Hlavní navigace

Bezpečnostní střípky za 33. týden

Jaroslav Pinkava

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: obecná bezpečnost IT, telefony, boj s hackery, červy, forenzní analýza, elektronický obchod, biometrie, normy a normativní dokumenty, kryptografie.

Obecná bezpečnost IT

Firewalls cannot block stupidity – Dennis Lee – hezký citát, ne? Bohužel právě vinou nízkého povědomí běžných uživatelů vzniká mnoho dnešních problémů. Např. podle výsledků jednoho přehledu (UK) – Users confuse spyware with Star Wars  – se více než polovina uživatelů problémem nějakého spyware na svých počítačích vůbec nezabývá.

Jestliže hovoříme o bezpečnosti IT, máme většinou na mysli bezpečnost, která se dotýká firem, organizací. Avšak také domácí uživatelé musí myslet na zadní kolečka a zajistit bezpečnost svých dat. Příklad takovéhoto uvažování najdeme v článku Larry Seltzera – Home Users Need to Plan for the Worst – autor uvádí svoji vlastní historii. Autor uvádí, že sám má vnější USB disk pro zálohy (250 GB) a každou noc provádí úplnou zálohu, v poledne pak zálohuje přírůstky. Udržuje pět posledních záloh. K zálohování používá Norton Ghost. Říkáte paranoia, snad, ale kdo již o data přišel (někdy velice mrzí třeba jen soubor fotografií), pochopí.

Univerzitní sítě se vyznačují svými specifiky a často jsou vinou své relativní otevřenosti zranitelné. Dawn Kawamoto v článku Schooled in security uvádí příklad ze začátku tohoto měsíce – University of North Texas byla zasažena hackery, kteří získali přístup k osobním údajům (včetně finančních dat) téměř 39 000 studentů a absolventů. Autor dále popisuje odlišnosti bezpečnostních přístupů univerzitních sítí, budování tzv. zón důvěry (trust zones), v MIT se provádí automatický sken přihlašovaných počítačů (síť nemá firewally). Odlišné zkušenosti, ale například Motorola zvažuje jejich využití.

Zamyšlení nad tím, jaká data procházejí e-maily, přináší Dan Verton v So You Think Your Data Is Secure? (je to autor knihy The Insider: A True Story (Llumina Press, 2005),). Vychází ze zkušeností získaných postupně při průzkumu u 50 velkých US firem. Ukázalo se mj., že e-mailovou poštou procházejí otevřeně zasílaná čísla účtů zakázníků, účetní bilance. Zaměstnanci zcela běžně posílají otevřeně (nezašifrovaně) informace o zákaznících – jména, adresy, data narození, čísla sociálního pojištění a další osobní údaje. Utíkají informace o firemních plánech (a to přímo konkurenci – odesilatel si již hledá nové zaměstnání). Dokonce i v některých nemocnicích s hrůzou zjistili, že chráněná data pacientů jsou běžně zasílána neoprávněným příjemcům.

Zajímavý přístup (využití strategií Sun Tzu) k posílení síťové a informační bezpečnosti probírá Shawn W. Toderick v Network Hardening: Using Warfare Strategy From Sun Tzu´s The Art of War.

Telefony

Podvody pomocí telefonů – v SC Magazine se tento týden objevil zajímavý článek na toto téma – Phone fraud – the cost of doing nothing. Craig Pollard (Siemens Communications) hovoří o vznikající symbióze různých technologií (hlas, video, data), ale také o nových přístupech k podvodům, které se týkají jak tradiční telefonie, tak i IP telefonie. Hackeři pronikají do podnikových sítí s cílem získat přístup k bezplatným hovorům. Další zranitelnosti se objevují u IP-systémů. Autor pak dává celou řadu doporučení, která se týkají preventivních opatření.

SIP Security – internetová telefonie (VoIP) s využitím SIP (Session Initiation Protocol ), autoři přichází s praktickými zkušenostmi z implementace ve švýcarské Zürcher Hochschule Winterthur.

Pozornost čtenářů vzbudila informace o existujícím problému: Jak poslat SMS jménem jiného mobilu – možnosti zneužití nasnadě.

Boj s hackery

Jonathan Tuliani se v SC Magazine – Can the phishing war be won? – zamýšlí nad tím, zda techniky, které s rhybařením v současnosti bojují, ho dokáží vymýtit.

Speciální typ rhybaření, tzv. rhybaření oštěpem, popisuje článek Online scammers pose as execs in ‚spear-phishing‘ – jedná se vlastně o podvodné e-maily cílené na jednu organizaci.

Povede špatná pověst cookies k jejich zákazu? Tento problém diskutuje Bob Tedeschi v New York Times – Spyware Heats Up the Debate Over Cookies. Z obchodního hlediska jsou však cookies nepostradatelnou pomůckou. Přitom ale (podle zprávy firmy Jupiter Research) až 40 procent uživatelů své cookies pravidelně maže.

Objevil se analytický nástroj Honeynet Security Console For Windows 2000/XP . Umožňuje sledovat některé typy útoků a má mnoho dobrých vlastností:

  • Intuitive interface to view all event logs on your personal network or honeynet.
  • View Snort, Firewall, Syslog, Sebek, TCPDump logs.
  • Quick and easy to setup.
  • Powerful interactive graphs with drilldown capabilities.
  • Simple yet powerful search/correlation capabilities.
  • Integrated IP tools.
  • TCPDump payload and session decoder.
  • Built in passive OS fingerprinting and geographical location capabilities
  • Quickly view detailed event information from the Internet.
  • Dashboard view to quickly see status of events.
  • Je zdarma!

Recenzi knihy Rootkits: Subverting the Windows Kernel autorů Grog Hoglund a James Butler najdete na Slashdotu. Kniha je věnována problematice, kterou se zabývají elitní hackeři – zásahům do jádra Windows.

Zotob a další červy tohoto týdne

Tři skupiny hackerů bojují o to, která z nich bude mít větší armádu botů – Hackers fight to create world's largest Botnet . Před týdnem zveřejnil MS zranitelnost (nejvíce se týkala Windows 2000). Červ Zotob využívající tuto zranitelnost zasáhl v úterý řadu společností v USA (např. CNN, The Associated Press, the New York Times a Caterpillar Inc) – New worm hits computers with Windows 2000.Objevily se spekulace A Media Worm?. Viz také Pozor! Další viry útočí. Dostaly se do vysílání CNN a napadly NewYorkTimes. Udivila rychlost exploitu, uživatelé nestíhají použít publikované patche. Autorům viru stačilo pět dní po zveřejnění zranitelnosti. Na druhou stranu – Zotob and Variants – publicita je těmto červům věnována mj. právě proto, že mezi zasažené patří média (CNN). Reakce Microsoftu – Free Zotob removal tool . Zde najdete přehled jednotlivých variant červa (a doporučení): Zotob, Seven New Threats Uncovered.

Forenzní analýza

Cornell Walker poukazuje na odpovědnost analytiků v Computer Forensics: Bringing the Evidence to Court při získávání důkazů z dat obsažených v počítači.

Elektronický obchod

Survey Finds Consumers Want Personalized Online Experience – přehled The 2005 National Personalization Survey firmy Zoomerang ukazuje zajímavé informace ohledně představ zákazníků internetových obchodů. Velká většina (80 procent) má zájem na personalizovaném obsahu nabídky a 63 procent vyjádřilo obavy ohledně svých osobních údajů.

Biometrie

NIST připravuje vyhodnocení biometrických technologií založených na rozpoznání duhovky (iris recognition) – NIST to evaluate iris recognition technology . Viz také DHS to foreign visitors: Give me 10 a Defense awards biometric-project task order to CSC.

Normy a normativní dokumenty

IETF – skupina PKIX vydala tento týden dva nové drafty: Simple Certificate Validation Protocol (SCVP), v pořadí již dvacátou verzi, a dále devátou verzi draftu Operational Protocols: Certificate Store Access via HTTP. Posledně jmenovaný dokument specifikuje konvence pro užívání protokolu HTTP/HTTPS jako rozhraní při získávání certifikátů a CRL.

NIST opublikoval tento týden celou sérii dokumentů. Jsou to drafty:

Dále vydal:

a konečně draft

Kryptografie

NIST vydal první část třídílné příručky NIST Special Publication 800–57, Recommendation for Key Management – Part 1, General. The Recommendation for Key Management . Druhá část se má objevit 20. srpna a třetí část je ve fázi rozpracování. Přiručka byla několik let v podobě draftu a je velice užitečným materiálem pro každého, kdo se zabývá implementacemi kryptografických metod.

Konference Crypto 2005 – vystoupení prof. Wangové se nakonec konalo jen v jejím zastoupení (ujal se ho Adi Shamir) – Šok a ostuda: Američané nepustili prof. Wangovou na konferenci Crypto 2005. Jak je to tedy s hashovacím algoritmem SHA-1 – přečtěte si Prof. Wangová urychluje útok na SHA-1, takže je prakticky proveditelný na Internetu. Viz také New Cryptanalytic Results Against SHA-1 (+ komentáře) a SHA1 attack updated at Crypto, US responds by stifling research.

Různé

Vyšlo nové číslo online magazínu (In)Secure Magazin. Z obsahu:

  • Security vulnerabilities, exploits and patches
  • PDA attacks: palm sized devices – PC sized threats
  • Adding service signatures to Nmap
  • CSO and CISO – perception vs. reality in the security kingdom
  • Unified threat management: IT security's silver bullet?
  • The reality of SQL injection
  • 12 months of progress for the Microsoft Security Response Centre
  • Interview with Michal Zalewski, security researcher
  • OpenSSH for Macintosh
  • Method for forensic validation of backup tapes

Jako každý měsíc vydal Bruce Schneier patnáctého svůj Cryptogram.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

22. 8. 2005 18:21

Ano, děkuji. Jedná se o dva odkazy:
SP 800-81, Secure DNS Deployment Guide
SP 800-84, Guide to Single-Organization IT Exercises

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu