Bezpečnostní střípky za 28. týden

Firemní a obecná bezpečnost IT

Sue Hildreth se v článku Protective Layers: Securing Corporate Networks zabývá problémem ochrany firemní sítě proti malware. Nejprve rekapituluje existující nebezpečí, typy malware, se kterými se dnes lze setkat na Internetu. Viry, spyware, adware – autorka uvádí některé příklady. Uživatele firemní sítě je třeba v těchto ohledech vychovávat, ale pro její ochranu je třeba také použít vhodné technologie. Doporučováno je následujících pět kroků:

• Omezte uživatelská privilegia (např. blokace určitých typů příloh – exe, zip; zákaz vstupu na některé weby atd.)
• Záplatujte bez prodlev
• Používejte alternativní e-mailové programy (ne od Microsoftu)
• Vybudujte víceúrovňovou ochranu; žádný z existujících antivirových či antispywarových programů neposkytuje stoprocentní ochranu. Použití dvou typů antivirů či antispamového softwaru zvyšuje šanci na úspěšnou obranu. Mohou být také umístěny na různých místech firemní sítě – SMTP brána, HTTP brána, e-mailový server atd.
• Používejte externí služby (např. pokud poskytovatel internetového připojení má službu filtrující spam a viry).

V zásadě je to jinak standardní článek na toto téma, zajímavý je uvedením některých konkrétních příkladů.

Na odkazu Analysis and Detection of Malicious Insiders najdete jako pdf dokument studii čtrnácti autorů. Materiál je výsledkem šestiměsíčního workshopu (ARDA NRRC), který měl za cíl analyzovat metody interních „záškodníků“ v komunitě Spojených Států. Autoři předkládají obecně použitelný model chování takovýchto individualit, motivy provázející tuto činnost, aktivity s ní související a příslušná pozorování. Zájemcům o tuto problematiku může také posloužit další řada titulů uvedená v seznamu literatury.

Existující trendy ve zranitelnostech sítě a správě rizik ve firmě popisuje přehled společnosti nCircle Vulnerability and Risk Management Trend Survey… (je nutné se zaregistrovat, tj. zadat základní údaje o své osobě – adresa, zaměstnavatel). Při přípravě přehledu bylo vzato do úvahy vyjádření celkem 1700 pracovníků v dané oblasti (CIO, CSO a bezpečnostní ředitelé). Výsledky studie ukazují, že v mnoha firmách ještě stále nemají dostatek informací, které potřebují ke zhodnocení efektivnosti svého bezpečnostního systému:

• 60 procent respondentů neumí říci, zda rizika spojená s bezpečnosti jejich sítě rostou, či klesají
• 59 procent respondentů prohlásilo, že neumí napsat zprávu o aplikacích a zranitelnostech v rámci své působnosti
• 52 procent respondentů neumí zjistit či verifikovat shodu se svými interními bezpečnostními politikami

Jiný zajímavý přehled byl vydán společností McAfee Virtual Criminology Report, viz také Botnets and spyware still on the rise. Názvy tří kapitol dvacetistránkové zprávy:

• Cybercrime, New and Improved
• Attack of the Zombies
• Looking to the Future

Před dvěma lety figurovalo v obdobném přehledu společnosti McAfee přibližně 300 nových potenciálních hrozeb v jednom měsíci, dnes je to již 2000 hrozeb. V první polovině letošního roku bylo kompromitováno (zneužito jako bot) o 63 procent více počítačů než za celý loňský rok. Legislativa se pokouší dělat zásadní kroky ve směru boje proti malware. Autoři přehledu jsou však pesimističtí, malware je na postupu a zastavit se jej nedaří. Autoři také varují, že byla nalezena metoda hacknutí bezdrátového protokolu pro Bluetooth. Rostou hrozby pro mobilní zařízení.

Nečekaně nám z hlediska bezpečnosti mohou „pomoci“ i prodejci díky nevhodné přípravě OEM softwaru. Dell OEM XP Professional (viz Blank Administrator Password on OEM Windows XP Installation a Crypto-News má skrytý administrátorský účet bez ustaveného hesla.

Legislativa

Je třeba se zabývat tím, jak nastavit zákony tak, abychom chránili sebe i svá data. K tomu je nezbytné řešit celou řadu problémů, před kterými minulé generace nestály. Daniel Hanson se v Who owns the information? zmiňuje v tomto ohledu o informační revoluci jako analogu průmyslové revoluce minula. Jedním ze základních problémů je vlastnictví elektronických dat. Není jednoduché odpovědět komplexně a jednoznačně na takovéto otázky, a to ať se jedná o hudbu zakoupenou v obchodě na CD nosiči, nebo hudbu staženou (legálně) z Internetu. Některé odpovědi jsou známy, jiné (např. odpovědnost poskytovatelů internetových služeb, které poskytnou média pro narušení těchto zákonů, odpovědnost výrobců softwaru, který umožňuje nelegální kopírování atd.) známy nejsou. Ještě složitější (v právním významu) otázky vznikají, pokud se začneme zabývat například ochranou osobních údajů. Jak zajistit, aby entity, které sbírají, používají a ukládají tato data, jednaly s patřičnou odpovědností?

Internetové bankovnictví a bezpečnost

Článek Steva Ellise Internet Banking Security: Separating Fact From Fiction informuje čtenáře o závěrech výzkumu, který byl proveden na základě odpovědí 4000 uživatelů. Autor říká, že online bankovnictví lze (na základě tohoto výzkumu) považovat za velice bezpečné, a to i přes publikované informace o existujících narušeních. Krádeže totožnosti (tj. momenty, kdy se jedna osoba vydává za jinou s kriminálním úmyslem) lze stále podstatně více spojovat s papírovými dokumenty. V roce 2004 tvořila takováto počítačová kriminalita pouze 11,6 procent všech krádeží totožnosti. Přitom polovina z těchto 11 procent vznikla na základě spyware. Autor pak uvádí některá doporučení (požívané technologie, bezpečnostní opatření, kontroly, prevence).

Malware

K námi již zmíněnému problému (viz Bezpečnostní střípky za 24. týden) RSS čtečky a viry se vrací John Leyden v Could blogging spread computer worms?. Viz také článeček Aleše Miklíka na Lupě Bude RSS šířit viry?.

Byl vydán draft Anti-Spyware Coalition Definitions and Supporting Documents (viz také komentář v Industry clamps down on spyware) obsahující nový pokus o společnou definici spyware. Komentáře a připomínky k draftu lze zasílat do 12. srpna.

Software

Vychází zajímavá kniha 19 Deadly Sins of Software Security, autoři Michael Howard, David LeBlanc a John Viega. Kniha je určena všem softwarovým vývojářům a ukazuje, jak se vyhnout „19 hříchům“ (z hlediska softwarové bezpečnosti).

Z obsahu (názvy devatenácti kapitol):

• 1. Buffer Overflows
• 2. Format String problems
• 3. SQL injection
• 4. Command injection
• 5. Failure to handle errors
• 6. Cross-site scripting
• 7. Failing to protect network traffic
• 8. Use of „magic“ URLs and hidden forms
• 9. Improper use of SSL
• 10. Use of weak password-based systems
• 11. Failing to store and protect data
• 12. Information leakage
• 13. Improper file access
• 14. Integer range errors
• 15. Trusting network address information
• 16. Signal race conditions
• 17. Unauthenticated key exchange
• 18. Failing to use cryptographically strong random numbers
• 19. Poor usability

Na odkazu Writing Linux firewall rules w/ IPTables najde čtenář několik poznámek ohledně potenciálu zabudovaného v linuxovém kernelu (od verze 2.0), který umožňuje vytváření vlastních firewallových pravidel.

Kerberos flaw opens apps to attack – nalezeny dvě vážné bezpečnostní chyby. Chyby umožňují online útočníkovi shodit počítač či získat k němu přístup. Bylo však konstatováno, že využití chyb není jednoduché a MIT již zpřístupnila příslušné záplaty.

Identifikační karty

Na Technetu se objevila krátká informace Pasy s otisky prstů budou v ČR do roku 2008 týkající se situace v ČR. Součástí pasu má být i bezkontaktní čip (RFID?).

Britové však přichází s návrhem na schválení společné EU normy pro biometrické identifikační karty – UK EU presidency aims for Europe-wide biometric ID card. Viz také UK Presidency proposes that all ID cards have biometrics – everyone to be fingerprinted a Note.

Normy a normativní dokumenty

Od konce června začala platit norma PCI – Payment Card Industry Data Security Standard, která definuje bezpečnostní opatření k ochraně dat držitelů karet.

Byla vydána nová verze TS 102 042 v1.2.2. – Policy requirements for certification authorities issuing public key certificates.

Připravuje se norma pro bezpečnostní specifikace webovských služeb IBM, Microsoft develop Web services security protocol . V září budou OASIS (Organization for the Advancement of Structured Information Standards) předány následující specifikace: WS-Trust, WS-SecureConversation a WS-SecurityPolicy, které budou následně převedeny do podoby norem.

NIST zveřejnilo draft FIPS 200 Minimum Security Requirements for Federal Information and Information Systems . Dokument navazuje na NIST Special Publication 800–53 (Recommended Security Controls for Federal Information Systems).

Kryptografie

Na serveru Cryptology ePrint Archive byla zveřejněna disertační práce autora Ayan Mahalanobis – Diffie-Hellman Key Exchange Protocol, Its Generalization and Nilpotent Groups. Viz také Crypto-News.

Různé

Kdo je Gary McKinnon, 39letý britský hacker, a kam všude pronikl? Proč po něm jde americká vláda? Nejprve se v UK's Nasa hacker breaks his silence dozvídáme, že pronikl do 53 amerických vládních institucí. V počítačové síti US Space Command „nalezl důkazy o mimozemské misi“. Ve zveřejněném interview The NASA hacker: Scapegoat or public enemy? se dostáváme k dalším informacím. Gary McKinnon se (podle svého vyjádření) zaměřoval na vyhledávání důkazů o mimozemšťanech – UFO existují, USA měly vyvinout antigravitační zařízení, 11. září je spojeno s dalšími podezřelými aktivitami atd. Zde – Free Gary McKinnon – najdete stránky věnované jeho osobě.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.