Hlavní navigace

Bezpečnostní střípky za 22. týden

Jaroslav Pinkava

Informace z bezpečnosti IT, které se objevily v uplynulém týdnu: ochrana podnikových dat, bezpečnost aplikací, forenzní analýza, spyware, biometrie, viry, digitální certifikáty, kryptografie.

Začneme se dvěma články, které se týkají obecnější ochrany dat. Prvním z nich je Achieving Data Privacy in the Enterprise (autor Bill Wills) a týká se IT bezpečnosti v podnicích. Přes relativně velké náklady na bezpečnost a pozornost, která je problematice věnována, se vyskytují bezpečnostní incidenty, jejichž řešení stojí nemalou finanční částku. Viníkem většiny incidentů je samotný podnikový personál (odhady říkají – přes 50 procent). Autor po stručné analýze problematiky uvádí následující doporučení (Best Practices for Implementation of Data Privacy ):

  • Vhodná volba kryptografických algoritmů (včetně např. módů blokových šifer)
  • Správa klíčů (key management) hraje v podnicích klíčovou roli. Pokud nejsou např. klíče chránící citlivé informace samy dostatečně chráněny, mají útočníci snadnou úlohu
  • Autentizace, autorizace a audit. Je nezbytné, aby v podnicích docházelo k bezpečné identifikaci lidí a entit, které vyžadují přístup k citlivým datům. Mezi používané metody kontroly přístupu patří hesla, certifikáty, biometrie a tokeny. Logy událostí je nezbytné pravidelně ověřovat a analyzovat.
  • Zálohování a obnova. To jsou kritické faktory, které definují, jak (a zda vůbec) bude prováděn návrat k výchozí situaci po proběhlém bezpečnostním incidentu (ať nehodě, požáru, či záměrném poškození dat).
  • Šifrování v databázích. Autor doporučuje používat různé klíče pro různé bloky dat.
  • Předmigrační zálohy. Nezbytná je včasná obnova záloh.

Problematikou obnovy se zabývá Dianne McAdam v Recovery management: A step further in data protection. Zmiňuje tradiční ukládaní na páskové jednotky, replikaci vzdálených disků (mirror), klonování disků, ale také technologii CDP (Continuous data protection), která vlastně umožňuje průběžné zálohování. Při používání této technologie (CDP) je poukázáno na důležitost existence specifických politik lišících se u různých typů zákazníků.

Zajímavou analýzu problematiky krádeže notebooků obsahuje článek Seliny Mitchell Laptop Lockdown. S nárůstem procenta používaných notebooků (oproti desktopům) zejména v obchodních činnostech roste logicky i počet jejich krádeží. Naprostá ochrana asi nebude nikdy možná, ale existují produkty, které krádež dat v notebooku obsažených znesnadňují či znemožňují. Velké podniky zajímá přitom především ochrana dat, zatímco malé firmy a jednotlivci jsou více zainteresováni na samotných noteboocích. V závěru článku autorka uvádí některá doporučení:

  • Fyzická bezpečnost (uzamčení notebooku kabelem k pracovnímu stolu, nenechávat nezabezpečený notebook v autě, nepoužívat speciální kufříky, z jejichž charakteru je hned jasné, že obsahují notebook, označit si notebook s cílem jeho jednoznačné identifikace);
  • Ochrana dat (zpracovat a používat politiku pro ochranu dat, vyžadovat hesla pro přístup při bootu, šifrovat data v noteboocích a také data přenášená, mít data pojištěná, zálohovat data);
  • Příklady dostupných služeb a produktů (software na úrovni BIOSu, který hlásí ukradený notebook, pokud bude připojen do sítě, jiné typy ochranného programového vybavení, používání externích čteček karet a biometrických čteček).

Co všechno se dá zjistit z odložených pevných disků? Olaf Kehrer z německé firmy O&O Software publikoval studii (Data Data Everywhere 2005), která obsahuje výsledky analýzy firmy ohledně obsahu pevných disků prodávaných na eBay. Jednalo se celkem o 100 disků v roce 2004 a 200 disků v roce 2005. Pomocí programů na obnovení dat bylo nalezeno široké spektrum možných informací, a to včetně různých dokumentů, e-mailové pošty, obrázků. Přitom se jedná často o velice soukromé věci, mj. například informace o pacientech (pojišťovací společnost), údaje o pinech, smlouvy, pornografie atd. Jeden disk patřící německé vládní instituci dokonce obsahoval informace o běžícím vyšetřování. Alarmující je procento – přes 50 procent disků (113 z 200) nebylo vhodně ošetřeno a obsahovalo důvěrná data. Použitý software přitom je dostupný většině uživatelů Windows (i bez nějakých speciálních zkušeností). Pokud by byly porovnávány výsledky za rok 2004 a rok 2005, tak i když došlo k snížení procenta disků s obnovitelnými data, „zlepšila“ se na druhou stranu jejich kvalita (a to výrazně). Řada uživatelů si neuvědomuje, že disk nestačí zformátovat. Existují volně dostupné nástroje použitelné k vyčištění (wipe) disku, například na download.com.

Vývojářům aplikací lze doporučit seznámení se s článkem autora Hrishikesh Sivanandhan Application Security Cheat Sheet. Autor se dívá na aplikace z hlediska jejich celého životního cyklu a v každé jeho fázi analyzuje nezbytné bezpečnostní faktory. Požadavky na bezpečnost by se v ideálním případě měly týkat následujících deseti oblastí:

  • 1. Autentizace a autorizace
  • 2. Audit a logy
  • 3. Hesla
  • 4. Vyhodnocení vstupů
  • 5. Kontroly webovských aplikací
  • 6. Správa jednotlivých relací
  • 7. Šifrování dat
  • 8. Interakce s jinými aplikacem
  • 9. Pojednání chyb
  • 10. Dokumentace

Jednotlivé fáze vývoje aplikace, zavádění aplikace a vlastní provoz aplikace mají z hlediska bezpečnosti různé úkoly.

Bezpečnost vaší sítě závisí v mnoha ohledech na používání hesel. Pokud jsou tato hesla v nějakém smyslu slabá (v systému jsou uložena v zašifrované podobě), jedinou cestou, jak to zjistit (provést vlastně určitý audit hesel), je pokusit se je rozbít. Autor článku How to crack passwords, and why you should Vincent Danen doporučuje za tímto účelem např. nástroj John the Ripper, který se třeba velmi dobře umí vypořádat se situacemi, kdy je používán hashovací algoritmus MD5.

Objevilo se další porovnání bezpečnosti Internet Exploreru a Firefoxu – Vaida Bogdan v Does Firefox Really Provide More Security Than Internet Explorer? IE6SP1 již přichází s blokováním pop-up okýnek, umožňuje stanovit různé bezpečnostní zóny (Internet, Local Internet, Trusted Sites, Restricted Sites), má ale také ActiveX. U obou systémů byly nalezena celá řada bezpečnostních mezer. Podle firmy Secunia (v době psaní článku – březen 2005) bylo stále u IE neošetřeno 20 ze 79 zranitelností (pro Firefox to byly 4 z 12). Autor zdůrazňuje, že Open Source podstata Firefoxu z něho dělá méně zranitelný nástroj, umožňuje mimo jiné rychlejší reakci na odhalené slabiny. Statistiky Googlu ukazují poměr (použití) 36:31 ve prospěch IE. V posledních měsících došlo také ke zpomalení nárustu počtu uživatelů Firefoxu (podle jedné ze statistik používá dnes Firefox 21 procent uživatelů, zatímco Internet Explorer 64 procent).

Nošením dříví do lesa je informace o článku Zacha Riggle An Introduction to Securing Linux with Apache, ProFTPd and Samba, který vyšel původně v (IN) SECURE Magazine. Je to vlastně tutoriál provázející čtenáře bezpečností Linuxu při používání výše uvedených služeb.

Dvěma články se obrátíme k problematice forenzních analýz. Dnešní soudnictví se musí umět vypořádat i s důkazy v digitální podobě. V počítačích se dá najít spousta důkazů využitelných v různých soudních jednáních, uvádí Jimmy Lee Shreeve v článku Keyboard cops. A nemusí to být jen přímo počítačová kriminalita, autor uvádí i příklad vraždy v Jižní Dakotě, kdy manželovi zavražděné ženy našli v počítači popis bezbolestných metod zabíjení (a manželku mrtvou ve vaně). Zatímco v roce 1984 se FBI potýkala pouze s třemi případy počítačové forenzní analýzy, v roce 2004 to již bylo více než 1500 případů. Křehkost důkazů, které se nacházejí v digitální podobě, vyplývá už z jejich povahy (snadná ztráta, falšovatelnost…). Deb Shinder v článku Preserving Digital Evidence to Bring Hackers and Attackers to Justice shrnuje několik obecných pravidel, která jsou použitelná v takovýchto situacích. Důkazy musí být relevantní, materiální a kompetentní. Autor dává pak v článku několik doporučení (nevypínat systém, odpojit se od sítě, nepoužívat systém k čemukoliv, nespouštět žádné programy, neotevírat soubory).

Pokud nevíte, co je to forenzní analýza, doporučujeme vám dvoudílný článek na toto téma: Forenzní analýza (1) a Forenzní analýza (2).

Velkou pozornost na sebe upoutala informace Scandal shocks business world o tom, že izraelská policie podezírá soukromé vyšetřovatele z použití spyware (trojských koní) v několika předních izraelských společnostech s cílem nabízet prodej chráněných informací konkurenci.

USA – v minulém týdnu Sněmovna reprezentantů přijala dva zákony na ochranu proti spyware.

  • Securely Protect Yourself Against Cyber Trespass Act (H.R. 29)
Trestem může být pokuta až do výše tří miliónů dolarů (dodavatelům škodlivého software).
  • Internet Spyware Prevention Act of 2005 (H.R. 744)

Trestem může být vězení až do výše tří let (za záměrné použití spyware). Mezinárodní charakter problému však nedává brzké šance na jeho úspěšné řešení v historicky krátké době.

Na příklad spyware poukazuje Gregg Keizer v článku Bogus Antispyware Tool Dubbed ‚Ransomware‘. Spyware zde vystupuje maskován jako svůj opak – antispyware – nástroj proti spyware. Po instalaci na počítači funguje jako vyděrač – zašifruje některé dokumenty a vyžaduje peníze za jejich otevření (dešifraci). Původce programu má snad být někde v Istanbulu.

Internetová bezpečnostní firma CipherTrust spustila minulý čtvrtek tzv. ZombieMeter, systém, který sleduje provoz kompromitovaných PC v celém světě (Joris Evers – ZombieMeter keeps tabs on hacked PCs). Výstupem je např. počet nových zombií za každou hodinu. Tento měsíc se podle údajů firmy CipherTrust objevilo v průměru denně 172 000 nových zombií.

A co phishing (rhybaření)? Studie Exploitation: American Shoppers Online and Offline vychází z odpovědí 1500 dospělých respondentů. Většina z nich odpovídala nedostatečným způsobem na otázky testu (v průměru bylo správných odpovědí 7 ze 17 otázek – lze je nalézt v příloze studie). Tedy téměř polovina (dotázaných občanů USA) nedokáže identifikovat situace, kdy e-mail obsahuje phishing.

Spojené státy, ale i Evropa, pracují na nových podobách identifikačních dokladů s využitím biometrie. To, že řadu s tím spojených otázek není tak jednoduché vyřešit, dokumentuje například článek US biometric ID request raises ID concern in UK, kde se hovoří o problémech kompatibility britských čipů s americkými skenery.

Viry – byla objevena zranitelnost antiviru AVAST (Avast Antivirus Device Driver Memory Overwriting Vulnerability). Úspěšné využití zranitelnosti umožňuje získat plnou kontrolu nad systémem.

Příčinou rostoucího počtu variant virů jsou policejní aktivity – k tomuto překvapivému závěru dospívá Cath Everett v článku na ZDNet UK (Malware variant trend reflects police action). Vyvozuje to z toho, že autoři virů ve snaze zamést stopy poskytují své zdrojové kódy (zveřejněním na webu) a náctiletí pak jsou nástrojem pro jejich šíření. Autor cituje bezpečnostního konzultanta firmy Sophos (Carole Theriault) a mj. poukazuje také na další nebezpečný trend – šíření trojských koní. V porovnání dubna 2004 a dubna 2005 je zde nárůst o 15 procent.

NIST – digitální certifikáty. Byl zveřejněn soubor testů, který sestává z množiny vybraných architektur PKI. V každé architektuře je jedna z CA důvěryhodnou kotvou a je vydáváno několik koncových certifikátů. Každý test buď zahrnuje alokaci všech mezilehlých certifikátů a CRL (které je třeba validovat) a certifikát koncové entity, anebo stanoví, že neexistuje platná certifikační cesta. Popis je obsažen v následujícím pdf: Test Description. Na adrese Test Data jsou uložena všechna data potřebná ke spuštění testů.

Poslední část odkazů se bude věnovat problematice kryptologie. Na adrese A Companion to User's Guide to Cryptography and Standards najde čtenář rozsáhlého průvodce existujícími a připravovanými kryptografickými normami a souvisejícími dokumenty. Materiál byl zamýšlen jako doplněk stejnojmenné knihy autorů (Alexander W. Dent, Chris J. Mitchell). Lze zde nalézt vše od symetrické kryptografie, hashovacích funkcí až po asymetrickou kryptografii, algoritmy digitálních podpisů, schémata pro nepopiratelnost, autentizační protokoly, správu klíčů, PKI, důvěryhodné třetí strany, kryptografická API a další. Druhá polovina materiálu obsahuje přehled norem (a dalších dokumentů) v názorných tabulkách. Velice užitečný materiál.

Firma Mitsubishi oznámila, že jí vyvinutý algoritmus MISTY bude přijat jako norma ISO (‚MISTY‘, to Be Adopted in ISO/IEC Standard). Je to 64bitová bloková šifra s klíčem o délce 128 bitů. MISTY tak zaujme místo mezi celkem šesti typy algoritmů (ze čtyř různých zemí), které budou obsaženy v normě pro šifrovací algoritmy. Norma ISO/IEC 18033–3 bude obsahovat:

  • 64bitové algoritmy: TDEA (=3-DES), MISTY, CAST-128
  • 128bitové algoritmy: AES, Camellia, SEED

Známí odborníci v oboru kryptologie Eli Biham a Jennifer Seberry přišli s návrhem nového algoritmu proudové šifry Py (čti Roo) je navržen pro Ecrypt. Podle autorů se schéma opírá o využití nového kryptografického primitiva – tzv. Rolling Arrays. Je to pojem příbuzný rotorovým strojům (příkladem je známá Enigma) a registrům se zpětnou vazbou. Šifrovací algoritmus by měl být 2.5× rychlejší než známý algoritmus RC4.

Hashovací funkce – objevila se informace (Hash research blow to security) o vystoupení profesorky Wangové minulý týden na semináři v UCL (University College London). Viz také poznámku Jiřího Tůmy (Crypto-World-News).

Autor je členem týmu serveru Crypto-world.info

Našli jste v článku chybu?
Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Měšec.cz: Komu musí od ledna zvýšit mzdu?

Komu musí od ledna zvýšit mzdu?

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

DigiZone.cz: Flix TV: dva set-top boxy za korunu

Flix TV: dva set-top boxy za korunu

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách