Hlavní navigace

Bezpečnostní střípky za 33. týden roku 2006

Jaroslav Pinkava 21. 8. 2006

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Přehledy, projekty EU, obecná a firemní bezpečnost IT, Váš počítač, firewally, software, hackeři, bankovnictví, krádeže ID, rhybáři, normy a normativní dokumenty, kryptografie.

Přehledy, projekty EU

Komentář k výsledkům posledního přehledu Ponemon Institute obsahuje článek Ponemon Institute Releases National Survey on Confidential Data at Risk . Například v posledním roce 81 procent společností hlásilo ztrátu notebooku s citlivými daty (!). A lze tedy konstatovat, že přetrvávajícím problémem jsou ztráty citlivých dat (intelektuální vlastnictví, pracovní dokumenty, data klientů a zaměstnanců atd.)

Článek (přetištěný ze stránek IST Results Web) s názvem Solving the Security Challenge of Dynamic Networks pojednává o třech následujících projektech IST – SERENITY, BIONETS a MOBIUS.

Obecná a firemní bezpečnost IT

Aktualizovaný přehled bezpečnostních certifikací pracovníků sepsal Daniel Miesler – A Guide to Information Security Certifications. Přehled je uveden i s hodnocením jednotlivých typů certifikace.

What Should Businesses Require of Data Protection Solutions?  – autorem tohoto článku je Ross Parker. Diskutuje v něm změny probíhajíci ve vlastnostech řešení počítačových aplikací, nové pohledy na otázku zálohování, otázku ochrany zálohovaných dat.

Práci systémových administrátorů chce ulehčit Swa Frantzen v Tip of the Day: Logbooks . Vychází ze svých zkušeností při používání nástroje (ať už v elektronické či papírové podobě), kterému říká logbook a který využívá pro správu zařízení, která obhospodařuje. Podstatou článku je pak podrobný popis toho, co by takový „logbook“ měl obsahovat.

Pět důvodů, proč potřebujete systém pro detekci průniků, uvádí dokument 5 reasons why you neet an IDS. Jsou to:

  • Trojané
  • Spyware
  • Neloajální pracovníci
  • Exploity nulového dne
  • a řada dalších důvodů – RAT (remote Administration Tool), zombie, botnety, legislativní důvody, ransomware,…

Na Schneirově blogu najdete diskusi k novým bezpečnostním pravidlům na letištích New Airline Security Rules. Viz také Eric Rescorla.

Doporučené praxe bezpečnostních postupů pro počítačové sítě v nemocnicích uvádí Jody Barnes v studii Running Head: Wired Network Security: Hospital Best Practices.

Velká Británie a problém se zašifrovanými soubory na PC, která patří podezřelým z terorismu – U.K. police: Let us seize encryption keys. Britská policie opět nastolila otázku přístupu k šifrovacím klíčům. Viz také Police decryption powers ‚flawed‘ .

Příklad řešení problému „Mobilní pracovníci a bezpečnost dat“ uvádí John Cox v How one firm secures mobile workers (popisuje, jak ho řeší jedna firma v Texasu).

Image spam triples in three months – objem obrázkového spamu se v posledních třech měsících ztrojnásobil. Většina stávajících filtrů spamu se s tím totiž neumí vypořádat. Viz ale nedávnou tiskovou zprávu – Barracuda proti obrázkovému spamu…

Na scénu opět vystoupila Swedish Pirate Party – spustila „první komerční Darknet“. Služba má zaručit anonymitu při rozesílání a přijímání souborů na internetu.

Váš počítač

Deset cest (bezplatných – free) jak udržet svůj počítač v bezpečí:

  • 1. Nainstalujte si bezplatný antivir a ochranu proti spyware (několik konkrétních odkazů najdete v článku).
  • 2. Ověřte svoji bezpečnost – online. Existují některé možnosti provést takovéto testy – např. Shields Up.
  • 3. Nainstalujte si bezplatný software pro ochranu bezdrátové sítě (podrobněji – 6 Steps To Protect Your Wireless Network)
  • 4. Používejte (bezplatný) firewall.
  • 5. Šifrujte svá data (autor doporučuje Cryptainer LE)
  • 6. Chraňte se před rhybáři (neklikejte na podezřelé odkazy log-in, používejte také např. Google Toolbar, atd.)
  • 7. Nesdílejte své soubory.
  • 8. Brouzdejte po webu anonymně – zde autor doporučuje stránku The Cloak anebo doporučuje používat anonymní proxy server ze seznamu AiS Alive Proxy List.
  • 9. Žádné cookies.
  • 10. Dejte si pozor také na „Nigerian Scams“ – podvodné maily slibující vám báječná procenta za převod miliónů dolarů… (a pochopitelně neřeknou nic o tom, že vám vyprázdní váš bankovní účet).

najdete v článku – http://www.crn­.com/sections/se­curity/securi­ty.jhtml?arti­cleId=192201660  – jehož autorem je Preston Gralla (TechWeb).

Tony Bradley (Top 10 Tips To Secure Laptops For Airline Travel) zase dává aktuální doporučení k zabezpečení vašeho notebooku při cestování letadlem:

  • 1. Pečlivě notebook uložte. Nejlépe co nejblíže ke středu vašeho zavazadla tak, aby nebyly možné kolize s jiným pevným tělesem. Zabalte ho do měkkého materiálu.
  • 2. Uzamkněte své zavazadlo (TSA-approved luggage lock).
  • 3. Zálohujte data.
  • 4. Zašifrujte svá data.
  • 5. Zdokumentujte si identifikující informace (např. model, seriové číslo,…)
  • 6. Používejte silná hesla.
  • 7. Používejte i heslo pro BIOS.
  • 8. Využívejte systém pro vzdálenou ochranu dat (Remote Data Protection) – např. při připojení notebooku k internetu takový systém zničí citlivá data uložená na notebooku, pokud ho používá neoprávněný uživatel.
  • 9. Využívejte i přenosná datová média pro uložení kritických informací (např. pro prezentaci, kterou máte přednést na konferenci, kam právě cestujete)
  • 10. Nechte raději notebook doma – v těch situacích, kdy rizika cestovat s ním jsou neúměrná. Raději si sebou vezměte CD, DVD či USB paměť – samozřejmě pokud to lze.

A objevují se technologie napomáhající zachránit kradené notebooky – Technology for rescuing stolen laptops emerges Tracking software, ‚kill switches‘ and encryption can trace machines, protect your data.

Firewally

Serdar Yegulalp zpracoval podrobnou recenzi 5 firewallů pro vaše PC (desktop):

  • McAfee Internet Security
  • Microsoft Windows Firewall
  • Norton Personal Firewall
  • Trend Micro PC-cillin
  • ZoneAlarm Security Suite

(Review: Five Firewalls For Your Desktop PC).

Firewall Resources  – užitečná stránka, na které najdete několik odkazů na „velmi dobře napsané“ dokumenty zabývající se problematikou firewallů, dokumenty jsou dostupné na internetu.

Software

Softwarové firmy a IT bezpečnost – 10 hvězd v tomto směru vyjmenovává Andrew K. Burger v 10 Security Software Stars. Najdete zde ESET, F-Secure, Fortify Software, Juniper Networks, Kaspersky Lab, McAfee, Network System Architects, Symantec, Trend Micro, Vontu. A to včetně přehledu jejich nejdůležitějších produktů.

10 věcí, které byste měli vědět o zálohování ve Windows XP. Pro menší firmy by zálohovací utilita obsažená ve Windows měla postačovat, 10 things you should know about Windows XP Backup.

Problematice zálohování se také věnuje článek System Administrators Toolkit: Backing up key information (Martin Brown), tentokrát však z pohledu unixového administrátora a ve vztahu k zálohování klíčových souborů.

OpenOffice a bezpečnost – Researchers: OpenOffice.org security ´insufficient´ – to je komentář k výsledkům rozboru. Viz také prezentaci – ve francouzštině. Např. zde autor konstatuje, že OpenOffice umožňuje vytváření nebezpečných maker.

.

Na stránce Spike PHP Security Audit Tool lze nalézt informaci o novém nástroji (s tímto bázvem – open source) pro bezpečnostní analýzu kódu php (z hlediska existence bezpečnostních exploitů). Poslední verze nástroje je na Project Home Page. Jsou Vaše php stránky bezpečné?

Windows Vista – kromě základních informací k technologii Kernel Patch Protection (PatchGuard) najdete v článku (na stránce http://blogs.msdn­.com/windowsvis­tasecurity/ar­chive/2006/08/1­1/695993.aspx) i odkazy na další související informační zdroje.

Aleš Miklík na Lupě vám radí Jak bezpečně hledat ve vyhledávačích.

Okolo záplat Microsoftu z minulého týdne se objevila celá řada komentářů (DHS urges all Windows user to patch), dokonce i varování anerického ministerstva (U.S. Department of Homeland Security): Záplatujte co nejdříve - MS06–040 . Útočníci již začali nalezenou chybu (Windows Server service flaw) využívat (Bot spreads using latest Windows flaw). Týká se to Windows XP/SP2 i se všemi předcházejícími záplatami.

Tutoriál pro Hping2 Basics (The Ethical Hacker Network) najdete zde – Tutorial: Hping2 Basics (Chris Gates). Používání klasického příkazu „ping“ stále častěji v praxi naráží na různá omezení. Nástroj hping2 přináší v tomto směru nový potenciál.

Hackeři

Co je třeba k úspěšnému XSS útoku? Na tuto otázku odpovídá autor článku XSS, Cookies, and Session ID Authentication – Three Ingredients for a Successful Hack (Seth Fogie). Z jeho obsahu:

  • The XSS Vulnerability
  • Using (and Abusing) Session IDs
  • Owning the Client Portion of the Application
  • Owning the Site
  • The Rest of the Details
  • The Fixes

K vystoupení Joanny Rutkowske na konferenci Black Hat: další diskusi obsahující vyjádření širokého spektra názorů ještě najdete na Blue Pill Myth Debunked .

Bankovnictví, krádeže ID, rhybáři

Jaroslav Kafka napsal na stránkách FinExpert.cz článek Přímé bankovnictví v Česku, věnovaný mj. i historickému pohledu na vývoj problematiky (u nás v ČR). Zaujme vyjádření k otázkám bezpečnosti (kompromis mezi bezpečností a uživatelským komfortem).

Jan Ambrož – Platby kartou přes Internet pokulhávají – se zase zabývá placením přes internet (kartou). Poukazuje zejména na nízké využívání karet na českém internetu a diskutuje příčiny tohoto jevu.

Helena Nikodýmová se na Lupě ptá: Bojíte se krádeže své identity?.

Terry Cutler – certifikovaný Ethical Hacker – pak dává hezky zpracovaný systém doporučení – samozřejmě kanadská realita se od naší v něčem liší – Keeping your identity on a short leash.

Pro boj s rhybáři – Andy Cottrell doporučuje řešení TACS (TriCipher Armored Credential System) v článku Zero-Footprint Solution to Combat Phishing a popisuje k tomu příslušné postupy.

Normy a normativní dokumenty

Vyšla nová verze normy X.509 (5 vydání – ITU-T X.509 / ISO/IEC 9594:2005 ) – ITU-T : Publications : Recommendations : X Series : X.509 Pro vážné zájemce – k jejímu získání lze využít možnost bezplatného stažení tří publikací ITU – po registraci. Podrobnější informace naITU Electronic Bookshop.

Ve skupině IETF pkix se objevil (zatím k diskusi) návrh na nové parametry eliptických křivek – ECC Brainpool Standard Curves and Curve Generation (J. Merkle, Secunet). Jedná se o prvočíselné eliptické křivky a křivky s těmito parametry by měly mít využití v aplikacích, kde jsou nejvyšší bezpečnostní nároky.

Kryptografie

Základní problémy prokazatelné bezpečnosti a kryptografie rozebírá článek Fundamental problems in provable security and cryptography. Jeho autorem je Alexander W. Dent. Přes výsledky výzkumů, které v prokazatelné bezpečnosti probíhají již řadu let, existuje celá řada dosud nevyřešených otázek. Autor prezentuje nový přístup k některým sporným bodům – model náhodného oráklu (random oracle model).

Problematice kryptografického párování a autentizace vzdáleného uživatele se věnují Debasis Giri and P. D. Srivastava v An Improved Remote User Authentication Scheme with Smart Cards using Bilinear Pairings. Nově navrhované schéma má odstranit některé dřívější nedostatky.

Kryptoanalýza proudové šifry Hermes8F (ECrypt Stream Cipher Project) je zase obsahem článku Cryptanalysis of Hermes8F (Steve Babbage; Carlos Cid; Norbert Pramstaller a Havard Raddum). Autoři prezentují útok (se složitostí 2 exp 23) vedoucí k rozkrytí utajovaného klíče, který lze provést na základě znalosti již několika málo bytů generovaného proudu.

Různé

Vyšel český překlad knihy Neal Stephenson –  – Kryptonomikon. Bruce Schneier napsal dodatek k této knize – o algoritmu Solitaire (jehož je autorem) – viz The Solitaire Encryption Algorithm.

A i Bruce Schneier je předmětem humoru – Bruce Schneier Facts. Ovšem – víceméněně dobrosrdečného (tiskněte random fact).

Současnou válku s klikacími podvody popisuje rozsáhlejší článek Waging War Against Click Fraud.

Nastal čas, kdy je třeba skončit s používáním Google – Has the time finally come to stop using Google?  – tento názor (spíše tedy pochybnosti, které v souvislosti s používánim Google přichází na mysl) není slyšet poprvé.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

22. 8. 2006 12:39

su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
Vychadza mi, ze hypotezu kontinua rozhoduje metrika a/alebo miera, tj. zavisi od definicie miery/metriky. Viz tiez Diracov pulz, Banach-Tarski paradox.

22. 8. 2006 3:11

su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
Aha. Najprv, P(N) malo byt P(Q), tj. potencna mnozina racionalnych cisel. Dedekinovych rezov je menej nez |P(Q)|, kvoli obmedzujucim podmienkam, tj. ze rez musi obsahovat vsetky mensie cisla z Q a neobsahovat max. prvok. Mnozina iracionalnych cisel je ostro subvalentna P(Q).

Jedno iracionalne cislo (napr. sqrt(2)) sa da vyjadrit ako supremum mnohych postupnosti (nekonecnych). Cize sqrt(2) "generuju" vsetky postupnosti z Q s limitou superior sqrt(2), pri tej limite zavisi na usporiadan…

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Vitalia.cz: 7 originálních adventních kalendářů pro mlsné

7 originálních adventních kalendářů pro mlsné

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?