Bezpečnostní střípky za 10. týden roku 2006

Konference, přehledy

Ve dnech 28.2 – 1.3. 2006 se v Amsterodamu konala konference Black Hat Europe. Na tomto odkazu najdete přehled klíčových vystoupení a zde pak prezentace.

Mikko Kiviharju předvedl analýzu čtečky otisku prstu firmy Microsoft – Hacking fingerprint Scanners – Why Microsoft's Fin­gerprint Reader Is Not a Security Feature. Tato čtečka jednoznačně nemůže sloužit k ochraně citlivých dat – Researcher hacks Microsoft Fingerprint Reader. Viz také Čtečku otisků prstů od Microsoftu lze snadno oklamat.

Joanna Rutkowska – Rootkits vs. Stealth by Design Malware – se zabývala mj. pohledem na malware z hlediska jeho životního cyklu, míst, ve kterých se malware může ukrývat, a jeho potenciálních aktivit uvnitř operačního systému. Na základě toho pak prezentovala svůj pohled na klasifikaci malware.

Z dalších přednášek zaujmou např. – Combatting Symbian Malware (Jarno Niemelä), Implementing and Detecting An ACPI BIOS Rootkit (John Heasman) a Silver Needle in the Skype (Philippe Biondi, & Fabrice Desclaux). Posledně jmenované vystoupení obsahuje kritické pohledy na Skype (očima síťového administrátora – bezpečnost), jak z hlediska jeho využívání ve firemním prostředí, tak i z hlediska řady jeho vlastností. Autoři říkají – Skype navrhli chytří lidé, kryptografie v něm obsažená je kvalitní. Ale je např. obtížné prosazovat bezpečnostní politiky, implementovat ochrany proti útokům (ve vztahu ke Skype), monitorovat provoz atd.

Symantec vydal Internet Security Threat Report – Trends for July 05 – December 05 – to je odkaz na článek komentující zprávu a shrnující předkládané výsledky. Samotnou zprávu pak najdete na stránkách Symantecu (nezbytná je registrace). Je to v pořadí již devátá zpráva firmy Symantec tohoto typu. Útoky, se kterými se setkáváme na internetu stále více, jsou útoky, které se snaží nenápadně ukrást data (pro finanční zisk) a přitom neudělat žádné viditelné škody na systému. Poškozený uživatel tak nemá o průniku často žádnou zřejmou informaci. Podle statistik mezi padesátkou „top“ malware je takovýchto škodlivých kódů v současné době již celých 80 procent (dle minulé zprávy to bylo 74 procent). Rostou počty útočníků, kteří se opírají o využití botnetů (sítě zombie počítačů), počty cílených útoků na webovské aplikace a webovské prohlížeče. Symantec zaregistroval průměrně 1402 útoků DoS denně (nárůst o 51 procent oproti předešlému období). Ze zranitelností, které byly Symantecu oznámeny, se jich 69 procent týkalo technologií pro webovské aplikace (nárůst o 15 procent oproti předešlému období). Další důležitá zjištění:

• Největší nárůst botů zaznamenala Čína – 37 procent
• Roste počet rhybářských hrozeb (v druhém pololetí 2005 to bylo cca 8 miliónů pokusů denně)
• Symantec v tomto období zadokumentoval 1895 softwarových zranitelností.
• Klesá počet nových virů a červů.

Obecná a firemní bezpečnost IT

V 10 of the Best for Security formuluje Sue Bushell (podle americké IT výzkumné firmy Aberdeen Group) nejlepší postupy pro zvládání bezpečnostních problémů (v širokém spektru).

• 1. Oceňte svá rizika (na základě zevrubné analýzy rizik)
• 2. Definujte své hranice (odkud a kam)
• 3. Používejte technologická bezpečnostní řešení více firem (některá řešení umožňují to, jiná zase ono…).
• 4. Prodejte svůj program (výchovou lidí, bezpečnostní politikou, podporou managementu, postoj k bezpečnosti musí být i součástí kritérií pro hodnocení pracovníků, bezpečnost se týká i externích pracovníků atd.)
• 5. Proveďte příslušná opatření (firma má mít definovány cíle své výkonnosti a s tím související metriky, je třeba kontinuálně s nimi pracovat)
• 6. Zaveďte využívání některých norem (certifikace dle ISO 17799,…)
• 7. Školte své lidi, poukazujte na omyly a nedopatření (příkladem, který jak zkušenost ukazuje, funguje v řadě situací, je hackery využívané sociální inženýrství)
• 8. Používejte biometrické postupy (zde je argumentováno nedostatečností využívání pouze samotných hesel – při zalogování – dvoufaktorová autentizace má přinést vyšší bezpečnost)
• 9. Vyhněte se často se vyskytujícím chybám (používání nevhodného softwaru, často vyvinutého v samotné organizaci, software však nerespektuje bezpečnostní hlediska).
• 10. Nezapomeňte na kontroly (zde se materiál odkazuje na PCN – Process Control Network)

Budeme jednou mít absolutně bezpečné počítače? Tuto otázku si klade Anton Chuvakin v zajímavém zamyšlení – Will security ever „get done?“ Samozřejmě – nejprve si musíme ujasnit, o jaké bezpečnosti chceme v tomto smyslu hovořit. Autor ukazuje některé argumenty pro obě strany problematiky – proč některé problémy by měly být v budoucnosti vyřešeny a naopak proč se budou některé problémy objevovat i v budoucnu, resp. proč budou vznikat i nové problémy. Autor pak shrnuje: Řada problémů (IT bezpečnosti) bude vyřešena, ale s rozvojem nových technologií, používáním nových myšlenek atd. budou vznikat další.

Budoucností (ale spíše z pohledu ochrany soukromí) se zabývá také Bruce Schneier v Your vanishing privacy. Komentáře k článku najdete pak na Schneierově blogu. Důsledky počítačové éry se v této oblasti projevují velice silně. Systémy sledování se zdokonalily, ať jsou to průmyslové kamery, odposlechy telefonů či monitoringy samotných počítačových aktivit (e-maily, e-obchod,…). Nastupují čipy RFID, mobilní telefon lze lokalizovat s přesností na desítky metrů, obdobně nás prozradí používání bluetooth a bezdrátových zařízení. Autor na závěr říká, že jedinou možnou cestou boje proti zneužívání takto získaných informací jsou vhodná nastavení legislativy.

Jakých služeb se týkají nejčastěji práce konzultačních firem v oblasti ochrany dat, shrnují výsledky malého průzkumu v USA. Čtenáře o nich informuje Jay Cline v  – The best privacy consultancies . Vyjmenovává následující:

• volba strategií pro dosažení shody s legislativou
• zpracování auditu a kontrol
• zpracování bezpečnostních politik
• pomoc při jednáních o smlouvách, např. pro outsourcing
• pomoc při náhlých problémech (úniky dat, spory)
• zavádění kontrol (bezpečnost a ochrana dat)
• pomoc v marketingových kampaních

Se zdravotnickými záznamy se stále častěji pracuje v elektronické podobě a vznikající bezpečnostní rizika jsou předmětem diskusí. Jedná se jak o možné úniky informací tak i o potenciální jejich zneužití (např. zdravotními pojišťovnami, zaměstnavateli možná tzv. genetická diskriminace, atd.) – IT Security Issues Pose Major Risk for E-Healthcare.

Objevila se informace o krádeži osobních a finančních dat 17 miliónů zákazníků systému iBill (tato firma se zabývá platbami za návštěvy porno stránek). Ukradená data měla být prodávána na černém trhu Porn Billing Leak Exposes Buyers. Avšak podle následujícího prohlášení společnosti iBill se nejedná o její záznamy (ze 17 miliónů jen tři jednotlivé záznamy má iBill ve svých databázích) – Adult payment firm denies customer records breach. Tedy nabízené seznamy za 300 dolarů – jsou podvrh.

K problémům technologických plánů NSA se vyjadřuje Siobhan Gorman v Computer ills hinder NSA. Článek obsahuje popis aktuálních otázek spojených s využitím počítačových technologii pro potřeby této mohutné organizace. Zmiňované programy Cryptologic Mission Management a Groundbreaker se nepodařilo uskutečnit se zamýšlenými výsledky.

Software

Jak to vlastně je se zranitelnostmi, jejich zveřejňováním, významem, atd.? Jason Miller na SecurityFocus – The value of vulnerabilities – se pokouší o určitý celkový nadhled nad touto problematikou.

V článku Web application security testing tools popisuje Kyle Maxwell své zkušenosti s některými nástroji pro testování bezpečnosti webovských aplikací (např.: WebInspect , AppScan, Nikto, Nessus, Webfuzzer, Webscarab, atd.)

Amir Herzberg ve své studii – Protecting web users from phishing, spoofing and malware – podává zajímavý přehled hlavních problémů bezpečnosti současného webu spolu s celou řadou podrobnějších informací. Zájemcům lze patnáctistránkovou studii jen doporučit.

Microsoft popírá existenci zadních vrátek u Windows Vista – No backdoor for Vista – MS. Profesor Ross Anderson (UK) to však prý požadoval.

Byla doplněna beta verze Microsoft OneCare – přidán byl mj. antispyware.

Linux – bezpečné lze odstranit soubory pomocí příkazu -shred (v článku jsou popsány i různé switche a také externí použití s live CD) – CLI Magic: Securely deleting files with shred.

VoIP

Největší obavy okolo IP telefonie vzbuzuje bezpečnost – Customers voice concern over IP telephony security (Alcatel Enterprise Forum).

Stručná informace – Skype 5-way Calling Limit Cracked – a rozsáhlá diskuse.

Hackeři

Na Techrepublic si můžete stáhnout první kapitolu knihy 1337 h4×0r h4ndb00k a jestli chcete zapadnout do hackerské komunity anebo se alespoň na toto téma pobavit – lze jen doporučit.

Z e-mailu (ruských) hackerů:

• Dear Sir/Madam, Hello! We are internet hackers crew. We propose you for sale some interesting things: private exploits – stolen credit cards and bank accounts – we infect users PCs with your trojan for low process (1,000 infected PCs for $25).
  You can use this hosting for any scam/fraud and nobody will close it…We are now spamming 5 million people, look out, the domain is alive as always and never gonna be down!

Viz SCMagazine.

Na téma IP spoofing a jeho současný stav najdete stručnou úvahu (včetně několika dalších odkazů) v článku Dancho Dancheva The current state of IP spoofing.

Internetové podvody, rhybaření

Asi se shodneme, že je smutné, když se velmi starý člověk stane obětí internetového podvodu – Psychiatrist ‚gave millions to email scammers‘. Tentokrát se jednalo o amerického psychiatra (89 let) a tzv. nigerijské dopisy. Přišel o tři milióny dolarů.

Na téma Citibank a rhybaření v Česku se objevilo na internetu více článků. Analyticky se k problému staví autoři článku Analýza phishing podvodu zaměřeného na klienty Citibank.

Souběžně s tím byla Citibank i předmětem jiného typu útoku (karty ATM) – Class Break of Citibank ATM Cards a to v Kanadě, Velké Británii a Rusku. A ani Polsko nezůstalo stranou – CitiBank Handlowy S.A ukrywał, że go okradli a další podrobnosti k tomu lze najít na dvou odkazech uvedených na této stránce.

Jako odpověď na sílící ochrany uživatelů před rhybařením (identifikace a vzápětí likvidace podvodných webů) vymysleli rhybáři nový trik. Útočí s pomocí tzv. rychlého přesměrování, kdy existuje řada podobných podvodných webů a URL ve falešném mailu nasměruje klamaného uživatele na speciální IP adresu (redirektor). Tento rychle otestuje, který z podvodných webů ještě funguje a uživatele tam přesměruje – Phishing fraudsters aim to outpace site shutdowns. Trik byl použit i u „českého“ phishingu – Páteční útok na klienty CityBank používal nový trik.

Rootkity

Hacker Defender – autor již nebude nabízet svoji tzv. antidetekční službu – Rootkit withdrawn from sale (služba stála několik set euro). Viz také F-Secure

Autentizace, hesla

Jako nástroj k autentizaci je navrženo použití fotografie – Photos as Passwords Foil Hackers. Je to zajímavý přístup pro malá elektronická zařízení (PDA, mobily resp. přístup k bankomatu), ale i pro přihlašování na webu – místo PINu, hesla atd.

Identity Theft for dummies aneb podrobněji o krádežích identity, autorem zajímavého článku je Fabio Ghioni.

Hackeři prý nemají šanci – ve vztahu k nové technologii biometrie otisku prstu – New scanner thwarts finger hackers. Otisk, který ověřením projde, zaručuje také, že použitý prst je stále součástí svého majitele.

Šest tipů pro bezpečné nakupování on-line najdete v článku 6 tips for shopping safely online:

• známé jméno prodejce – známka lepších ochran
• pokud pochybujete, prověřujte
• šifrování ještě neznamená bezpečnost
• sdílené počítače a online nákupy nejdou dohromady
• plaťte kreditní kartou (raději než debetní)
• podezřívej podezřelé (např. pokud se vás vyptávají na další data – narození, atd.)

Normy a normativní dokumenty

Nové dokumenty:

• rfc.4418 – UMAC: Message Authentication Code using Universal Hashing
• draft IETF PKIX – CMC Complience Document
• Draft – Update to DirectoryString Processing in the Certificate and Certificate Revocation List (CRL) Profile
• rfc.4432 RSA Key Exchange for the Secure Shell (SSH) Transport Layer Protocol

Kryptografie

Indický kryptolog Ashish Sharma přichází s návrhem schématu FastFlex (efflex). Na jeho základě konstruuje jak proudovou a blokovou šifru, tak i hashovací funkci a také MAC (Message Authentication Code). Zdrojový kód a další materiály lze stáhnout na adrese FastFlex – web. Nezkusíte, jak je to s kryptografickou bezpečností navržených schémat?

Dva nové články ke kryptoanalýze RSA opublikoval Abderrahmane Nitaj – 1, 2. Autor ukazuje na nebezpečí volby veřejného exponentu e, a to v případech, kdy omezujeme jeho velikost, resp. (druhý článek) pokud je splněna jistá diofantická rovnice (pro e).

Generátory náhodných čísel

Důkladnému rozboru podrobili generátor náhodných čísel, který je používán v Linuxu, autoři článku Analysis of the Linux Random Number Generator. Je poukázáno na celou řadu nedostatků. Kromě špatné dokumentace a množství existujících záplat jsou to bohužel i některé bezpečnostní chyby.

Různé

Pro zájemce – několik článků na téma steganografie:

• Digital Steganography: Hiding Data within Data by Donovan Artz
• Principles of Steganography by Max Weiss
• Provably Secure Steganography by Nicholas J. Hopper, John Langford and Luis von Ahn
• Active Steganalysis of Sequential Steganography by Shalin Trivedi and R.Chandramouli

cDc (Cult of the Dead Cow) vyhlásil válku Googlu – Congressional Hearing Exposes Goolag; Cult of the Dead Cow Flies Again. Důvodem je spolupráce s čínskými cenzory.

V článku Windows Physical Memory Analysis diskutuje autor některé nástroje, které umožňuji analýzu fyzické paměti počítačů.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.