Konference, přehledy
Ve dnech 4.-7. srpna 2006 proběhla v Las Vegas v pořadí 14. konference Defcon (bezprostředně tedy navázala na konferenci Black Hat). Konference nese označení „largest underground hacking event in the world “. Její letošní program lze najít na Defcon schedule, anotaci jednotlivých vystoupení (celkem 109 vystupujících) pak na Defcon speakers. Komentáře ke konferenci je možné si přečíst např. na následujících odkazech:
a zhruba dvě desítky odkazů na další komentáře (jak ke konferenci Black Hat, tak i k Defconu) najdete souhrnně zde:
Prezentace jednotlivých účastníků konference si lze stáhnout ze stránky
K bezpečnosti síťových tiskáren se vrací ještě Bruce Schneier. Diskutuje k vystoupení Brendana O'Connora na konferenci BlackHat minulý týden – blog (a diskuse).
V září bude zveřejněn americký přehled Consumer Reports National Research Center. Zatím byly publikovány a komentovány některé dílčí údaje:
Například:
- četnost spamu zůstává na zhruba stejné úrovni jako před rokem (polovina uživatelů konstatuje vysokou úroveň spamu)
- četnost virových infekcí také zůstává na stejné úrovni, jedna čtvrtina uživatelů hlásí velký problém a často finančně nákladný
- spyware – nastal pokles hlášených incidentů, přesto situace stále odpovídá epidemii, jedna osmina uživatelů měla velký problém a zase často finančně nákladný
- rhybářské útoky – stejná úroveň jako před rokem, roste ale velikost průměrné ztráty jedné oběti. Alarmující je vzrůst počtu rhybářských webů.
- úhrnem – pravděpodobnost, že se uživatel stane obětí kybernetické kriminality, je rovna jedné třetině – zhruba stejná úroveň jako před rokem.
- mezi nejrychleji rostoucí kybernetické hrozby patří množství počítačů infikovaných malware, který z nich činí součást armád botů
Obecná a firemní bezpečnost IT
V článku Tips to prevent data loss (je reakcí na časté informace z poslední doby, které hovořily o ztrátách či krádežích citlivých dat) je uvedeno celkem pět doporučení. Týkají se prevence takovýchto ztrát dat (notebooky, zálohy dat na páskách, e-maily obsahující citlivé informace):
- Používejte CMF (Content Monitoring and Filtering), tedy používejte vhodné nástroje pro monitoring a filtrování síťového provozu (e-mail, IM, ftp, http, webovský mail).
- Šifrujte vaše zálohy (na páskách a jiných prostředcích pro hromadně ukládaná data).
- Zabezpečte pracovní stanice, omezte používání domácích počítačů a zamykejte přenosné prostředky pro ukládání dat (USB flashe, CD-ROM).
- Šifrujte data na noteboocích (nejlépe šifrujte celé disky)
- Používejte prostředky pro monitoring aktivit databází.
Eoghan Casey v článku Investigating Sophisticated Security Breaches se vyjadřuje k některým problémům forenzní analýzy, konkrétně se týkajících analýz sofistikovaných útoků. V takovýchto případech totiž neexistuje univerzálně využitelná metodologie a bezpečnostní profesionálové se musí plně spolehnout na své znalosti a vzájemnou spolupráci. V článku jsou obsažena doporučení pro integraci forenzních principů do používaných bezpečnostních nástrojů a také pro hledání cest ke zvýšení odborných znalostí vyšetřovatelů.
Software
Six steps to secure sensitive data in MySQL – pokud používáte MySQL, existuje několik relativně jednoduchých cest, které zabezpečí ochranu vašeho systému a zredukuji rizika neautorizovaných přístupů k vašim citlivým datům. Častým argumentem, který je uváděn v této souvislosti – proč nepoužívat zabezpečení pro databáze – je prý, že je to obtížné a komplikované. V článku jsou proto zformulovány některé relativně jednoduché postupy:
- 1. Nastavte pečlivě práva uživatelů tak, aby uživatel měl přístup skutečně jen k těm částem databáze, které nezbytně potřebuje.
- 2. Vyžadujte používání bezpečných hesel (passwords).
- 3. Ověřte práva k prohlížení konfiguračních souborů a místa, kde jsou tyto soubory uloženy (nacházejí se zde hesla v otevřené podobě).
- 4. Šifrujte přenosy typu klient-server (SSL, Open SSH).
- 5. Zakažte vzdálený přístup (blokování spojení TCO/IP) – lze-li to.
- 6. Provádějte aktivní monitoring přístupového logu pro MySQL.
Poznámka: dokumentaci k MySQL najdete na tomto odkazu – MySQL 5.1 Reference Manual.
Co potřebujete vědět o technologiích pro VPN – What you need to know about VPN technologies How they work, what they can do for you, problems to watch out for. Autor tohoto článku, Martin Heller, rozlišuje dva základní typy VPN:
- důvěryhodné VPN (na bázi důvěryhodného spojení, které zajišťuje poskytovatel)
- zabezpečené VPN – používají buď IPsec se šifrováním, IPsec v druhé vrstvě (L2TP), SSL 3.0 či TLS (Transport Layer Security) se šifrováním anebo Point-to-Point Tunneling Protocol (PPTP).
Pokud je používána kombinace – zabezpečené VPN prostřednictvím důvěryhodné VPN, hovoří autor o tzv. hybridní VPN. V článku jsou pak dále rozebírány jednotlivé varianty (i v návaznosti na použité OS) a hodnocena pozitiva resp. rizika při práci s VPN.
Caleb Sima (Security at the Next Level) se ptá: Jsou vaše webovské aplikace zranitelné? Tento článek je vlastně 26tistránkový přehled k bezpečnosti webových služeb, možných zranitelnosti a útoků. Nutná registrace.
Bezpečnost linuxových webovských aplikací zase diskutuje Phil Hochmuth v LinuxWorld experts: Securing Web-based applications on Linux.
The Path to Multi-Level Security in Red Hat Enterprise Linux (i zde je nutná registrace) – osmistránkový dokument ve formátu pdf, jehož autorem je Chris Runge (Red Hat). Autor popisuje postupy pro vytváření víceúrovňové bezpečnosti (z hlediska kontroly přístupů) při použití OS Red Hat Enterprise Linux, resp. v návaznosti na využití Security-Enhanced Linux. Red Hat Enterprise Linux 5 (bude vydán ke konci roku 2006) je sponzorován HP a má být evaluaován del CC EAL 4+. To by mělo umožnit jeho využití pro práci s utajovanými daty (i vysokých stupňů utajení).
NAP – Network Access Protection (MS) – lze mu dostatečně věřit? Jonathan Hassell (Can you rely on Microsoft's Network Access Protection?) popisuje nejprve základní vlastnosti NAP a pak hodnotí jeho nevýhody, resp. naopak výhody. Závěr článku obsahuje několik dalších odkazů, které se váží k problematice.
Open SSH – popis instalace a další informační zdroje lze nalézt v článku OpenSSH na serveru Linux Security.com.
Secure at the Source: Implementing Source Code Vulnerability Testing in the Software Development Life Cycle (nutná registrace – free) – Ryan Berg se v tomto článku zabývá otázkami testování vyvíjeného softwaru (chyby, zranitelnosti) z hlediska jednotlivých fází jeho vývoje. Cílem materiálu je uvést nejlepší modely pro včlenění takovéhoto testování do životního cyklu vývoje softwaru (SDLC – software development life-cycle ) a také, jak je možné spojit efektivní cestou bezpečnostní poznatky s cestami vývoje.
Malware, hackeři
Prezentaci pozoruhodného vystoupení Joanny Rutkowské (již několikrát zmíněného na těchto stránkách) na konferenci Black Hat si lze stáhnout z následujícího odkazu – Subverting the Vista Kernel for Fun and Profit.
Jitter Bug aneb špion ve vaší klávesnici – studie Keyboards and Covert Channels. Komentář k této zajímavé studii (autorů – Gaurav Shav, Andres Molina, Mattt Blaze – ) najdete na Could your keyboard spy on you? a také na JitterBug spies threaten IT security. Malý fyzický zásah do klávesnice či spojovacího kabelu (vložení skrytého HW) a je zde stejný špion, jako jsou SW keyloggery. Zatím nejsnadnějším způsobem detekce takového zařízení je kontrola cest, kudy jsou následně přenášeny kradené informace. Je otázkou, co bude, jakou volit obranu až tyto informace budou šifrovány. Pokud se obáváte špionáže, tak snad nejlépe zamykat do trezoru celý počítač (i před uklízečkou). Paranoia – ano, ale každý musí zvážit svá existující rizika.
Viry
AOL nabízí nový bezplatný antivirový program (ve spolupráci s Kaspersky Lab) – AOL releases free anti-virus tool. Active Virus Shield má své stránky zde – Introducing Active Virus Shield.
Autentizace, biometrie, digitální práva
E-Passport aliance (E-Passport ally responds to cloning claims ) popírá možnost kopírování elektronických pasů (viz prezentace Lukas Grunwald – na konferenci Defcon) a uvádí dvě navržená protiopatření – DHS completes live test of e-passports + The U.S. Electronic Passport Frequently Asked Questions. Viz dále i poznámku k českým biometrickým pasům – České pasy jsou bezpečné, tvrdí vnitro.
Jaká bude příští generace DRM (Digital Right Management) – DRM Wars: The Next Generation? Za přečtení stojí také diskuse připojená k článku. Tato otázka samozřejmě nemá jen technologický podtext, ale možná důležitější jsou legislativní souvislosti.
Normy a normativní dokumenty
Vyšlo následující rfc.4621
věnované mobilnímu rozšíření protokolu IKEv2 (Internet Key Exchange Protocol version 2) – protokolu MOBIKE.
Kryptografie
Kevin C. Redmon (C0D3 CR4CK3D: Means and Methods to Compromise Common Hash Algorithms.) zpracoval přehled k útokům na hashovací funkce (prostředky a metody). Materiálu snad lze vytknout zbytečný výhledový pesimismus, který, jak věřím, bude oprávněný pouze tehdy, pokud se reálnou „hrozbou“ v dané souvislosti stanou kvantové počítače. Na druhou stranu je dnes opatrnost při práci s hashovacími funkcemi nezbytností (cracknutá MD5 atd.).
Simon Kramer (Logical Concepts in Cryptography) diskutuje koncepty používané v kryptografii a v návaznosti na to teoretický model logiky těchto konceptů – CPL – Cryptographic Protocol Logic. Autor se dle svého vyjádření orientuje na dva fundamentální aspekty současné kryptografie. Je to jednak bezpečnost komunikace (v protikladu k bezpečnosti uložených dat) a za druhé to jsou kryptografické protokoly (v protikladu ke kryptografickým operátorům). Použitý formalismus logických operátorů autorovi umožňuje předvést některé zajímavé definice známých pojmů (v jím užité terminologii – honesty, prudency, trust, reachability-based secrecy, perfect forwad secrecy, anonymity, known-key attack, key confirmation, implicit key authentication, authenticity of a datum, non-repudiation of authorship, atd…).
Bezpečností hybridních schémat v kryptografi se zabývá článek KEM/DEM: Necessary and Sufficient Conditions for Secure Hybrid Encryption (autoři – Javier Herranz + Dennis Hofheinz + Eike Kiltz). V hybridním šifrování veřejným klíčem (PKE – public key encryption) je nejprve použit mechanismus „pro obalení klíče“ (KEM – key encapsulation mechanism). Tento definuje náhodný aktuální klíč, který je pak použit v druhém mechanismu (DEM – data encapsulation mechanism) k zašifrování konkrétní zprávy. Autoři analyzují nezbytné a postačující podmínky k bezpečnosti KEM a DEM, takové, aby výsledné hybridní schéma PKE mělo určitou zadanou úroveň bezpečnosti.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
