Bezpečnostní střípky za 18. týden roku 2006

Obecná a firemní bezpečnost IT

Začneme zajímavou esejí Bruce Schneiera – Who Owns Your Computer? . Jejím ústředním tématem je otázka, kdo všechno ovládá systém vašeho počítače. Pokud používaná technologie slouží svému majiteli, je akceptovatelná. Jinak je tomu však v případech, kdy slouží ještě něčemu jinému než jsou cíle samotného majitele. Bohužel software ve Vašem počítači a tím i vlastnosti celého systému se stávají dnes předmětem boje o jejich ovládnutí. Schneier uvádí následující příklady takovýchto programů:

• herní a jiný software sloužící zábavě (známý příklad – Sony DRM rootkit);
• antiviry;
• internetové služby (e-mailové schránky,…);
• aplikace (Internet Explorer – cookies, pop-up okénka);
• spyware;
• bezpečnost ve vztahu k internetu (firewally);
• aktualizace.

Z uvedených příkladů si lze snadno vydedukovat rostoucí vliv tohoto trendu. Schneier doporučuje vybírat software takovým způsobem, aby uvedená rizika byla minimalizována (open source,…). Zkrátka software, který lépe respektuje vaše osobní požadavky v tomto směru. U Schneierova článku najdete v diskusi další náměty.

Vlády požadují stále více osobních údajů – chrání je však dostatečně? Na příkladu leteckých společností se touto otázkou zabývá Steve Boggan v článku Q. What could a boarding pass tell an identity fraudster about you? A. Way too much . V rámci boje proti terorismu jsou pasažéři letadel povinni sdělit řadu osobních údajů. V článku je uveden příklad bezpečnostních nedostatků takovéhoto postupu.

Pokud si chcete pohled na bezpečnost maximálně zjednodušit, lze začít následujícími třemi prioritami (Your Top Three Security Priorities):

• 1. Zajistěte, aby zaměstnanci byli dobře proškoleni – s ohledem na to, co se týká rozpoznání hrozeb i co se týká vhodných reakcí na tyto hrozby.
• 2. Používání hesel – v současné době je velkým problémem používání triviálních hesel, a to v širokém měřítku. Pokud jsou používána složitější hesla, nejsou dobře chráněna. Autor doporučuje dvoufaktorovou autentizaci, speciálně tu, která využívá kombinaci biometrie a čipových karet.
• 3. Bezpečnost by se měla pokud možno opírat o princip maximální jednoduchosti. Bohužel dnes je využíván za tímto účelem software, který pochází od celé řady dodavatelů a vzniklý systém je svou složitostí vzdálen tomuto principu.

Software

Sumit Siddharth na SecurityFocus (Five common Web application vulnerabilities ) popisuje pět častých bezpečnostních chyb webovských aplikací:

• 1. Vzdálené vykonání programového kódu. Útočník má možnost spustit program na zranitelném serveru a získat požadovanou informaci.
• 2. Útok na SQL (SQL injection). Tento útok umožňuje útočníkovi získat kritickou informaci z databáze webového serveru.
• 3. Zranitelnosti formátovaných řetězců.
• 4. CSS zranitelnosti (Cross Site Scripting).
• 5. Vyjmenování jmen uživatelů. Útočník experimentuje s různými jmény uživatelů a vyhledá tak jméno použitelné pro jeho cíle.

Na první článek René Pfeiffera Digging Secure Tunnels with IPsec navazuje článek Digging More Secure Tunnels with IPsec. Autor pokračuje ve svém popisu nástrojů pro vybudování chráněné a zašifrované cesty mezi dvěma hostitelskými počítači (více technicky zaměřený článek).

Komentáře k nové vlastnosti ( BitLocker Drive Encryption) operačního systému Windows Vista najdete na blogu Bruce Schneiera. BitLocker Drive Encryption se opírá o využití HW modulu (mikročipu) TPM (Trusted Platform Module) obvykle umístěném na základní desce počítače. Uloženy v něm jsou klíče, hesla a digitální certifikáty. Takto uložené informace jsou lépe zabezpečeny proti vnějším útokům.

Server TechRepublic zpřístupnil svou populární sérii článků „10 Things“ prostřednictvím jediné webovské stránky – TechRepublic's „10 things“ … the Wiki version. Bezprostředně se samotné bezpečnosti týkají následující články:

• Windows PC: Lock it down in 10 steps
• End user laptop: Lock it down in 10 steps
• Cisco IOS router: Lock it down in 10 steps
• E-mail infrastructure: Lock it down in 10 steps
• 10 things you should know about securing DNS
• Linksys Router: Lock it down in 10 Steps
• 10 things you should know about fighting spyware in Windows XP 
• 10 things you should know about working with permissions 
• 10 things you should know about securing wireless connections

O aplikacích vhodných k vyhledávání bezdrátových LAN – detekce průniků – se dozvíte více v článku Layer 2 Analysis of WLAN Discovery Applications for Intrusion Detection, jehož autorem je Joshua Wright.

VoIP

Článek Johna McCarrona A Brief Overview of VoIP Security přinesl informace týkající se zranitelností existujících protokolů využívaných pro VoIP. Tyto zranitelnosti ovlivňují bezpečnost VoIP. Například nejčastěji používané protokoly H.323 a SIP mají problémy s používáním (náhodných) portů (převody NAT, firewally).

Následně se v uplynulém týdnu objevilo několik článků, které komentují bezpečnost současných postupů pro VoIP:

• VoIP security fears spook IT pros;
• Secure VoIP – an achievable goal;
• Security risk with VoIP, say experts.

V posledním článku je např. konstatováno, že vzhledem k současnému stavu problematiky (úrovni bezpečnosti VoIP) se nedoporučuje firmám či společnostem používání VoIP. Výhody používání technologie zatím nepřeváží existující bezpečnostní rizika.

Hackeři, malware

Rozsáhlejší článek popisující svět dnešních hackerů a jejich současné aktivity napsala Elizabeth Millard – Cracking the Cult of Hackers. Článek se dobře čte a pokud vás problematika zajímá, lze jen doporučit. Konkrétním technikám hackerských postupů však věnován není.

Bot software looks to improve peerage – Robert Lemos na SecurityFocus se věnuje červu Nugache, který se objevil minulý týden. Červ (klasifikovaný také jako software pro boty – bot software) infikuje systémy prostřednictvím e-mailů a pokud se usadí v kompromitovaném počítači, snaží se ustavit spojení s 22 internetovými adresami a takto postupně vytvořit P2P síť botů. Zatímco díky některým chybám je konkrétní nebezpečnost tohoto červa nízká, je koncepce jeho návrhu nebezpečím budoucnosti – uzavírá Lemos. Viz také některé komentáře k tomuto červu na stránce As the Bot Turns . Podrobnosti k popisu červa najdete zde.

Rootkity

Podrobně se problematikou rootkitů zabývala analýza Microsoftu. Prezentace k ní byla přednesena na konferenci Infosec World v dubnu. Rootkity, které lze dnes nalézt ve Windows (devadesát procent všech nalezených Microsoftem rootkitů vychází z rootkitu Hacker Defender, který napsal český programátor s přezdívkou Holy Father) jsou obsaženy v následujícím seznamu:

• Hacker Defender
• FU
• HE4Hook
• Vanquish
• AFX
• NT Rootkit

Nástroje, které mohou rootkity detekovat:

• PatchFinder2 a Klister/Flister, proof-of-concept nástroje
• nástroje polské výzkumnice Joanny Rutkowské
• RootkitRevealer (Sysinternals)
• Blacklight (F-Secure)
• Microsoft File Checksum Integrity Environment
• Bootable Antivirus & Recovery Tools (Alwil Software – CZ)
• Knoppix Security Tools Distribution (open source)

Komentář k této analýze Microsoftu najdete v článku Microsoft Exec Warns of Rootkits.

Rhybaření

Uri Rivner na blogu RSA se zabývá problematikou rhybaření (phishingu) i z hlediska toho, co se za těmito aktivitami skrývá (najdete zde popis celého řetězce nezbytného pro jejich provádění) – Phishing Supply Chain. Part 1. Druhou část článku najdete zde – Phishing Supply Chain. Part 2..

Poznámky Roberta Vamosiho k rhybaření pak obsahuje článek One phish, two phish. Diskutuje mj. otázky, proč vlastně samotné rhybaření funguje, jestli lze zjistit, zda konkrétní webovská stránka je opravdu bezpečná, co nám říkají certifikáty SSL atd. Pomohou nám technologie?

Firma Symantec minulý týden oznámila nově zformovanou skupinu, složenou z bezpečnostních společností, finančních institucí a internetových prodejců, která by se měla angažovat v boji proti phishingu. Nazývat se bude Symantec Phish Report Network a členy jsou například RSA Security, eBay, PayPal, Wells Fargo či Yahoo (Symantec bere boj proti phishingu vážně ).

Autentizace, biometrie

Zajímavý je směr výzkumu pracovníků Carleton University v Ottawě (Kanada) – Your Thoughts Are Your Password . Zabývá se využitím myšlenkových pochodů jednotlivce jako prostředku pro autentizaci. Výzkumníci vychází z předpokladu unikátnosti mozkových vln každého jedince. Systém by oproti jiným biometrickým postupům měl mít i tu výhodu, že takováto biometrická signatura by umožňovala i např. svou periodickou obměnu.

Normy a normativní dokumenty

NIST vydal Draft Special Publication 800–80, Guide for Developing Performance Metrics for Information Security. Dokument navazuje na publikaci NIST SP 800–53, Recommended Security Controls for Federal Information Systems (využívá kontroly v ní obsažené) a jeho cílem je napomoci organizacím při vývoji metrik jejich bezpečnostních programů.

IETF – skupina pkix – vydala rfc.4476 – Attribute Certificate (AC) Policies Extension. Dokument popisuje jedno rozšíření certifikátu, které explicitně stanoví, která z politik atributových certifikátů (ACP) je aplikována na daný atributový certifikát. Využitelnost dokumentu je pak především pro validaci atributových certifikátů, tj. jeho cílem je napomoci ke stanovení, zda daný atributový certifikát může sloužit jako základ akceptace pro specifickou ACP.

Kryptografie

Autor Is encryption really crackable? (George Ou) komentuje někdy vyjadřovanou skepsi ke kryptografickým postupům. Říká, že největším problémem, který souvisí s kryptografickými postupy, je skutečnost, že tyto jsou používány špatně anebo nejsou dokonce používány vůbec. Problémem jsou samozřejmě také nekvalitní kryptografické nástroje. Za samotným článkem je dále rozsáhlá diskuse s velice širokým spektrem názorů (některé je třeba samozřejmě brát s rozvahou).

Kryptolog prof. Ed Dawson přednáší v Praze ! Katedra algebry MFF UK Vás zve na sérii přednášek prof. Ed Dawsona (Information Security Institute Queensland University of Technology Brisbane). Pracoviště v Brisbane bylo jedním z prvních akademických pracovišť na světě v této oblasti, vzniklo ještě před koncem studené války. V současné době se zde vzdělává přes 70 studentů doktorského studia z celého světa. Nenechte si ujít tuto výjimečnou příležitost a navštivte přednášky ředitele tohoto významného kryptografického pracoviště.

Program přednášek:

• Úterý 16.5. v 17:20, místnost K1
  Compliant Cryptographic Protocols
  .
• Středa 17.5. v 17:20, místnost K1
  From Bit Based to Word Based Stream Ciphers
  .
• Čtvrtek 18.5. v 17:20, místnost K1
  Application of Combinatorial Mathematics to Cryptology: A Personal Journey
  

Přednášky se konají v budově MFF UK Praha, Sokolovská 83, Praha 8, v posluchárně K1.
Všichni zájemci jsou srdečně zváni!

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.