Hlavní navigace

Bezpečnostní střípky za 32. týden roku 2006

Jaroslav Pinkava 14. 8. 2006

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Konference, přehledy, obecná a firemní bezpečnost IT, software, malware, hackeři, viry, autentizace, biometrie, digitální práva, normy a normativní dokumenty, kryptografie.

Konference, přehledy

Ve dnech 4.-7. srpna 2006 proběhla v Las Vegas v pořadí 14. konference Defcon (bezprostředně tedy navázala na konferenci Black Hat). Konference nese označení „largest underground hacking event in the world “. Její letošní program lze najít na Defcon schedule, anotaci jednotlivých vystoupení (celkem 109 vystupujících) pak na Defcon speakers. Komentáře ke konferenci je možné si přečíst např. na následujících odkazech:

a zhruba dvě desítky odkazů na další komentáře (jak ke konferenci Black Hat, tak i k Defconu) najdete souhrnně zde:

Prezentace jednotlivých účastníků konference si lze stáhnout ze stránky

K bezpečnosti síťových tiskáren se vrací ještě Bruce Schneier. Diskutuje k vystoupení Brendana O'Connora na konferenci BlackHat minulý týden – blog (a diskuse).

V září bude zveřejněn americký přehled Consumer Reports National Research Center. Zatím byly publikovány a komentovány některé dílčí údaje:

Například:

  • četnost spamu zůstává na zhruba stejné úrovni jako před rokem (polovina uživatelů konstatuje vysokou úroveň spamu)
  • četnost virových infekcí také zůstává na stejné úrovni, jedna čtvrtina uživatelů hlásí velký problém a často finančně nákladný
  • spyware – nastal pokles hlášených incidentů, přesto situace stále odpovídá epidemii, jedna osmina uživatelů měla velký problém a zase často finančně nákladný
  • rhybářské útoky – stejná úroveň jako před rokem, roste ale velikost průměrné ztráty jedné oběti. Alarmující je vzrůst počtu rhybářských webů.
  • úhrnem – pravděpodobnost, že se uživatel stane obětí kybernetické kriminality, je rovna jedné třetině – zhruba stejná úroveň jako před rokem.
  • mezi nejrychleji rostoucí kybernetické hrozby patří množství počítačů infikovaných malware, který z nich činí součást armád botů

Obecná a firemní bezpečnost IT

V článku Tips to prevent data loss (je reakcí na časté informace z poslední doby, které hovořily o ztrátách či krádežích citlivých dat) je uvedeno celkem pět doporučení. Týkají se prevence takovýchto ztrát dat (notebooky, zálohy dat na páskách, e-maily obsahující citlivé informace):

  • Používejte CMF (Content Monitoring and Filtering), tedy používejte vhodné nástroje pro monitoring a filtrování síťového provozu (e-mail, IM, ftp, http, webovský mail).
  • Šifrujte vaše zálohy (na páskách a jiných prostředcích pro hromadně ukládaná data).
  • Zabezpečte pracovní stanice, omezte používání domácích počítačů a zamykejte přenosné prostředky pro ukládání dat (USB flashe, CD-ROM).
  • Šifrujte data na noteboocích (nejlépe šifrujte celé disky)
  • Používejte prostředky pro monitoring aktivit databází.

Eoghan Casey v článku Investigating Sophisticated Security Breaches se vyjadřuje k některým problémům forenzní analýzy, konkrétně se týkajících analýz sofistikovaných útoků. V takovýchto případech totiž neexistuje univerzálně využitelná metodologie a bezpečnostní profesionálové se musí plně spolehnout na své znalosti a vzájemnou spolupráci. V článku jsou obsažena doporučení pro integraci forenzních principů do používaných bezpečnostních nástrojů a také pro hledání cest ke zvýšení odborných znalostí vyšetřovatelů.

Software

Six steps to secure sensitive data in MySQL – pokud používáte MySQL, existuje několik relativně jednoduchých cest, které zabezpečí ochranu vašeho systému a zredukuji rizika neautorizovaných přístupů k vašim citlivým datům. Častým argumentem, který je uváděn v této souvislosti – proč nepoužívat zabezpečení pro databáze – je prý, že je to obtížné a komplikované. V článku jsou proto zformulovány některé relativně jednoduché postupy:

  • 1. Nastavte pečlivě práva uživatelů tak, aby uživatel měl přístup skutečně jen k těm částem databáze, které nezbytně potřebuje.
  • 2. Vyžadujte používání bezpečných hesel (passwords).
  • 3. Ověřte práva k prohlížení konfiguračních souborů a místa, kde jsou tyto soubory uloženy (nacházejí se zde hesla v otevřené podobě).
  • 4. Šifrujte přenosy typu klient-server (SSL, Open SSH).
  • 5. Zakažte vzdálený přístup (blokování spojení TCO/IP) – lze-li to.
  • 6. Provádějte aktivní monitoring přístupového logu pro MySQL.

Poznámka: dokumentaci k MySQL najdete na tomto odkazu – MySQL 5.1 Reference Manual.

Co potřebujete vědět o technologiích pro VPN – What you need to know about VPN technologies How they work, what they can do for you, problems to watch out for. Autor tohoto článku, Martin Heller, rozlišuje dva základní typy VPN:

  • důvěryhodné VPN (na bázi důvěryhodného spojení, které zajišťuje poskytovatel)
  • zabezpečené VPN – používají buď IPsec se šifrováním, IPsec v druhé vrstvě (L2TP), SSL 3.0 či TLS (Transport Layer Security) se šifrováním anebo Point-to-Point Tunneling Protocol (PPTP).

Pokud je používána kombinace – zabezpečené VPN prostřednictvím důvěryhodné VPN, hovoří autor o tzv. hybridní VPN. V článku jsou pak dále rozebírány jednotlivé varianty (i v návaznosti na použité OS) a hodnocena pozitiva resp. rizika při práci s VPN.

Caleb Sima (Security at the Next Level) se ptá: Jsou vaše webovské aplikace zranitelné? Tento článek je vlastně 26tistránkový přehled k bezpečnosti webových služeb, možných zranitelnosti a útoků. Nutná registrace.

Bezpečnost linuxových webovských aplikací zase diskutuje Phil Hochmuth v LinuxWorld experts: Securing Web-based applications on Linux.

The Path to Multi-Level Security in Red Hat Enterprise Linux (i zde je nutná registrace) – osmistránkový dokument ve formátu pdf, jehož autorem je Chris Runge (Red Hat). Autor popisuje postupy pro vytváření víceúrovňové bezpečnosti (z hlediska kontroly přístupů) při použití OS Red Hat Enterprise Linux, resp. v návaznosti na využití Security-Enhanced Linux. Red Hat Enterprise Linux 5 (bude vydán ke konci roku 2006) je sponzorován HP a má být evaluaován del CC EAL 4+. To by mělo umožnit jeho využití pro práci s utajovanými daty (i vysokých stupňů utajení).

NAP – Network Access Protection (MS) – lze mu dostatečně věřit? Jonathan Hassell (Can you rely on Microsoft's Network Access Protection?) popisuje nejprve základní vlastnosti NAP a pak hodnotí jeho nevýhody, resp. naopak výhody. Závěr článku obsahuje několik dalších odkazů, které se váží k problematice.

Open SSH – popis instalace a další informační zdroje lze nalézt v článku OpenSSH na serveru Linux Security.com.

Secure at the Source: Implementing Source Code Vulnerability Testing in the Software Development Life Cycle (nutná registrace – free) – Ryan Berg se v tomto článku zabývá otázkami testování vyvíjeného softwaru (chyby, zranitelnosti) z hlediska jednotlivých fází jeho vývoje. Cílem materiálu je uvést nejlepší modely pro včlenění takovéhoto testování do životního cyklu vývoje softwaru (SDLC – software development life-cycle ) a také, jak je možné spojit efektivní cestou bezpečnostní poznatky s cestami vývoje.

Malware, hackeři

Prezentaci pozoruhodného vystoupení Joanny Rutkowské (již několikrát zmíněného na těchto stránkách) na konferenci Black Hat si lze stáhnout z následujícího odkazu – Subverting the Vista Kernel for Fun and Profit.

Jitter Bug aneb špion ve vaší klávesnici – studie Keyboards and Covert Channels. Komentář k této zajímavé studii (autorů – Gaurav Shav, Andres Molina, Mattt Blaze – ) najdete na Could your keyboard spy on you? a také na JitterBug spies threaten IT security. Malý fyzický zásah do klávesnice či spojovacího kabelu (vložení skrytého HW) a je zde stejný špion, jako jsou SW keyloggery. Zatím nejsnadnějším způsobem detekce takového zařízení je kontrola cest, kudy jsou následně přenášeny kradené informace. Je otázkou, co bude, jakou volit obranu až tyto informace budou šifrovány. Pokud se obáváte špionáže, tak snad nejlépe zamykat do trezoru celý počítač (i před uklízečkou). Paranoia – ano, ale každý musí zvážit svá existující rizika.

Viry

AOL nabízí nový bezplatný antivirový program (ve spolupráci s Kaspersky Lab) – AOL releases free anti-virus tool. Active Virus Shield má své stránky zde – Introducing Active Virus Shield.

Autentizace, biometrie, digitální práva

E-Passport aliance (E-Passport ally responds to cloning claims ) popírá možnost kopírování elektronických pasů (viz prezentace Lukas Grunwald – na konferenci Defcon) a uvádí dvě navržená protiopatření – DHS completes live test of e-passports + The U.S. Electronic Passport Frequently Asked Questions. Viz dále i poznámku k českým biometrickým pasům – České pasy jsou bezpečné, tvrdí vnitro.

Jaká bude příští generace DRM (Digital Right Management) – DRM Wars: The Next Generation? Za přečtení stojí také diskuse připojená k článku. Tato otázka samozřejmě nemá jen technologický podtext, ale možná důležitější jsou legislativní souvislosti.

Normy a normativní dokumenty

Vyšlo následující rfc.4621

věnované mobilnímu rozšíření protokolu IKEv2 (Internet Key Exchange Protocol version 2) – protokolu MOBIKE.

Kryptografie

Kevin C. Redmon (C0D3 CR4CK3D: Means and Methods to Compromise Common Hash Algorithms.) zpracoval přehled k útokům na hashovací funkce (prostředky a metody). Materiálu snad lze vytknout zbytečný výhledový pesimismus, který, jak věřím, bude oprávněný pouze tehdy, pokud se reálnou „hrozbou“ v dané souvislosti stanou kvantové počítače. Na druhou stranu je dnes opatrnost při práci s hashovacími funkcemi nezbytností (cracknutá MD5 atd.).

Simon Kramer (Logical Concepts in Cryptography) diskutuje koncepty používané v kryptografii a v návaznosti na to teoretický model logiky těchto konceptů – CPL – Cryptographic Protocol Logic. Autor se dle svého vyjádření orientuje na dva fundamentální aspekty současné kryptografie. Je to jednak bezpečnost komunikace (v protikladu k bezpečnosti uložených dat) a za druhé to jsou kryptografické protokoly (v protikladu ke kryptografickým operátorům). Použitý formalismus logických operátorů autorovi umožňuje předvést některé zajímavé definice známých pojmů (v jím užité terminologii – honesty, prudency, trust, reachability-based secrecy, perfect forwad secrecy, anonymity, known-key attack, key confirmation, implicit key authentication, authenticity of a datum, non-repudiation of authorship, atd…).

Bezpečností hybridních schémat v kryptografi se zabývá článek KEM/DEM: Necessary and Sufficient Conditions for Secure Hybrid Encryption (autoři – Javier Herranz + Dennis Hofheinz + Eike Kiltz). V hybridním šifrování veřejným klíčem (PKE – public key encryption) je nejprve použit mechanismus „pro obalení klíče“ (KEM – key encapsulation mechanism). Tento definuje náhodný aktuální klíč, který je pak použit v druhém mechanismu (DEM – data encapsulation mechanism) k zašifrování konkrétní zprávy. Autoři analyzují nezbytné a postačující podmínky k bezpečnosti KEM a DEM, takové, aby výsledné hybridní schéma PKE mělo určitou zadanou úroveň bezpečnosti.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

18. 8. 2006 11:35

shadow (neregistrovaný)
K tomu článku na guardian.co.uk - viz taky originální článek na http://www.wired.com/news/technology/0,71521-0.html?tw=wn_index_8.
Tam se dočtete, že ten německý "expert" naklonoval svůj vlastní (německý) e-pas, který proti tomu není nijak chráněn. Dále Lukas Grunwald je opravdu odborník z nejpovolanějších - zabýval se touto problematikou 14 dní, měl asi chlapec studovat o trošku déle, třeba by se někde dočetl, že podle mezinárodních standardů je ochrana proti klonování volitelná a Ně…
Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“