Hlavní navigace

Bezpečnostní střípky za 23. týden

Jaroslav Pinkava

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: ochrana dat, hackerské aktivity, bezpečnost počítačů a útoky, forenzní analýza, ochrana databází, bankovní data, browsery, spyware, GSM, Bluetooth, červy, internetové protokoly, kryptografie.

Nejprve k obecné problematice bezpečnosti dat. Jak investovat do bezpečnosti? Známá je teze – žádné zprávy jsou dobré zprávy. Lze ale měřit úspěch neexistencí bezpečnostních incidentů? Jak se má manažer IT rozhodovat, jaké investice do bezpečnosti jsou efektivní? Známá analytická skupina Gartner – viz článek Security: Risk and reward – dochází k závěru, že do bezpečnosti by mělo být investováno celkem 3–6 procent celkového IT rozpočtu. Z výsledků šetření např. v evropské podnikatelské sféře však vyplývá, že ve skutečnosti se investice pohybují zhruba v 1–3 procentech jejich IT rozpočtu. Samozřejmě nelze se orientovat jen na absolutní velikost investicí, ale je třeba pochopit, kde leží skutečná rizika a investovat dle toho. Rozhodujícími faktory jsou:

  • typ podnikání (odvětví);
  • zeměpisné umístění;
  • vyspělost vlastního systému IT;
  • stupeň centralizace kontrol;
  • profil organizace;
  • stupeň regulace.

Specifickým problémem – evaluací systémů pro prevenci průniků – se zabývá Bob Walder (ředitel The NSS Group Ltd) v článku What to ask when evaluating intrusion-prevention systems. Systém prevence průniků (IPS – intrusion-prevention system) je součástí celkové strategie ochran počítačové sítě. IPS je osazen přímo za firewall a zkoumá veškerý provoz, který prošel firewallem, provede případné „odfiltrování” a provádí porovnání se známými obrazci z databáze. Autor článku pak uvádí sérii otázek, které by měly napomoci odpovědět hlavnímu – rozhodnutí, jak efektivní je používaný detekční systém.

Samotný trh bezpečností sítí je velice ovlivněn obavami před činností hackerů, jak ukazuje Robert Jacques v článku Hacking fear drives up network security market. V prvním čtvrtletí roku 2005 vzrostly tržby v tomto odvětví (oproti poslednímu čtvrtletí 2004) o pět procent. Podle předpovědi analytiků v prvním čtvrtletí roku 2006 však již porostou o 27 procent.

Na stránce Computer System and Network Security najde zainteresovaný čtenář užitečný a poměrně rozsáhlý přehled webovských adres k různým tématickým okruhům počítačové bezpečnosti (namátkou – základy kryptografie, nástroje pro ochranu dat, integritu dat, autentizační nástroje, nástroje pro audit a monitoring, sniffery, bezpečnost softwaru, firewally, bezpečnost webů a mnoho dalšího).

Bruce Schneier ve svém blogu v článku Attack Trends: 2004 and 2005 shrnul výsledky získané v rámci činnosti firmy Counterpane, které se týkají zjištěných útoků. Firma Counterpane monitoruje celkem 450 sítí v 35 zemích. V roce 2004 bylo sledováno celkem 523 miliard síťových událostí a analytici zkoumali celkem 648000 bezpeč­nostních oznámení. V roce 2004 bylo 41 procent útoků provedeno neoprávněnou aktivitou nějakého typu, 21 procent tvořilo skenování, 26 procent byl neoprávněný přístup, 9 procent tvořil DoS (denial of service) a 3 procenta tvořilo zneužití aplikace. Vzrostl počet počítačových virů (v posledních šesti měsících bylo zjištěno např. 1000 nových virů a červů). V roce 2005 jsou očekávány ještě složitější formy virů (polymorfní, metamorfní). Autor dává pro situaci na Internetu poměrně pesimistickou předpověď na rok 2005.

Australský odborník Atif Ahmad (University of Melbourne) v článku The Forensic Chain of Evidence Model předkládá model auditních logů použitelný jako nová cesta pro sběr důkazů v intranetu. Metodologie umožňuje ustavení řetězce důkazů, který je speciálně užitečný pro intranetové prostředí. Autor doporučuje administrátorům sítí plánovat takové konfigurace událostí, aby auditní logy umožňovaly získání potřebných informací z celého intranetu. Navrhovaný přístup nazývá autor Chain-of-Evidence Model.

Problematikou hrozeb, které se vztahují k provozovaným databázím, se zabývá Florence Olsen v krátkém článku Threats shift to databases . Experti se shodují na důležitosti ochrany dat uložených v počítačích a sítích. Únik takovýchto informací je větší hrozbou než únik informací z paketů při přenosech. Data uložená v databázích jsou zranitelná, dnes je přitom šifrováno méně než deset procent databází.

Nalezení chyby (zranitelnosti) v softwarovém produktu vede k snížení tržní hodnoty akcií firmy. Univerzitní (Carnegie Mellon) studie Flaw disclosure hurts software maker's stock prezentovaná na akci Workshop on the Economics of Information Security dochází k těmto závěrům na základě analýzy výsledků ze systému NASDAQ. Bylo analyzováno celkem 146 zveřejněných zranitelností, z čehož bylo zjištěno, že v průměru (v tom dni, kdy zjištěná chyba byla oznámena) došlo k poklesu ceny akcií dané firmy o 0,63 procenta. Studie byla přednesena na konferenci Fourth Workshop on the Economics of Information Security v Bostonu.

Bezpečnostní chyba byla zjištěna v Hotmailu – Hotmail security flaw, viz také Hotmail threatened by MSN flaw. Umožňuje útočníkovi prohlížet si cizí schránky a manipulovat s nimi. Je třeba pouze zaslat majiteli schránky e-mail a přesvědčit ho, aby si otevřel určitou webovskou stránku. Microsoft Microsoft fixes Hotmail hack již zablokoval příslušnou webovou adresu.

Pozornost vzbudila informace Citigroup's Lost Tapes Cast Spotlight On Data Security o ztracených záložních páskách (nešifrovaných) s daty, které obsahovaly informace o čtyřech miliónech (!) klientských účtů. Pásky obsahovaly takové údaje jako číslo sociálního pojištění, jméno, číslo účtu a platební historii zákazníků CitiFinancial. Data byla zaslána prostřednictvím UPS (United Parcel Service of America, Inc.), ale k místu určení nedorazila. Banka bude od příštího měsíce zasílat data již pouze v zašifrované podobě (pozdní poučení).

K problematice internetového bankovnictví u nás se vyjadřují dva články Romana Všetečky na Technetu: Odborníci radí, jak se bránit rizikům internetového bankovnictví a dále Která banka vám nabídne nejlepší obranu? Jedná se o naše peníze a měli bychom vědět, jak je nejlépe zabezpečit.

Jak to bude s bezpečností browserů, speciálně co chystá Internet Explorer 7.0, se alespoň částečně lze dozvědět z vystoupení zástupce Microsoftu – pan Gordon Mangione z Microsoft Corp.‚s Security Business & Technology Unit – na konferenci TechEd Microsoft Planning 'Lower Rights‘ IE 7.0. Další podrobnosti lze nalézt na Microsoft Internet Explorer 7.0 Details Begin to Leak. Viz také poznámku Jakuba Konečného na Žive Microsoft plánuje vyšší bezpečnost IE 7.

V řadě článků na webu se objevila informace o výskytu sedm let staré chyby v poslední verzi Firefoxu Firefox bitten by spoofing flaw. Chyba umožňuje útočníkovi umístit škodící obsah na jinak důvěryhodnou webovskou stránku.

Sarah Gordon, odborník firmy Symantec, ve zprávě Evaluating Additional Security Risks: Spyware and Adware analyzuje rizika spojená se spyware. Informace ke zprávě lze nalézt v článku Not all risk is created equally. Samotnou studii lze získat na stránkách firmy Symantec po uvedení registračních ú­dajů.

Symantec podal žalobu na Hotbar.com kvůli adware: Symantec Sues Hotbar.com In Adware Case . Cílem Symantecu (podle mluvčího společnosti) není finanční vyrovnání, ale snaha pomoci zákazníkům odstranit adware z jejich počítačů.

Z rozhovoru s prezidentem McAfee Inc. panem Gene Hodgesem McAfee Shifts Its Focus to Intrusion Prevention. vyplývá, že dojde k posunu strategie firmy směrem k detekci a prevenci průniků.

Google a spyware – zajímavou analýzu si lze přečíst na More on Google's Role: Syndicated Ads Shown Through Ill-Gotten Third-Party Toolbars, viz také komentář Matta Hickse na Do Google Ads Help Fund Spyware?

Poslední verze červa Mytob rozesílá e-maily s adresou (maskovanou jako legitimní stránka např. poskytovatele internetových služeb), odkud si nic netušící adresát stáhne kód červa – viz Mytob worm turns to phishing.

Nové postřehy se objevily ve vztahu k útokům vůči Bluetooth. Nejprve v článku New hack cracks ‚secure‘ Bluetooth devices proběhla informace o tom, jak obejít obrany Bluetooth. Vzhledem k tomu, že 128bitový klíč pro bezpečné spojení se odvozuje ze dvou shodných PINů vložených v obou koncích chráněného spojení, bylo již dříve poukázáno na možnosti hackera. Bylo je však možné využít pouze při první inicializaci (tzv. párování) tohoto spojení. Minulý týden pánové Avishai Wool a Yaniv Shaked z univerzity v Tel Avivu ukázali, že toto párování lze vynutit kdykoliv (jedno zařízení zašle druhému zprávu, že zapomnělo klíč, na základě čehož musí párování proběhnout znovu).

Posléze SecurityFocus Latest Bluetooth attack makes short work of weak passwords přinesl podrobnější informace – útočníkovi je umožněn např. odposlech komunikace, ale také přímo ovládání zařízení. Podrobné informace lze získat z práce autorů Cracking the Bluetooth PIN, kterou přednesli na konferenci Mobisys 2005 6. června.

Koho zajímá GSM a použité bezpečnostní postupy včetně šifrování, tomu lze doporučit výborný přehled Davida Margrave (George Mason University) GSM Security and Encryption.

Objevily se dva nové drafty IETF. Prvním z nich je draft skupiny pkix – již pátá verze materiálu Subject Identification method (SIM) – draft-ietf-pkix-sim-05.txt. Dokument definuje formát (Privacy-Enhanced Protected Subject Identifier – PEPSI), který umožňuje včlenění speciálního bezpečnostního identifikátoru do rozšíření aubjectAlt Name digitálního certifikátu.

Druhým draftem je upravený protokol TLS (verze 1.1) – draft-ietf-tls-rfc2246-bis-12.txt.

Jako internetový draft se objevil také zajímavý návrh pánů – S. Halevi a H. Krawczyk – Strengthening Digital Signatures via Randomized Hashing draft-irtf-cfrg-rhash-00.txt. Svěží myšlenky pro hashovací funkce jsou nepochybně zapotřebí. Navrhovaná randomizace (jako mód práce s hashovací funkcí) má za cíl přispět k bezpečnosti jak existujících, tak i budoucích hashovacích funkcí.

Z kryptografické problematiky se objevilo i několik dalších zajímavých informací. Článek Multiple forgery attacks against Message Authentication Codes se zabývá jedním z typů útoků proti MAC (jak jej autoři nazývají) – multiple forgery attack. Útočník zde získá informace, které mu umožňují padělání zpráv.

Byl zveřejněn další návrh proudové šifry pro ecrypt. Je popsán v článku čtyř japonských kryptologů Cryptographic Mersenne Twister and Fubuki stream/block cipher. V článku jsou popsány vlastně návrhy dva, přitom druhý návrh lze využít také jako blokovou šifru.

Objevila se informace o patentu NSA Cryptographic identification and digital signature method using efficient elliptic curve, který se vztahuje ke kryptografii na bázi eliptických křivek. Jako autor je podepsán Jerome Solinas, kryptolog NSA známý z vystoupení na řadě konferencí. Jedná se o speciální volbu parametrů (modulu) eliptických křivek. Patent pochází z roku 2001 (informace o podání patentu jsou zveřejňovány s několikaletým zpožděním).

Kryptografické párování (Pairings in Cryptography) – ve dnech 12. – 15. června 2005 se v Dublinu (Irsko) koná první workshop k této zajímavé kryptografické problematice.

Nepřehlédněte prosím následující informaci:

KEYMAKER 2005 – soutěž o nejlepší studentskou práci v oblasti kryptologie a informační bezpečnosti

Brno University Security Laboratory za podpory firmy Grisoft, a.s., vyhlašuje soutěž o nejlepší studentskou práci v oblasti kryptologie a informační bezpečnosti.

Cílem soutěže KEYMAKER je kromě nalezení největšího klíčníka roku také podpora studentů vysokých (případně středních) škol v jejich samostatné práci a snaha pomoci jim překonat bariéru odborné a vědecké komunity v České republice. Také bychom rádi demonstrovali firmám působícím v oblasti IT v České republice existenci skvělých mozků a možností českých škol v řešení konkrétních projektů.

Přijímány jsou články, bakalářské či diplomové práce nebo jiná ucelená díla. Nutnou podmínkou je, aby hlavním autorem podané práce byl student. Nejlepší příspěvky budou doporučeny k uveřejnění v časopise DSM a e-zinu Crypto-World. Vybraní autoři budou prezentovat svou práci na kryptologickém workshopu Mikulášská kryptobesídka 2005.

Mezi nejlepší práce budou rozděleny ceny v celkové hodnotě 45.000 Kč, věnované firmou Grisoft. Podání návrhů příspěvků: 17. října 2005.

Podrobné informace na BUSLAB.

Poslední novinky naleznete na Crypto – News.

Našli jste v článku chybu?

13. 6. 2005 11:03

No, hned v prvnim odstavci nekolikrat zminuje prave "pocitacovi cervy", na coz jsem reagoval. Vyjadreni AV na konci textu je samozrejme dobre.

13. 6. 2005 10:12

Nerozumím Vaší připomínce. Cituji co je v tom odkazu (podstatné je vyjádření AV): správně je buď "počítačoví červi (vzor pán)", nebo "počítačové červy (vzor hrad)".“ Samozřejmě souhlasím, že výraz počítačoví červy (jednou koncovka životná a jednou neživotná) použít nejde.
Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Komu musí od ledna zvýšit mzdu?

Komu musí od ledna zvýšit mzdu?

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Měšec.cz: Stavební spoření: alternativa i pro seniory

Stavební spoření: alternativa i pro seniory

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu