Hlavní navigace

Bezpečnostní střípky za 17. týden roku 2006

2. 5. 2006
Doba čtení: 8 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Obecná a firemní bezpečnost IT, software, malware, hackeři, RFID, VoIP, normy a normativní dokumenty, kryptografie.

Obecná a firemní bezpečnost IT

Tento týden (25.-27.dubna 2006) se v Londýně konala tradiční akce – Infosecurity Europe 2006. Přehled odborných informací zde přednesených najdete na Free Education Programme. Odkazy na některé z komentářů, které se k této rozsáhlé akci objevily na webech:
Schneier: ID cards will worsen ID theft ; Your borders are porous, IT pros told ; Verisign brings security profiling to Europe; Bitlocker key to safe disk disposal, says Microsoft; Phishers take aim at foreign banks; Major mobile virus attack imminent.

Bill Brenner publikoval na SearchSecurity.com zajímavý článek vztahující se k vytváření funkčních politik pro ochranu před průniky – Ideal intrusion defense combines processes and people. Poukazuje zejména na nezbytnost propojení technických a organizačních procesů s výchovou lidí (poznámka bokem – pro v článku použité termíny a množství dalších termínů vztahujících se k IT bezpečnosti lze najít odpovídající popisy na témže webu v slovníku – Glossary). Autor uvádí tři zdroje nejpravděpodob­nějších scénářů útoku:

  • Spyware
  • Ukradený (či nevhodně odložený) notebook, který obsahuje hesla
  • Zaměstnanci, kteří ukládají citlivé soubory na USB disky, které pak ztratí

Scénář, podle kterého byl nabourán server slovenského NBÚ, byl však trochu jiný – Narodny Bezpecnostny Urad pwn3d, Hackeři nabourali servery slovenského Národního bezpečnostního úřadu (zde najdete základní informace, pak se objevila celá řada dalších komentářů). Jednoznačným viníkem je nekompetentní administrátor s naivním způsobem používání hesel, ale také zjevně nedostatečná bezpečnostní politika úřadu, která (ať už svými formulacemi či nedostatečnou kontrolou) vznik situace umožnila. Na druhou stranu – vzhledem k obvyklé praxi, kdy práce s utajovanými daty je fyzicky oddělena od venkovní sítě, k úniku takovýchto dat sotva došlo. Přesto je to pro image úřadu nepříjemná záležitost.

Ještě pohled na tuto problematiku i ze stránky možných právních postihů pro útočníky – Breach case could curtail Web flaw finders. Riskujete i v situacích, kdy postupujete s dobrými úmysly (nalezené slabiny oznámíte provozovateli sítě). Zde je samozřejmě popisována právní situace v USA (nepochybně by bylo zajímavé přečíst si popis možných právních důsledků v ČR v analogických situacích). Ani hledači UFO, když překročí legální meze, to nemají jednoduché. O tom by mohl povídat britský hacker Gary McKinnon, který čeká na výrok soudu ohledně jeho možného vydání do USA – NASA hacker to hear fate next month.

Obsažný příspěvek v diskusi na téma práce s hesly a s tím související hrozby a problémy napsal profesor Eugene H. Spafford – Security Myths and Passwords. Komentáře k článku najdete zde – Comments.

Jaká je někdy reálná praxe práce s hesly, o tom vypovídá René Millman v článku v Sc Magazine -Four of ten users have only one password. Podle analýzy firmy Sophos tedy čtyři z deseti uživatelů používají při vstupu na různé weby stále totéž heslo.

Rozsáhlejší analýzu problematiky bezpečnost vs. ukládání dat najdete v článku Storage Pipeline: Analysis: Storage Security (mj. se autor vyslovuje i k USB zařízením). K USB zařízením a bezpečnosti – viz také další článek do diskuse – USB Security: A Sticky Situation.

Jak je ve Velké Británii zabezpečena integrita digitálního archivu Národní digitální knihovny (National Digital Library) popisuje Lisa Kelly v British Library secures integrity of digital archive. Knihovna by v průběhu příštích pěti let měla obsahovat až 300 terabajtů informací (historické rukopisy, digitální časopisy, webovské archivy). Každý item knihovny je označen časovým razítkem tak, aby bylo možné prokazovat, že nebyl pozměněn.

Collen Rhodes ve své studii – Safeguarding Against Social Engineering – popisuje metody sociálního inženýrství a v závěru zdůrazňuje potřeby výchovy pracovníků v tomto směru.

NCSA v rámci své kampaně orientované na menší firmy vydala několik základních tipů (doporučení) směřujících k větší bezpečnosti praxe v malých firmách – NCSA launches small business security campaign.

Software

K seznamům freeware utilit (viz minulé Bezpečnostní střípky), kde podstatnou roli hraje bezpečnost, přibyl ještě jeden – Password Recovery Utilities. Na téže stránce najdete ještě další utility např. pro monitoring sítě, utility vztažené k internetu (jak nalézt informace k zadané IP adrese,..) atd.

Jak to bude s ochranou uživatelského účtu ve Windows Vista a co je to UAP (User Account Protection) se dozvíte v článku Where Vista Fails (je to pátý, poslední díl série). A to včetně kritiky, kterou pak rozsáhleji komentovanou najdete na blogu Bruce Schneiera. Týká se možných nekonečných bezpečnostních varování, kterými by nám (v navržené koncepci) Windows Vista otravovala život.

Na Security Pipeline najdete Top 10 Windows XP Tips Of All Time. Týkají se bezpečnosti, funkcionality a výkonu systému.

Aktualizovanou bezpečnostní příručku pro Windows Server 2003 vydal Microsoft – Windows Server 2003 Security Guide.

Přehled k problémům bezpečnosti DNS napsali autoři z Cornell University – A Survey of DNS Security: Most Vulnerable and Valuable Assets. Cílem autorů bylo nalézt odpovědi na následující otázky:

  • Která jména domén jsou nejvíce zranitelná?
  • Které servery kontrolují největší podíl v prostoru jmen a jsou tudíž nejpravděpodob­nějším cílem útoků?
  • Zda existují servery se známými bezpečnostními dírami a na která jména domén mají vliv?

Věnujte pět minut bezpečnějšímu SSH – Five-Minutes to a More Secure SSH – týká se to Open SSH serveru. Řadu dalších poznámek najdete v přiložené diskusi.

Malware, hackeři

Kaspersky Lab vydal zprávu, která popisuje vývoj malware v prvním čtvrtletí roku 2006 – Malware Evolution: January – March 2006. Dokument jednak shrnuje události, které v IT bezpečnosti provázely toto čtvrtletí, za druhé autoři předkládají svůj náhled na další možný vývoj, pokud se týká malware a jiných hrozeb v informačních technologiích. Mezi budoucími hrozbami jsou v první řadě vyjmenovány vmware rootkity, rootkity v bootsektoru a zadní vrátka v biosu. Z dalších je pak poukázáno na mobilní malware a multiplatformní vir (viz minulé Bezpečnostní střípky).

V roce 2008 budou rootkity maskovat většinu malware, říká se v nadpisu komentáře Gregga Keizera – Rootkits To Mask Most Malware By 2008 – k analýze společnosti McAfee ( Rootkits. Parts 1 of 3. The Growing Threat). Rootkity se stávají velkým nebezpečím nejen pro jejich poměrně obtížnou detekovatelnost, ale zejména proto, že je obtížné po útoku systém kompletně vyčistit ode všech následků tohoto útoku.

Detect rootkits and rootkit behavior with these techniques – zde si můžete stáhnout kapitolu knihy Rootkits : Subverting the Windows Kernel. V kapitole jsou diskutovány dva základní přístupy k detekci rootkitů. Je to jednak detekce samotného rootkitu a jednak detekce chování rootkitu.

Patnáctistránková studie (Lesley Herring – The Ins and Outs of Spyware) se zabývá obsahem pojmu spyware, symptomy infekce, preventivními technikami, nástroji k odstranění spyware (a obsahuje další odkazy k problematice).

Za kriminalitou v IT jsou stále více boti – Bots increasingly behind cybercrime. Pokud chcete vědět něco více o vlastních „tvůrcích“ botů, podívejte se na informace obsažené v článku Malicious-software spreaders get sneakier, more prevalent.

Financial data theft up 410 per cent – ve dvou dnech, které předcházely Velikonocím, byl zaznamenán zvýšený počet útoků směřujících na krádeže finančních dat (podle ScanSafe).

Ke krádežím na Internetu se vyjadřuje také Jack M. Germain v rozsáhlé analýze obsahující celou sadu doporučení -How To Stop Internet Identity Theft.

RFID, VoIP

Popis útoku typu Man-in-the-Middle na RFID obsahuje komentář Bruce Schneiera v jeho blogu – RFID Cards and Man-in-the-Middle Attacks. Další informace najdete jako vždy v připojené diskusi.

Také VoIP je již zapojováno do rhybařících technik – New phishing scam model leverages VoIP. Novelty of dialing a phone number lures in the unwary a také komentář v článku Phishers using VoIP for new scheme.

Mimochodem k VoIP na Infosecu – Security pros give VoIP the brush-off – bezpečnostní profesinálové se postavili zády k snahám o širší používání VoIP. Důvodem je samozřejmě nedostatečná bezpečnost existujících aplikací.

Normy a normativní dokumenty

ETSI vydala dokument – Mapping Comparison Matrix between the US Federal Bridge CA Certificate Policy and the European Qualified Certificate Policy (TS 101 456). Najdete ho na stránkách ETSI (oddíl Deliverables), je nutná registrace. Jedná se o porovnání koncepcí EU a USA zpracované formou určité matice.

K vydaným rfc:

a vyšel také soubor experimentálních rfc, která jsou věnována problematice autentizace e-mailu:

NIST vydal draft Special Publication 800–53A, Guide for Assessing the Security Controls in Federal Information Systems věnovaný popisům postupů při výběru a zavádění bezpečnostních kontrol v informačních systémech federálních úřadů (USA).

Kryptografie

ČlánekPairing based Mutual Authentication Scheme Using Smart Cards najdete na serveru IACR v Cryptology ePrint Archive. Týká se poměrně nové problematiky – využití tzv. kryptografického párování, a to pro vzájemnou autentizaci (prostřednictvím čipových karet).

Stručný přehled k problematice eliptická kryptografie a Java obsahuje článekJava and security bits včetně řady dalších odkazů.

Budou v dohledné době existovat kvantové počítače s dostatečným výpočetním potenciálem, který by ohrozil dnešní kryptografii? To je otázka, na kterou zatím asi nikdo nezná odpověď. Avšak problém, kam se posune dnešní kryptografie v případě existence těchto počítačů, je již nastolen a vědci se jím seriózně zabývají. Svědčí o tom také chystaná konferencePQCrypto 2006: International Workshop on Post-Quantum Cryptography v rámci aktivit ECRYPT – Network of Excellence in Cryptology.

root_podpora

Nedávno se v Londýně konalo soudní pojednání, které se týkalo sporu, v němž autor Šifry mistra Leonarda (Dan Brown) byl obviněn z plagiátorství. Obvinění neprošlo. Příslušné soudní rozhodnutí (dokument o 71 stránkách) obsahuje v sobě skryté zašifrované sdělení. Na Schneierově blogu k tomu najdete celou řadu dalších odkazů a také komentáře čtenářů blogu. Poznámka (přidáno v pátek odpoledne) – tzv. záhada rozluštěna. „Zašifrovaný“ text zní: Jackie Fisher who are you Dreadnought. (dreadnought = nebojsa). Význam textu je objasněn dále v diskusi. Jedná se o soudcovo nadšení pro námořní historii (John Fisher byl admirál).

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?