Hlavní navigace

Bezpečnostní střípky za 12. týden roku 2006

Jaroslav Pinkava 27. 3. 2006

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Přehledy, obecná a firemní bezpečnost IT, software, útoky hackerů, malware, rootkity, Wi-Fi, Bluetooth, RFID, autentizace, hesla, elektronický podpis, normy a normativní dokumenty, kryptografie.

Přehledy

Bezpečnostních přehledů rapidně přibývá – It's raining IT security surveys. Jejich producenty jsou ve velké většině dodavatelé bezpečnostních řešení. Například v roce 2005 tito dodavatelé vydali dvakrát tolik přehledů ve srovnání s rokem 2004. Ve výše uvedeném odkazu se Cara Garretson a Ellen Messmer zamýšlejí nad tímto trendem. Souvisí s tím i ochota médií věnovat se těmto přehledům, které se svým způsobem stávají i marketingovým materiálem. Jak napovídá elementární logika, žádný dodavatel nebude směrovat publikovaný přehled ke kritice vlastních řešení. Přesto je nutné konstatovat, že k informovanosti o různých aspektech bezpečnosti IT tyto přehledy přispívají. V samotném článku pak najdete odkazy i komentáře k některým v nedávné minulosti publikovaným přehledům.

Nedávno vydaná zpráva Consumer Fraud and Identity Theft Complaint Data (USA – Federal Trade Commission – téměř osmdesátistránkový materiál, vydaný v lednu 2006) obsahuje podrobnou analýzu stížností spotřebitelů ohledně podvodů a krádeží identity za období leden – prosinec 2005. Celkem bylo analyzováno 650 000 stížností. Spotřebitelé ohlásili ztráty z podvodů v celkové výši 680 miliónů dolarů. Ve zprávě najdete (v závislosti na různých rozčleněních) podrobné statistiky (i srovnání s minulými roky).

Společnost RSA oznámila klíčové závěry svého každoročního přehledu – RSA Security Announces Key Findings from Annual Financial Institution Consumer Online Fraud Survey:

  • Majitelé účtů požadují silnější autentizaci, ale zároveň její snadné používání
  • Majitelé účtů očekávají, že jejich banky monitorují aktivity online bankovnictví
  • Klesá důvěra v e-mailový kanál, je to díky rhybaření

Viz také tisková zpráva RSA.

Obecná a firemní bezpečnost IT

Interpol chce účinnější legislativu pro boj s počítačovou kriminalitou – Interpol: Give us the tools to fight cybercrime. Řada aktivit hackerských skupin je dnes stále těžko právně postižitelná.

University College London v rámcí studia informační bezpečnosti oznámila zahájení speciálního kurzu – září 2006 – Study Information Security. Kurz bude stát cca 15 000 liber (je jednoletý pro řádné studium, dva roky pak trvá dálkové studium), z hlediska obsahu bude se věnovat následujícím tématům:

  • Cryptography
  • Network security
  • Computer security
  • Electronic intellectual property
  • Operating systems
  • People and security
  • Systems requirements engineering
  • Communications and networks
  • Software engineering
  • Human computer interaction
  • Specification and verification of distributed systems
  • Advanced mathematics

Společnost Geotrust Inc. – Best Practices For Securing Your Enterprise – publikovala svá doporučení (Top 10 recommended security practices) k tomu, aby se vaše firma stala důvěryhodná v online aktivitách.

Rozhovor s autorem knihy „Software Security : Building Security In“ najdete na A practitioner's gu­ide to software security. Kniha vyšla v lednu 2006 a je např. na Amazonu.

Recenzi knihy Stevena Branigana (High-Tech Crimes Revealed : Cyberwar Stories from the Digital Front, Addison-Wesley Professional – August 27, 2004, 448 str.) si lze přečíst na High-Tech Crimes Revealed. Kniha samotná je pak opět na Amazonu.

Software

Mezi aktualizovaným přehledem prezentací z Black Hat Europe 2006 najdete i přednášku (Philippe Biondi, Fabrice Desclaux) věnovanou reverznímu inženýrství ve vztahu ke Skype – Silver Needle in the Skype. Pokud chcete o Skype vědět více, určitě stojí za seznámení.

Na stránkách Bitpipe (nutná registrace – free) najdete příručku k bezpečnosti sítí – Guide to Network Security. Byla vydána v březnu 2006 (ProCurve Networking by HP), má celkem 34 stran a obsahuje dostupný úvod do problematiky pro široký okruh zájemců – v třinácti kapitolách – např. jak na firewally, konfigurace routeru, VPN, přístupy v síti, atd.

Na stránce Firefox Extensions najdete populární rozšíření pro Firefox. Dále potom na odkazu Useful Firefox Security je několik stručných doporučení ve vztahu k bezpečnému používání Firefoxu.

Ve studii Detecting the Presence of Virtual Machines Using the Local Data Table se autoři (Danny Quist, Val Smith) zabývají problematikou detekce virtuálního počítače. Jsou zde uvedeny i výsledky některých experimentů.

Útoky hackerů

Na stránce Distributed Denial of Service (DDoS) Attacks/tools najdete utříděné odkazy (které se týkají problematiky DDoS), a to v následujících skupinách:

  • Books related to DDoS
  • What's new in DDoS?
  • Analyses and talks on attack tools
  • Defensive Tools
  • Advisories
  • Mitigation information
  • Legal implications
  • Related Papers, Essays, Legislative Proposals, and Research
  • Vendors marketing products in the DDoS space
  • Selected news reports/inter­views/panel discussions
  • History of Denial of Service and its use against Internet Relay Chat (IRC) networks
  • Sociological aspects of DoS and DDoS
  • Humor (Hacker Attacks! by all of the top editorial cartoonists)

Mezi jedny z nejnovějších odkazů na uvedené stránce patří odkaz na studii DNS Amplification Attacks. Autory materiálu jsou Randal Vaughn a Gadi Evron. Komentář k této studii najdete pak na SecuriTeam. V příloze studie lze nalézt podrobný popis tří vybraných útoků.

V práci Detecting Botnets Using a Low Interaction Honeypot se Jamie Riden zabývá vlastnostmi zjednodušené verze honeypotu (používající PHP).

Malware

Startující inicicativa StopBadware.org nazvala první programy typu badware – Badware's seven deadly sins. Jsou to Kazaa, MediaPipe, SpyAxe, Waterfalls 3.

Dále – ve zprávě, kterou vydalo Centre for Democracy and Technology – Adware backers named and shamed byly identifikovány společnosti používající adware. Jsou to např.: Club Med Americas, uBid, PeoplePC, GreetingCards.com a další. Podrobnosti lze nalézt v dokumentu Following the Money.

Nastoupí trojané místo rhybaření? To je obsahem zamyšlení Threatwatch – trojan hijacking, proxy victims, breaching conflicts of legal interest, semi-opaque blue hats. V článku najdete k problematice také několik dalších odkazů.

A je tu také konkrétní příklad – MetaFisher – sofistikovaný trojan, který ohrožuje zákazníky bank – Hackers use Trojan to target bank customers in three countries. Další komentář k jeho vlastnostem najdete na Massive Botnet Stealing Banking Info.

Rootkity

Gurong.a je nový trojan na bázi rootkitu – F-Secure. Původem má být z Ruska.

Kromě trojských koní tu máme nově také trojské pohřební vozy. Alespoň tento pojem použil autor článku Rootkit.hearse ve vztahu k novému rootkitu (a zároveň trojanu). Trojan přežije reboot (neběží jako separátní proces) a umí nalézt hesla, která na infikovaném počítači byla použita i dříve. Rootkit trojana schová a uživatelé ho nemohou vidět. Získané informace posílá na (nezabezpečený) server umístěný v Rusku.

Zeppoo – i386 nástroj pro detekci rootkitů pro Linux – download. kromě detekce rootkitů na i386 Linuxu detekuje také skryté procesy, moduly, systémové hlášky a skrytý provoz v síti.

Wi-Fi, Bluetooth

Kaspersky Lab. provedla analýzu zabezpečení Wi-Fi na Cebitu – War-driving in Germany – CeBIT2006. V článku najdete některá čísla (rychlosti přenosu, typy vybavení). Zjištěno bylo, že 56 procent provozu nebylo šifrováno (obvyklý průměr ve městech je však až 70 procent). Další zjištěné údaje se týkaly přístupu do sítě a konfigurací. Komentář k analýze je také na Kaspersky Lab presents latest analysis of Wi-Fi security

Je Bluetooth stále bezpečné? Tuto otázku si položila autorka článku Is Bluetooth still secure? – Eileen Yu. Podle Caroliny Milanesi (analytik společnosti Gartner) se lze bezpečnostním průnikům vyhnout, pokud dodržujeme určitou opatrnost. V článku jsou uvedena následující doporučení:

  • Vždy při spárování dvou zařízení používejte heslo či klíč.
  • Nepárujte se se zařízením, které neznáte. Dáváte mu úplný přístup k vašemu zařízení.
  • Vypínejte funkci Bluetooth, když ji nepotřebujete.
  • Pokud Bluetooth potřebujete zapnout, zkontrolujte, zda zařízení je v módu „hidden“ či „invisible“.
  • Aktivujte další bezpečnostní vrstvy vašeho zařízení (pokud jsou dostupné).
  • Pokud je Bluetooth zařízení ukradeno, vyškrtněte ho ze seznamu důvěryhodných zařízení (se kterými se vaše zařízení párovalo).
  • Pokud vaše zařízení má antivirový software, pravidelně ho aktualizujte.

RFID

Poměrně velkou pozornost médií vzbudila studie RFID Viruses and Worms (zmíněná již v minulých Bezpečnostních střípcích) – The Real RFID Security Issue, Je vaše kočka nakažena počítačovým virem?, Psst. Your shiny new passport has a computer virus. Objevily se však již také určité výhrady – AIM RFID Experts Refute RFID Virus Claims , The RFID Virus that Was not.

Yossi Oren a Adi Sharen jsou autory článku Power Analysis of RFID Tags – výsledky tohoto výzkumu byly oznámeny již na konferenci RSA. Jedná se o první takový útok (typu postranní kanál, měření spotřeby proudu) na pasivní RFID. Viz také komentář Bruce Schneiera.

Autentizace, hesla, elektronický podpis

Electronic signatures struggling in Europe – jak to bude s uznáváním elektronického podpisu v jiné členské zemi EU? Autor článku konstatuje, že je třeba vytvořit takový systém elektronického podpisu, který by fungoval i přes hranice jednotlivých zemí. Je to důležité pro bezpečný elektronický obchod a efektivní využívání dalších veřejných služeb (v elektronické formě).

InfoCard – první pohled aneb co Microsoft chystá pro Windows Vista – MSDN Magazine. Jaká tedy bude práce s identitami?

Microsoft proti rhybářům – Microsoft launches global antiphishing initiative.

Velká Británie – Half of U.K. shopping websites ‚open to attack‘ – polovina obchodních webů je zranitelná (implementovaná pomůcka pro zapomenuté heslo). Ani v dalších zemích to asi lepší nebude.

Proběhlo několik informací o ztrátách osobních dat (notebooky), např. 200,000 HP staff exposed as laptop loss party continues. S notebookem, který obsahuje takováto nezašifrovaná data, bychom do světa vůbec neměli vyrážet.

Na ruském webu se prodávaly informace o účtech eBay po pěti dolarech – Computerworld.

VISA varuje finanční instituce – některý software může uchovávat PINy – Visa Warns Software May Store PINs. V článku jsou uvedeny příklady.

A ještě odkazy na dvě kapitoly z knihy Anti-Hacker Tool Kit, Third Edition:

Normy a normativní dokumenty

Draft S/MIME – Use of the RSA-KEM Key Transport Algorithm in CMS – popis algoritmu RSA-KEM pro CMS (přenos klíčů) je aktualizován (podle posledních draftů ANSI X9.44 a ISO/IEC 18033–2) a je doplněn materiál k algoritmu Camillia.

Draft – ESS Update: Adding CertID Algorithm Agility – zatím bylo v struktuře pro ESS (Enhanged Security Services for S/MIME) možné používat pouze SHA-1. Podmínky byly přeformulovány tak, aby umožňovaly i použití jiných hashovacích algoritmů.

NIST vydal revidovanou Special Publication 800–73–1, Interfaces for Personal Identity Verification, 2006 Edition.

Kryptografie

Vlastimil Klíma: Tunely v hašovacích funkcích: kolize MD5 do minuty – o tom, že MD5 je na tom již je dostatečně špatně, není třeba zvláště přesvědčovat. Zajímavé na novém výsledku Vlastimila Klímy je však především zavedení nových postupů pro hledání kolizí – tzv. tunelování. Teprve budoucí výzkumy ukáží jejich využitelnost i ve vztahu k dalším hashovacím funkcím, např. SHA-1. Viz také komentář autora na Crypto-News.

Souběžně se objevil i výsledek Marca Stevense Fast Collision Attack on MD5. Pavel Vondruška provedl určité srovnání obou metod – Crypto-News, Klímovy postupy (byť naprogramované jen orientačně) jsou efektivnější.

RSA 1024 by mohlo jít faktorizovat za přijatelnou cenu. To říkají – A Simpler Sieving Device: Combining ECM and TWIRL – autoři návrhu nového schématu pro faktorizaci. Schéma kombinuje využití ECM (Elliptic Curve Method) a zařízení TWIRL. Adi Shamir s předchůdcem TWIRL – zařízením TWINKLE – vystoupil na pražském Eurocryptu v roce 1999. Popis TWIRL se objevil v roce 2003 na konferenci CRYPTO.

ElcomSoft – PasswordSafe 3.0 weak random number generator allows key recovery attack – vystoupil s tvrzením, že rozbil i novou verzi Schneierova PasswordSafe 3.0. Je to díky slabému generátoru náhodných čísel, který je zde použit. V diskusi na SecurityFocus se však objevila poznámka, že PasswordSafe 3.0 je ještě stále v beta verzi.

Různé

Vyšlo IEEE Cipher – Electronic Issue (EI) 71, March 15, 2006. Jako vždy je zde obsažena dlouhá řada informací (o chystaných akcích,…).

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Lupa.cz: E-shopy: jen sleva už nestačí

E-shopy: jen sleva už nestačí

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Podnikatel.cz: Platební brány a EET? Stále s otazníkem

Platební brány a EET? Stále s otazníkem

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET