Bezpečnostní střípky za 15. týden roku 2006

Obecná a firemní bezpečnost IT

Jaké jsou klíčové prvky bezpečnostní politiky vaší sítě? Na tuto otázku odpovídá autor článku Can You Recommend a Checklist for a Network Security Policy? a uvádí deset bodů, které byste měli mít jako minimální základ této vaší bezpečnostní politiky:

• 1. Uzavřete a monitorujte fyzické přístupy ke všem základním síťovým zdrojům
• 2. Uzavřete a zabezpečte hesly všechny fyzické a logické porty vaší sítě
• 3. Zakažte takové síťové služby jako FTP, SMTP, Telnet a Web. Takovéto služby by měly být povolovány, jen pokud existuje potřeba je využívat.
• 4. Nainstalujte firewally pro ochranu všech vstupních a výstupních bodů sítě.
• 5. Zablokujte externí přístupy k interním zdrojům, umožněte přístup pouze jako výjimku. Netýká se to veřejných serverů, které by měly být izolovány od zbytku sítě a umístěny v chráněné demilitarizova­né zóně.
• 6. Zabezpečte všechny servery k tomu určenými firewally tak, aby byly zajištěny potřebné filtry ve vztahu k bezpečnosti a prosazena přístupová práva.
• 7. Vzdálené stanice propojte s centrálou prostřednictvím bezpečné VPN komunikace, s ochranou proti útokům, silnou autentizací uživatelů a šifrováním.
• 8. Používejte záložní, resp. redundantní prvky k ochraně komunikací do sítě a uvnitř sítě.
• 9. Definujte a používejte zřetelné politiky pro údržbu a aktualizace ve vztahu k veškerému SW a HW určenému pro skenování a filtrování.
• 10. Zanalyzujte se v širších souvislostech kontakty s dodavateli, partnery a nezávislými smluvními stranami a blokujte prolínající se hrozby ve všech přístupových bodech.

Své zkušenosti z katastrof uživatelů a poučení z nich vyplývajících sděluje Oliver Rist, dlouholetý konzultant v rozsáhlejším článku Stupid user tricks: Eleven IT horror stories. Jsou to situace z běžného života (jaké problémy může přinést automatická aktualizace, nebezpečnost řídících pracovníků s plnými právy a malými technickými znalostmi, co dokáží zlikvidovat svým přístupem právníci, vytištěný seznam hesel na nástěnce,…) a třeba si čtenář připomene něco obdobného ze svých vlastních zkušeností.

Otázkou monitorování komunikace zaměstnanců podniku se zabývá Jack M. Germain v Monitoring Employee Communications in the Enterprise. Bohužel roste počet pracovníků, kteří používají internet spíše pro zábavu než pro vlastní pracovní výkony. Dle názoru autora, pokud řídící pracovníci nemonitorují své zaměstnance (IM, e-mail, stahované soubory, online nákupy,…), pak riskuji, že ztratí více než získají (nízká produktivita, mrhání zdroji,..). Autor pak uvádí některé statistiky dokumentující jeho pohled. Zmiňuje také kompromisní přístup, kdy zaměstnancům je např. v otázce přístupu na internet přidělen určitý limit, který mohou využít pro soukromé účely.

John Madelin (RSA Security) v třídílném článku na blogu RSA Who Sets The Audit Standards? (zde jsou pak zbývající části – Part 2., Part 3.) se zabývá otázkou nastavení norem pro audit. Samozřejmě vychází z podmínek USA, přesto v článku lze nalézt řadu podnětů aplikovatelných obecně. Pravidelné audity jsou nezbytné pro všechny společnosti, které bojují o důvěru zákazníků a v oblasti informačních technologií toto platí dvojnásob.

Tony Bradley – P2P sítě a bezpečné jejich užívání v 4 krocích – Four Steps To Sharing and Swapping Files Without Becoming a Victim:

• 1. Nepoužívejte P2P v podnikové síti.
• 2. Vyhněte se klientskému softwaru.
• 3. Nesdílejte všechno – někteří jedinci jsou schopni jako sdílený adresář uvést kořenový „C“ :-).
• 4. Skenujte vše. Ke všem staženým souborům se chovejte s podezřením.

K těmto jednoduchým radám ještě doplňuje – samozřejmostí by mělo být používání firewallu, buď zabudovaného v routeru nebo SW řešení, jako např. ZoneAlarm.

Software

Domácí router a doporučená bezpečnostní pravidla jsou námětem článku Andy Walkera – Home Network Router Security Secrets. Autor je ukazuje na příkladu routeru DLink DI-524 (dostupný i u nás):

• 1. Vypněte UPnP (universal plug and play) – v zapnutém stavu je určitým bezpečnostním rizikem (trojan ho může použít k vytvoření díry ve firewallu)
• 2. Změňte vaše administrátorské heslo (tovární defaultní ID a heslo nejsou samozřejmě vhodné)
• 3. Deaktivujte přenosy SSID (Service Set Identifier)
• 4. Zapněte DMZ (Demilitarized Zone) – to může být vhodné např. pro webovskou kameru (vnitřní zařízení sítě se pak jeví jako vnější)
• 5. Filtrujte adresy MAC (tady má tato zkratka význam – Media Access Control), omezíte přistupy bezdrátově připojených zařízení.
• 6. Přizpůsobte SSID (jméno)
• 7. Aktualizujte firmware
• 8. Resetujte tovární defaultní nastavení – pokud vaše nastavení nepracují správně. Pak znova aktualizujte a konfigurujte.
• (9. Spusťte WEP – Wired Equivalent Privacy)
• 10. Aktivujte WPA (Wi-Fi Protected Access) – preferovaná metoda pro šifrovaní ve vaší síti (bezpečnější než WEP).

Nová lákavá grafika Windows Aero bude jen pro plné a právoplatné verze Windows Vista (nikoliv pro Windows Vista Basic) – Vista won't show fancy side to pirates. Aero bude také mít specifické nároky na hardware.

Microsoft (Strider URL Tracer with Typo-Patrol) přišel s nástrojem, který pomůže při překlepu v zadávané adrese a ochrání takto před následným vstupem na nežádoucí stránku – Microsoft tool aims to stymie typosquatters.

Scott Granneman popisuje ve svém článku Virtualization for security, v čem může pomoci virtualizační software (virtualization software) ve vztahu k bezpečnosti. Diskutuje vlastnosti některých virtualizačních programů (VMWare, Win4Lin, Xen, Parallels, Microsoft Virtual PC and Virtual Server).

Robert Lemos na SecurityFocus – Browsers feel the fuzz – hovoří o nově používané technice pro vyhledávání chyb v prohlížečích. Tato technika (označovaná jako data fuzzing) je často používaná pro hledání chyb v síťových aplikacích.

Postavte si svoji vlastní bránu firewall ( FreeBSD) – Build your own gateway firewall s pomocí FreeBSD a částí starého PC. Firewall bude obsahovat PF firewall, Snort IDS, některé IPS aplikace, Squid proxy a některá intuitivní webovská rozhraní vhodná pro audit.

Malware

ewido anti-malware: recept na spyware od německých mladíků je článek na Živě. Z úvodu: Populární pojem malware zahrnuje celou řadu škodlivého software, který může uživateli způsobit ztrátu osobních dat, financí nebo výkonu počítače. Boji proti tomuto typu nebezpečí se věnuje stále větší pozornost. Se zajímavým nástrojem pro boj proti malware přišla německá společnost, kterou založili tři němečtí středoškoláci.

10 největších hrozeb (podle Sunbelt Software, březen 2006 – Sunbelt Software announces Top 10 spyware threats for March) v oblasti spyware:

• Tro.DesktopScam 1.58%
• Looking-For.Home Search Assistant 1.13%
• iSearch.Desktop­Search 1.06%
• CmdService 1.03%
• SpySheriff 0.93%
• 180search Assistant 0.91%
• EliteMedia 0.90%
• SpyFalcon 0.88%
• StartPage.Times­Square 0.85%
• SpyAxe 0.84%

Viry

Několik článků v tomto týdnu informovalo o viru, který je schopný napadat různé platformy (Windows i Linux), např. Cross-Platform Sample Virus Targets Windows, Linux anebo Assembler virus spells trouble for Linux. Je označen jako Virus.Linux.Bi.a/ Virus.Win32.Bi.a je to (zatím) „jen“ tzv. classic proof-of-concept, bez dalšího využití.

Hackeři

Soubor nástrojů pro útoky na internetový protokol IPV6 najdete na THC-IPV6 . Podle The Hacker s Choice site to je první takový soubor (veřejná beta verze. Obsahuje mj. nástroje pro man-in-the-middle,spoofin­g,host discovery a denial of service attacks.

DNS Cache Poisoning – The Next Generation – autor popisuje některé nové útoky v tomto směru a možnosti obrany proti nim.

Hackeři se dostali k finančním údajům univerzity v New Jersey – Hackers Access Financial Data At UMDNJ. Týká se to dvou tisíc studentů a absolventů University of Medicine and Dentistry of New Jersey.

Útoky prostřednictvím IM a P2P v 1Q 2006 vzrostly o 700 procent oproti 1Q 2005 – IM, P2P Attacks Up 700 Percent .

Don Parker v článku Learning an advanced skillset se zabývá otázkou vztahu bezpečnostní odborník versus znalosti protokolů a programování. Navazuje na svůj dva roky starý článek TCP/IP Skills Required for Security Analysts.

CEH: Exam Prep 2 – Technical Foundations of Hacking  – zde najdete kapitolu (2. The Technical Foundations of Hacking) z chystané knihy Michaela Gregga Certified Ethical Hacker Exam Prep (Exam Prep 2 (Que Publishing)) .

Informaci k hackování síťových tiskáren (HP JetDirects, Ricoh Savins) obsahuje stránka Hacking Network Printers .

RFID, bezdrát

Byla prokázána možnost DoS útoku na RFID – RFID DoS attacks ‚proven‘ . Je to výsledek australských výzkumníků.

O nástroji RFDump (pro RFID) se lze více dozvědět na stránce What is RFDump. S jeho pomocí lze provádět některé typy auditů.

10 kroků k zajištění vaší bezdrátové sítě popisuje Oliver Rist v 10 Steps for Locking Your Wireless Network.

A pár poznámek k bezpečnosti bezdrátové LAN najdeta na How to keep your wireless LANs safer.

VoIP

Problematikou VoIP (monitoring a správa) se zabývá článek Monitoring And Managing VoIP.

NSA (ve vztahu k Skype, jeho vlastníkem je nyní eBay) vyjadřuje obavy z nemožnosti odposlechů teroristů – NSA concerned over computer phone service.

Hardware

Jaké jsou možnosti útočníků ve vztahu k obnově dat na magnetických médiích? Zajímavou studii na toto téma najdete na Magnetic Data Recovery – The Hidden Threat. Viz také komentář na IT Observer.

Forenzní analýza

Forenzní analýzou registrů ve Windows se zabývá článek Forensic Analysis of the Windows Registry (Lih Wern Wong, School of Computer and Information Science, Edith Cowan University).

Starší článek (ale užitečný), který pojednává o problematice forenzní analýzy webovských prohlížečů je na odkazu Web Browser Forensics, Part 1. Druhá část tohoto článku je pak zde – Web Browser Forensics, Part 2.

When ‚delete‘ is not enough – k různým forenzním technikám, které používá odborník na tyto analýzy – Scott Cooper.

Autentizace, hesla, biometrie

Rozsáhlejší článek k prostředkům autentizace v internetovém bankovnictví napsal Pat McKenna. Materiál (Factor Authentication in Online Banking) obsahuje řadu konkrétních informací.

O úskalích dvoufaktorové autentizace se dozvíme v Authentication: The Pitfall Of Two Factor Authentication. Autor ukazuje několik typů útoků, kdy dvoufaktorová autentizace nestačí. Doporučuje prozkoumání dalších cest k zabezpečení online bankovnictví.

Zajímavé nová technologie (čtečka otisku prstu přímo v kartě, přesnost čtení 99.999% !!?) je popsána v článku SmartMetric Places Fingerprint Scanner Inside Smart Cards.

Normy a normativní dokumenty

Service Provisioning Markup Language (SPML) ve verzi v2.0 se stala OASIS normou – OASIS.

Pracovní skupina IETF-PKIX vydala nový draft – Update to DirectoryString Processing in the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile . Draft doplňuje rfc.3280.

Kryptografie

Side-Channel Resistant Ciphers: Model, Analysis and Design – studie (Francois-Xavier Standaert a Tal G. Malkin a Moti Yung:) obsahuje návrh šifry rezistentní proti útokům z postranních kanálů. Jestliže se autorům záměr podařil – to ukáže čas – pak je to jeden z prvních kroků směrem k nové etapě šifrovacích algoritmů.

Best Practices for securing low-power embedded devices – to je zajímavý článek Roba Lamberta (Certicom). Autor v něm ukazuje užitečnost správně implementovaných kryptografických algoritmů (např. v čipových kartách).

Shrnutí odkazů k Enigmě (z poslední doby) najdete na stránce Cipher On This: An Enigma Machine For Every Budget.

Hezky zpracovaný přehled nezbytných vlastností problematiky notáři a kryptografie – Notary Publics to Cryptographers – keep yur grubby mits off! vychází sice z reálií USA, ale svým způsobem může sloužit pro inspiraci i v našich podmínkách.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.