Hlavní navigace

Bezpečnostní střípky za 18. týden roku 2006

Jaroslav Pinkava

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Obecná a firemní bezpečnost IT, software, VoIP, hackeři, malware, rootkity, rhybaření, autentizace, biometrie, normy a normativní dokumenty, kryptografie.

Obecná a firemní bezpečnost IT

Začneme zajímavou esejí Bruce Schneiera – Who Owns Your Computer? . Jejím ústředním tématem je otázka, kdo všechno ovládá systém vašeho počítače. Pokud používaná technologie slouží svému majiteli, je akceptovatelná. Jinak je tomu však v případech, kdy slouží ještě něčemu jinému než jsou cíle samotného majitele. Bohužel software ve Vašem počítači a tím i vlastnosti celého systému se stávají dnes předmětem boje o jejich ovládnutí. Schneier uvádí následující příklady takovýchto programů:

  • herní a jiný software sloužící zábavě (známý příklad – Sony DRM rootkit);
  • antiviry;
  • internetové služby (e-mailové schránky,…);
  • aplikace (Internet Explorer – cookies, pop-up okénka);
  • spyware;
  • bezpečnost ve vztahu k internetu (firewally);
  • aktualizace.

Z uvedených příkladů si lze snadno vydedukovat rostoucí vliv tohoto trendu. Schneier doporučuje vybírat software takovým způsobem, aby uvedená rizika byla minimalizována (open source,…). Zkrátka software, který lépe respektuje vaše osobní požadavky v tomto směru. U Schneierova článku najdete v diskusi další náměty.

Vlády požadují stále více osobních údajů – chrání je však dostatečně? Na příkladu leteckých společností se touto otázkou zabývá Steve Boggan v článku Q. What could a boarding pass tell an identity fraudster about you? A. Way too much . V rámci boje proti terorismu jsou pasažéři letadel povinni sdělit řadu osobních údajů. V článku je uveden příklad bezpečnostních nedostatků takovéhoto postupu.

Pokud si chcete pohled na bezpečnost maximálně zjednodušit, lze začít následujícími třemi prioritami (Your Top Three Security Priorities):

  • 1. Zajistěte, aby zaměstnanci byli dobře proškoleni – s ohledem na to, co se týká rozpoznání hrozeb i co se týká vhodných reakcí na tyto hrozby.
  • 2. Používání hesel – v současné době je velkým problémem používání triviálních hesel, a to v širokém měřítku. Pokud jsou používána složitější hesla, nejsou dobře chráněna. Autor doporučuje dvoufaktorovou autentizaci, speciálně tu, která využívá kombinaci biometrie a čipových karet.
  • 3. Bezpečnost by se měla pokud možno opírat o princip maximální jednoduchosti. Bohužel dnes je využíván za tímto účelem software, který pochází od celé řady dodavatelů a vzniklý systém je svou složitostí vzdálen tomuto principu.

Software

Sumit Siddharth na SecurityFocus (Five common Web application vulnerabilities ) popisuje pět častých bezpečnostních chyb webovských aplikací:

  • 1. Vzdálené vykonání programového kódu. Útočník má možnost spustit program na zranitelném serveru a získat požadovanou informaci.
  • 2. Útok na SQL (SQL injection). Tento útok umožňuje útočníkovi získat kritickou informaci z databáze webového serveru.
  • 3. Zranitelnosti formátovaných řetězců.
  • 4. CSS zranitelnosti (Cross Site Scripting).
  • 5. Vyjmenování jmen uživatelů. Útočník experimentuje s různými jmény uživatelů a vyhledá tak jméno použitelné pro jeho cíle.

Na první článek René Pfeiffera Digging Secure Tunnels with IPsec navazuje článek Digging More Secure Tunnels with IPsec. Autor pokračuje ve svém popisu nástrojů pro vybudování chráněné a zašifrované cesty mezi dvěma hostitelskými počítači (více technicky zaměřený článek).

Komentáře k nové vlastnosti ( BitLocker Drive Encryption) operačního systému Windows Vista najdete na blogu Bruce Schneiera. BitLocker Drive Encryption se opírá o využití HW modulu (mikročipu) TPM (Trusted Platform Module) obvykle umístěném na základní desce počítače. Uloženy v něm jsou klíče, hesla a digitální certifikáty. Takto uložené informace jsou lépe zabezpečeny proti vnějším útokům.

Server TechRepublic zpřístupnil svou populární sérii článků „10 Things“ prostřednictvím jediné webovské stránky – TechRepublic's „10 things“ … the Wiki version. Bezprostředně se samotné bezpečnosti týkají následující články:

O aplikacích vhodných k vyhledávání bezdrátových LAN – detekce průniků – se dozvíte více v článku Layer 2 Analysis of WLAN Discovery Applications for Intrusion Detection, jehož autorem je Joshua Wright.

VoIP

Článek Johna McCarrona A Brief Overview of VoIP Security přinesl informace týkající se zranitelností existujících protokolů využívaných pro VoIP. Tyto zranitelnosti ovlivňují bezpečnost VoIP. Například nejčastěji používané protokoly H.323 a SIP mají problémy s používáním (náhodných) portů (převody NAT, firewally).

Následně se v uplynulém týdnu objevilo několik článků, které komentují bezpečnost současných postupů pro VoIP:

V posledním článku je např. konstatováno, že vzhledem k současnému stavu problematiky (úrovni bezpečnosti VoIP) se nedoporučuje firmám či společnostem používání VoIP. Výhody používání technologie zatím nepřeváží existující bezpečnostní rizika.

Hackeři, malware

Rozsáhlejší článek popisující svět dnešních hackerů a jejich současné aktivity napsala Elizabeth Millard – Cracking the Cult of Hackers. Článek se dobře čte a pokud vás problematika zajímá, lze jen doporučit. Konkrétním technikám hackerských postupů však věnován není.

Bot software looks to improve peerage – Robert Lemos na SecurityFocus se věnuje červu Nugache, který se objevil minulý týden. Červ (klasifikovaný také jako software pro boty – bot software) infikuje systémy prostřednictvím e-mailů a pokud se usadí v kompromitovaném počítači, snaží se ustavit spojení s 22 internetovými adresami a takto postupně vytvořit P2P síť botů. Zatímco díky některým chybám je konkrétní nebezpečnost tohoto červa nízká, je koncepce jeho návrhu nebezpečím budoucnosti – uzavírá Lemos. Viz také některé komentáře k tomuto červu na stránce As the Bot Turns . Podrobnosti k popisu červa najdete zde.

Rootkity

Podrobně se problematikou rootkitů zabývala analýza Microsoftu. Prezentace k ní byla přednesena na konferenci Infosec World v dubnu. Rootkity, které lze dnes nalézt ve Windows (devadesát procent všech nalezených Microsoftem rootkitů vychází z rootkitu Hacker Defender, který napsal český programátor s přezdívkou Holy Father) jsou obsaženy v následujícím seznamu:

  • Hacker Defender
  • FU
  • HE4Hook
  • Vanquish
  • AFX
  • NT Rootkit

Nástroje, které mohou rootkity detekovat:

  • PatchFinder2 a Klister/Flister, proof-of-concept nástroje
  • nástroje polské výzkumnice Joanny Rutkowské
  • RootkitRevealer (Sysinternals)
  • Blacklight (F-Secure)
  • Microsoft File Checksum Integrity Environment
  • Bootable Antivirus & Recovery Tools (Alwil Software – CZ)
  • Knoppix Security Tools Distribution (open source)

Komentář k této analýze Microsoftu najdete v článku Microsoft Exec Warns of Rootkits.

Rhybaření

Uri Rivner na blogu RSA se zabývá problematikou rhybaření (phishingu) i z hlediska toho, co se za těmito aktivitami skrývá (najdete zde popis celého řetězce nezbytného pro jejich provádění) – Phishing Supply Chain. Part 1. Druhou část článku najdete zde – Phishing Supply Chain. Part 2..

Poznámky Roberta Vamosiho k rhybaření pak obsahuje článek One phish, two phish. Diskutuje mj. otázky, proč vlastně samotné rhybaření funguje, jestli lze zjistit, zda konkrétní webovská stránka je opravdu bezpečná, co nám říkají certifikáty SSL atd. Pomohou nám technologie?

Firma Symantec minulý týden oznámila nově zformovanou skupinu, složenou z bezpečnostních společností, finančních institucí a internetových prodejců, která by se měla angažovat v boji proti phishingu. Nazývat se bude Symantec Phish Report Network a členy jsou například RSA Security, eBay, PayPal, Wells Fargo či Yahoo (Symantec bere boj proti phishingu vážně ).

Autentizace, biometrie

Zajímavý je směr výzkumu pracovníků Carleton University v Ottawě (Kanada) – Your Thoughts Are Your Password . Zabývá se využitím myšlenkových pochodů jednotlivce jako prostředku pro autentizaci. Výzkumníci vychází z předpokladu unikátnosti mozkových vln každého jedince. Systém by oproti jiným biometrickým postupům měl mít i tu výhodu, že takováto biometrická signatura by umožňovala i např. svou periodickou obměnu.

Normy a normativní dokumenty

NIST vydal Draft Special Publication 800–80, Guide for Developing Performance Metrics for Information Security. Dokument navazuje na publikaci NIST SP 800–53, Recommended Security Controls for Federal Information Systems (využívá kontroly v ní obsažené) a jeho cílem je napomoci organizacím při vývoji metrik jejich bezpečnostních programů.

IETF – skupina pkix – vydala rfc.4476 – Attribute Certificate (AC) Policies Extension. Dokument popisuje jedno rozšíření certifikátu, které explicitně stanoví, která z politik atributových certifikátů (ACP) je aplikována na daný atributový certifikát. Využitelnost dokumentu je pak především pro validaci atributových certifikátů, tj. jeho cílem je napomoci ke stanovení, zda daný atributový certifikát může sloužit jako základ akceptace pro specifickou ACP.

Kryptografie

Autor Is encryption really crackable? (George Ou) komentuje někdy vyjadřovanou skepsi ke kryptografickým postupům. Říká, že největším problémem, který souvisí s kryptografickými postupy, je skutečnost, že tyto jsou používány špatně anebo nejsou dokonce používány vůbec. Problémem jsou samozřejmě také nekvalitní kryptografické nástroje. Za samotným článkem je dále rozsáhlá diskuse s velice širokým spektrem názorů (některé je třeba samozřejmě brát s rozvahou).

Kryptolog prof. Ed Dawson přednáší v Praze ! Katedra algebry MFF UK Vás zve na sérii přednášek prof. Ed Dawsona (Information Security Institute Queensland University of Technology Brisbane). Pracoviště v Brisbane bylo jedním z prvních akademických pracovišť na světě v této oblasti, vzniklo ještě před koncem studené války. V současné době se zde vzdělává přes 70 studentů doktorského studia z celého světa. Nenechte si ujít tuto výjimečnou příležitost a navštivte přednášky ředitele tohoto významného kryptografického pracoviště.

Program přednášek:

  • Úterý 16.5. v 17:20, místnost K1
    Compliant Cryptographic Protocols
    .
  • Středa 17.5. v 17:20, místnost K1
    From Bit Based to Word Based Stream Ciphers
    .
  • Čtvrtek 18.5. v 17:20, místnost K1
    Application of Combinatorial Mathematics to Cryptology: A Personal Journey

Přednášky se konají v budově MFF UK Praha, Sokolovská 83, Praha 8, v posluchárně K1.
Všichni zájemci jsou srdečně zváni!

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

9. 5. 2006 10:21

uživatel si přál zůstat v anonymitě
autorem rootkitu hacker defender jsou 2 lide, dva cesi. holy father a ratter/29A
Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?