatele – China denies role in hack of Japanese defense contractor. Vystoupil s tím (oficiálně) mluvčí čínského ministerstva zahraničí. Viz také komentář v japonském tisku – Japan says no key data lost in cyberattack; China denies responsibility.

Ti, co hackli japonského armádního dodavatele, umí plynně čínsky – Hackers of Japanese military contractor fluent in Chinese. Dan Goodin se odvolává na informace z článků (The Yomiuri Shimbun):

• Chinese used in MHI cyber-attack
• Cyber-attacks on defense contractor are ´acts of war´

Celkem bylo infikováno 83 počítačů v 11 lokacích. Viz také komentář v New York Times – U.S. Expresses Concern About New Cyberattacks in Japan – jsou japonské bezpečnostní procedury dostatečné? Jiný komentář:

• Mitsubishi Heavy Network Most Likely Compromised by Spear-Phishing Attack

DigiNotar

Jiří Peterka: Kauza DigiNotar, aneb: když certifikační autorita ztratí důvěru. Z úvodu: „Nizozemská certifikační autorita DigiNotar byla kompromitována: útočníkovi, zřejmě z Iránu, se podařilo nechat si vystavit podvodné SSL certifikáty a ty následně i využít. Autorita, jejíž kvalifikované služby využíval i nizozemský egovernment, přišla nejen o svou akreditaci, ale i o celkovou důvěru.“ Hezký článek, jen pro doplnění: stojí za to zamyslet se nad iniciativou Symantecu ohledně jakéhosi centrálního bezpečného úložiště SSL certifikátů (viz minulé Bezpečnostní střípky). Je brzy na to říci, že to je začátek cesty, kterou se bude vývoj této branže ubírat, ale jako výchozí myšlenku tuto iniciativu lze uchopit.

Hacknutá DigiNotar je mimo byznys – DigiNotar Hacked Out Of Business. V tomto článku Kelly Jackson Higgins shrnuje nedávnou historii. Co DigiNotar skutečně potopilo? Autor říká, že to je skutečnost, že DigiNotar o hacku věděla již o týdny dříve než se to provalilo na veřejnost. V současné době VASCO (mateřská firma) nemá žádné plány na návrat k podnikání v oblasti CA.
Viz také komentář Johna Leydena – DigiNotar goes titsup: Disgraced certificate firm is sunk a další komentáře, např. After breach, DigiNotar folds into voluntary bankruptcy.

Bluetooth

Zranitelnosti Bluetooth lze nyní využít snadněji, varuje společnost Codenomicon na základě výsledků svého rozboru – Bluetooth vulnerabilities becoming easier to exploit.

VoIP

Prodejci falešných antivirů cílí na Skype – Skype users targeted with calls spreading fake AV. V e-zprávě se ozve robotizovaný hlas: “Attention: this is an automated computer system alert. Your computer protection service is not active. To activate computer protection, and repair your computer, go to [LINK]”. No – a musíte za něj zaplatit (tentokrát se jedná cca o 20 dolarů).

Mobilní telefony a zařízení

Skype v iPhone (či iPad) – lze ukrást seznam adres – Skype for iPhone makes stealing address books a snap. Phil Purviance říká, že k tomu stačí zaslat zprávu do chatu. V článku je vysvětleno, proč a jak to funguje. Skype k tomu vydal své vyhlášení – Skype confirms XSS vulnerability in iPhone app.

Bezpečnost chytrých mobilů a tabletů – sada doporučení, tentokrát s nimi přichází ICSA Labs (Smartphone and tablet security tips):

• Only buy apps from recognized app stores
• Think twice about accepting “permissions”
• Monitor bills for irregular charges
• Employ security policies to protect employer-issued devices
• Be mindful that more and more employees bring their personal devices to work
• Remember that mobile devices are tiny handheld PCs
• Protect your mobile phone password and voicemail pin

Jak na tom jsou vlastně bezpečnostní aplikace pro Android? Michael Kassner provádí vlastní analýzu ( Android security apps playing catch-up to malcode), chce v ní nalézt odpovědi na čtyři jím zformulované otázky (hypotézy):

• S malware se nesetkáme
• Ta špatná strana to ještě nestihla
• Technologie mobilů je dostatečně dobrá i bez bezpečnostních aplikací
• Bezpečnostní aplikace nechytají malware

Nový trojan pro Android krade hovory a texty – New Android Trojan Steals Calls and Texts. Nová varianta trojana DroidDreamLight nese označení Androidos_Dor­drae.N. Šíří se zatím převážně obchody s mobilními aplikacemi, které jsou umístěny v Číně.

Chyba v Androidu umožňuje útočníkům instalovat malware bez varování. Problémem je cyklus záplatování společnosti Google – upozorňuje autor článku – Android bug lets attackers install malware without warning.

Spam

Microsoft se kvůli dopadení šéfa gangu, který stojí za botnetem Rustock, obrací na FBI – Microsoft turns to FBI in hunt for Rustock ringleader. Microsoft zvítězil u soudů, získal povolení ke kontrole IP adres a serverů, kde botnet Rustock hostoval. Šéfem gangu má být ruský občan s online přezdívkou Cosma2k.

Elektronické bankovnictví

Gang používal 3D tiskárny k bankomatovým podvodům – Gang Used 3D Printers for ATM Skimmers. Podařilo se mu takto ukrást více než 400 0000 dolarů. 3D tiskárny zhotoví podvodné zařízení zcela přesně vypadající jako originální, vysvětluje Brian Krebs.

Krádež dvou miliard dolarů (UBS) stále budí otázky – UBS Rogue Trader Incident Stirs Access Management Speculation. Které slabiny systému využil zlodějský obchodník? Proč mohl provést neautorizované obchody? Bohužel i fakt, že je zatím málo dostupných informací, vede k různým spekulacím (směřujících i k managementu). Viz také – UBS: Losses Worse Than Reported.

Autentizace, hesla

Cultural CAPTCHAs aneb kulturální CAPTCHA. Brian Krebs poukazuje na zajímavou cestu, kterou je (mj.) CAPTCHA používána v Rusku.

Apple makes a hash of password security (again) – k chybné práce s hesly v nových verzích Mac OS X Lion (version 10.7). Podle Patricka Dunstana to je návrat k staré chybě společnosti Apple. Nyní je možné změnit heslo uživatele za nové, aniž by bylo známo staré heslo. Také byla nevhodným způsobem posílena práva na přístup uživatelů, kteří nemají jinak přístup k rootu.

Online anonymita jako balancování mezi ochranou soukromí a prevencí počítačové kriminality – Online anonymity: Balancing the needs to protect privacy and prevent cybercrime. Deb Shinder se ve svém zamyšlení zabývá vývojem pojmu online anonymita, poukazuje na její stinné stránky a naopak na její užitečnost.

Elektronický podpis

SSL certifikáty, na principu není nic špatného, ale CA musí zlepšit svůj vztah k bezpečnosti – CAs Need to Invest in Infrastructure, Stronger Business Processes. V článku jsou tlumočeny názory Michaela Lina ze Symantecu. Potřebné požadavky na infrastrukturu se netýkají jenom certifikačních autorit, ale také jejich partnerů.

PKI transakce – několik bezpečnostních doporučení najde čtenář na stránce Security guidelines for PKI-based transactions. Odborníci na kryptografii ze společnosti SafeNet říkají:

• Know your options for securing keys, weigh the risks, and choose wisely
• Don´t assume that because you are working with a certificate authority your infrastructure is secure.
• Plan for the next generation of critical applications

Normy a normativní dokumenty

Americký NIST v minulém týdnu vydal dokument:

• Special Publication 800–30, Revision 1, Guide for Conducting Risk Assessments. Special Publication 800–30, Revision 1

Kryptografie

Ochrana AES využitím Shamirova schématu pro sdílené tajemství je popsána v studii Protecting AES with Shamir's Secret Sharing Scheme. Autoři (Louis Goubin a Ange Martinelli) popisují zajímavou cestu k ochraně HW algoritmů před útoky z postranních kanálů. Ukazují zároveň, že tato cesta je efektivní.

Různé

Vyšel (IN)SECURE Magazine issue 31. Z obsahu:

• The changing face of hacking
• Review: [hiddn] Crypto Adapter
• A tech theory coming of age
• SecurityByte 2011: Cyber conflicts, cloud computing and printer hacking
• The need for foundational controls in cloud computing
• A new approach to data centric security
• The future of identity verification through keystroke dynamics
• Visiting Bitdefender's he­adquarters
• Rebuilding walls in the clouds
• Testing Domino applications
• Report: Black Hat 2011 USA
• Safeguarding user access in the cloud with identity governance

Přehled vychází z průběžně publikovaných novinek na Crypto – News.