Firemní bezpečnost
Začneme upozorněním na článek z SC Magazine – Best practices for implementing data security Steva Crawforda. V minulých letech byla podniková bezpečnost primárně orientována na firewally, prevenci průniků, filtrování spamu a antiviry. Podle autora se bezpečnostní priority nyní posouvají od budování oddělených bezpečných ostrůvků směrem ke komplexním sítím, které umožňují bezpečné ukládání dat i jejich bezpečný přenos. Organizace se dnes také musejí podstatně více zabývat otázkami naplnění různých regulací (legislativa, normy). Autor se v článku zabývá specifiky digitální bezpečnosti (hesla, kryptografie s veřejným klíčem, autentizace, digitální podpisy, certifikáty, šifrování). V závěru shrnuje, že kvalitní řešení bezpečnosti se musí opírat o tři body (používá k přirovnání trojnožku): bezpečnostní technologie, bezpečnostní politiku a koncové uživatele. Pokud jedna z těchto opor selže, selže celé bezpečnostní řešení.
Autorem článku Experiences with Password Policies je Per Thorsheim, auditor mající rozsáhlé zkušenosti s danou problematikou. Uvedeme jeho některá doporučení (PP = password policy, politika pro práci s hesly):
- Ujistěte se, že s PP jsou seznámeni všichni pracovníci organizace a rovněž tak vnější dodavatelé a další smluvní strany.
- Napište takovou PP, kterou lze použít ve všech systémech, kde se předpokládá, že bude implementována. Proveďte to v návaznosti na všechna technická prostředí (operační systémy, aplikace, databáze) a v součinnosti s uživateli.
- Ujistěte se, že při inicializaci jsou nastavena kvalitní a unikátní hesla (obvykle prostřednictvím automatického generování náhodných hesel).
- Je třeba provádět pravidelné audity pro ověření, zda byla iniciální hesla změněna.
Zamyšlení i reakci na známou událost týkající se bankovních dat, která se nedávno odehrála, přináší článek Encryption – The Missing Defence Tool In Many Companies’ Security Policy
Článek na časté téma, krádeže notebooků, lze nalézt na Laptop Theft – An Insider’s guide to not becoming another Statistic. Dle autora je každý rok ve Velké Británii ukradeno 34 000 (!) notebooků. Jsou zde také uvedena některá doporučení:
- 1. Používejte silná, ale zapamatovatelná hesla.
- 2. Šifrujte data na disku.
- 3. Vychovávejte uživatele, informujte je o rizicích v situacích, kdy je přenášeno velmi mnoho dat.
- 4. Používejte definované zálohovací mechanismy.
- 5. Vytvořte politiku pro ochranu notebooků.
Forenzní analýza
Mariusz Burdach v Digital forensics of the physical memory popisuje metody a postupy pro analýzu fyzické paměti kompromitovaného počítače. Z technik v článku popsaných vychází toolkit idetect.
Bezpečnost Internetu
Odhaduje se, že Internet má téměř miliardu uživatelů. Jakým je dnešní Internet místem? Hackeři, viry, červy, spam, spyware, phishing atd. se nejen stali součástí našeho života, ale bohužel také přivedli situaci k bodu, kdy pro většinu počítačů je téměř nemožný přístup online bez toho, aby se staly obětí nějakého útoku. Ariana Eunjung Cha (Washington Post) v článku Viruses, Security Issues Undermine Internet rozvíjí tento pesimistický (ale bohužel oprávněný) pohled na bezpečnost Internetu. Technická řešení pro mnoho bezpečnostních problémů existují, ale je obtížné dosáhnout konsensu pro jejich implementaci.
Stovky (možná tisíce) počítačů přibývají každý týden v armádě zombií (An Army of Soulless 1's and 0's). Aktuálním nebezpečím se stávají cílené útoky – Targeted attacks pose new security challenge. Příkladem takového útoku je čerstvá událost s kreditními kartami. Jejich nebezpečnost spočívá v tom, že je obtížné tyto útoky zastavit. Nástroje jako antiviry, antispamy a firewally jsou zaměřeny na to, aby ochránily desetitisíce počítačů před rozsáhlými útoky. Malé cílené útoky však nemusejí být bezpečnostními firmami (dodavateli bezpečnostních řešení) vůbec zaznamenány. Také důvěřivost uživatelů nezná mezí. Jason Jones, správce sítě jedné soukromé univerzity v Texasu, provedl se svým týmem test – úspěšně vylákali autentizační data od 90 procent (!) dotázaných jednotlivců. Použil přitom e-mail (s falešným návodem) a webové stránky, které měly vypadat jako stránky univerzitního bezpečnostního týmu.
Jiný příklad „úspěšného“ útoku z poslední doby se týká úniku důvěrných informací ohledně japonských jaderných zařízení. Jeho popis naleznete na Virus harvests nuclear secrets.
Článek The Changing Threat z červnového čísla Security Magazin (Kaspersky Lab) se pokouší dát odpověď na následující otázky: Jak a proč se mění současné hrozby informačním aktivům společností, institucí, firem? Co lze udělat, abychom se ochránili před rostoucím nebezpečím? Rychlá odpověď je jedním z důležitých bezpečnostních faktorů a znamená především připravenost, a to jak bezpečnostních firem, tak i samotných uživatelů.
Pro úspěšný boj např. se spyware je samozřejmě třeba vyjít z nějaké definice tohoto pojmu. Bohužel různé firmy vychází z odlišných pohledů na spyware (např. nástroj Microsoftu nebere do úvahy cookies, jiné nástroje je naopak zvažují). Viz What Is Spyware? The Industry Can't Agree.
A ještě něco k phishingu. John Cheney v Big phish to fry se vyjadřuje k současné situaci.
Vyzařování
Co znamená slůvko TEMPEST, které občas zahlédneme v různých článcích o bezpečnosti informací? Upřesníme – je to kódové slovo americké vlády, které identifikuje (klasifikovanou) množinu norem omezujících elektrické či elektromagnetické vyzařovaní z elektronických zařízení. Neklasifikovaný (tj. nemající stupeň utajení) popis Tempest lze nalézt na The Complete, Unofficial TEMPEST Information Page, doplňky pak zde. V článku Note on History of TEMPEST naleznete několik zajímavých postřehů k historii TEMPEST.
Software
Záplaty (patche) a reverzní inženýrství (reverse engineering – překlad se mi nelíbí, ale neznám jiný): ukazuje se, že tato kombinace tvoří svým způsobem nový potenciál. Robert Lemos v Reverse engineering patches making disclosure a moot choice? ukazuje cesty, jak získat podrobnější informace o opravovaných chybách či zranitelnostech (než byly publikovány).
Biometrie
Nemůžeme pominout následující zajímavou informaci: Forget fingerprints and eye scans; the latest in biometrics is in vein . Firma Fujitsu Ltd. začne příští měsíc prodávat nová biometrická zařízení opírající se o využití struktury cév na ruce (k identifikaci uživatele). Systém je již v Japonsku s úspěchem využíván. Má poskytovat vyšší úroveň bezpečnosti než analogické biometrické technologie (otisky prstů, rohovka, hlas,…).
Normy a normativní dokumenty
V platnost (USA) vstoupila nová bezpečnostní norma pro práci s kreditními kartami (PCI) – Credit card data security standard goes into effect. Týká se všech obchodníků, kteří pracují s daty vztahujícími se ke kreditním kartám. Autor článku však poukazuje na některé nedostatky (audit atd.).
IETF – skupina S/MIME vydala nový draft X.509 Certificate Extension for S/MIME Capabilities. Jak z názvu vyplývá, dokument definuje rozšíření certifikátů, která se vztahují k S/MIME (v návaznosti na rfc.3280).
Ve skupině IETF PKIX probíhá v současné době poměrně intenzivní diskuse ohledně validace CRL (ověření CRL spoléhající se stranou). Jejím (zatím, jak se zdá, neuspokojivým) výstupem je draft Conforming CRL Validation for relying parties.
Kryptografie
Článek On Finding Roots Without Fctoring and A Special Purpose Factoring Algorithm talentovaného mladého kryptologa (Daniel R. L. Brown – Certicom) ukazuje, že v některých konkrétních situacích (pokud je prvočíselný činitel speciálního tvaru) lze přeci jen faktorizaci realizovat. Implementace RSA by měly ověřovat, že použitá prvočísla tento speciální tvar nemají.
Dvojité RSA – se zajímavým nápadem (spíše z oblasti rekreační matematiky, říká podtitul článku) přišli Arjen K. Lenstra a Benjamin M. M. de Weger (Twin RSA). Nejprve se zdálo, že navrženou konstrukci lze rozbít jednoduchým způsobem, ale autorům se to nepodařilo. Přicházejí tedy s výzvou ke čtenářům – nalézt buď lepší argumenty zdůvodňující bezpečnost schématu, anebo prostě najít jeho efektivnější kryptoanalýzu.
Různé informace
Vyšlo nové číslo čtvrtletníku Code and Cipher (vydává Certicom). Z jeho obsahu:
- ECC-based Certificates
- Explaining Implicit Certificates
- Key Distribution and Hybrid Certificates
- Crypto Column: The Practical Side of Public-Key Authentication
- Crypto News (SECG Launches New Working Groups • Weaknesses found in SHA-1)
Nový e-časopis (IN)SECURE Magazine vydává HNS Consulting Ltd. Vyšlo druhé číslo (62 stran), které obsahuje následující:
- Information security in campus and open environments
- Web applications worms – the next Internet infestation
- Integrating automated patch and vulnerability management into an enterprise-wide environment
- Advanced PHP security – vulnerability containment
- Protecting an organization’s public information
- Application security: the noveau blame game
- What you need to know before migrating your applications to the Web
- Clear cut cryptography (takový stručný úvod do kryptografie)
- How to lock down enterprise data with infrastructure services
A také několik krátkých recenzí knih z bezpečnosti IT.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
