Bezpečnostní střípky za 27. týden roku 2006

Obecná a firemní bezpečnost IT

Microsoft vydal v posledním červnovém týdnu rozsáhlý materiál (příručku – je nutná registrace) Windows Security and Directory Services for UNIX Guide v1.0 Readme. Materiál sestává ze tří částí (v pdf je to celkem 94+459+206 stran):

• Volume 1: Overview and Envisioning
  • Chapter 1: Overview of Authentication and Authorization Technologies and Solution End States
  • Chapter 2: Envisioning Your Windows Security and Directory Services Solution
• Volume 2: Solutions Using Kerberos Authentication (End States 1 and 2) – osm kapitol
• Appendices

Cílem materiálu je být průvodcem pro práci s Microsoft® Windows Server™ 2003 ve vztahu k využívání autentizačních postupů a jeho využívání jako úložiště ID, a to v heterogenním prostředí (Microsoft Windows® a UNIX/Linux). Příručka tak má napomoci nalézt řešení vyhovující požadavkům organizací (s ohledem na otázky autentizace a autorizace). Další podrobnosti k příručce najdete na stránce MicrosoftTechNet

Disertační práci k problematice zranitelností a správě záplat napsal Dominic Stjohn Dolin White – Limiting Vulnerability Exposure through effective Patch Management: threat mitigation through vulnerability remediation. Diskutuje v ní současné trendy ve vztahu k zranitelnostem, exploitům, útokům a záplatám. Následně vychází z této analýzy a dále v práci prezentuje svůj pohled na řešení problému – jak ve vztahu k politikám, tak i ve vztahu k potřebným technickým řešením.

Software

Tony Bradley na svých stránkách uvádí aktuální přehled bezplatných (free) bezpečnostních nástrojů – http://netsecu­rity.about.com/od/fre­esecuritytool­s/. Přehled je rozdělen do následujících skupin:

• Antivirus Software
• Packet Sniffers
• Email Spam Blocking
• Personal Firewalls
• Encryption Software
• Pop-Up Ad Blocking
• Enumeration Tools
• Port Scanners
• Intrusion Detection (IDS)
• Spyware / Adware Removal
• Miscellaneous Tools
• Vulnerability Scanners
• Network Monitoring
• Wireless Security

SSH (secure shell) software umožňuje bezpečný přístup k vzdáleným souborům dat. Některé související problémy přibližuje článek SSH tricks. Ne každý ovládá veškerý potenciál tohoto nástroje, a proto autor uvedeného článku popisuje několik „triků“ pro práci s ním.

Beef up Active Directory security with these three steps – to je článek, který napsal Michael Mullins a jak již název napovídá, zabývá se prací s Active Directory (AD) a také souvisejícími bezpečnostními aspekty. Autor doporučuje pečlivé naplánování (na základě diagramu struktury vaší instituce, společnosti), delegování administrace AD (opírající se o oddělené využití dvou typů administrátorů – zvlášť pro data a zvlášť pro služby) a samozřejmě využití auditu objektů a událostí.

Hackeři, malware

Hacker attacks hitting Pentagon: But NSA's methods for safeguarding data are growing obsolete – bezpečnost počítačové sítě se netýká jen nás obyčejných smrtelníků, existující problémy a rostoucí vážná rizika mají dopad i na bezpečnostní systémy Pentagonu. Například v uplynulém roce bylo zjištěno 160 000 pokusů o penetraci počítačové sítě Pentagonu (v roce 1996 jich bylo 800). Související programy NSA stojí před nelehkým úkolem.

A jeden článek z domácí provenience – Bohumír Kotora na Telnetu – Informační technologie – lákadlo pro teroristy. Autor diskutuje viry, spyware, činnosti hackerů jako nástroje tzv. kyberterorismu.

Výzkumníci (University of Cambridge) rozbili Velký Čínský Firewall – Academic breaks the Great Firewall of China. A nejenom že ho rozbili, ale zároveň bylo jejich aktivitou názorně předvedeno, že tento může být dokonce využit k útoku DoS na libovolnou IP adresu v Číně.

Popis obranné hloubkové strategie (defense-in-depth strategy) proti útoku SQL injection obsahuje článek Defense-in-Depth against SQL Injection.

Jaký byl malware v 1.pololetí 2006? Zajímavý pohled poskytuje Chronicle of malware detected in the first half of 2006. Nejde zde o kvantitativní pohled, ale o to, jaké specifické typy malware se objevily. Např.

• Nejvíce sexy – červ Tearec.A
• Nejvíce metodické jsou varianty Bagle, speciálně Bagle.IB (zastaví až 525 různých procesů)
• Rekordně schizofrenický je Biwili.A. Umí nakazit jak platformu Windows, tak i Linux (zajímavá poznámka v článku – nevíme, zda autor červa nevěděl, pro kterou platformu ho napsal, anebo skutečně jeho záměrem bylo zacílení na obě platformy).
• „Nejhroznějším“ – BlackAngel.B s hororovým obrázkem

Viry

U příležitosti dvacátého výročí existence počítačových virů Ross M. Greenberg a George Jones dali dohromady několik zajímavých a informačně obsažných článků:

• A Brief History Of Viral Time

Vůbec prvním počítačovým virem byl bootovací vir Brain – 1986. A potom už historie šla dál… . Viry se začaly stávat rafinovanějšími, autoři pokračují v popisu jejich historie, v závěru článku je pak uveden následující přehled dnes se vyskytujícího malware:

• Trojané
• Boti
• Útoky DDos (Distributed Denial of Service)
• Spyware
• Rootkity
• Malicious Downloads
• Drive-By Downloads
• Rhybaření

• The 10 Most Destructive Viruses Of All Time

George Jones vyjmenovává těchto 10 nejvíce destruktivních virů všech dob:

• CIH (1998)
• Melissa (1999)
• ILOVEYOU (2000)
• Code Red (2001)
• SQL Slammer (2003)
• Blaster (2003)
• Sobig.F (2003)
• Bagle (2004)
• MyDoom (2004)
• Sasser (2004)

• Early Days On The Antivirus Front: A Personal Perspective
  Dozvíme se jaký byl a jaký je antivirový svět, které významné osobnosti, resp. organizace se v tomto světě objevily, …
• Malware Responses: What To Do Before, During, And After An Attack 

Autor rozebírá následujících pět bodů:

• 1. Příprava na útok
• 2. Rozpoznání útoku
• 3. Odpověď na útok
• 4. Obnova služeb a systému
• 5. Analýza odpovědi

Ke každému bodu je připojeno několik doporučení.

• Virus Image Gallery
  Trocha názorných demonstrací (výpisy obrazovek). Na odkazu PC Virus Timeline pak najdete uspořádaný výběr význačných počítačových virů v časové ose.

Spam

Rozbor technik boje proti spamu obsahuje článek Anti Spamming Techniques (Sumit Siddharth). Jsou zde popsány některé z existujících me­tod:

• 1. Signature based
• 2. Score Based
• 3. Bayesian Approach
• 4. Challenge Response

VoIP

Jak pracuje Zimmermanovo Zfone ? Co je obsahem protokolu ZRTP (Z Real-time Transport Protocol), o který se Zfone opírá? Samuel Sotillo v Zfone: A New Approach for Securing VoIP Communication provádí přehled bezpečnostních problémů, kterým čelí současné systémy VoIP, včetně diskuse možných řešení. Protokol ZRTP nabízí mechanizmus vytvářející vysokou úroveň entropie při výměně klíčů (Diffie-Hellmanův algoritmus) na základě výpočtu hashí několika utajovaných hodnot. A to včetně krátkého autentizačního řetězce, který je nahlas přečten volajícími stranami. Spočtená společná sdílená utajovaná hodnota je použita pouze jednou, její část je však uložena pro budoucí spojení.

Bezdrát

Autor článku WEP Cracking, the FBI Way rekapituluje postup, který dva agenti FBI předvedli před několika měsíci – jak cracknout WEP během několika minut. Veškerý potřebný software lze nalézt na Knoppix Linux Live CD – Kismet (jeho update pro Windows najdete na Kiswin32), Airodump, Aireplay, Aircrack.

Některé nástroje pro útoky typu „raw injection“ (v podobě proof of concept) popisuje Laurent Butti na stránce Raw Wireless Tools Homepage.

• Raw Fake AP: emulace přístupové bodu IEEE 802.11 access
• Raw Glue AP: zachycení bezdrátové stanice, která hledá preferovaná SSID
• Raw Covert: nástroj, který používá rámce ACK k iniciaci skrytého kanálu

Viz další popis – předneseno na konferenci Shmocoon 2006 slides.

Think all Wi-Fi networks are secure? – myslíte si, že Wi-Fi sítě, do kterých se připojujete (třeba v hotelu), jsou bezpečné? Samozřejmě – není to pravda, hackeři mají i zde své cesty. Např. podle analýzy RSA Security bylo zjištěno, že 25 procent podnikových WI-FI sítí v New Yorku je nedostatečně zabezpečeno (v Londýně 26 procent, v Paříži to bylo 22 procent). Článek popisuje možné cesty sebeobrany (využívání VPN, šifrování WPA, je třeba znemožnit sdílení souborů z notebooku, obdobně P2P,…).

Instant Messaging

IM – v čem jsou jeho nebezpečí se dozvíte v The Hidden Dangers of Instant Messaging a také tam lze nalézt některá doporučení:
Mějte

• Zpracovanou politiku, mj. stanovující jaký typ komunikace je vhodný pro IM (oproti jiným prostředkům komunikace – osobní, telefonem, e-mailem, faxem, fyzickou poštou.
• Školte své lidi v tomto směru. Politiky jsou neužitečné, pokud v organizaci o nich není dostatek informací a pokud je nelze prosadit.
• Mějte nastaveny postupy pro prosazení odpovídající politiky
• Používejte příslušné technologie pro zjištění, jak jsou prosazovány IM bezpečnost a politika.

A naopak

• Neignorujte IM. Některé společnosti říkají – nepovolujeme IM a tedy naši zaměstnanci ho nepoužívají. Vlastní skutečnost však může být zcela jiná.

Autentizace, rhybaření

Dvoufaktorová autentizace a její nasazení do praxe, těmito otázkami se zabývá Jay Cline v What are you doing about two-factor authentication? Existující řešení jsou různých typů a v přiložené tabulce uvádí autor jejich výhodné a nevýhodné vlastnosti. Doporučuje také neorientovat se hromadně jen na jeden typ řešení. I flexibilita v používaných nástrojích povede k snížení celkových rizik.

Některé psychologické faktory úspěšného rhybaření (Some Psychological Factors of Successful Phishing) popisuje Don Mosley. Shrnuje některé příčiny, proč lidé naletí na podvodné maily:

• 1. Důvěra v autority
• 2. Prezentace (text, grafika) nahradí chybějící vodítka pro ověřování důvěryhodnosti
• 3. E-mail a webovské stránky vypadají zcela reálně
• 4. Vodítka, dle kterých by bylo možné zjistit podvodný charakter e-mailu jsou často mimo zorné pole jeho příjemce.

Dříve (ve svých počátcích) byl podvodný e-mail úspěšný zejména u lidí s nižším přehledem, u lidí, kteří nejsou rodilí mluvčí v jazyce atd. Dnes naletí i studovaní lidé, říká Mosley. V článku najdete i několik doporučení, ale zkrátka – nejslabším článkem bezpečnosti IT jsou (překvapivě :-) ) lidé…

Normy a normativní dokumenty

NIST vydal draft Special Publication 800–78–1, Cryptographic Standards and Key Sizes for Personal Identity Verification. Mj. je v draftu provedeno zúžení výběru množiny eliptických křivek (ze šesti křivek na pouhé dva typy – prvočíselné křivky P-256 resp. P-384). Důvodem je interoperabilita PIV.

Kryptografie

Prokazatelná bezpečnost se stala v posledních letech mohutným nástrojem při řadě postupů používaných pro dokazovaní bezpečnostních vlastností různých kryptografických schémat a protokolů. Někdy ovšem dochází i k relativně nesprávným interpretacím získaných výsledků. Neal Koblitz a Alfred Menezes v Another Look of Provable Security se pokusili kriticky posoudit celou řadu takovýchto „bezpečnostních“ důkazů. Článek je z roku 2004, nyní se objevilo jeho pokračování – Another Look of Provable Security II. Autoři v něm předkládají řadu příkladů, na kterých dokumentují nezbytnost přesné interpretace získaných výsledků.

Na webu IEEE P1363. Standard Specifications For Public-Key Cryptography se objevily články směrované na přípravu nové normy IEEE P1363, speciálně pro projekt: IEEE P1363.3: Identity-Based Public Key Cryptography.

Autoři článku Generalizations of the Karatsuba Algorithm for Efficient Implementations zobecňují známý Karatsubův algoritmus pro násobení polynomů a hledají tak nové cesty k jeho efektivním implementacím.

An Elliptic Curve Processor Suitable For RFID-Tags – autoři analyzují možnosti využití eliptické kryptografie v rámci omezeného prostoru pro RFID-Tag (nízká spotřeba energie, počet bran 8500–14000).

Krátký článek věnovaný Enigmě se objevil na Telnetu (Bohumír Kotora) – Šifrovací panovnice kouzla zbavená.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.