Bezpečnostní střípky za 28. týden roku 2006

Přehledy

Na stránkách Computer Security Institute byl zpřístupněn (nutná registrace) každoroční přehled – CSI/FBI Computer Crime and Security Survey – letos již jedenáctý v pořadí. Tentokrát byl zpracován na základě odpovědí 616 specialistů pro počítačovou bezpečnost, kteří pracují v amerických korporacích, vládních agenturách, finančních a lékařských institucích a na univerzitách. K některým závěrům přehledu:

• Přestože celkové ztráty vzniklé na základě průniků poklesly, zůstávají tyto hlavní příčinou finančních ztrát. Celkem 74 procent finančních ztrát vzniklo díky útokům virů, díky neoprávněným přístupům do sítí, díky ztraceným či ukradeným notebookům a dalšímu mobilnímu HW, resp. díky krádežím důvěrných informací či intelektuálního vlastnictví.
• Většina organizací provádí nějakou formu ekonomické evaluace nákladů na bezpečnost.
• Osmdesát procent respondentů potvrdilo, že jejich organizace provádí bezpečnostní audity.
• Vládní nařízení a shoda s regulačními ustanoveními (legislativou) zůstávají hlavním tématem práce oddělení IT.
• Outsourcing bezpečnosti není tak rozšířen, jak by se zdálo – 63 procent respondentů říká, že jejich organizace neprovádí outsourcing jakékoliv bezpečnostní funkce (ve vztahu k IT).
• Většina organizací považuje interní školení svých pracovníků ve vztahu k bezpečnosti IT za důležitou součást svých činností. Většina respondentů však říká, že jejich organizace do bezpečnosti IT neinvestuje dostatečně.

Komentář k přehledu najdete na CSI survey: Data breaches still being swept under the rug (a komentář k loňskému přehledu CSI/FBI na těchto stránkách – Bezpečnostní střípky za 29. týden 2005).

Obecná a firemní bezpečnost IT

Nový článek Kevina Mitnicka  – Mitigating Malware in Userland – má za cíl napomoci zákazníkům minimalizovat rizika spojená se sofistikovanými počítačovými hrozbami. Tento článek dává čtenáři možnost nahlédnout do typického hackerova způsobu uvažování a obsahuje příklady IT bezpečnostních průniků z reálného života řady korporací. Poslední jeho třetina obsahuje celou sérii doporučovaných protiopatření.

Financování velké části internetu se odvíjí od využívání reklamních bannerů. Ovšem i zde se objevují triky, které nějakou cestou hledají neoprávněné výhody (místo člověka navštíví danou stránku bot atd). Bruce Schneier diskutuje tuto problematiku ve vztahu k vyhledávači Google a poukazuje na nový reklamní model, který Google v současnosti testuje – cost-per-action.

Zajímavou vizuální příručku k penetračním testům najdete na následujícím odkazu – Penetration Test. Obsahově příručka pokrývá následující body:

• Nástroje, které provádí výčty (nmap, firewalk, amap, nbtscan, hping, scanrand, sinfp, etc.)
• Skenovací nástroje ve vztahu k obecným zranitelnostem (nessus, typon, NGS Squirrel, MatriXay, SARA)
• Nástroje typu Exploit Engine (metasploit, manual SQL injection, etherape, netwox, hijetta)
• Kroky pro předběžné inspekce (vše!)
• Password Cracking (JtR, L0pht, Rainbow, pwdump)
• Network Recon (whois, samspade, google, social engineering, dumpster diving, zone transfers)
• Kroky k výsledkům výčtů (co když je některý port informačního systému otevřen?)
• Příklady v příkazovém řádku pro každý nástroj.

Bert Latamore (Seven keys for complete message security) cituje Toma Bundara (Xl Global Services) a uvádí sedm klíčových momentů vztahujících se k problému bezpečnosti zpráv:

• Administrace
• Snadnost použití
• Ochrana na serveru
• Snadné vyhledávání
• Silné šifrovací schéma
• Přílohy
• Přehlednost (ve vztahu k příjemcům zpráv).

Také informační systémy v nemocnicích a jejich bezpečnost jsou předmětem analýz. Jednu takovou obsahuje studie Jody Barnesové Intrusion Detection Systems in Hospitals: What, Why, and Where.. Je zaměřena především na využití systémů pro detekci průniků (IDS). Autorka popisuje jednotlivé typy těchto systémů, jejich vztah k informační bezpečnosti v nemocnicích. Materál vyúsťuje v doporučení pro nejlepší postupy (best practices) při využívání IDS.

Šest jednoduchých pravidel pro šifrování vašich podnikových dat obsahuje stručný přehled na odkazu Six Rules for Encrypting Your Enterprise Data (registrace).

Na co se nesmí zapomenout při bezpečném zálohování dat – to je obsahem článku Successful Backups are Not Enough.

Software

Zranitelnostmi prohlížečů a jejich vyhledáváním prostřednictvím techniky nazývané fuzzing se ve svém článku Fuzzing browsers for fun zabývá Robert Vamosi.

Virtualizace jako ochrana před malware – Application-level virtualization for Windows – to je tématem rozhovoru s Eyalem Dotanem. E.Dotan pracoval na vývoji takovéhoto SW. K problematice virtualizace a její užitečnosti i z dalších hledisek najdeme informace také v článku Virtualisation – key for the data centre.

Five application security threats and how to counter them – Jeannette Mullaney sebrala celou řadu informací, které se týkají následujících pěti nejčastějších hrozeb pro bezpečnost aplikací:

• 1. SQL injection
• 2. Cross-Site Scripting Attacks
• 3. Denial of Service
• 4. Buffer Overflows
• 5. Session Hijacking

Je to vlastně příručka a zároveň rozsáhlejší soubor odkazů, které se vztahují k těmto problémům. Za článkem jsou ještě uvedeny další odkazy, které se týkají hrozeb vztahujících se k webovským aplikacím.

Je Windows Genuine Advantage Program spyware? (Is the Windows Genuine Advantage Program spyware?, Tom Spring). Některé antispywareové firmy si to myslí. Microsoft by měl i vůči vlastním produktům uplatňovat pravidla, která sám definoval.

Proč potřebujeme bezpečné RSS a jak to bude s jeho podporou v IE7? Brian Livingston v Will IE 7.0 Be Capable of Secure RSS? konstatuje, že zatím to vypadá, že bezpečné RSS v IE7 nebude. Bezpečným RSS přitom rozumí tři následující věci – autentizaci, autorizaci a šifrování. Pokud tyto vlastnosti nebude IE7 poskytovat, nebude zde např. existovat ani vhodná podpora pro placenou službu RSS.

Hackeři

Rozsáhlé útoky hackerů na počítače americké vlády jsou popisovány v článku Hackers target State Dept. computers. Co vše uniklo a jak, je zatím předmětem šetření. Některé další podrobnosti jsou obsaženy v článku State Department Releases Details Of Computer System Attacks. Útoky pocházely z regionu Východní Asie a byly cíleny na americká velvyslanectví, která zde působí.

RFID, bezdrát a VoIP

Ivan Damgard and Michael Ostergaard Pedersen v RFID Security: Tradeoffs between Security Efficiency provádí rozbor současného stavu problematiky, vyústěním je pak návrh nové třídy protokolů. Tyto protokoly mají poskytovat lepší východiska pro poměr vytvářený mezi bezpečností a efektivností.

Bezdrátové sítě pro menší firmy, jejich užitečnost a naopak vznikající nová bezpečnostní rizika analyzuje Russell Morgan v Wireless Networking for Small Business. Zabývá se jejich bezpečnostními vlastnostmi a dává pak několik doporučení.

Protokol Skype byl cracknut čínskými inženýry (reversní inženýrství), tato informace se objevila koncem týdne na serveru VoIPWiki Blog (Skype Protocol Has Been Cracked ) a byla hned široce rozebírána – Chinese company claims Skype protocol cracked , Chinese Company: Skype Protocol Cracked, Skype protokol prolomen,…, Protokol Skype byl prolomen.

Rootkity

Poslední informace týkající se vývoje v rootkitech přináší články na firemních webech F-Secure a Symantecu – Hiding the Unseen, Raising the Bar: Rustock.A and Advances in Rootkits.

Joanna Rutkowska ve svém článku Introducing Blue Pill stručně popisuje svůj myšlenkový postup, který ji přivedl ke konstrukci rootkitu na bázi technologie Blue Pill s podivuhodnými vlastnostmi. Fungující prototyp jejího rootkitu existuje pro platformu Vista x64.

Helena Nikodýmová na Lupě ve svém článku Rootkity? Raději nepřehlížet předkládá čtenářům úvodní pohled do problematiky rootkitů.

Forenzní analýza

iPod Forensics – Christopher V. Marsico a Marcus K. Rogers (Purdue University) se věnují zatím nepříliš zmapované oblasti – forenzní analýze iPodů. Podrobili kritické analýze některé existující nástroje (obecného určení) a v závěru předkládají náměty pro další výzkum.

Autentizace, rhybaření

Společnosti Visa a Master Card vydávají nová bezpečnostní pravidla v návaznosti na normu PCI – Visa, MasterCard Unveil New Security Rules. Norma PCI (Payment Card Industry) byla vydána před rokem. Nyní přichází její rozpracování.

Rhybáři začínají využívat VoIP – Phishers turn to VoIP. Místo zasílaných e-mailů je nyní potenciálním obětem telefonováno.

Threatwatch – 2-factor Tokens Attacked by Phishers… – dvoufaktorová autentizace a útoky rhybářů. Dalo se to čekat, útok typu man-in-the-middle (tímto mužem uprostřed je falešná webovská stránka) a rhybář se takto dostane samozřejmě k veškerým datům, které tvoří ochranné prvky. Diskusi a komentáře k problému najdete také na Schneierově blogu. Další související odkazy:

• Citibank Phish Spoofs 2-Factor Authentication
• Phishers crack two-factor authentication
• Phishers edge past banks' strong authentication

V nových českých pasech bude zašifrovaná fotografie – citace z úvodu článku: Zaklínadlem bezpečnosti a boje proti terorismu je v 21. století biometrie. Proto i Češi začnou od září dostávat pasy s čipem, který bude obsahovat biometrická data svého majitele. Tedy přesné informace o tvaru jeho obličeje.

Velká Británie má problémy s novými ID kartami – UK ID card scheme near collapse, as Blair pushes cut-down ‚variant‘. Nedaří se realizovat ani pozměněné plány.

Normy a normativní dokumenty

Pracovní skupina IETF pkix vydala v uplynulém týdnu dva drafty:

• Cryptographic Message Syntax (CMS) Multiple Signer Clarification, dokument doplňuje CMS (rfc.3852) některými podrobnostmi pro práci s objektem SignedData v situacích, kdy existuje více podpisů.
• Subject Identification Method (SIM)

Kryptografie

Byl publikován (předložen k diskusi) prozatímní časový plán pro přípravu nové normy pro hashovací funkce AHS (Advanced Hash Standard) – na stránkách NISTu – Advanced Hash Standard (AHS) Tentative Timeline. Je v podstatě navrhován obdobný postup jako při přípravě normy AES (Advanced Encryption Standard), tj. formou veřejné soutěže. Nová norma by měla být pak oficiálně publikována zřejmě v roce 2012.

Kryptografické párování a postranní kanály – Side Channel Analysis of Practical Pairing Implementations: Which Path is More Secure? – článek obsahuje analýzu tří typů párovacích algoritmů (Tate, Eta, Ate) z hlediska potenciální využitelnosti postranních kanálů a v návaznosti na tuto analýzu pak autoři uvádí některá doporučení.

Obdobné problematice se věnují také asijští autoři článku Side Channel Attacks and Countermeasures on Pairing Based Cryptosystems over Binary Fields. Zde autoři předkládají efektivní algoritmus, který by zároveň měl být i bezpečný proti útokům z postranních kanálů.

Na konferenci Selected Areas in Cryptography v Montrealu v Kanadě (již 13.ročník) byl přijat příspěvek českých autorů (M. Hlaváč and T. Rosa: Extended Hidden Number Problem and its Cryptanalytic Applications). Autoři navrhli na základě studia takzvaného rozšířeného problému skrytého čísla nový algoritmus a v další části článku diskutují jeho využití. Podrobnosti Vl. Klíma na Crypto-News.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.