Hlavní navigace

Bezpečnostní střípky za 23. týden roku 2006

12. 6. 2006
Doba čtení: 10 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Evropská Unie, obecná a firemní bezpečnost IT, software, firewally, malware, k útokům SQL injection, bezdrát, mobilní zařízení, RFID, hardware, hesla, rhybaření, SSL certifikáty, normy a normativní dokumenty.

Evropská Unie

V tomto týdnu se objevily na webu odkazy na dva dokumenty Evropské Unie, které jsou směrovány na řešení koncepčních otázek bezpečnosti IT (z pohledu celé EU). A strategy for a Secure Information Society – Dialogue, partnership and empowerment, to je dokument, jehož cíli jsou (podle popisu z úvodu materiálu):

  • nové oživení dřívějšího materiálu z roku 2001 (Network and Information Security: proposal for a European Policy approach);
  • dát přehled o současném stavu bezpečnostních hrozeb ve vztahu k informační společnosti;
  • stanovení následných další kroků vedoucích ke zlepšení bezpečnosti sítí a informací.

Komentář k tomuto materiálu najdete v článku EC shows leadership on security. European Commission is urging industry and the public sector to shore up security. Dokument je tedy vyjádřením současné politiky EU pro oblast IT bezpečnosti.

Agentura ENISA (European Network and Information Security Agency) dostala od Evropské komise některé s tím související úkoly. Je pověřena sběrem údajů týkajících se bezpečnostních incidentů a má provést analýzu uskutečnitelnosti realizace evropského online portálu, který by poskytoval informace o hrozbách a dával patřičná bezpečnostní upozornění. S dlouhodobým plánem práce agentury se lze seznámit v dokumentu The PSG Vision for Enisa (PSG = Permanent Stakeholders Group). Jsou zde definovány cíle do roku 2008.

Obecná a firemní bezpečnost IT

S příručkou na téma „Jak chránit své informace před krádeží“ se lze seznámit (a vytisknout si ji – po registraci) na odkazu The Definitive Guide to Information Theft Prevention. Dokument je poměrně rozsáhlý (má 71 stran), z jeho obsahu lze poukázat na následující body:

  • strategie pro minimalizaci hrozeb z různých zařízení (spravovaných i neřízených);
  • nejlepší postupy pro prevenci krádeží informací
  • nejnovější místní a mezinárodní legislativní regulace vztahující se k ochraně informací
  • odpovědnosti v IT vztahující se k naplnění regulačních požadavků
  • taktické postupy pro zajištění regulačních pravidel vztahujících se k ochraně informací

Greg Purvis opublikoval sérii tří článků k bezpečnosti a nebezpečím na internetu (nutná registrace):

Počítačová kriminalita směřující k vyděračství je obsahem zamyšlení v článku Cyber extortion, A very real threat. Tyto hrozby se nemusí týkat jen dat jednotlivců, ale mohou postihnout i celé společnosti, jejich data, webové stránky, online přístup atd.

Podle analytika společnosti Gartner (Avivah Litan) – příslušnou informaci najdete v článku Gregga Keizera Cleaning up data breach costs 15× more than encryption – stojí likvidace následků po průniku 15× více než šifrování.

Přitom podle výzkumu, který provedla firma NTA Monitor (Firms still leaving door open to hackers), celkem 61 procent společností neprošlo penetračními testy, byly zde zjištěny zranitelnosti vztahující se k jejich internetovému připojení.

Privacy Lost – Tom Kellerman (konzultant IT bezpečnosti) se skepticky vyjadřuje ke ztrátě soukromí jednotlivce. Cituje studii FBI, podle které se v minulém roce stalo 9 z 10 Američanů obětí počítačové kriminality. Autor také zmiňuje některé významné bezpečnostní incidenty poslední doby.

Pracujete v problematice a chcete se přípravit na funkci vedoucího manažera bezpečnosti IT? Několik doporučení najdete v článku How to prepare for A CISO position (CISO = Chief Information Security Officer).

Pomoci může také kniha CISSP All-In-One Exam Guide (3rd Edition). Její recenzi zpracoval Tony Bradley – All-In-One is All You Need. Kniha má 1000 stran (toto 3. vydání vyšlo v září 2005) a jejím cílem (jak již název napovídá) je připravit čtenáře na certifikaci CISSP (certified information systems security professional).

Na serveru TechRepublic si dali práci a vydali seznam nejlepších publikací (z jejich informačních pramenů – sponzorovaných), které se vztahují k plánování bezpečnostních zdrojů:

Software

Zabezpečte své e-maily pomocí volně dostupného softwaru (Mozilla Thunderbird, Enigmail a GnuPG) – Secure your email communication with free software. V tomto článku se dozvíte, jak vyjmenované programy instalovat, nakonfigurovat a používat.

The End Of Security Appliances As We Know It? – Frank J. Ohlhorst zde diskutuje možnosti virtuálních systémů ve vztahu k otázkám počítačové bezpečnosti (konkrétně je to tedy recenze jednoho produktu, který umožňuje optimalizovat běh na VMware virtuálním stroji). Zajímavé bude sledovat, jak se tento přístup (poměrně často vychvalovaný) uchytí.

Tony Bradley na svých stránkách se v recenzi (Product Review: Microsoft Windows Live OneCare) příznivě vyjadřuje k vlastnostem Microsoft Windows Live OneCare. Nedostatky spatřuje v nepřítomnosti antispamové ochrany, v přístupu k zálohování (Backup function) – nelze zálohovat na jiném lokálním pevném disku, jsou pouze k dispozici CD, DVD a USB.

Microsoft odpovídá na kritiku kontroly uživatelských účtů ve Windows Vista – Microsoft to tweak key Vista security feature. Systém bude modifikován s cílem zjednodušit odpovídající postupy uživatelů.

Firewally

Robert Vamosi – Outward bound with Vista's new firewall – na základě svých zkušeností s Windows Vista beta 2 hovoří o vlastnostech firewallů v chystaném operačním systému. Shrnuje pak: Přesto, že věří, že Microsoft udělá pro bezpečnost uživatelů více (až bude definitivní verze Vista), bude třeba používat i aplikace dalších, třetích stran.

Cílem článku (Phil Kostenbader a Bob Donnelly) Standards in desktop firewall policies je diskuse potřeb organizací ve vztahu k politikám týkajících se implementací firewallů pro desktopy. Uvádí zde, jak stanovit postupy pro jejich formování a také jsou vyjmenovány pozitiva pro bezpečnost organizací plynoucí z využívání firewallů.

Malware

Analýza malware pro administrátory, to je téma článku sice staršího (květen 2004) – Malware Analysis for Administrators, ale stále přínosného. Je v něm obsažena i určitá celková metodologie, která je pak následně poměrně podrobně rozebrána.

Ransomwarese – o něm se zmiňovalo minulé pokračování Bezpečnostních střípků. Na odkazech

najde čtenář podrobnější analýzu dvou příkladů tohoto malware z poslední doby.

Žebříček spyware za květen 2006:

  • 1. DesktopScam – 2.61 procent
  • 2. SpyFalcon – 1.24 procent
  • 3. 180search Assistant – 1.21 procent
  • 4. Virtumonde – 0.99 procent
  • 5. Looking-For.Home Search – 0.88 procent
  • 6. IEPlugin – 0.65 procent
  • 7. AvenueMedi­a.InternetOpti­mizer, AKA DyFuCA. Charming. – 0.63 procent
  • 8. Command Service – 0.62 procent
  • 9. Media-Codec – 0.60 procent
  • 10. iSearch.Des­ktopSearch – 0.59 procent

(podle společnosti Sunbelt – Top of the sops).

Psychologií spammera se zabývá krátký článek Psychology of a Spammer.

K útokům „SQL injection“

Nejprve hezký článek, který vysvětluje principy tohoto typu útoku na konkrétních příkladech – SQL Injection Attacks by Example . V závěru článku jsou uvedeny ještě následující dva odkazy:

Zájemcům o problematiku lze rovněž jen doporučit.

Web application and SQL Injection  – v článku jsou popsány rizika spojená s těmito typy útoků a následně pak jsou popsány různé strategie ochrany cenných informací (před popisovanými útoky).

Bezdrát, mobilní zařízení, RFID

Daniel V. Hoffman (Essential Wireless Hacking Tools) předkládá seznam nejdůležitějších nástrojů (volně dostupných na internetu) pro hackování bezdrátu a diskutuje základní vlastnosti těchto nástrojů. Práci s těmito nástroji rozděluje do následujících čtyř skupin:

  • 1. Nalezení bezdrátové sítě (nástroje Net Stumbler, Kismet)
  • 2. Připojení se do nalezené bezdrátové sítě (nástroje Airsnort, CowPatty, ASLeap)
  • 3. Zkoumání (sniffing) dat v bezdrátu (nástroj Ethereal)
  • 4. Ochrany proti těmto nástrojům – autor uvádí jednotlivá doporučení.

Dvanáctistránková studie – Wireless Attacks (Dan Schade) – byla zveřejněna na stránkách Infosec Writers. Autor zde popisuje útoky na WEP a další související typy útoků, dává potom některá doporučení k obraně proti těmto útokům.

The top 9 ways to secure mobile devices – o krádežích osobních dat, ke kterým dochází v poslední době a jsou téměř na denním pořádku, není třeba zvláště mluvit. Ukradené notebooky stojí firmy velké peníze, pochybnosti a ztrátu důvěry zákazníků. Nemusí se to týkat však jen notebooků, ale už i handheldů a mobilních telefonů. I tyto dnes již mají v paměti dostatek místa, kde mohou být uloženy i citlivé informace (například si někdo ukládá do mobilního telefonu piny, hesla, …). Autor článku dává devět následujících doporučení (pro výchovu firemních zaměstnanců):

  • 1. Proškolte uživatele – ve smyslu pochopení důležitosti bezpečnostních opatření a nezbytnosti vyhnout se ztrátám svých mobilních zařízení a notebooků.
  • 2. Ujistěte se, že je použita ochrana heslem, tj. že je v mobilních zařízeních nastavena na „on“. Někdy s tímto cílem lze využít i aplikace třetích stran.
  • 3. Zaveďte systém pro správu mobilních zařízení tak, aby vedl k prosazení bezpečnostních politik na co nejširší škále mobilních, bezdrátových zařízení.
  • 4. Stanovte, které soubory se smí, resp. nesmí ukládat a kterých uživatelů se to týká. Tato pravidla prosazujte i pomocí takových opatření, jako jsou uzamčené porty apod.
  • 5. Šifrujte jednotlivé soubory či celý obsah mobilního zařízení (podle potřeb organizace) a to jak ve vztahu k uloženým datům, tak i k datům přenášeným.
  • 6. Zaveďte používání VPN bezpečnostních postupů pro všechny přenosy k mobilním zařízením s cílem zajistit bezpečnost přenosu.
  • 7. Vyžadujte aktivaci firewallové a antivirové ochrany ve vztahu ke všem mobilním zařízením a aktualizujte tento software pravidelně (prostřednictvím centrálního serveru).
  • 8. Zprovozněte uzamykání zařízení a „kill“ funkce – například tak, že pokud zařízení se nespojí s firemní sítí po dobu 24 (či 48) hodin, resp. naopak, pokouší se o spojení potom, co bylo ukradeno. Potom je v těchto situacích prováděn automatický výmaz obsažených dat.
  • 9. Logujte informace o libovolném přístupu těchto zařízení k datům, která jsou citlivého charakteru, a to ať už ve smyslu regulačních nastavení nebo ve smyslu důležitosti pro samotnou firmu – například to mohou být data týkající se firemních financí, výsledků výzkumu a údajů o zákaznících.

Hesla, rhybaření, SSL certifikáty

Jak navrhnout uživatelské rozhraní prohlížeče k zajištění vyššího stupně bezpečnosti (i pro ty uživatele, kteří toho moc o bezpečnosti neví)? Scott Granneman na SecurityFocus – Browsers, phishing, and user interface design si položil tuto otázku (doporučuje seznámit se také s článkem Why Phishing Works a rovněž s Unskilled and Unaware of It ), konstatuje sofistikovanost dnešních útoků. Přitom to horší nás prý ještě čeká. V závěru článku pak najdeme několik doporučení. Avšak i sám autor hledá a ptá se, zda sami čtenáři nemají některé další nápady v tomto směru.

Recenzi knihy Mark Burnett, Dave Kleiman: Perfect Passwords : Selection, Protection and Authentication (Paperback) – vyšla v prosinci 2005, 200 stran – napsal Robert M. Slade a najdete ji namarc.theaim­sgroup.com.

Jak je to s SSL certifikáty, jak máme volit vhodnou certifikační autoritu? Co musí přitom vše zvážit administrátor? Autor článku SSL: How to choose a certificate authority uvádí tyto tři základní činitele důležité pro rozhodování – důvěryhodnost, známost CA (např. je uvedena v adresáři nainstalovaných CA), náklady.

Hardware

Bruce Schneier komentuje – jeho blog – možnosti hackování počítačů pomocí USB zařízení. Viz také Attack of the iPods! a Social Engineering, the USB Way.

Normy a normativní dokumenty

Vyšla následující rfc:

Americký NIST vydal tento týden tyto dva dokumenty:

Různé

Vyšlo nové číslo IEEE Cipher (květen 2006) – Cipher – Electronic Newsletter of the Technical Committe on Security & Privacy A Technical Committee of the Computer Society of the IEEE. Obsahuje řadu informací, recenze a především informace ohledně konferencí zabývajících se problematikou IT bezpečnosti.

Dále vyšlo 7.číslo – červen 2006 (IN)SECURE Magazine. Z obsahu:

UX DAy - tip 2

  • SSH port forwarding: security from two perspectives, part one
  • An inside job
  • CEO spotlight: Q&A with Patricia Sueltz, SurfControl
  • Server monitoring with munin and monit
  • Compliance vs. awareness in 2006
  • Infosecurity 2006
  • 2005 *nix malware evolution
  • InfoSec World 2006
  • Overview of quality security podcasts

Jak je snadné někoho sledovat pomocí GPS: pár poznatků k tomu najdete na Schneierově blogu. Tohle dotyčnému strčíte do kapsy…

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?