Bezpečnostní střípky za 25. týden

Přehledy, obecná bezpečnost IT

Nejprve upozorníme na již třetím rokem pravidelně vydávaný každoroční přehled firmy Deloitte 2005 Global Security Survey . Současným největším nebezpečím v informačních systémech největších světových institucí jsou podle hodnocení interní hackerské aktivity. Třetina respondentů uvedla, že se stala obětí interního hackerského útoku v posledních dvanácti měsících (v loňském roce to bylo pouze 14 procent). Lidský faktor začal být chápán jako využitelná slabina bezpečnostního řetězce – projevem toho jsou postupy jako phishing a pharming. Studie poznamenává, že je to mj. i důsledek vydatnějšího používání IT bezpečnostních systémů. Tak například ve větší míře jsou používány antivirové programy (98 procent, loni to bylo 87 procent), VPN (79 resp. loni 75) a monitoring a filtrování obsahu (76 resp. 60 procent v roce 2004). Autoři studie také s povděkem poznamenávají, že zájem „šéfů“ o bezpečnost již zdaleka není pouze formální, naopak bezpečnost je dnes vyžadována jako jeden ze základních požadavků. Studie má 44 stran, shrnutí jejích výsledků najdete v článku Internal hackers pose the greatest threat.

Peter H. Gregory shrnuje své zkušenosti v článku 7 security mistakes companies make (sedm bezpečnostních chyb, které firmy dělají). Jsou to následující chyby:

• 1. Chybně považují ochranu vnitřního perimetru za překonanou. Firewally jsou však stále podstatnou ochranou.
• 2. Notebooky nejsou dostatečně chráněny (antiviry nestačí). Je třeba zvažovat antispyware, šifrování disků, firewall na notebooku atd.
• 3. Význačné změny informačních systémů nejsou institucionali­zovány, tj. jsou prováděny často bez potřebného ověření, auditu, schvalovacího procesu.
• 4. Není dostatečně formováno bezpečnostní povědomí pracovníků.
• 5. Není zavedena strategie hloubkové obrany (více vrstev ochrany pro citlivé informace!).
• 6. Spam a spyware jsou jako nebezpečí podceňovány.
• 7. Není implementována strategie pro správu zranitelností. Patchování jen tak, jak to zrovna přijde pod ruku, je možná častý způsob, ale rozhodně ne dostatečný. Analýza rizik, záznamy logů, testování – tyto postupy často chybí v IT arzenálu firem či jsou tato opatření prováděna v nedostatečné mí­ře.

Příručka k ochraně osobních údajů vycházející z britského zákona Data Protection Act (zákon na ochranu osobních údajů), který zase navazuje na Evropskou směrnici o ochraně dat (95/46 EC), se nachází na Information Commissioner's Of­fice – zadejte do search název – Employment Practices Data Protection Code.

Spamu se v minulém týdnu věnovaly také dva české servery. V článku na Živě Spam: čtvrt miliardy e-mailů za 22 tisíc dolarů jsou uvedeny informace o spamu a dalších hrozbách, šířících se prostřednictvím e-mailů, které přinesl nedávno výzkum společností Mirapoint a Radicati Group (březen 2005). Především poznatky o chování uživatelů jsou alarmující. Článek uvádí i doporučení, jak se proti spamu bránit. Viz také článek na Lupě: Spam: odkud vítr vane? diskutující výsledky analýzy na portálu Atlas.

Bankovní data, karty

„Událostí týdne“ byla informace o krádeži osobních dat patřících ke 40 miliónům karet v CardSystens Solutions. Poté se na toto téma objevila celá řada článků:

• MasterCard International Identifies Security Breach at CardSystems Solutions, A Third Party Processor of Payment Card Data
• Lost Credit Data Improperly Kept, Company Admits
• Unauthorised research opened door to MasterCard breach
• Wired News – CardSystems' Data Left Unsecured
• New York Times – Banks Unsure Which Cards Were Exposed in Breach

Doporučuji podívat se také na Weblog – Schneier on Security. Ukradená data nebyla uložena odpovídajícím způsobem (podle CardSystems to bylo za výzkumným účelem), mj. nebyla šifrována. Infiltrátor umístil svůj program (skript) do sitě společnosti CardSystems. Kdy se to přesně stalo, po jaké období tento trojský kůň fungoval, kam putovaly kradené informace, je předmětem vyšetřování. Odhaduje se, že z celkového počtu 40 miliónů ohrožených karet byla ukradena data k 200 000 z nich.

Na tyto informace navazuje zajímavým způsobem sdělení britského novináře z deníku The Sun (Banks face prosecution over Indian call centre leak), že se mu podařilo realizovat nákup osobních dat jednoho tisíce zákazníků britských bank. Viz také původní článek Your life for sale.

V tomto ohledu je třeba poznamenat, že je připravována norma PCI Payment Card Industry Data Security Standard (A new data protection standard goes into effect next week). Norma má začít platit od 30. června tohoto roku a vznikla na základě sjednocení přístupů Visa a Mastercard – viz také výše zmíněný Schneierův weblog. Tady (i v návaznosti na výše popsané případy) je třeba také říci, že normy samotné mají smysl jen tehdy, pokud jsou v nich obsažená opatření důsledně realizována a kontrolována.

Software a bezpečnost

Pokud se příslušný software nějakým způsobem dotýká bezpečnostní problematiky a pokud je typu open source, vzniká logicky otázka, jakou důvěru lze vkládat v takovýto software a na čí ramena lze položit příslušnou odpovědnost. Tyto otázky si klade Mark Long v Top Open-Source Security Applications. Na druhou stranu uvádí deset příkladů, kdy je open source software naopak (pro bezpečnostní cíle) využíván s výhodou.

Ve dvoudílném článku Software Firewalls: Made of Straw? 1 a Software Firewalls: Made of Straw? 2 popisují autoři Israel G. Lugo a Don Parker základní koncepty softwarového firewallu jako filtračního prostředku. Ve druhé části se pak zabývají jeho možnostmi ochrany proti trojským koním.

Hackeři a boti

Na Technetu byl zveřejněn materiál Hackeři dávají přednost antivirům před Windows opírající se o původní článek Antivirus tools becoming hackers' new favourite na ZDNet. Podle firem Symantec, F-Secure a ChackPoint roste počet zranitelností spojených s antivirovými produkty. Oproti tomu klesá počet objevovaných zranitelností, které se týkají samotných Windows XP. To může vést k tomu, že hackeři se budou orientovat více na využití zranitelnějšího softwaru, tj. například antivirů (či jiného bezpečnostního softwaru).

Následující materiál Botnet: An Overview je pěkně zpracovaným přehledem problematiky – sítě botů (zombií počítačů). Autor uvádí možnosti propagačních mechanismů (tj. mechanismů, jejichž prostřednictvím se z počítače stane bot). Jsou jimi download prostřednictvím e-mailu či přes web, instalace softwaru s nedůvěryhodným původem, ale také prostřednictvím virů či trojských koní – již bez přímé účasti „oběti“. Existují i různé mechanismy pro kontrolu již vzniklé sítě botů. Autor uvádí jako často užívané IRC kanály a P2P sítě. V článku pak podrobněji popisuje, jak jsou pro ovládání sítě botů používány kanály IRC. Ve čtvrté části materiálu jsou zmiňovány jednotlivé „škodící“ aktivity sítě botů – útoky DoS (Denial of Service), phishing, spam, šíření dalšího malware. Následují doporučení jak pro domácího, tak i pro firemního uživatele.

Jako čerstvá se objevila informace Indian cracks Microsoft's anti-piracy program o cracknutí ochrany Microsoftu proti nelegálním kopiím Windows XP – Windows Genuine Advantage. Přitom byla tato informace již publikována dříve – viz např. Microsoft nepozná vlastníka pirátských Windows.

Hardware a bezpečnost

Souhrnný přehled otázek souvisejících s bezpečností notebooků (laptopů) uvádí Ramanujam Narasimman v Laptop Security. Zabývá se nejprve fyzickou bezpečností – krádeže notebooků jsou nejčastějším rizikem. Následuje informační bezpečnost a popis opatření na její podporu. Bezpečnost bezdrátového spojení je dnes již běžnou potřebou. Také samotní uživatelé notebooků by měli být příslušným způsobem vzděláváni – vždyť právě oni jsou těmi, kdo implementují jednotlivá opatření. V závěru článku autor uvádí příklady bezpečnostních politik pro práci s notebookem.

Riziky, která jsou spojena s přenositelnými paměťovými médii, se zabývá Lisa Dozois v Security Risks Associated With Portable Storage Devices. Paměťových uživatelsky přítulných médií přibývá (stačí zmínit USB Flash disky) a není pochyb o celé řadě jejich výhodných vlastností. Zároveň ale rostou rizika spojená s jejich neoprávněným použitím – přenos chráněných (např. firemních) informací mimo ochrannou zónu atd. Autorka analyzuje některá bezpečnostní opatření, v závěru pak doporučuje (z legislativních důvodů) existenci sepsané a závazné politiky pro práci s paměťovými médii.

Srovnání FAT a NTFS z hlediska bezpečnosti najde čtenář v článku NTFS Security Considerations, který napsal Mohammad Heidari. Autor nejprve popisuje historii vývoje obou systémů a ukazuje (bezpečnostní) cíle, se kterými bylo NTFS navrhováno. Zabývá se přístupovými (vlastnickými) právy i otázkami auditu.

Velkou pozornost vzbudil následující odkaz Default Passwords obsahující databázi defaultních hesel (1421 hesel od 283 výrobců).

Normy a normativní dokumenty

V prvé řadě je třeba zmínit vydání nové verze normy ISO 17799 – The Information Security Standard. Původní norma (z roku 2000) přestává platit. Nová norma má nyní jedenáct základních kapitol (minulá verze jich měla deset). Jsou to následující:

• Security Policy
• Organizaing Information Security
• Asset Management
• Human Resources Security
• Physical and Environmental Security
• Communications and Operations Management
• Access Control
• Information Systems Acquisition, Development and Maintenance
• Information Security Incident Management
• Business Continuity Management
• Compliance

Nová norma také zavádí celou řadu nových kontrol (celkem sedmnáct), které pokrývají oblasti dříve v normě neobsažené (např. outsourcing, správu záplat – patchů atd.). Samotná norma by také nyní měla být více „user friendly“.

NIST vydal Draft Special Publication 800–79, Guidelines for the Certification and Accreditation of PIV Card Issuing Organizations k veřejným připomínkám.

IETF vydalo minulý týden celou řadu normativních dokumentů:

• Certificate Extensions and Attributes Supporting in PPP
• rfc.4107 – Guidelines for Cryptographic Key Management
• Requirements for Data Validation and Certification Services.
• rfc.4056 – Use of the RSASSA-PSS Signature Algorithm
• rfc.4055 – Additional Algorithms and Identifiers for RSA Cryptography

Kryptografie, generátory náhodných čísel

Bezpečný e-mail, instant messaging, šifrování celého pevného disku a práce s některými čipovými kartami – to jsou jen některé z vlastností nové verze PGP – viz recenzi na Review: PGP's PGP Desktop Professional 9.0. Jejím autorem je Christopher T. Beers.

Na stránkách ECRYPTu se objevil první popis k výsledkům projektu ECRYPT Stream Cipher Project. Na základě původní výzvy se přihlásilo celkem 34 kandidátů. Avšak vzhledem k připomínkám k původně navrženým dvěma profilům – nesly označení 1 a 2 – byla výzva rozšířena o další dva profily s označením 1A a 2A obsahující autentizační prostředky. Lze tedy i nadále zasílat nové návrhy.

V článku A Provably Secure True Random Number Generator with Built-in Tolerance to Active Attacks několika autorů (Waterloo University – Kanada aj.) lze nalézt zajímavý návrh generátoru náhodných čísel s prokazatelnou bezpečností založený na důkladné analýze problematiky.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.