Hlavní navigace

Bezpečnostní střípky za 19. týden roku 2006

Jaroslav Pinkava 15. 5. 2006

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Obecná a firemní bezpečnost IT, software, vývoj softwaru a otázky bezpečnosti, malware, viry, hackeři, normy a normativní dokumenty, kryptografie.

Obecná a firemní bezpečnost IT

Noam Eppel v rozsáhlém článku Security Absurdity: The Complete, Unquestionable, And Total Failure of Information Security. vyjadřuje skepsi nad současným stavem IT bezpečnosti. Svoje názory dokumentuje celou řadou dalších odkazů. Například – z nedávných přehledů vyplývá, že dospělý Američan věří, že pravděpodobněji se stane obětí kriminality na internetu než obětí fyzického kriminálního činu. Z přehledu společnosti Gartner vyplývá, že 14 procent těch, kteří provozovali bankovnictví online, opustilo tento způsob bankovnictví a 30 procent změnilo své postupy. Důvodem jsou bezpečnostní obavy.

Přitom o otázkách bezpečnosti se v souvislosti s informačními technologiemi dnes hovoří neustále. Bezpečnost sama je posilována dlouhou škálou technologických prostředků (firewally, antimalware, systémy pro detekci průniků, autentizační a autorizační prostředky,…) – avšak jsou tyto prostředky schopny ji zajistit? Rok 2005 měl být podle dostupných informací ve vztahu k bezpečnostním průlomům nejhorším rokem historie vůbec. Asi něco není opravdu v pořádku. A jiný příklad, který autor uvádí. Pokud si uživatel je vědom hrozících rizik a doporučení typu Surviving the First Day of Windows XP a bude nový systém XP doplňovat posledními záplatami Microsoftu, bude nucen stáhnout a nainstalovat data v objemu 70–260 MB. A toto mu zabere nepochybně podstatně delší dobu než je třeba k tomu, aby nezáplatovaný počítač byl infikován. Pro doplnění – v některých situacích stačí 30 vteřin k tomu, aby byla získána plná kontrola nad počítačem.

Spyware, rhybáři, trojané, viry a červy se množí jako houby po dešti. Nebezpečím zejména z poslední doby se stávají rootkity. Autor dále jmenuje celou řadu dalších nebezpečí, možných útoků, které nás mohou potkat na Internetu, ale nejenom tam. Dnes už i v mobilních telefonech atd. Zdokonalujeme ochranné a bezpečnostní technologie, ale tvůrci počítačové kriminality s tím drží krok či dokonce vývoj předbíhají. Autor zde jako příklad uvádí Microsoftem zavedený systém Genuine Advantage. Cracknut byl – v průběhu 24 hodin. Počítačovým „zločincem“ přitom nebylo nikdy tak snadné se stát jako nyní. A nejsou k tomu třeba vlastně žádné speciální znalosti – exploity, podrobné informace o zranitelnostech, jsou dostupné komukoliv na Internetu.

A při pohledu z druhé strany je tomu přesně naopak. K dokonalému zabezpečení (a o 100 procentech se hovořit nedá) i jednotlivého počítače jsou zapotřebí už poměrně hluboké znalosti informačních technologií a pokud se týká složitějších infrastruktur… Zkrátka složitost používaných technologií je jednou z hlavních překážek pro dosažení kýžené bezpečnosti. Autor svůj skeptický pohled předkládá čtenáři k diskusi a v chystané druhé části článku se chce dále tématikou zabývat i v návaznosti na jejich komentáře.

Scotta Granneman na SecurityFocus v článku Innovative ways to fool people diskutuje několik nových typů kriminálních aktivit na konkrétních příkladech. Pokus v jedné z největších japonských bank, který se mohl stát  – největší bankovní loupeží historie (útok byl veden zevnitř banky, byly použity keyloggery). Další dva uvedené příklady se týkají „ransomware“ – počítačového vyděračství a trojského koně použitého – v počítačové hře (World of Warcraft).

V článku Study can unlock door to IT security riches John Kavanagh hovoří o konkrétních podmínkách (Velká Británie) pro získání odborné kvalifikaci v IT bezpečnosti.

Software

Rozhovor s Michaelem W. Lucasem, autorem knihy PGP & GPG: Email for the Practical Paranoid najdete na stránce IT Managers: PGP is easy. Nejtěžší není instalace či používání OpenPGP, ale související výchova uživatelů.

REview – Eric Lubow – na tomto odkaze najdete recenzi knihy How To Break Web Software : Functional and Security Testing of Web Applications and Web Services, jejímiž autory jsou Mike Andrews a James A. Whittaker. Kniha je určena jak návrhářům a vývojářům webů, tak také i uživatelům webových stránek. Autoři popisují cesty myšlení útočníků, typy útoků. Diskutují možný bezpečnostní aparát (autentizace, kryptografie). V závěru knihy je popsána sada nástrojů pro testování webového softwaru.

Dále v tomto měsíci vyšla kniha Professional Windows Desktop and Server Hardening (Programmer to Programmer) . Jejím autorem je Roger A. Grimes a na odkazu Blasting away security myths si lze přečíst jeho článek věnovaný některým existujícím zbytečným pověrám (mýtům) ve vztahu k IT bezpečnosti. V knize autor popisuje svůj náhled na výskyt malware a dává celou řadu souvisejících doporučení. Například v knize je obsažena následující tabulka – Where Windows Malware Hides. V ní je uveden seznam více než 180 míst, kde se může malware ve Windows ukrývat.

Autor Bridging the two worlds of cryptographic APIs diskutuje (stručně) nové rozhraní definované společností SUN ( OpenSSL PKCS#11 engine) a jeho vztah ke Cryptoki (RSA Security a další).

Viliam Náčiniak publikoval na Živě následující článek – WinPatrol a Prevx Home: Keď hľadáte strážneho psa pre Windows. Z abstraktu: Chcete podstatne zvýšiť mieru ochrany vášho systému a pritom nezaplatiť ani korunu? Otestovali sme pre vás dva programy, ktoré neustále a v reálnom čase monitorujú zmeny v systéme. Takto dokážu včas upozorniť na prebiehajúci útok a jednoducho mu zabrániť.

Autentizační služby dnes ve Windows zajišťuje knihovna GINA (Graphical Identification aNd Authorization). Co bude místo ní ve Windows Vista – touto otázkou se zabývá článek Change in Microsoft Vista security system promises Windows migration headaches. Nová architektura – Winlogon Re-Architecture – mj. obsahuje model Credential Provider pro stavbu modulů. Zatím ale informace, které s tím souvisí (pocházející z beta verze) jsou neúplné.

Některá doporučení k optimalizaci ochran v linuxovém prostředí najdete v Optimising Data Protection In Linux Environments.

Menší analýzu problematiky Single Sign On obsahuje Truth and Fiction with Single Sign-on, A Spire Research Report (jinak ale PR článek a také – je nutná registrace).

Vývoj softwaru a otázky bezpečnosti

V zajímavém článku Software development: Building security in popisuje Kevin Beaver šest možných bezpečnostních slabin, které se mohou objevit v průběhu vývojového cyklu softwaru:

  • 1. Nepochopení dlouhodobých důsledků oslabené bezpečnosti.
  • 2. V každé fázi existuje konflikt mezi cíly podnikání a bezpečností.
  • 3. Pohled na bezpečnostní požadavky v nevhodných souvislostech.
  • 4. Vývoj probíhá bez zvažování bezpečnostních aspektů.
  • 5. Přehlížení bezpečnosti ve fázi testování.
  • 6. Nejsou používány správné nástroje k testování bezpečnosti.

Autentizace a autorizace jsou bolavými místy vývoje aplikací – Authentication and Authorization Are App Dev Pain Points (Rudolph Araujo a Mark Curphey). Příliš často tyto kritické bezpečnostní funkce nejsou zvažovány v průběhu návrhu aplikací (i dalších raných fází vývojového cyklu aplikace).

Malware, viry

Podle zprávy PandaLabs k vývoji malware v 1.čtvrtletí 2006 ( Quarterly Report PandaLabs (January – March 2006)  – nutná registrace) dnes sedmdesát procent malware souvisí s počítačovou kriminalitou. Komentář ke zprávě najdete v článku 70% of malware detected during the first quarter of 2006 related to cyber crime. Obdobné informace přináší i přehled firmy Webroot Software – Spyware stages ‘significant counterattack’. Přehled dokumentuje nárůst zejména spyware a trojanů.

V první části článku Malicious cryptography, part 1 najdete některé základní informace a příklady k pojmům jako jsou : virology, cryptovirology,… Podrobněji jsou v článku rozebrány rootkit SuckIt a SSH červ a je uveden pojem tzv. ozbrojeného viru (armored virus).

Víte co je to ransomware? V poslední době se připomínají pokusy tvůrců malware přijít k penězům prostřednictvím vyděračských technik ( Ransomware Rising). Ransomware zašifruje některá data na vašem počítači, klíč dostanete pouze, pokud zaplatíte. Konkrétní příklad najdete na Zone H.

Hackeři

Dokument  – Ethical Hacking: Teaching Students to Hack by Regina D. Hartley, Ph.D. – obsahuje seznam literatury a syllabus kursu (letní semestr 2006) – Caldwell Community College + Technical Institute (North Carolina Community College System). Problematika „etického“ hackování vzbuzuje hodně diskusí a je jednou z nejrychleji se rozvíjejích oblastí bezpečnosti IT.

Recenzi knihy Hacker´s Challenge (autoři – David Pollino, Bill Pennington, Tony Bradley a Himanshu Dwivedi) najdete na The Bottom Line – autorem recenze je Stephen Chapman. Samotnou knihu uvidíte třeba na Amazonu.

Pět historek k hackování RFID si můžete přečíst v článku The RFID Hacking Underground . Zmínku najdete také na Schneierově blogu (diskuse), a to včetně odkazu na navrhované řešení problému, se kterým přichází IBM – Retail-Safe RFID Unveiled.

FBI vyšetřuje – Webroot uncovers thousands of stolen identities – podle zjištění výzkumníků Webroot Software bylo ukradeno desetitisíce identit ze 125 zemí světa. Prostředkem, který byl k této krádeži použit, je trojan (byl nazván Trojan-Phisher-Rebery). Viz také Computerworld – Firma Webroot odhalila desítky tisíc ukradených identit .

Normy a normativní dokumenty

Byla vydána následující rfc:

Kryptografie

Byla prolomena další hashovací funkce, tentokráte se jedná o 256-bitový HAVAL – Cryptanalysis of 4-Pass HAVAL. Další podrobnosti najdete v poznámce Vlastimila Klímy – Crypto – News.

Studii, která obsahuje kryptoanalýzu šifrování v Bluetooth, najdete zde – Zero-knowledge-like Proof of Cryptoanalysis of Blutooth Encryption. Jejím autorem je Eric Filiol (Francie). Na základě víceméně teoretického přístupu autor říká, že bezpečnost šifrování Bluetooth je velkým otazníkem (bez rozkrytí konkrétních slabin).

Burt Kaliski (RSA) se na stránkách weblogu RSA Long-Term Security Assurance and Quantum Key Distribution vyjadřuje k otázce – kvantová kryptografie a rozdělování klíčů. Doporučuje používání kvantové kryptografie jako jednoho z perspektivních (z dlouhodobého hlediska) nástrojů pro vytváření bezpečnostních architektur.

Různé

Wendy Grossman popisuje své zážitky z návštěvy v kryptologickém muzeu NSA – Museum unscrambles secret agency's past.

Objevila se celá série článků na téma krádeže aut s využitím notebooku:

DATAKON 2006(14.10. –17.10.2006, Hotel SANTON, Brno) – výzva k nabídkám příspěvků. Nabídky příspěvků se podávají do 22.5.2006 ve formátu MS Word (.doc) prostřednictvím recenzního systemu na této adrese (detaily viz Pokyny pro autory nabídek příspěvků na stránce konference).

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Nestlé vyvinula nový typ „netloustnoucího“ cukru

Nestlé vyvinula nový typ „netloustnoucího“ cukru

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami