Konference, přehledy
Fifth Workshop on the Economics of Information Security (WEIS 2006) – to je konference (workshop), která proběhla tento týden na Cambridžské univerzitě (Anglie). Z některých vystoupení:
- Hackers, Users, Information Security (I.P.L. Png, Candy Q. Tang and Qiu-Hong Wang )
- Enterprise Information Security: Who Should Manage it and How? (Vineet Kumar, Rahul Telang and Tridas Mukhopadhyay )
- Is There a Cost to Privacy Breaches? An Event Study (Alessandro Acquisti, Allan Friedman and Rahul Telang)
Ekonomický pohled při hodnocení bezpečnostních incidentů bývá diskutován méně (ve srovnání s diskusemi k podstatám bezpečnostních průniků), přesto ekonomika, ať chceme či ne, je vždy přítomna. Komentář ke konferenci a také další diskusi najdete na Schneierově blogu.
2nd Trustworthy Interfaces for Passwords and Personal Information Workshop – tento workshop proběhl 19. června na Stanfordské univerzitě. Jeho organizátory byli Burt Kaliski (RSA Security) a Dan Boneh (Stanfordská univerzita). Kromě seznamu vystoupení jsou k některým přednáškám k dispozici také prezentace (slides). Viz také komentář Burta Kaliski na Blogu RSA.
Společnost F-Secure zveřejnila svůj přehled výskytu malware a dalších existujících bezpečnostních hrozeb za první pololetí 2006 – F-Secure's Data Security Wrap-up for January to June 2006. Ve zprávě jsou konstatovány některé současné trendy již na těchto stránkách zmiňované. Nové typy malware sledují především finanční cíle, roste počet malware opírající se o technologie rootkitů, existuje rostoucí trend malware pro mobilní zařízení. V přehledu jsou pak podrobněji rozebrány některé konkrétní hrozby.
Obecná a firemní bezpečnost IT
V článku You Can Never Be Too Thin or Too Secure (Our manager takes inventory of what's been done to secure her agency's network and what still lies ahead) je ukázán praktický pohled bezpečnostního manažera konkrétní firmy, který chce zhodnotit úroveň bezpečnostních opatření v informačním systému firmy. Jsou zde odděleně obsaženy dva aspekty:
- co již bylo pro IT bezpečnost uděláno
- co ještě zbývá udělat
Pokud se to týká první části, autor konstatuje například následující:
- podařilo se zvýšeným zabezpečením ochránit servery. Než jsou uplatněny záplaty, jsou otestovány, existuje monitoring logů na serverech, k přístupům je použita politika vycházející z Active Directory, jsou nainstalovány firewally, bezdrát je v síti zakázán a jsou zavedena opatření pro práci na desktopech.
Jestliže ale autor zvažuje, co ještě bylo opomenuto, kde mohou být další slabé body, co lze ještě použít, vyjmenovává následující body:
- další opatření na serverech (firewally na úrovni hostu, detekce a prevence průniku), sdílené soubory a přístupy k nim, používání telnetu, šifrování.
Sofistikované bezpečnostní průniky – jejich analýza také nemůže být jednoduchou záležitostí. Eoghan Casey v Investigating Sophisticated Security Breaches jednak ukazuje na stále více se objevující útoky, které jsou podobného typu, jednak ukazuje a rozebírá principy, kterými by se měly řídit odpovídající rozbory (forenzní analýza, spoolupráce odborníků různých typů,…).
Chcete být penetračním testerem? Co musíte obsáhnout, jakou potřebujete kvalifikaci? Na tyto otázky odpovídá autor článku Get Hired As A Penetration Tester. Kromě základních informací najdete zde i rozsáhlý výběr doporučovaných nástrojů (rozdělených do následujících skupin: footprinting, scanning, analyzer, spoofing, Bluetooth, wireless, bruteforce, password cracker, forensics, honeypot).
Na stránkách Financial Cryptography se objevilo několik zajímavých dokumentů:
- Mark Miller:Robust Composition: Towards a Unified Approach to Access Control and Concurrency Control
- Philipp Gühring:Concepts against Man-In-The-Browser Attacks
- Ian Grigg:The Market for Silver Bullets
Například druhý článek diskutuje novější typ útoků, kdy jejich cílem je získání informací z prohlížečů (např. při prováděných transakcích) – s pomocí nových typů trojanů.
USB zařízení – Robert Lemos v aktuálním komentáři na Security Focus (USB drives pose insider threat ) rozebírá možná nebezpečí, která souvisí s jejich používáním. Autor informuje o zajímavém pokusu. Konzultanti auditorské firmy nechali různě položené USB flash disky (20 kusů) uvnitř budovy jedné finanční skupiny. V paměti každého disku byl umístěn program (maskovaný jako obrázkový soubor), který měl za cíl sběr hesel, jmen uživatelů a dalších informací o systému uživatelů. Patnáct z těchto zařízení zaměstnanci zvedli a postupně vložili do počítačů kreditní společnosti.
EMC kupuje RSA Security – EMC to acquire RSA Security for almost $2.1B – zpráva významná pro celý průmysl IT bezpečnosti (viz také EMC buys three more letters for $2.1bn).
Software
Sudo pro Windows – ve verzi z minulého týdne. Na stránce najdete také diskusi, která se týká práce s uživatelskými účty ve Windows Vista (User Account Control – UAC).
Nová verze Windows Genuine Advantage (WGA) nebude již tak často obtěžovat uživatele Windows – User pressure spurs Microsoft to dial back WGA.
Microsoft popisuje chystané změny vztahující se k bezpečnosti pro Outlook 2007 – Code Security Changes in Outlook 2007.
Softwarový projekt (free) LGPL'd embedded crypto library supports TLS má za cíl vytvoření kryptografické knihovny s podporou Transport Layer Security (TLSv1).
Náměty pro zlepšení protokolu SSL obsahuje studie Improved Server Performance and DoS Resistance for SSL Handshakes. Autoři (Kemal BICAKCI a Bruno Crispo a Andrew S. Tanenbaum) zde navrhují tzv. reverzní SSL opírající se o využívání digitálního podpisu na straně serveru.
Bezpečnost webovských aplikací a služeb
Webové služby jsou novým cílem hackerů, říká autor článku Web Services: New Hacker Target. Dokumentuje to na nedávném červu pro Yahoo, resp. na některých dalších nedávných útocích (PayPal, Google).
Recenzi knihy
- Mike Andrews, James A. Whittaker: How to Break Web Software : Functional and Security Testing of Web Applications and Web Services, únor 2006, 240 stran
napsal Robert M. Slade – marc.theaimsgroup.com. Také je možné stáhnout 4. kapitolu této knihy – Chapter 4. State-Based Attacks (nutná registrace). Samotnou knihu najdete na Amazonu.
Malware, hackeři
Existuje stoprocentně nedetekovatelný malware? Koncept Blue Pill používá virtualizační technologii AMD SVM/Pacifica. S její pomocí je vytvořen hypervizor, který přebírá kompletní kontrolu operačního systému. Joanna Rutkowska bude k tomuto „nedetekovatelnému“ typu malware vystupovat na nadcházejících konferencích (SyScan Conference, Singapore, 21. července a Black Hat, Las Vegas 3.srpna 2006). Stoprocentní nedetekovatelnost se týká také Windows Vista. Uf.
Bruce Schneier a výzva – chci být hacknut. Schneier na svém blogu (spíše s humorem) přiznává, že neměl podobnou výzvu učinit. Následující diskuse pak stojí za to.
Zajímavý je následující článek (Imunizing the Internet, or: How I learned to stop worrying and love the worm – autorem je student) na téma „Proč jsou hackeři, červi a viry užiteční pro bezpečnost IT“. Jestliže se obrátíme k analogii z medicinského pohledu – dítě, které je vychováváno naprosto v sterilním prostředí, může vážně onemocnět díky první infekci, se kterou se setká. Naproti tomu dítě vyrůstající v obvyklém (infekčním) prostředí si postupně buduje imunitu. Hackeři a autoři malware vlastně analogicky zastupují infekční prostředí.
Viry, rootkity
Kaspersky Lab.: Proactive Protection: a Panacea for Viruses? – Oleg Gudilin (marketingový analytik společnosti Kaspersky Lab.) se zabývá otázkou rychlosti reakce antivirového softwaru z pohledu existujících tzv. proaktivních technologií.
Aktuální dění v boji proti rootkitům diskutuje autor interview s Markem Russinovichem – One man´s fight against rootkits. Ústřední myšlenka – neexistuje „dobrý“ rootkit.
Bezdrát
Deset nejvíce kritických zranitelností ve vztahu k bezdrátové a mobilní bezpečnosti, takovýto přehled najdete na stránce The Ten Most Critical Wireless and Mobile Security Vulnerabilities. Společnost Mobile Antivirus Researcher’s Association slibuje navíc, že tento dokument bude na svých stránkách pravidelně aktualizovat. Zmiňované zranitelnosti:
- 1. Wi-Fi routery v defaultním stavu (daným výrobcem)
- 2. Přístupový bod pod kontrolou útočníka
- 3. Automatické znovuustavení spojení (bez kontroly uživatele – wireless zero configuration)
- 4. Exploity vztahující se k Bluetooth
- 5. Slabiny WEP
- 6. Hesla (pro šifrování) v otevřené podobě, resp. nedostatečně chráněná
- 7. Malware
- 8. Funkce Autorun – může napomoci útočníkovi při hledání cest pro zavádění infekce
- 9. Řada problémů spojených s používáním VoIP
- 10. Ztracená či ukradená zařízení
Forenzní analýza
Rozsáhlejší studie Forensic Analysis of a Compromised Intranet Server (autorem je Roberto Obialero) se zabývá forenzní analýzou kompromitovaného intranetového serveru. A to počínaje stadiem, kdy probíhá verifikace (logy systému, antivirového softwaru a síťových zařízení) až po vlastní rozbor malware souběžně s vysvětlením použité metodologie (celkově zahrnující osm oddělených stadií).
Podvodné maily
Na stránce Online scams: Top 5 best of the worst najdete další specifické top 5. A sice pět nejúspěšnějších (v uvozovkách) podvodných e-mailů:
- 1. The Nigerian scam
- 2. Online auction scams
- 3. Reshipping/Postal Forwarding scams
- 4. Free merchandise scams
- 5. Phishing scams
Známé nigerijské maily (dopisy) na prvním místě – to asi nikoho nepřekvapí.
Normy a normativní dokumenty
Ústřední dokument skupiny IETF pkix pro práci s digitálními certifikáty – byla vydána další verze (rfc3280bis-04) draftu:
Pracovní skupina IETF smime vydala sérii draftů (první verze), které jsou věnovány problematice šifrování založenému na využívání ID (identity-based encryption):
- Identity-based Encryption Architecture
- Identity-Based Cryptography Standard (IBCS) #1: Supersingular Curve Implementations of the BF and BB1 Cryptosystems
- Identity-based Encryption Parameter and Policy Lookup
- Identity-based Encryption Private Key Request Protocol
- Using the Boneh-Franklin identity-based encryption algorithm with CMS
Vyšlo dále
které specifikuje protokol GSAKMP (Group Secure Association Key Management Protocol) určený pro vytváření a správu kryptografických skupin v síti.
Kryptografie
Užitečný přehled bezcertifikátových asymetrických šifrovacích schémat zpracoval Alexander W. Dent – A Survey of Certificateless Encryption Schemes and Security Models.
Různé
Ve dnech 14.10. –17.10.2006 se v Hotelu SANTON v Brně koná konference DATAKON 2006. Na stránkách konference a také na Crypto-News najdete již další informace k programu konference a jednotlivým vystoupením.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.