Bezpečnostní střípky za 29. týden

Přehledy

Vyšel každoroční přehled Computer Security Institute (CSI) a FBI (komentář k přehledu lze nalézt na Cost of computer attacks down, says survey by CSI, FBI). Obvykle je tento přehled považován specialisty na informační bezpečnost za jeden z nejvýznamnějších. Computer Security Institute sídlí v San Franciscu, letošní přehled je již desátý v pořadí. V tomto roce přehled vychází z odpovědí 700 dotázaných respondentů – pracovníků IT bezpečnosti v různých amerických společnostech, vládních agenturách, finančních institucích, lékařských institucích a univerzitách. Jeden ze zásadních závěrů studie potvrzuje trend posledních let. V roce 2004 poklesly průměrné ztráty (vázané na počítačové útoky) o 61 procent. Klesají takto již čtvrtý rok. Hlavní důvod je spatřován v kvalitní antivirové ochraně (rychlý update). Také je třeba chápat, že respondenty jsou odborníci, tj. lidé, kteří dbají ve svých organizacích o lepší bezpečnost. Zmiňme některé klíčové závěry studie:

• Virové útoky jsou stále zdrojem největších finančních škod. Dramaticky se však zvětšil počet neautorizovaných přístupů, a v pomyslném pořadí se tak dostal na druhé místo, když předběhl útoky DOS (denial of service).
• Významně vzrostl počet incidentů vztahujících se k webovským stránkám.
• Náklady na bezpečnost (na jednoho zaměstnance) jsou největší ve státní sféře.
• V bezpečnostní problematice je stále málo používán outsourcing.
• Klesá procento oznámených incidentů (příčinou je obava před negativní publicitou).
• Významné procento organizací provádí ekonomické zhodnocení svých aktivit v oblasti informační bezpečnosti. Celkem 87 procent organizací (v loňském roce to bylo 82 procent) provádí bezpečnostní audity.
• Většina respondentů považuje za důležitou aktivní výchovu pracovníků ve vztahu k informační bezpečnosti. Soudí však (v průměru), že organizace do této výchovy investují stále ještě málo.

Studie poskytuje dlouhou řadu konkrétních závěrů zformulovaných v číselné podobě, resp. v grafickém vyjádření. Viz také Crypto – News.

Druhým přehledem, který se objevil v tomto týdnu, je přehled Deloitte – Global Security Survey 2005 (viz komentář na Stolen data worries financial institutions ). Tento přehled, jak vyplývá z názvu, se týká finančních institucí (různé sektory – bankovnictví, pojišťovnictví atd.). Teritoriálně pokrývá širokou sféru zeměpisných regionů – Severní Ameriku, Evropu, Střední Východ, Afriku (EMEA), Asii – pacifickou oblast (APAC) – a latinskou Ameriku. V souladu s předchozím materiálem je zde poukazováno na rostoucí význam neautorizovaných přístupů. Jedno zajímavé číslo – na každých 1000 zaměstnanců je šest IT bezpečnostních profesionálů. Klíčová zjištění:

• Dosahování shody (s regulačními ustanoveními) se nyní opírá o vstupy více investorů (včetně technologií a bezpečnosti).
• Organizace je třeba připravit na změnu struktury hrozeb.
• Celkový počet bezpečnostních incidentů klesá, velkou roli v tomto ohledu sehrává zeměpisné umístění a orientace organizace.
• CISO (Chief Information Security Officer) stále častěji předává své zprávy nejvyšší úrovni managementu.
• Zájem vedení o bezpečnost již není jen fakultativní, ale stává se nutným požadavkem.
• Nejefektivněji lze zhodnotit bezpečnostní funkci cestou ocenění její hodnoty a jejího dopadu ve vztahu k předmětu podnikání.
• Správa identit a správa zranitelností – jejich význam narůstá (ve vztahu k dosahování shody).
• Výchova pracovníků je kritická, avšak ještě stále nedostatečná.

Viz také Crypto – News.

Obecná bezpečnost IT

Tony Bradley se v My Top 10 Tips For Preparing and Passing the CISSP Exam obrací k přípravě na certifikaci CISSP (Certified Information Systems Security Professional). Projít šestihodinovou zkouškou není jednoduchá záležitost a Bradley dává kandidátům několik dobře míněných doporučení.

• 1: Získejte praktické zkušenosti.
• 2: Studujte s předstihem.
• 3: Využijte studijní příručky (raději více než jednu).
• 4: Využijte volně dostupné zdroje.
• 5: Zdokonalujte se praxí v obdobných zkouškách.
• 6: Pečlivě čtěte zadání.
• 7: Sledujte čas.
• 8: Vypínejte a relaxujte.
• 9: Před zkouškou se řádně vyspěte.
• 10: Nenechte se zastrašit.

Podrobnosti naleznete ve zmíněném článku. Další informace (zejména řadu užitečných odkazů) najdete zde – Insights, tips and tricks from a CISSP for putting your best foot forward.

V zajímavém článku Deb Shinderové Ethical Issues for IT Security Professionals najde čtenář užitečné úvahy o etice IT bezpečnostních profesionálů. Autorka říká: v článku je postavena řada otázek, nejsou však bezprostředně provázeny odpověďmi. Je to zejména proto, že otázku (je to etické? – ve vztahu ke konkrétní skutečnosti) si musí položit každý IT profesionál sám. Existuje etika starších profesí (medicína, právo), často dobře kodifikovaná. IT a bezpečnostní profesionálové si musí v řadě ohledů tyto přístupy teprve budovat.

Hacker Mitnick preaches social engineering awareness – (slavný) bývalý hacker Mitnick říká, že nejlepší ochranou proti útokům typu sociálního inženýrství je výchova lidí (a ne technologie). Hackeři hledají nejslabší články, a těmi jsou dnes lidé. Doporučuje provádět penetrační testy týkající se sociálního inženýrství.

Je dobře, že existují také vystoupení z druhého pólu (tj. nejen doporučení, co a jak chránit). Analytik Amrit Williams ve svém vystoupení na summitu v Melbourne (Gartner) poukázal naopak na některé přeceňované hrozby – Gartner: Five most overhyped security threats – a říká: nedopusťte, aby vám tyto přeceňované hrozby zabránily v realizaci některých důležitých projektů.

Ale (a zde naopak se hodí vztyčený ukazovák) Juan Carlos Perez píše v Study: Internet users ignorant about data privacy o závěrech ze studie Open to Exploitation: American Shoppers Online and Offline, kde bylo použito odpovědí 1500 dospělých uživatelů Internetu (USA). Většina z nich neuměla správně odpovědět (v průměru bylo sedm správných odpovědí ze sedmnácti otázek).

Software

Federico Biancuzzi v Interview with Dan Kaminsky on Microsoft's se­curity diskutuje se spoluautorem několika knih Danem Kaminskym (Stealing the Network: How To Own The Box + Aggressive Network Self Defense) mj. otázky bezpečnosti Windows a otázky bezpečnosti softwaru obecně (problematika záplat). Kaminsky přirovnává bezpečnost softwaru k bezpečnosti automobilů. Neexistuje stoprocentně bezpečný automobil, přesto jsou používány. Jsou také stále hledány cesty ke zvýšení jejich bezpečnosti.

Microsoft analyzuje potenciální vážnou bezpečnostní chybu v XP SP2 – Microsoft Investigates New XP SP2 Flaw. Chybu zveřejnil Tom Ferris – Upcoming Release: Windows XP SP2 Remote Kernel.

Čínský analytik Yiming Gong v Identifying P2P users using traffic analysis navrhuje novou metodu k identifikaci uživatelů P2P sítí. Metoda je založená na analýze provozu v síti a má umožnit i zjistit, který typ P2P aplikace uživatel využívá.

Kaspersky posiluje. Byl oznámen záměr koupit Spamtest Project – Kaspersky to buy Spamtest Project.

Web Symantecu pod palbou útoku DOS – Symantec website under DDoS attack. MessageLabs informují, že od pátku zachytily 13 717 kopií červa Breatel.A-mm, který cestuje jako příloha e-mailu. Pokud ji někdo otevře, jeho počítač se stává jedním z botů a začíná posílat data na adresu Symantecu. Symantec však říká, že jsou na obdobné útoky připraveni.

XML a bezpečnost

Zajímavý článek naleznete zde – Managing XML Encryption with Java. Jeff Hanson uvádí čtenáře do problematiky šifrování XML v návaznosti na využití Javy a Apache XML Security (viz The Apache XML Project), popisuje potřebné nástroje a technologie.

Archivace dat

Tento týden se v pracovní skupině LTANS objevily dva nové drafty. A. Jerman-Blazic a P. Sylvester napsali první verzi dokumentu Long-term Archive Protocol (LTAP), který popisuje protokol umožňující komunikaci klientů s důvěryhodnou archivační autoritou a popisuje také rámec související architektury.

Druhým dokumentem je Long-Term Archive Service Requirements – již čtvrtá verze draftu, který stanoví základní požadavky na službu dlouhodobé archivace elektronicky podepsaných dokumentů.

Normy a normativní dokumenty

Pokračují práce na přípravě nové verze jednoho ze základních dokumentů pro práci certifikačních autorit – Internet X.509 Public Key Infrastructure – Certificate and Certificate Revocation List (CRL) Profile. Původní verzi obsaženou v rfc.2459 nah­radilo v dubnu 2002 rfc.3280. Nejnovější verze je tedy zatím v draftu – draft-ietf-pkix-rfc3280bis-01.txt. Na adrese DIFF 00–01 lze nalézt popis rozdílů mezi dokumenty 3280bis-00 a 3280bis-01 a na adrese DIFF RFC-01 je popis rozdílů mezi RFC 3280 a 3280bis-01.

Druhá verze pracovního dokumentu Conforming CRL validation for relying parties diskutuje detaily k validaci CRL podrobnější, než je popis daný v rfc.3280, resp. popis ve výše uvedeném draftu nové verze.

Dalším zmíněným normativním dokumentem je rovněž draft skupiny PKIX – IETF PKIX – Simple Certificate Validation Protocol (SCVP) – popisující protokol SCVP. Tento protokol umožňuje klientovi delegovat konstrukci a validaci certifikační cesty na server.

Americký NIST vydal tento týden dva drafty. Prvním z nich je Draft Special Publication 800–53A: Guide for Assessing the Security Controls in Federal Information. Rozsáhlá (158 stran) příručka je rozpracováním bezpečnostních kontrol obsažených v dokumentu Special Publication 800–53 – Recommended Security Controls for Federal Information Systems (vztahuje se k pěti rodinám kontrol z celkového počtu sedmnácti, které jsou v SP 800–53 popsány). Povinnosti amerických státních institucí ve vztahu k těmto bezpečnostním kontrolám vyplývají z ustanovení, která jsou obsažena ve FIPS 200 – Minimum Security Requirements for Federal Information and Information Systems.

Druhým je pak dokument Draft Special Publication 800–56, Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography . Vychází ve svém obsahu z norem ANS X9.42 – Agreement of Symmetric Keys Using Discrete Logarithm Cryptography a ANS X9.63 – Key Agreement and Key Transport Using Elliptic Curve Cryptography. Příloha D (v draftu zatím není) bude obsahovat číselné příklady popsaných postupů (vhodné např. pro verifikaci softwarové podoby algoritmů).

Autentizace

Bruce Schneier v Write down your password today doporučuje, jak pracovat s hesly. Vytvořte si dostatečně složité heslo tak, aby odolávalo slovníkovému útoku, a napište si ho na kousek papíru, který noste v peněžence. Viz také Crypto – News.

John Handelaar v Moving towards two-factor authentication vysvětluje, proč si myslí, že dvoufaktorová autentizace bude přínosem.

Kryptografie

Autor článku Fast generators for the Diffie-Hellman key agreement protocol and malicious standards Boaz Tsaban diskutuje otázky spojené s využíváním rychlých generátorů pro Diffie-Hellmanův protokol pro výměnu klíčů. Rychlé generátory umožňují rychlejší výpočty mocnin modulo (prvočíslo). Obecně je lze (podle autora) používat bez snížení bezpečnosti protokolu. Zajímavá diskuse je pak autorem rozvinuta kolem jednoho zde zformulovaného předpokladu – MDH.

Pokud se jen trochu zajímáte o historii kryptografie, jistě něco víte o existenci šifrovacího zařízení Enigma. Pokud ne, pak se s historií okolo Enigmy lze seznámit v článku Enigma Machine. Papírovou (!), ale plně funkční verzi Enigmy najdete zde – Paper Enigma Machine. A konečně softwarový simulátor je zde – Enigma Simulator v. 4.0

Luke O'Connor se v On the Entropy of Arcfour Keys zabývá slabými klíči v algoritmu RC4 (proudová šifra). Viz také Crypto – News.

Vyšlo nové číslo IEEE Cipher (Electronic Newsletter of the Technical Committe on Security & Privacy A Technical Committee of the Computer Society of the IEEE). Obsahuje řadu dalších zajímavých odkazů na různé akce, které se týkají bezpečnosti IT, komentáře a další informace.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.