Bezpečnostní střípky za 32. týden

Obecná a firemní bezpečnost IT

Přestože článek Top Ten IT Management Mistakes and How to Avoid Them není směrován výlučně do problematiky bezpečnosti, stojí za to věnovat jeho obsahu trochu pozornosti. Autor, Joey Smith, říká, že díky jeho praktickým zkušenostem ze styku s manažery IT získal určitý přehled o různých pracovních stylech manažerů. Na základě toho formuluje deset chyb, kterých se tito manažeři dopouští.

• 1. Orientace na technologie a nikoliv na business
• 2. Uvažování typu – co oči nevidí, to srdce nebolí (volný překlad, jde o to nezjišťovat existenci problémů teprve tehdy, až nám přerostou přes hlavu)
• 3. Říkají si, můj tým to zajistí (manažer deleguje úkol, ale nepřesvědčí se, zda byl správně splněn)
• 4. Neprověřují, zda jsou naplněna původní očekávání
• 5. Nevytvářejí partnerskou spolupráci s obchodním managementem (aby vznikly podmínky pro naplnění bodu 1.)
• 6. Nepečují o sebe (tolik IT manažerů nemělo dovolenou více než rok, pracuje 70 hodin týdně…dobíjet baterky je extrémně důležité)
• 7. Neprověřují postupy pro zálohování (pravidelnost, testování, ověřování postupů pro obnovu atd.)
• 8. Neobracejí se s žádostí o pomoc (pokud je zapotřebí práce odborníků, nerozpakujte se)
• 9. Nevěnují čas osobnímu rozvoji (za to neodpovídá vaše firma, to záleží výlučně na vás)
• 10. Nemají poradce či instruktora (coach) – nejsnadnější cesta k chybám je spoléhat výlučně na sebe

Neplatí řada z těchto pravidla v podstatě pro každého, možná v trochu transformované podobě?

Petri Säkkinen (Can we Trust our Workforce?) se zamýšlí nad otázkou důvěry. Loajalita a motivovanost zaměstnanců musí tvořit společně s legislativními a smluvními závazky kompaktní celek.

Některá doporučení:

• 1. Zdůrazňujte a prosazujte svá bezpečnostní opatření (politiky) a procesy, která se týkají vlastních dat. Jasná a zřejmá pravidla se musí týkat jak uživatelů, tak i IT procesů;
• 2. Používejte preventivní opatření k zajištění bezpečnosti dat (jak uložených, tak i přenášených). Nespoléhejte pouze na firewally a VPN. Uživatelé i informace musí být autentizovány a autorizovány;
• 3. Zajistěte připravenost následných opatření (používání a update antivirů, v případě útoku buďte připraveni tak, abyste v co nejkratší době byli schopni obnovit maximum svých dat;
• 4. Školte a vychovávejte svůj personál a partnery. Zaměstnanci musí chápat význam bezpečnosti, musí také znát příslušné postupy a procedury, chápat související rizika.

Jaká si vzít ponaučení z bezpečnostního průniku ve firmě – Lessons learned from corporate security breaches? Autor Jay Cline konstatuje, že jsme teprve na počátku. Firmy se musí naučit, jak detekovat průniky (při kterých jsou prozrazeny citlivé osobní údaje) a jak o nich informovat. V článku je dále uvedeno několik konkrétních čísel souvisejících s podobnými průniky.

Růstem digitální kriminality se zabývá Timothy L. O´Brien v poměrně rozsáhlém zamyšlení v New York Times  – The Rise of the Digital Thugs. Autor podrobněji rozvádí detektivní případ firmy MicroPatent. Zajímavé je, že u dopadeného hackera se při domovní prohlídce našly mimo jiné ruční granáty a ricin.

Zpráva společnosti IBM (IBM Report: Government, Financial Services and Manufacturing Sectors Top Targets of Security Attacks in First Half of 2005) o cílech bezpečnostních útoků v první polovině roku 2005 hovoří o 50procentním nárůstu bezpečnostních útoků v tomto období. Český komentář ke zprávě najdete na Novinkách – Kyberterorismus roste závratným tempem.

Mimochodem, vláda ve Velké Británii přišla s nápadem na vznik webové stránka věnované bezpečnosti IT – Government launches IT security website. Spuštěna bude tedy až v říjnu, jejím cílem bude pomoc spotřebitelům a malým firmám. Stránka bude poskytovat rady, jak zastavit viry, blokovat hackery, spyware a chránit osobní údaje. Také bude nabízet bezplatné stáhnutí antivirového software a firewallů (budou tam odkazy na jiné adresy). Stránku sponzorují velké firmy.

Internetová telefonie se dostává do centra pozornosti i z jiného než čistě uživatelského hlediska. Podle poslední federální vyhlášky (USA) mají poskytovatelé internetových služeb 18 měsíců na to, aby ve svých sítích umožnily funkční odposlechy VoIP (Wiretaps For VoIP ). Viz také Can the Feds really require that peer-to-peer VoIP be wiretappable? a Feds fund VoIP tapping research.

Boj s hackery

Tzv. honeypot funguje jako nástraha na počítačové útočníky. Na konferenci USENIX publikovala skupina odborníků metodu na odhalení takovýchto nástrah – viz Nové metody odhalování honeypot nástrah a LOGIOS aktuality o bezpečnosti.

Také Microsoft v tomto směru zbrojí. V jeho experimentálním projektu Honeymonkey bylo např. nalezeno 750 webovských stránek, které se pokoušejí umístit malware na počítače návštěvníků. Viz také New Microsoft security system scours Web.

V SC Magazine vyšel minulý týden článek (David Stanley) Day of the digital undead. Zombie počítače, digitální nemrtví – zajímavé asociace, není-liž pravda? Bohužel tyto pojmy popisují reálná nebezpečí Internetu. Zombie je počítač kompromitovaný útočníkem, obvykle s cílem rozesílání škodlivých informacích dalším (milionům…) příjemcům. Těmito informacemi mohou být např:

• Spam
• Podvodné rhybařící informace (phishing scams)
• Viry
• Distribuovaný DOS (Denial of Service) útok
• Přesměrování na webovské stránky, které obsahují malware.

Autor v článku dále popisuje různé cesty, jejichž prostřednictvím zombie vznikají, jak útočí, a dává některá doporučení k obraně před těmito útoky.

Lenny Zeitser se v dvacetistránkové studii The Evolution of Malicious Agents zabývá vývojem jednoho typu malware – nazývá ho škodícím agentem (Malicious Agent). Rozumí tím počítačový program, který jedná v zastoupení potenciálního vetřelce s cílem útoku na systém či síť. Historicky těmito agenty byly viry, červy a trojani. Současné hrozby tohoto typu kombinují vlastnosti těchto agentů a jsou vážnou hrozbou i pro organizace, které jsou chráněny firewallem.

Andrew Brandt (Two new spyware threats emerge) informuje o nových typech spyware (v kódu jednoho z nich se objevil i nacistický symbol a Hitlerův citát).

Infosec Career Hacking – na této adrese najdete recenzi knihy Infosec Career Hacking: Sell Your Skillz, Not Your Soul (autoři – Aaron W. Bayles, Chris Hurley, Johnny Long, Ed Brindley, James C. Foster, Christopher W. Klaus).

V How to make your database secure se Martin Teetz zamýšlí nad bezpečností databází. Článek obsahuje diskusi možných postupů útočníků a stručný přehled bezpečnostních vlastností některých produktů (Oracle, Microsoft SQL, Sybase).

Virus Cabir (mobily) využívá Bluetooth (může se tedy šířit asi do vzdálenosti 10 metrů), příjemce musí akceptovat download. Podmínky pro šíření tedy nic moc, přesto na MS v atletice v Helsinkách (Mobile phone virus infects Helsinki championships ) využili návštěvníci možnost chytit první virus pro mobilní telefony (nedobrovolně) a skutečně zprávy hovoří o desítkách infekcí.

Bezdrát a Bluetooth

Stephen Lawson se v Computerworldu zabývá problémem krádeží signálu Wi-Fi – The case of the stolen Wi-Fi: What you need to know. Říká se, že bezdrátový signál je typicky dostupný do vzdálenosti 45 metrů (cca), ale samozřejmě jeho dostupnost nekončí s hranicí vašeho bytu (viz také Schneierův blog – Wireless Interception Distance Records). Potenciální útočník se pak na vašem PC s operačním systémem Windows dostane ke každému sdílenému adresáři. Autor dále diskutuje další možná nebezpečí. Šifrujte! Přehledný materiál k bezpečnosti WLAN najdete zde – WLAN Security Challenges.

Deb Shinderová (Bluetooth: Is it a Security Threat?) odpovídá na základní otázky okolo bezpečnosti Bluetooth. Vzdálenost, na kterou lze zachytit signál Bluetooth, je od jednoho do 100 metrů, zaleží na výkonu zařízení.

Firewally

Který firewall je nejlepší? Tuto otázku si položil Matt Tett a v The best firewall is … dává přehled výsledků jím provedené analýzy. V článku jsou obsaženy závěry z testování následujících devíti produktů:

• Cyberguard SG710
• Fortinet FortiGate 200A
• Juniper ISG1000
• Lucent Brick 150
• Netgear FVX538
• Network Box RM-300
• SonicWALL PRO 5060c
• Symantec SGS 5420
• WatchGuard X1000

Připomeňme také dva články Ondřeje Bitta na Lupě – Bezpečí zdarma: firewall a monitor procesů a první díl Vybíráme osobní firewall (1.).

Manu Garg v Defeating Firewall: Sneaking into Office Computers From Home ukazuje zajímavý trik – jak se pomocí toho, čemu říká ssh tunneling, dostat z počítače umístěného doma na počítač v zaměstnání(bez VPN).

Forenzní analýza

Stručné odkazy: The Forensic Server Project  – softwarové utility pro získání obtížně postižitelných dat z počítače oběti. Viz také: The Windows Incident Response Blog.

Zde najdete recenzi na knihu jiného autora: Brian Carrier: File System Forensic Analysis,Addison-Wesley Publishing Co. 2005.

Autentizace

K chystaným novým pasům (USA) s RFID najdete informaci v článku Rogera Yu Electronic passports set to thwart forgers. Viz také komentář Bruce Schneiera – RFID Passport Security Revisited a informaci o testech Airline Tests RFID on the Fly.

Zajímavé protivenství vytváří následující dvojice článků: Obliba internetového bankovnictví v Česku rychle roste a Internet Banks Lose Consumer Confidence…. Má to svoji logiku, tyto služby jsou u nás stále ve fázi rozvoje, přesto…

Elektronické verze knih, to je hodně zajímavá oblast (i když zatím tvoří zanedbatelnou část knižního trhu). Jak to ale bude se zabezpečením autorských práv? Následující informace v tomto směru přichází z amerických univerzit – Coming to campus: E-books with expiration dates. Knihu můžete otevřít pouze v jediném počítači, a to na omezenou dobu – pět měsíců. Projekt má zatím charakter experimentu. Má také své háčky – studenti po ukončení semestru nemohou prodat použité knihy (a vylepšit tak svůj rozpočet). Naopak by se zase tento fakt mohl zamlouvat vydavatelům. A ještě – co na to hackeři?

Normy a normativní dokumenty

Tento týden vydal NIST celou sérii draftů (Special Publications):

• SP 800–40 version 2, Creating a Patch and Vulnerability Management Program
• SP 800–81, Secure DNS Deployment Guide
• SP 800–83, Guide to Malware Incident Prevention and Handling
• SP 800–84, Guide to Single-Organization IT Exercises
• SP 800–86, Guide to Computer and Network Data Analysis: Applying Forensic Techniques to Incident Response
• SP 800–87, Codes for the Identification of Federal and Federally-Assisted Organizations

Byla vydána nová verze 2.5 knihovny S/MIME Freeware Library . Tato informace je zde zejména z toho důvodu, že knihovna obsahuje implementace celé řady doporučení z normativních dokumentů IETF (viz také informace k minulé verzi – S/MIME Freeware Library (SFL) v.2.4).

Skupina IETF S/MIME – vyšel nový draft CMS Advanced Electronic Signatures (CAdES). Cílem dokumentu (jeho charakter je informační) je popis formátu elektronického podpisu, jehož platnost by byla dlouhodobá.

Kryptografie

Na meetingu IETF v Paříži (který proběhl minulý týden) byly mj. diskutovány (Burt Kaliski (RSA) – co dál s hashovacími funkcemi) otázky spojené s budoucností hashovacích funkcí (SHA-1). Jsou zvažovány tři varianty (Kaliski preferuje randomizaci).

Určitě jste si již na Rootu přečetli zprávičku Pavla Vondrušky Kolize MD5 – další důležité zpřesnění. k výsledku (Wang's sufficient conditions of MD5 are not sufficient) japonských kryptologů a také informaci Vl. Klímy Japonci jsou třetím týmem na světě, který umí generovat kolize MD5.

Viz také následující zajímavost MD5 prohrává u soudu.

Kvantové počítače

Výzkum přináší nové výsledky, viz informace – NIST Demonstrates Better Memory with Quantum Computer Bits. Že by po letech došlo k význačnému posunu při snahách realizovat kvantový počítač? Alespoň autor článku je optimista (z pohledu kryptologa v uvozovkách).

Různé

Pokud se ještě zajímáte o aféru Cisco-Lynn, zde jsou některé další odkazy: More Tales From Ciscogate (právní zástupce Michaela Lynna ve sporu s firmou Cisco – Jennifer Granick – popisuje průběh událostí) a The Holy Grail: Cisco IOS Shellcode .

Přehled vychází z průběžně publikovaných novinek na Crypto – News.