Hlavní navigace

Bezpečnostní střípky za 25. týden roku 2006

26. 6. 2006
Doba čtení: 8 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Přehledy, obecná a firemní bezpečnost IT, síťová bezpečnost, software, malware, hackeři, Bluetooth, Wi-Fi, VoIP, rhybáři, elektronický podpis, normy a normativní dokumenty, kryptografie.

Přehledy

Podle přehledu, který zpracovala společnost Deloitte – Protecting the digital assets , byla více než polovina britských firem (mediálního, telekomunikačního a technologického charakteru) v posledním roce obětí bezpečnostního incidentu. Více než padesát procent z těchto útoků mělo interní původ a jejich dopadem byly velké finanční ztráty. Stěžejní závěry materiálu konstatují:

  • Neodpovídající zdroje a financování
  • Neefektivní činnosti, které se nevěnují nejnovějším hrozbám
  • Nedostatek informovanosti a nedostatek podpory managementu
  • Nedostatečná pozornost vnitřním rizikům
  • Nejsou plány vzhledem k vážným útokům a rozvratům podnikání

Další komentář k tomuto přehledu obsahuje článek Half of UK media firms are victims of security breaches

Zatím neuvolněný (na stránkách CSI) každoroční přehled CSI/FBI Computer Crime and Security Survey 2006 kritizuje analytická firma Gartner – Gartner blasts optimistic security survey. Gartner varuje před přílišným optimismem přehledu. Studie například neobsahuje vhodný model, který by správně zobrazil probíhající změny bezpečnostní situace. Množství červů klesá, ale množí se krádeže ID. Jinou zápornou tendenci dokumentuje třeba společnost Cipher Trust – CipherTrust Confirms 21% Jump in New Zombie Machines – současný nárůst zombií počítačů nemůže být důvodem k celkovému optimismu. Gartner dále podotýká: Je také otázkou, zda byli dotazovaní bezpečnostní specialisté vybíráni vhodnou cestou (vedoucí k celkovému objektivnímu pohledu).

Obecná a firemní bezpečnost IT

Evropská Unie vydala varování vzhledem k situaci v IT bezpečnosti – EU issues warning on security. Andrea Pirotti, výkonný ředitel ENISA, konstatuje, že další dva ekonomičtí obři – USA a Asie – Evropu v tomto směru velmi rychle předhání.

Andrew Brandt v rozsáhlém článku (The 10 Biggest Security Risks You Don't Know About – článek vyjde v srpnovém vydání PC World magazine) se věnuje cestám minimalizace rizik uživatele PC. Uvádí následující seznam vážných bezpečnostních problémů, kterých by si uživatel měl být vědom:

  • Armády PC Zombií
  • Vaše ukradená data dostupná volně na webu
  • Rhybáři kooptují legitimní stránky
  • Bezpečnostní díra – člověk
  • Triky k přesměrování vašeho prohlížeče na podvodné stránky
  • Rootkity a viry
  • Viry volají vaším telefonem
  • Malware ve vašem pasu
  • Vaše data jsou zadržována za výkupné
  • Neexistuje bezpečné útočiště, nebezpečí číhají na všech platformách

Ke každému z těchto problémů obsahuje článek oddělený popis a také několik doporučení, jak se příslušným nebezpečím vyhnout.

Známí odborníci Caleb Sima a Kevin Beaver jsou autory následujícího zajímavého článku – 13 Ways to Get Your Developers on Board with Software Security, aneb 13 způsobů, jak navést vaše vývojáře k pochopení nezbytnosti bezpečného softwaru. Kromě konkrétních doporučení obsahuje článek také řadu dalších zdrojů, odkud je možné čerpat potřebné informace.

Jak dopadnout interního špiona v podniku? Záleží především na tom, jak organizace získává a analyzuje příslušné informace, pracuje např. s logy a má v tomto směru pevnou IT politiku – Catching a Corporate Rat.

K otázkám vhodného nastavení fyzické bezpečnosti lze nalézt řadu užitečných informací v Protect corporate data with these physical security precautions (Michael Mullins). Autor dává doporučení dvojího druhu – jak omezit personální přístupy a jak chránit přístupy k informacím a k vybavení.

Bezpečnosti webů a webovských aplikací se týká článek Security for Websites – Breaking Sessions to Hack Into a Machine . Najdete zde popis možných cest útočníka směrovaných na kompromitaci Session ID a několik doporučení pro obranu před těmito útoky.

Síťová bezpečnost

Několik základních příčin, které mohou vést ke kompromitaci vaší sítě, ukazuje autor How Will Your Network Be Compromised?:

  • Instalace webové aplikace, která má nedostatečné bezpečnostní vlastnosti
  • Instalace podpůrného softwaru, jehož administrátorské heslo (defaultní) je obecně známé (a nebylo změněno).
  • Nesprávně nakonfigurovaná komunikační zařízení jako routery a switche.
  • Důležité a někdy i kritické dokumenty zůstávají ležet na webových serverech (informace, ke kterým by měl mít přístup jen interní či technický personál).
  • Špatná politika pro hesla a autentizaci. Uživatelé používají často slabá hesla, bohužel i k vzdálenému přístupu k zařízením přes internet.
  • Testovací servery, na jejichž existenci bylo zapomenuto a které jsou stále přítomny na internetu.
  • Špatná architektura hranic v síti. Například při instalaci firewallu jsou některé části sítě opomenuty.

Top 100 – nástrojů síťové bezpečnosti zpracoval autor známého skeneru Nmap (Fjodor) – Top 100 Network Security Tools. Vyšel ze svých předchozích přehledů (2000, 2003), použil k tomu informace, které mu zaslalo 3243 uživatelů nmap-hackers. Tento nový seznam komentuje Tony Bradley na svých stránkách – Insecure.org Top 100 Network Security Tools, cituje následujících Top 10:

V současném seznamu je celkem 42 nových nástrojů (neobjevily se v Top75 v roce 2003).

Software

Firewall Leak Tester (Utility Nukes Windows Genuine Advantage Callbacks), tato firma vydala utilitu s názvem Remove WGA, která zabraňuje každodennímu oznamování (z PC do MS). Viz také Overovanie Windows: objavila sa utilita na znemožnenie „volania domov” a otravovania hláškami.

17 chyb Microsoftu aneb X box a jeho bezpečnost (17 Mistakes Microsoft Made in the Xbox Security System), to je starší (říjen 2005) článek Michaela Steila. Diskuse k tomuto článku se teď objevila na Schneierově blogu.

Dvoudílný článek Software Firewalls: Made of Straw? Part 1 a Part 2 (autoři – Israel G. Lugo, Don Parker) se dotýká problematiky firewallů. Vzhledem k některým existujícím nekritickým pohledům (vše spasí firewall) se autoři rozhodli vysvětlit otázky bezpečnosti poněkud detailněji. Firewally nejsou automatickým garantem bezpečnosti a autoři podrobně říkají, na čem je jejich princip založen, jak pracují, jak fungují jejich filtry atd. Ale také, jak třeba trojan může firewall obelstít (LSP-level útok, LSP = Layered Service Provider).

Nezáplatované verze některých populárních programů jsou větší hrozbou než malware – Unpatched iTunes, Skype, Firefox Inviting Malware Targets. Podle společnosti Bit9 se jedná např. o verze následujících produktů:

  • Mozilla Firefox (např. verze 1.0.7)
  • Apple's iTunes
  • QuickTime
  • Skype
  • Adobe Acrobat Reader
  • Sun JRE (Java Runtime Environment)

Nezáplatované verze obsahují kritické zranitelnosti, které umožňují vykonání libovolného kódu.

Řadu tipů k zabezpečení konfigurace Apache obsahuje článek 20 ways to Secure your Apache Configuration.

Chceme šifrovat – ano, víme ale v které vrstvě (OSI modelu)? Babak Pasdar (Layered Encryption, an Absolute Necessity) rozděluje chráněná data na dva typy:

  • Data-in-motion
  • Data-at-rest

Pro každý typ ukazuje několik možných metodologií a dává jejich stručné charakteristiky. Následně vysvětluje svůj přístup, který nazývá layered encryption.

Malware, hackeři

V článku Causa rootkit. Brána nebezpečí doširoka otevřená Tomáš Přibyl podrobně rekapituluje události posledního období (Sony BMG rootkit) a také vysvětluje, co to vlastně rootkity (anglicky rootkits) jsou. Zmiňuje se i o jejich využití v některých bezpečnostních programech (Symantec, Kaspersky lab).

UFO hacker (Gary McKinnon:) popisuje co našel na svých toulkách netem – ‚UFO Hacker‘ Tells What He Found. Snad bez překladu – …It was a silvery, cigar-shaped object with geodesic spheres on either side. There were no visible seams or riveting. There was no reference to the size of the object and the picture was taken presumably by a satellite looking down on it. The object didn't look manmade or anything like what we have created. …. Tak nevím…

Bluetooth, Wi-Fi, VoIP

Zařízení s Blutooth jsou bezpečnostním rizikem – Bluetooth-enabled Devices are Security Threat. Lidé si neuvědomují bezpečnostní problémy, které mohou vzniknout. Podle výzkumu společnosti Kaspersky Lab., který proběhl v Londýně – trval 3 dny – bylo v jeho průběhu objeveno 2000 zařízení v módu visible-to-all, který umožňuje útoky hackerů.

Informace o využití volně dostupného nástroje LORCON (Lots of Radion Connectivity) bude přednesena v srpnu na Black Hat USA 2006 (David Maynor, Jon Ellch). Svoji techniku autoři nazývají fuzzing. Hackeři mohou získat kontrolu nad notebookem, i když není připojen do bezdrátové LAN – Researchers hack Wi-Fi driver to breach laptop. Viz také – WiFi: Útok i na nepřipojený počítač !, Zneužitím chyby v ovládači Wi-Fi je možné hacknúť notebook, Wi-Fi ovladače umožňují převzetí kontroly nad notebookem.

Zfone: A New Approach for Securing VoIP Communication (Samuel Sotillo) – článek se zabývá bezpečnostní problematikou VoIP (konkrétněji pak Zimmermanovým Zfone) – viz komentář Vl. Klímy – Crypto-News.

Recenzi knihy Cisco Wireless LAN Security (Cisco Press, 2004, 456 stran) napsal Tony Bradley – netsecurity.

Rhybáři

Rhybáři zaútočili na uživatele PayPal – Phishing scam uses PayPal secure servers. Byla k tomu využita chyba (cross-site scripting) na stránkách společnosti PayPal.

Elektronický podpis

MI ČR zveřejnil  – Požadavky na prostředky pro vytváření elektronických značek při ochraně dat pro vytváření elektronických značek. V textu zveřejněné (informace) je v maximální míře ponecháno znění navrhované vyhlášky, kterou ukládá v § 17a zákona č. 227/2000 Sb., o elektronickém podpisu, MI ČR vydat. Vyhláška má být zveřejněna v nejbližších dnech.

Normy a normativní dokumenty

Pracovní skupina IETF pkix vydala v tomto týdnu následující tři drafty:

Kryptografie

Efektivnější varianta generátoru pseudonáhodných čísel založeného na algoritmu RSA je popsána v článku On the Provable Security of an Efficient RSA-Based Pseudorandom Generator. Autoři (Ron Steinfeld, Josef Pieprzyk a Huaxiong Wang) navíc dokazují bezpečnost nově navrhováného PRNG (vycházejí z obtížnosti řešit inverzní problém pro RSA).

Book stack (On ZK-Crypt, Book Stack, and Statistical Tests) je nový statistický test, který byl popsán v roce 2004. V příspěvku je test popsán, naprogramován a je vysvětlena jeho podstata. Testu vyhověly všechny proudové šifry, přihlášené do projektu eSTREAM (ECRYPT Stream Cipher Project ) až na ZK-Crypt (Vl. Klíma).

Útoky ze slabých hašovacích funkcí je možné rozšířit i na konstrukci HMAC – komentář k novému článku na serveru Cryptology ePrint Archive – On the Security of HMAC and NMAC Based on HAVAL, MD4, MD5, SHA-0 and SHA-1 najdete na Crypto-News.

root_podpora

Různé

Wiretapped – rozsáhlý archiv softwaru a informací vztahujících se k IT bezpečnosti – 20 GB dat (host, network and information security, network operations, cryptography and privacy,…).

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?