Bezpečnostní střípky za 14. týden roku 2006

Obecná a firemní bezpečnost IT

Penetrační testy a zprávy bezpečnostního auditu – to je obsahem článku Stephena Bishopa – Penetration Testing and Security Auditing Reports. Autor zde říká, je třeba striktně od sebe oddělit a uvědomit si rozdíl mezi samotným penetračním testováním (kde je cílem průlom za každou cenu) a bezpečnostním auditem, který zahrnuje širší hodnocení rizik na základě získaných faktů. Následně dává některá doporučení – jaká by měla být struktura zprávy, jaké kontexty je třeba brát do úvahy atd. Vzhledem k důležitosti kontextů Bishop zdůrazňuje nezbytnost začlenění následujících šesti bodů do zprávy:

• účel – jasná definice záměrů
• stanovený rámec a rozsah prací
• metody, seznam prováděných testů
• externí práce
• používané nástroje
• personál (vedoucí týmu, autor zprávy atd.)

Sandra Gittlen uvádí v Test Your Disaster Recovery Plan Month osm základních bodů, podle kterých byste si měli otestovat svůj plán obnovy:

• Vyrobte si seznam všech možných problémů, se kterými můžete počítat, že mohou ohrozit vaše podnikání (všechno – přírodní katastrofy, povodeň, vysoký strom v okolí,…)
• Zvažte všechny lidi, které budete potřebovat v případě pohromy. Často společnosti naloží tyto povinnosti na bedra jediného člověka – měl by být však k dispozici tým lidí.
• Je třeba zúžit počet lidí, kteří mají mít v krizových situacích zaručen online přístup. K tomu je třeba stanovit potřebné priority.
• Je třeba dále zúžit množství běžících aplikací a datových skladů – opět na základě stanovených priorit.
• Mějte definovanou strategii pro vzdálený přístup.
• Zabývejte se otázkou dostupností potřebných klíčů (k fyzickým zámkům). V případě nezbytnosti musí být záložní centra rychle dostupná.
• Mějte k dispozici i plán pro „soudný den“ – uvedeny příklady hurikánu Katrina a 11. září.
• Chraňte svá data. Mějte je uložena ve více než jednom umístění (raději v různých geografických regionech)

Stanovený plán musí mít také odpovídající podporu – nejen managementu, ale i zaměstnanci musí vědět, co se od nich očekává v nouzových případech.

Na stránkách Microsoftu – 7 ways to protect your laptop on the road – lze najít následujících několik jednoduchých doporučení k ochraně vašeho notebooku na cestách:

• 1. Ochraňujte své informace (šifrujte – Encrypt Your Data to Keep It Safe)
• 2. Maskujte svůj notebook (raději než v originální tašce ho noste v brašně, která nevypadá, že obsahuje notebook)
• 3. Buďte opatrní při kontrolách (např. na letištích jsou každým rokem ukradeny tisíce notebooků)
• 4. Notebook uložte (v letadle) pod sedadlo před sebou – ne za sebou
• 5. Pokud pracujete na veřejném místě, sledujte, zda někdo za vašimi zády nešmíruje
• 6. Notebook chraňte dostatečně silným heslem (Creating stronger passwords)
• 7. Než se vydáte na cesty, zálohujte (Backing up your computer files).

Problém USB zařízení ve vztahu k bezpečnosti dat byl na těchto stránkách zmíněn již několikrát. Nově se k němu obrací Larry Hamid – New Security Directions for Removable USB Devices. Některé organizace, aby tento problém vyřešily, zakazují použití USB portů v BIOSu, jiné přímo do těchto konektorů nalijí epoxitovou pryskyřici. Ale USB zařízení mají i svá pozitiva a je otázkou, zda není škoda se popsanými postupy těchto pozitiv zbavit. Autor pak v článku diskutuje varianty zavedení bezpečnostních prvků, které jsou spojeny přímo s danými USB zařízeními. Jedná se o různé podoby digitální identity. V tomto směru byly už i zahájeny práce na normativních specifikacích (Microsoft – Portable Security Token Service, WS-Trust pro OASIS). No a je jasné, co můžeme očekávat, až auditor bude používání takovýchto postupů vyžadovat.

Pentagon válčí i prostřednictvím webu, denního tisku a mobilních telefonů,… Moderní technologie jsou široce využívány – America's war on the web. Bojiště současnosti nejsou jen v pouštích a nebojuje se jen tanky.

Software

Walter Schumann dává v Open Source For Perimeter Security příklady úspěšných open source bezpečnostních projektů (na ochranu perimetru). Je to např. původně australský projekt netfilter, dnes do tohoto projektu přispělo již více než 900 vývojářů. Dalším uvedeným příkladem je projekt Snort – systém pro detekci průniku do sítě. Autor pak v článku diskutuje pozitivní, ale i negativní stránky takovýchto open source řešení.

V článku New security features in Internet Explorer 7 se Brien M. Posey zabývá popisem některých novinek vztahujících se k bezpečnosti IE7.

• nastupuje TLS v plném rozsahu a Microsoft již nebude podporovat SSL 2.0.
• pokud vstoupíte na stránku zašifrovanou https, ale obsahující i nechráněný obsah (http), pak IE7 (na rozdíl od IE6) zobrazí již jen bezpečný obsah prostřednictvím https.
• bude zařazen filtr proti rhybářským aktivitám.

Ondřej Bitto se v článku na Lupě – Jak vylepšit bezpečnost Firefoxu zabývá některými rozšířeními Firefoxu, tedy těmi, která se vztahují k bezpečnosti (cookies, vyplňování formulářů, resp. obrana před phishingem).

Autorem studie Securing a Web Site (24 stran) obsahující podrobnější analýzu problematiky zabezpečení webu, je Erik Evans. Webovské servery jsou častěji předmětem útoků než jiné typy serverů. V studii jsou diskutována rizika spojená s provozováním těchto serverů a současně i nejefektivnější postupy pro zmírnění těchto rizik. Z obsahu studie:

• Co zvyšuje zranitelnosti
• Plánování a příprava
• Zabezpečení síťové infrastruktury webovského serveru
• Zabezpečení operačního systému
• Zabezpečení aplikací webovského serveru
• Zabezpečení obsahu webu
• Administrace webovského serveru

Polovina IT profesionálů používá neoficiální záplaty (pokud oficiální záplata neexistuje) – takový je závěr studie společnosti Patchlink – Half of IT pros would use unofficial patches.

Passive Visual Fingerprinting of Network Attack Tools – tato studie je věnována nástroji open source rumint, který slouží k vizualizaci stop (otisků) zůstávajících jako následky různých útoků v síti.

Několik informací o existujících problémech Security Enhanced Linux ve vztahu k NSA se dozvíte v článku The NSA's ultra-secure Linux technology evolves for the enterprise. SE Linux není zvláštní distribucí Linuxu, ale je určitou množinou modifikací linuxového jádra, spočívající v některých omezení. Týkají se přístupu aplikací k paměti, k procesoru, ke konfiguračním souborům operačního systému a dalším kritickým komponentám serveru či operačního systému PC.

Kapitolu z knihy How to Break Web Software: Functional and Security Testing of Web Applications and Web Services si můžete stáhnout zde. Kapitola (Chapter 4.) se jmenuje Preventing State-Based Attacks of Web Applications.

Wiping an infected computer is best for any OS – reakce na nedávné vystoupení zástupce Microsoftu.

Active Directory: Lock it down in 10 steps – Jeremy Smith v deseti bodech osvětluje svůj pohled na bezpečnostní politiku pro práci s Active Directory.

Malware, hackeři

Cyber criminals count on Sudoku to infect victim PCs – i populární hra dneška vám může zamotat hlavu, pokud si nainstalujete Yazzle Sudoku včetně spyware. Je to příklad nepříjemného trendu, aplikace zdarma, ale…

Statistiky společnosti Cipher Trust Inc., které se týkají zombie počítačů a jejich rozšíření najdete na CipherTrust's Zom­bie Stats.

Jsem schopen rozeznat, zda můj počítač je zombie? Několik – spíše obecnějších úvah v tomto směru obsahuje článek How Do I Know If My PC Is A Zombie?.

Registrátoři domén byli v uplynulém týdnu terčem několika útoků, např. After attack, Network Solutions knocked down again. It's the second time in a week service has been disrupted.

Jak vyhledat honeypot nás informuje Amir Alsbih – Honeypots – How to seek them out na serveru IT Observer.

Viry

Podle zprávy z Kaspersky Lab – Malware Evolution: 2005, part two eskaluje konfrontace tvůrců virů s antivirovými společnostmi a vládními organizacemi.

Robert Vamosi na CNET – The black hole inside the Bagle virus – se věnuje novým variantám Bagle a novým nebezpečím v něm obsaženým (rootkity).

VoIP, bezdrát

Na Financial Cryptography najdete zamyšlení a několik dalších odkazů k problematice okolo Skype – Thank Skype for not listening.

Dva útoky proti VoIP popisuje Peter Thermos v Two attacks against VoIP. Dle autorova názoru je klasická telefonní linka bezpečnější.

Bruce Schneier se k bezpečnosti VoIP vyjadřuje v článku VOIP Encryption. Diskutuje především možnosti odposlechů VoIP (další poznámky k problematice jsou v diskusi ke článku).

Celou menší příručku k problematice bezpečnosti bezdrátu najdete jako Wireless Security Guidelines. Autorem je Ian Kilpatrick a jeho komentář uvádějící tuto příručku najdete na stránce Wireless Security Guidelines.

Pasivní snifr Kismet slouží k detekci bezdrátových sítí, je pro Linux, BSD a Mac OS X (analog programu Netstumbler pro Windows). V článku Introduction to Kismet Aaron Weiss rozebírá jeho základní vlastnosti.

Forenzní analýza

Analýze fyzické paměti Windows se věnuje článek Windows Physical Memory Analysis. Odkaz je na první část článku, druhou pak najdete zde – Part 2..

Stejný autor (Harlan Carvey) na stránkách Windows Forensics and Incident Recovery přidává některé další informace podporující materiály jeho stejnojmenné knihy Addison-Wesley.

Autentizace, hesla, biometrie

You Are How You Type, And …  – to je informace o autentizačním nástroji založeném na sledování dynamiky práce s klávesnicí. BioPassword je schopný detekovat unikátní rytmus jedince již na osmi znacích, není to však zrovna laciný nástroj (jednorázová instalace stojí 30 000 dolarů plus jeden dolar za uživatele a rok).

Tony Bradley napsal několik doporučení pro vytváření bezpečných hesel – Creating Secure Passwords.

Podle přehledu Identity Theft, 2004 – U.S. Department of Justice krádeže identity postihly 3 procenta amerických domácností (2004). Viz komentář na SecurityFocus.

Služba Authorize.Net a hackeři – o podvodech a útocích hackerů na transakce prováděné platebními kartami informuje Joris Evers – Payment processor fears credit card crooks.

Dokáží uživatelé správně vyhodnotit bezpečnost webovských stránek při používání https? Ptá se Michael Mullins v článku Determine if SSL connections are truly secure.

Normy a normativní dokumenty

NIST vydal příručku Special Publication 800–85A, PIV Card Application and Middleware Interface Test Guidelines (SP800–73 Compliance).

Kryptografie

Roger A. Grimes v Encryption for all dává zájemcům o šifrovou ochranu několik doporučení ve vztahu k existujícím šifrovacím nástrojům (PGP, FileVault pro Apple OS X, Microsoft EFS,…)

Chcete potrápit své mozky ? Zkuste vyluštit úlohu obsaženou v následující informaci k Vigenerově šifře – The Vigenere Cipher.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.