Hlavní navigace

Bezpečnostní střípky za 24. týden

Jaroslav Pinkava 20. 6. 2005

Informace z bezpečnosti IT, které se objevily v uplynulém týdnu: hackerské aktivity, IPSEC, spyware, zombie počítače, bezpečnost Internetu, browsery, bezpečnost PDA, formát PDF, webovské stránky - archivace, autentizace na webu, normativní dokumenty (NIST), kryptografie.

Začneme zajímavým článkem Hiring Hackers As Security Consultants, jehož autorem je známý publicista Brian Posey (mimochodem – sám sebe nazývá bývalým hackerem). Předmětem jeho rozboru je následující problém: je etické angažovat bývalého hackera k ověření bezpečnosti sítě? Jaká jsou pro a jaká jsou proti? Je to velice citlivý problém a existující názory se zde logicky rozdělují do dvou opačných táborů. Jako pozitiva formuluje autor následující body:

  • Bývalí hackeři mají reálné zkušenosti v této oblasti, některé věci se prostě z knih naučit nedají.
  • Zabývat se posledními bezpečnostními exploity a protiopatřeními, to je práce na plný úvazek.

Naopak negativní stránky vidí autor následovně:

  • Největší z nich je samozřejmě otázka důvěry, a netýká se to jen osobně vztahu zaměstnavatele, ale samozřejmě také zákazníků a spolupracujících fi­rem;
  • Druhý aspekt souvisí s pohledem na práci bezpečnostního konzultanta obecně. Jeho cílem často není zabezpečit vaši síť, ale spíše ukázat na množství slabin, a zdůraznit tak svoji důležitost (a nezbytnost odstranění slabin za nemalou finanční částku).

V závěru článku autor shrnuje – stojí za to si najmout bývalého hackera pro ověření bezpečnosti sítě, ale je třeba i podniknout určité kroky jako sebeobranu. Jako tyto kroky uvádí pak autor následující doporučení:

  • Bezpečnostní potřeby firmy by nikdy neměly být kompletně „outsourcovány“ (svěřeny někomu mimo firmu)
  • Nedávejte nikdy bezpečnostnímu konzultantovi do rukou vaše administrátorská práva atd.
  • Používejte několik konzultačních firem (a ať to i konzultanti vědí)
  • Rozhodněte, kolik bezpečnosti skutečně potřebujete. Žádný systém není plně bezpečný a vaše firma by mohla v tomto ohledu zbytečně utratit astronomické částky. Stanovujte si reálné cíle.

Bill Brenner v Is IPsec on borrowed time? na základě některých existujících zkušeností porovnává VPN založené na použití IPSec (pracuje na třetí vrstvě OSI modelu) a VPN opírající se o využití SSL (pracují na čtvrté až sedmé vrstvě OSI modelu).

Problematika spyware je stále velice diskutovaná. Objevila se informace IE7 being developed to resist spyware, že nový Internet Explorer (verze 7) pro Longhorn bude obsahovat tzv. nízká práva (nebudou však dostupná pro Windows XP), která zabrání změnám nastavení prohlížeče resp. změnám obsahu složek. Viz také Rob Franco – blog.

Zatímco na jedné straně jsou vytvářeny ochrany proti spyware, na druhé straně – straně útočníků – existuje samozřejmě také vývoj. Jeho predikcí se zabývá Gregg Keizer (na základě vystoupení Richarda Stiennona, ředitele Webroot na konferenci Gartner IT Security Summit) v článku RSS To Carry Spyware Before Year's Out. Čísla, která uvádí, nejsou nijak radostná. Koncem tohoto roku bude existovat trojnásobný počet spyware programů. Firefox bude předmětem jejich zájmu, čtečky RSS budou používány k šíření různých škodících informací atd.

Zombie počítače jsou existující hrozbou Internetu, o tom není nutné nijak přesvědčovat. Přitom, jak uvádí Robert Lemos v Stealthy Trojan horses, modular bot software dodging defenses, software produkující tyto zombie se stává stále kvalitnějším a obrana proti němu to začíná nestíhat. Poslední bot software se šíří v několika stádiích. První trojský kůň stáhne dalšího, který již má jaksi podstatně silnější útočný potenciál (např. vypne antiviry, firewall, blokuje požadavky na bezpečnostní update). Třetí program pak z počítače vytvoří součást armády zombií.

V loňském roce kdosi ve východní Pennsylvánii na několik hodin paralyzoval celou síť. Byla přerušena práce online operátorů tuctů firem včetně bank a informačních a zálohovacích systémů pro lékařství a lékárnictví. V článku Teen unleashed computer chaos si lze přečíst zajímavou historii o dlouhé práci FBI, než se jí podařilo usvědčit sedmnáctiletého hackera (Jasmine Singh), který vytvořil síť zombií.

Podle U.K. government is target in e-mail attacks se cílem e-mailových útoků stali poskytovatelé kritických infrastruktur ve Velké Britániii. E-maily obsahovaly v příloze trojského koně nebo odkazy na weby, které jsou šiřiteli trojských koní. Předmětem útoku bylo více než 300 vládních institucí.

Informace digitálního charakteru je třeba nejen používat bezpečným způsobem (odpovídajícím jejich charakteru), ale je třeba i vhodným postupem „ukončit jejich existenci“, tj. skartovat. Není to ale vždy jednoduché, tedy především z organizačního hlediska. Firmy a instituce by měly mít v tomto směru zpracovanou politiku, která exaktně definuje potřebné postupy, viz Shred it! A nejde jen o to, aby příslušné informace byly skartovány (a nedocházelo k situacím popsaným v již zmiňované studii Data Data Everywhere 2005), ale také naopak, aby nedocházelo k neoprávněným skartacím.

O problému opačného charakteru, archivaci webovských stránek, hovoří Peter Lyman v Archiving the World Wide Web. Web je již dnes obrovskou studnou informací, je psán v 220 jazycích a každý den přibývá sedm milionů nových stránek. Přitom 95 procent obsahu webu je veřejně dostupných, soubor informací, který je zde již obsažen, je odhadován na padesátinásobek velikosti textů v Kongresové knihovně USA. Mezi celou řadou problémů, které s archivací souvisejí (problémy charakteru kulturního, technického, ekonomického, legislativního), zmiňuje autor i problém s autentičností a původem archivovaného objektu. Metadata související s archivovaným objektem by měla napomoci nalézt odpovědi na následující otázky:

  • Jak se materiál nazývá, kdy byl vytvořen, pozměněn? Kdo materál zpracoval, změnil, přeformátoval?
  • Existují jedinečné identifikátory a odkazy k organizacím nebo souborům či databázím, kde lze nalézt širší popis k danému záznamu?
  • Jaké je nezbytné technické prostředí k zobrazení materiálu, včetně příslušných aplikací, čísel verzí, dekomprimačního schématu; jsou zapotřebí nějaké další soubory? Pokud je web generován databází, která databáze byla použita a co víme o jejím původu?
  • Jaké byly použity technické ochranné prostředky a služby (pokud vůbec)?
  • Pokud webovská stránka obsahuje více než pouhý text, které prostředky, aplikace mohou být použity ke generování příslušných zvukových či obrazových informací?
  • Jaká práva se vztahují na daný záznam (copyright) a jaká je příslušná kontaktní informace?

Problémem autentizace na webu se zabývá Paul Johnson v článku Authentication and Session Management on the Web. Diskutuje otázky spojené s problematikou webovských stránek, které mají určitou chráněnou zónu, do níž uživatel přistupuje teprve potom, co se zaloguje. Je to rozsáhlý článek s celou řadou užitečných informací (hesla, phishing, single-sign-on,SSL certifikáty…). Popisuje jak principy autentizace – různé přístupy (http, html formát, session ID…), tak i existující útoky (krádeže cookie a jiné).

Bezpečnost a PDA – počet těchto zařízení roste, a tak nabývají na důležitosti i bezpečnostní problémy. Optimistou z hlediska současného vývoje je John E. Dunn v článku PDA security starts to improve.

O pochybách o bezpečnosti formátu pdf se ví již delší dobu. Případ Skljarov a ruské firmy ElcomSoft proběhl médii velice široce. V materiálu How secure is PDF? lze nalézt příslušné technické informace. Bryan Guignard (certifikovaný expert Adobe) dospívá k závěru, že šifrované PDF soubory netvoří dostatečnou ochranu. Utility ElcomSoftu prostě fungují.

Nyní něco k bezdrátovým komunikacím. Bob O´Hara v Why Standards Are Important for Wireless Security předkládá užitečný přehled existujících norem a normotvorných iniciativ v této oblasti.

Několik informací z NISTu (National Institute of Standards and Technology – USA):

V červenci bude vydána bezpečnostní příručka pro americké vládní instituce (Security guidelines for U.S. agencies due in July). Jejím cílem je napomoci přípravám auditů v návaznosti na nová pravidla informační bezpečnosti. Příručka ponese označení NIST Special Publication 800–53A a navazuje na pravidla vydaná v příručce Special Publication 800–53. Proces certifikace a akreditace pro komerční organizace (USA) popisuje vstupní materiál NIST and ISO 17799.

Informaci o chystaném workshopu k PIV (Personal Identify Verification), který pořádá NIST tento měsíc (27. a 28. června 2005), lze nalézt na Federal Register. Podrobnosti k souvisejícím chystaným normám (FIPS 201) jsou na Computer Security Resource Center.

Dále – vyšla příručka k implementacím TLS (US vládní instituce). Součástí této příručky NIST Special Publication 800–52 jsou také doporučení k volbě šifrovacích algoritmů, hashovacích funkcí a generátorů náhodných čísel.

Microsoft vydal příručku The Services and Service Accounts Security Planning Guide. Jejím cílem je napomoci organizacím, které chtějí bezpečnější provozování služeb pod operačními systémy Microsoft® Windows Server 2003™ and Windows® XP.

Co je nového v kryptologické problematice? Zájemcům o přehled různých systémů používaných v historii kryptografie (ruční šifry, elektro-mechanické šifrátory…) lze doporučit A Cryptographic Compendium. I když materiál není samozřejmě čerstvou novinkou, lze jeho obsah doporučit širokému okruhu zájemců. Nejde jen o ryzí historii, čtenář zde nalezne i kryptografii s veřejným klíčem a také zmínku o kvantových počítačích a kvantové kryptografii.

Hashovací funkce zůstávají samozřejmě stále ve středu zájmu. Smysluplné kolize MD5 nalezli pracovníci Univerzity v Bochumi (Ruhr-Universität Bochum) – viz poznámku na Meaningful MD5 Collisions a navazující diskuse.

Na stránce Shandong University Information Security – Professor Xiaoyun Wang profesorky Wangové lze nalézt dva příspěvky, které budou předneseny na mezinárodní konferenci Crypto 2005 v Santa Barbaře v srpnu. Jsou zde shrnuty výsledky ke kolizím SHA-0, SHA-1 a MD5.

NIST připravuje workshop k hashovacím funkcím na dny 31. říjen a 1. listopad 2005. Novější podrobnosti jsou na stránce Federal Register.

Jako nespornou zajímavost lze doporučit následující informaci Interest grows in solving cryptic CIA puzzle. Patnáct let se profesionální i amatérští kryptologové pokoušejí rozluštit tajemství Kryptosu, sochy umístěné na nádvoří v Langley, štábu CIA. Tři čtvrtiny obsahu zprávy na téměř čtyři metry vysoké měděné desce byly rozluštěny. Zbývající čtvrtá část (označená jako K4) však stále odolává.

Máte hromadu hesel a nevíte, jak je chránit? Bruce Schneier poskytl k volnému použití svoji utilitu Password Safe (poslední verze 2.11). Využívá šifrovací algoritmus Blowfish.

Poslední novinky naleznete na Crypto-News.

Našli jste v článku chybu?

21. 6. 2005 11:14

Nemám více informací, tj. jedině Vás mohu odkázat na pana Richarda Stiennona z firmy Webroot, který dané názory vyslovil. Anebo po registraci na stránce http://www.webroot.com/stateofspyware dostanete úplnou 75 stránkovou zprávu (ale nezkoumal jsem zda obsahuje detailní odpovědi na Vaše otázky).

21. 6. 2005 11:05

Dobrý nápad, od příštího dílu rozčlením text do několika bloků.
Vitalia.cz: Pečete cukroví a zbyl vám bílek?

Pečete cukroví a zbyl vám bílek?

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání