Hlavní navigace

Bezpečnostní střípky za 26. týden roku 2006

3. 7. 2006
Doba čtení: 7 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Konference, přehledy, obecná a firemní bezpečnost IT, software, bezpečnost webovských aplikací a služeb, malware, hackeři, viry, rootkity, bezdrát, forenzní analýza, podvodné maily, normy a normativní dokumenty, kryptografie.

Konference, přehledy

Fifth Workshop on the Economics of Information Security (WEIS 2006) – to je konference (workshop), která proběhla tento týden na Cambridžské univerzitě (Anglie). Z některých vystoupení:

Ekonomický pohled při hodnocení bezpečnostních incidentů bývá diskutován méně (ve srovnání s diskusemi k podstatám bezpečnostních průniků), přesto ekonomika, ať chceme či ne, je vždy přítomna. Komentář ke konferenci a také další diskusi najdete na Schneierově blogu.

2nd Trustworthy Interfaces for Passwords and Personal Information Workshop – tento workshop proběhl 19. června na Stanfordské univerzitě. Jeho organizátory byli Burt Kaliski (RSA Security) a Dan Boneh (Stanfordská univerzita). Kromě seznamu vystoupení jsou k některým přednáškám k dispozici také prezentace (slides). Viz také komentář Burta Kaliski na Blogu RSA.

Společnost F-Secure zveřejnila svůj přehled výskytu malware a dalších existujících bezpečnostních hrozeb za první pololetí 2006 – F-Secure's Data Security Wrap-up for January to June 2006. Ve zprávě jsou konstatovány některé současné trendy již na těchto stránkách zmiňované. Nové typy malware sledují především finanční cíle, roste počet malware opírající se o technologie rootkitů, existuje rostoucí trend malware pro mobilní zařízení. V přehledu jsou pak podrobněji rozebrány některé konkrétní hrozby.

Obecná a firemní bezpečnost IT

V článku You Can Never Be Too Thin or Too Secure (Our manager takes inventory of what's been done to secure her agency's network and what still lies ahead) je ukázán praktický pohled bezpečnostního manažera konkrétní firmy, který chce zhodnotit úroveň bezpečnostních opatření v informačním systému firmy. Jsou zde odděleně obsaženy dva aspekty:

  • co již bylo pro IT bezpečnost uděláno
  • co ještě zbývá udělat

Pokud se to týká první části, autor konstatuje například následující:

  • podařilo se zvýšeným zabezpečením ochránit servery. Než jsou uplatněny záplaty, jsou otestovány, existuje monitoring logů na serverech, k přístupům je použita politika vycházející z Active Directory, jsou nainstalovány firewally, bezdrát je v síti zakázán a jsou zavedena opatření pro práci na desktopech.

Jestliže ale autor zvažuje, co ještě bylo opomenuto, kde mohou být další slabé body, co lze ještě použít, vyjmenovává následující body:

  • další opatření na serverech (firewally na úrovni hostu, detekce a prevence průniku), sdílené soubory a přístupy k nim, používání telnetu, šifrování.

Sofistikované bezpečnostní průniky – jejich analýza také nemůže být jednoduchou záležitostí. Eoghan Casey v Investigating Sophisticated Security Breaches jednak ukazuje na stále více se objevující útoky, které jsou podobného typu, jednak ukazuje a rozebírá principy, kterými by se měly řídit odpovídající rozbory (forenzní analýza, spoolupráce odborníků různých typů,…).

Chcete být penetračním testerem? Co musíte obsáhnout, jakou potřebujete kvalifikaci? Na tyto otázky odpovídá autor článku Get Hired As A Penetration Tester. Kromě základních informací najdete zde i rozsáhlý výběr doporučovaných nástrojů (rozdělených do následujících skupin: footprinting, scanning, analyzer, spoofing, Bluetooth, wireless, bruteforce, password cracker, forensics, honeypot).

Na stránkách Financial Cryptography se objevilo několik zajímavých dokumentů:

Například druhý článek diskutuje novější typ útoků, kdy jejich cílem je získání informací z prohlížečů (např. při prováděných transakcích) – s pomocí nových typů trojanů.

USB zařízení – Robert Lemos v aktuálním komentáři na Security Focus (USB drives pose insider threat ) rozebírá možná nebezpečí, která souvisí s jejich používáním. Autor informuje o zajímavém pokusu. Konzultanti auditorské firmy nechali různě položené USB flash disky (20 kusů) uvnitř budovy jedné finanční skupiny. V paměti každého disku byl umístěn program (maskovaný jako obrázkový soubor), který měl za cíl sběr hesel, jmen uživatelů a dalších informací o systému uživatelů. Patnáct z těchto zařízení zaměstnanci zvedli a postupně vložili do počítačů kreditní společnosti.

EMC kupuje RSA Security – EMC to acquire RSA Security for almost $2.1B – zpráva významná pro celý průmysl IT bezpečnosti (viz také EMC buys three more letters for $2.1bn).

Software

Sudo pro Windows – ve verzi z minulého týdne. Na stránce najdete také diskusi, která se týká práce s uživatelskými účty ve Windows Vista (User Account Control – UAC).

Nová verze Windows Genuine Advantage (WGA) nebude již tak často obtěžovat uživatele Windows – User pressure spurs Microsoft to dial back WGA.

Microsoft popisuje chystané změny vztahující se k bezpečnosti pro Outlook 2007 – Code Security Changes in Outlook 2007.

Softwarový projekt (free) LGPL'd embedded crypto library supports TLS má za cíl vytvoření kryptografické knihovny s podporou Transport Layer Security (TLSv1).

Náměty pro zlepšení protokolu SSL obsahuje studie Improved Server Performance and DoS Resistance for SSL Handshakes. Autoři (Kemal BICAKCI a Bruno Crispo a Andrew S. Tanenbaum) zde navrhují tzv. reverzní SSL opírající se o využívání digitálního podpisu na straně serveru.

Bezpečnost webovských aplikací a služeb

Webové služby jsou novým cílem hackerů, říká autor článku Web Services: New Hacker Target. Dokumentuje to na nedávném červu pro Yahoo, resp. na některých dalších nedávných útocích (PayPal, Google).

Recenzi knihy

  • Mike Andrews, James A. Whittaker: How to Break Web Software : Functional and Security Testing of Web Applications and Web Services, únor 2006, 240 stran

napsal Robert M. Slade – marc.theaimsgrou­p.com. Také je možné stáhnout 4. kapitolu této knihy – Chapter 4. State-Based Attacks (nutná registrace). Samotnou knihu najdete na Amazonu.

Malware, hackeři

Existuje stoprocentně nedetekovatelný malware? Koncept Blue Pill používá virtualizační technologii AMD SVM/Pacifica. S její pomocí je vytvořen hypervizor, který přebírá kompletní kontrolu operačního systému. Joanna Rutkowska bude k tomuto „nedetekovatelnému“ typu malware vystupovat na nadcházejících konferencích (SyScan Conference, Singapore, 21. července a Black Hat, Las Vegas 3.srpna 2006). Stoprocentní nedetekovatelnost se týká také Windows Vista. Uf.

Bruce Schneier a výzva – chci být hacknut. Schneier na svém blogu (spíše s humorem) přiznává, že neměl podobnou výzvu učinit. Následující diskuse pak stojí za to.

Zajímavý je následující článek (Imunizing the Internet, or: How I learned to stop worrying and love the worm – autorem je student) na téma „Proč jsou hackeři, červi a viry užiteční pro bezpečnost IT“. Jestliže se obrátíme k analogii z medicinského pohledu – dítě, které je vychováváno naprosto v sterilním prostředí, může vážně onemocnět díky první infekci, se kterou se setká. Naproti tomu dítě vyrůstající v obvyklém (infekčním) prostředí si postupně buduje imunitu. Hackeři a autoři malware vlastně analogicky zastupují infekční prostředí.

Viry, rootkity

Kaspersky Lab.: Proactive Protection: a Panacea for Viruses? – Oleg Gudilin (marketingový analytik společnosti Kaspersky Lab.) se zabývá otázkou rychlosti reakce antivirového softwaru z pohledu existujících tzv. proaktivních technologií.

Aktuální dění v boji proti rootkitům diskutuje autor interview s Markem Russinovichem – One man´s fight against rootkits. Ústřední myšlenka – neexistuje „dobrý“ rootkit.

Bezdrát

Deset nejvíce kritických zranitelností ve vztahu k bezdrátové a mobilní bezpečnosti, takovýto přehled najdete na stránce The Ten Most Critical Wireless and Mobile Security Vulnerabilities. Společnost Mobile Antivirus Researcher’s As­sociation slibuje navíc, že tento dokument bude na svých stránkách pravidelně aktualizovat. Zmiňované zranitelnosti:

  • 1. Wi-Fi routery v defaultním stavu (daným výrobcem)
  • 2. Přístupový bod pod kontrolou útočníka
  • 3. Automatické znovuustavení spojení (bez kontroly uživatele – wireless zero configuration)
  • 4. Exploity vztahující se k Bluetooth
  • 5. Slabiny WEP
  • 6. Hesla (pro šifrování) v otevřené podobě, resp. nedostatečně chráněná
  • 7. Malware
  • 8. Funkce Autorun – může napomoci útočníkovi při hledání cest pro zavádění infekce
  • 9. Řada problémů spojených s používáním VoIP
  • 10. Ztracená či ukradená zařízení

Forenzní analýza

Rozsáhlejší studie Forensic Analysis of a Compromised Intranet Server (autorem je Roberto Obialero) se zabývá forenzní analýzou kompromitovaného intranetového serveru. A to počínaje stadiem, kdy probíhá verifikace (logy systému, antivirového softwaru a síťových zařízení) až po vlastní rozbor malware souběžně s vysvětlením použité metodologie (celkově zahrnující osm oddělených stadií).

Podvodné maily

Na stránce Online scams: Top 5 best of the worst najdete další specifické top 5. A sice pět nejúspěšnějších (v uvozovkách) podvodných e-mailů:

  • 1. The Nigerian scam
  • 2. Online auction scams
  • 3. Reshipping/Pos­tal Forwarding scams
  • 4. Free merchandise scams
  • 5. Phishing scams

Známé nigerijské maily (dopisy) na prvním místě – to asi nikoho nepřekvapí.

Normy a normativní dokumenty

Ústřední dokument skupiny IETF pkix pro práci s digitálními certifikáty – byla vydána další verze (rfc3280bis-04) draftu:

Pracovní skupina IETF smime vydala sérii draftů (první verze), které jsou věnovány problematice šifrování založenému na využívání ID (identity-based encryption):

Vyšlo dále

které specifikuje protokol GSAKMP (Group Secure Association Key Management Protocol) určený pro vytváření a správu kryptografických skupin v síti.

Kryptografie

Užitečný přehled bezcertifikátových asymetrických šifrovacích schémat zpracoval Alexander W. Dent – A Survey of Certificateless Encryption Schemes and Security Models.

root_podpora

Různé

Ve dnech 14.10. –17.10.2006 se v Hotelu SANTON v Brně koná konference DATAKON 2006. Na stránkách konference a také na Crypto-News najdete již další informace k programu konference a jednotlivým vystoupením.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?