Bezpečnostní střípky za 27. týden

Obecná bezpečnost IT

Články, jejichž autorem je Tony Bradley (Internet / Network Security), hrají pozitivní roli při popularizaci problémů z bezpečnosti IT. Jsou čtivé (autor se neschovává za hromadu odborných termínů), určené široké vrstvě čtenářů, vyslovují se k aktuálním otázkám a čtenář získá řadu užitečných informací. Toto pondělí se objevila trojice jeho článků Remember The Basics. V prvním článku Microsoft Windows Security 101 autor dává základní pokyny pro prvotní zabezpečení počítače:

• nainstalujte si antivirový software
• neotvírejte soubory neznámého původu
• udržujte systém instalací potřebných záplat
• používejte firewall (HW, SW)
• používejte silná hesla (passwords)
• přejmenujte uživatele Administrator
• defaultně je na Vašem počítači nainstalován uživatel Guest, a to s prázdným heslem – vytvořte heslo pro tohoto uživatele. Poznámka: i když je tento účet obvykle zakázán, některé hackerské utility ho dokáží zprovoznit.

Druhý článek Introduction to Wireless Network Security je věnován bezpečnostním základům domácí sítě, která využívá bezdrátové technologie. Hacker může sedět v poblíž zaparkovaném autě, a proto je vhodné (jak autor uvádí) dodržovat alespoň následující základní doporučení:

• změnte defaultní systémová ID u používaných zařízení
• zakažte vysílání identifikátoru
• povolte šifrování (WEP – 128 bitové šifrování či raději WPA)
• používejte firewally obsažené v routerech
• změňte defaultní administrátorská hesla
• záplatujte a chraňte svá PC (personální firewally, antiviry)

Třetí článek Password Security diskutuje otázky spojené s používanými hesly. Bohužel řada uživatelů používá jako heslo slova pocházející ze svého blízkého okolí (jméno dítěte, zvířecího miláčka atd.). Také nedostatečně dlouhá hesla dávají možnosti případným hackerům (existují softwarové nástroje, které si s takovými situacemi poradí). Autor doporučuje používat dostatečně dlouhá hesla (všude, kde to lze – bohužel ne vždy je to možné), využívat celou znakovou škálu (velká a malá písmena, číslice, speciální symboly) a včas hesla měnit (autor uvádí každých 30 až 45 dní).

Je mnoho cest a strategií k zajištění bezpečnosti systémů IT, žádnou z nich však nelze koupit jako komerční produkt. Všechny vyžadují stálý monitoring a vyhodnocování situace. Neill Barrett v článku Criminal IT: There's no cure-all for information security filozofuje nad problematikou bezpečnosti IT. Informační bezpečnost není stav, je to nepřetržitý proces.

Vážnějším zájemcům o problematiku IT bezpečnosti lze doporučit knihu Jesper Johansson, Steve Riley: Protect Your Windows Network: From Perimeter to Data, Addison Wesley Professional, May 2005. Na uvedené adrese najdete řadu informací k této knize – celkový popis knihy, obsah, úvod ke knize a vybrané kapitoly – Chapter 1. Introduction to Network Protection a Chapter 2. Anatomy Of A Hack—The Rise And Fall Of Your Network. Kniha má celkem 17 kapitol (a pět příloh). Pokrývá mj. následující obsahové okruhy:

• Improving security from the top of the network stack to the bottom
• Understanding what you need to do right away and what can wait
• Avoiding „pseudo-solutions“ that offer a false sense of security
• Developing effective security policies—and educating those pesky users
• Beefing up your first line of defense: physical and perimeter security
• Modeling threats and identifying security dependencies
• Preventing rogue access from inside the network
• Systematically hardening Windows servers and clients
• Protecting client applications, server applications, and Web services
• Addressing the unique challenges of small business network security

Hackeři a malware

Byla hacknuta britská stránka Microsoftu MS UK defaced in hacking attack. Útočník s přezdívkou Apocalypse na ni umístil obrázek s textem „FREE (RAFA) – HACH IS NOT A CRIME …“. Viz také Microsoft UK Web Site Hacked a Crypto-News.

Byli detekování noví trojané, kteří jsou specifičtí tím, že využívají již dříve použité hlavičky zpráv Trojan attack hits networks worldwide. Samotná zpráva obsahuje například následující text: „Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5–10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.“

Historii červa Beagle popisuje Jason Gordon v The Beagle Worm History Through April 24, 2004. Materiál má 35 stran a obsahuje celou řadu dalších odkazů. Je zpracován především pro bezpečnostní profesionály a odborníky na viry.

Souhrnné informace o situaci v 1. pololetí 2005 (viry, spam, phishing, spyware…) přináší materiál firmy F-Secure Data Security Summary – January to June 2005. Například u virových infekcí došlo k poklesu o 50 procent (ve srovnání s předešlým rokem). Počet virů však stále narůstá (každým rokem zhruba o 40 procent). Roste počet nových trojanů a botů. Vývoj phishingu je také „úspěšný“.

Víte, co jsou to XSS útoky? XSS je zkratka pro Cross Site Scripting, o útoku XSS hovoříme v situacích, kdy útočník vloží javovský skript na webovou stránku, odkud je pak spuštěn. Materiál XSS Attacks FAQ, jak už sám název napovídá, je stručným přehledem problematiky. Obsahuje základní pojmy, základní scénáře útoku, ale i některá doporučení k ochraně před takovýmito útoky.

K bezpečnosti prohlížečů

Microsoft opravil nebezpečnou chybu v Internet Exploreru – článek Víta Juráska na Živě obsahuje stručný popis a odkazy na příslušné záplaty.

Článek Arta Maniona A safe browser? No longer in the lexicon rekapituluje poslední vývoj (IE, Mozilla/Firefox, Safari-Apple) a obsahuje některá doporučení:

• Udržujte svůj prohlížeč včasnými aktualizacemi.
• Na webu buďte opatrní. Nevkládejte citlivé informace (hesla, čísla účtů) na stránky bez https autentizace a šifrování. Neklikejte na linky v e-mailech.
• Vhodně změňte konfiguraci svého prohlížeče.

Biometrie a autentizace

Již i v Německu se rozbíhají práce na řešení otázek spojených s biometrií v pasech – German expert group starts „Biometry Compass“. Je připravována úprava legislativy a v rámci aktivity Biometry Compass (TeleTrusT Deutschland e.V.) je veřejnost informována o výhodách a nevýhodách různých biometrických postupů.

Iain Thomson v krátké informaci Hackers crack two-factor security znovu varuje – dvoufaktorová autentizace není všelék. Již dnes existují hackerské postupy, jak prostřednictvím spyware získat nejen key-log, ale také stáhnout obraz (screen grabbing). Je to reakce na oznámení Microsoftu a BT ohledně jejich plánů na dvoufaktorovou autentizaci. Kriticky se k těmto plánům staví také Bruce Schneier.

Tony Bradley zveřejnil tento týden ještě jeden článek Ten Tips to Prevent Identity Theft. Zabývá se v něm aktuální otázkou – krádežemi osobních informací. V různých situacích stačí některé informace k tomu, aby se někdo za vás vydával. V posledních měsících se s kompromitací osobních údajů zákazníků setkáváme bohužel stále častěji. Autor udává mj. následující doporučení:

• při zadávání PINu si hlídejte, zda někdo (či něco – kamera) nesleduje podrobnosti vašeho počínání
• kde to lze, vyžadujte identifikaci dle fotografie
• skartujte veškeré materiály obsahující nějaké kritické osobní informace. I v koši se může skrývat využitelná informace.
• ničte digitální data (na pevných discích, CD, DVD…)
• vytrvejte v kontrolách (vašich účtů…)

a další (některá doporučení jsou specifická pro USA – číslo sociálního pojištění).

Normy a normativní dokumenty

Vyšlo rfc.4130 – MIME-Based Secure Peer-to-Peer Business Data Interchange Using HTTP, Applicability Statement 2 (AS2). Dokument podle podmínek z rfc.2026 (The Internet Standards Process – Revision 3) popisuje použití přenosového protokolu HTTP pro bezpečnou výměnu strukturovaných obchodních dat. Tato data mohou být ve formátech XML, EDI (ať už dle ANSI X12 či dle UN/EDIFACT) a v jiných strukturovaných formátech. Data jsou v standardní MIME obálce, pro autentizaci a důvěrnost dat je používána CMS a S/MIME. Pro SMTP (Simple Mail Transfer Protocol – rfc. 821) obsahuje obdobný popis rfc.3335 – MIME-based Secure Peer-to-Peer Business Data Interchange over the Internet.

Existující problém s používáním NAT (Network Address Translation) – nekompatibilitu s IPSec – popisuje Deb Shinder v NAT Traversal (NAT-T) Security Issues. Bohužel i při použití NAT-T (NAT Traversal) rfc.3947 a rfc.3948 je nezbytné se zabývat některými dalšími bezpečnostními opatřeními (vyžadují zásahy do registrů).

Kryptografie

Zvažujete nákup produktu pro šifrování dat na disku? Raj Nathan (Sybase) uvádí What to look for in a data encryption product několik jednoduchých doporučení:

• Šifrovací systém nesmí požadovat modifikace aplikací.
• Šifrovací klíče musí být dostatečně chráněny.
• Je použit přístupový systém na bázi práv (daných administrátorem).

Marcelo Rinesi se v Keeping email under lock and (public) key zabývá ochranou obsahu e-mailové schránky (jako příklad je uvedeno využití open source software – GNU Privacy Guard). Do e-mailové schránky může zasílat (vkládat) každý – uloženo je to zašifrovaně pod veřejným klíčem. Číst ze schránky pak ale může jen majitel schránky (= majitel soukromého klíče).

V problematice hashovacích funkcí jsou hledány různé cesty ke konstrukci bezpečných algoritmů. Jednou ze zvažovaných variant je tvorba hashovacích funkcí pomocí blokové šifry. Že to není jednoduché, ukazuje John Black v článku The Ideal-Cipher Model, Revisited: An Uninstantiable Blockcipher-Based Hash Function. Viz Cryptology ePrint Archive: Report 2005/210 a Crypto-News.

Různé

Na závěr tu máme odkaz na informaci týkající se nového detekčního systému – Weapon detection debate may shift spectrum. Systém je schopný rozpoznat zbraň uschovanou na těle za menší dobu, než je polovina vteřiny. Autor článku také poznamenává – systém „nesvléká“ prohlížené osoby, jako tomu je v případě použití jiných technologií.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.