Bezpečnostní střípky za 33. týden

Obecná bezpečnost IT

Firewalls cannot block stupidity – Dennis Lee – hezký citát, ne? Bohužel právě vinou nízkého povědomí běžných uživatelů vzniká mnoho dnešních problémů. Např. podle výsledků jednoho přehledu (UK) – Users confuse spyware with Star Wars  – se více než polovina uživatelů problémem nějakého spyware na svých počítačích vůbec nezabývá.

Jestliže hovoříme o bezpečnosti IT, máme většinou na mysli bezpečnost, která se dotýká firem, organizací. Avšak také domácí uživatelé musí myslet na zadní kolečka a zajistit bezpečnost svých dat. Příklad takovéhoto uvažování najdeme v článku Larry Seltzera – Home Users Need to Plan for the Worst – autor uvádí svoji vlastní historii. Autor uvádí, že sám má vnější USB disk pro zálohy (250 GB) a každou noc provádí úplnou zálohu, v poledne pak zálohuje přírůstky. Udržuje pět posledních záloh. K zálohování používá Norton Ghost. Říkáte paranoia, snad, ale kdo již o data přišel (někdy velice mrzí třeba jen soubor fotografií), pochopí.

Univerzitní sítě se vyznačují svými specifiky a často jsou vinou své relativní otevřenosti zranitelné. Dawn Kawamoto v článku Schooled in security uvádí příklad ze začátku tohoto měsíce – University of North Texas byla zasažena hackery, kteří získali přístup k osobním údajům (včetně finančních dat) téměř 39 000 studentů a absolventů. Autor dále popisuje odlišnosti bezpečnostních přístupů univerzitních sítí, budování tzv. zón důvěry (trust zones), v MIT se provádí automatický sken přihlašovaných počítačů (síť nemá firewally). Odlišné zkušenosti, ale například Motorola zvažuje jejich využití.

Zamyšlení nad tím, jaká data procházejí e-maily, přináší Dan Verton v So You Think Your Data Is Secure? (je to autor knihy The Insider: A True Story (Llumina Press, 2005),). Vychází ze zkušeností získaných postupně při průzkumu u 50 velkých US firem. Ukázalo se mj., že e-mailovou poštou procházejí otevřeně zasílaná čísla účtů zakázníků, účetní bilance. Zaměstnanci zcela běžně posílají otevřeně (nezašifrovaně) informace o zákaznících – jména, adresy, data narození, čísla sociálního pojištění a další osobní údaje. Utíkají informace o firemních plánech (a to přímo konkurenci – odesilatel si již hledá nové zaměstnání). Dokonce i v některých nemocnicích s hrůzou zjistili, že chráněná data pacientů jsou běžně zasílána neoprávněným příjemcům.

Zajímavý přístup (využití strategií Sun Tzu) k posílení síťové a informační bezpečnosti probírá Shawn W. Toderick v Network Hardening: Using Warfare Strategy From Sun Tzu´s The Art of War.

Telefony

Podvody pomocí telefonů – v SC Magazine se tento týden objevil zajímavý článek na toto téma – Phone fraud – the cost of doing nothing. Craig Pollard (Siemens Communications) hovoří o vznikající symbióze různých technologií (hlas, video, data), ale také o nových přístupech k podvodům, které se týkají jak tradiční telefonie, tak i IP telefonie. Hackeři pronikají do podnikových sítí s cílem získat přístup k bezplatným hovorům. Další zranitelnosti se objevují u IP-systémů. Autor pak dává celou řadu doporučení, která se týkají preventivních opatření.

SIP Security – internetová telefonie (VoIP) s využitím SIP (Session Initiation Protocol ), autoři přichází s praktickými zkušenostmi z implementace ve švýcarské Zürcher Hochschule Winterthur.

Pozornost čtenářů vzbudila informace o existujícím problému: Jak poslat SMS jménem jiného mobilu – možnosti zneužití nasnadě.

Boj s hackery

Jonathan Tuliani se v SC Magazine – Can the phishing war be won? – zamýšlí nad tím, zda techniky, které s rhybařením v současnosti bojují, ho dokáží vymýtit.

Speciální typ rhybaření, tzv. rhybaření oštěpem, popisuje článek Online scammers pose as execs in ‚spear-phishing‘ – jedná se vlastně o podvodné e-maily cílené na jednu organizaci.

Povede špatná pověst cookies k jejich zákazu? Tento problém diskutuje Bob Tedeschi v New York Times – Spyware Heats Up the Debate Over Cookies. Z obchodního hlediska jsou však cookies nepostradatelnou pomůckou. Přitom ale (podle zprávy firmy Jupiter Research) až 40 procent uživatelů své cookies pravidelně maže.

Objevil se analytický nástroj Honeynet Security Console For Windows 2000/XP . Umožňuje sledovat některé typy útoků a má mnoho dobrých vlastností:

• Intuitive interface to view all event logs on your personal network or honeynet.
• View Snort, Firewall, Syslog, Sebek, TCPDump logs.
• Quick and easy to setup.
• Powerful interactive graphs with drilldown capabilities.
• Simple yet powerful search/correlation capabilities.
• Integrated IP tools.
• TCPDump payload and session decoder.
• Built in passive OS fingerprinting and geographical location capabilities
• Quickly view detailed event information from the Internet.
• Dashboard view to quickly see status of events.
• Je zdarma!

Recenzi knihy Rootkits: Subverting the Windows Kernel autorů Grog Hoglund a James Butler najdete na Slashdotu. Kniha je věnována problematice, kterou se zabývají elitní hackeři – zásahům do jádra Windows.

Zotob a další červy tohoto týdne

Tři skupiny hackerů bojují o to, která z nich bude mít větší armádu botů – Hackers fight to create world's largest Botnet . Před týdnem zveřejnil MS zranitelnost (nejvíce se týkala Windows 2000). Červ Zotob využívající tuto zranitelnost zasáhl v úterý řadu společností v USA (např. CNN, The Associated Press, the New York Times a Caterpillar Inc) – New worm hits computers with Windows 2000.Objevily se spekulace A Media Worm?. Viz také Pozor! Další viry útočí. Dostaly se do vysílání CNN a napadly NewYorkTimes. Udivila rychlost exploitu, uživatelé nestíhají použít publikované patche. Autorům viru stačilo pět dní po zveřejnění zranitelnosti. Na druhou stranu – Zotob and Variants – publicita je těmto červům věnována mj. právě proto, že mezi zasažené patří média (CNN). Reakce Microsoftu – Free Zotob removal tool . Zde najdete přehled jednotlivých variant červa (a doporučení): Zotob, Seven New Threats Uncovered.

Forenzní analýza

Cornell Walker poukazuje na odpovědnost analytiků v Computer Forensics: Bringing the Evidence to Court při získávání důkazů z dat obsažených v počítači.

Elektronický obchod

Survey Finds Consumers Want Personalized Online Experience – přehled The 2005 National Personalization Survey firmy Zoomerang ukazuje zajímavé informace ohledně představ zákazníků internetových obchodů. Velká většina (80 procent) má zájem na personalizovaném obsahu nabídky a 63 procent vyjádřilo obavy ohledně svých osobních údajů.

Biometrie

NIST připravuje vyhodnocení biometrických technologií založených na rozpoznání duhovky (iris recognition) – NIST to evaluate iris recognition technology . Viz také DHS to foreign visitors: Give me 10 a Defense awards biometric-project task order to CSC.

Normy a normativní dokumenty

IETF – skupina PKIX vydala tento týden dva nové drafty: Simple Certificate Validation Protocol (SCVP), v pořadí již dvacátou verzi, a dále devátou verzi draftu Operational Protocols: Certificate Store Access via HTTP. Posledně jmenovaný dokument specifikuje konvence pro užívání protokolu HTTP/HTTPS jako rozhraní při získávání certifikátů a CRL.

NIST opublikoval tento týden celou sérii dokumentů. Jsou to drafty:

• SP 800–40 version 2, Creating a Patch and Vulnerability Management Program
• SP 800–81, Secure DNS Deployment Guide
• SP 800–83, Guide to Malware Incident Prevention and Handling
• SP 800–84, Guide to Single-Organization IT Exercises
• SP 800–86, Guide to Computer and Network Data Analysis: Applying Forensic Techniques to Incident Response
• SP 800–87, Codes for the Identification of Federal and Federally-Assisted Organizations

Dále vydal:

• NIST Interagency Report (IR) 7206, Smart Cards and Mobile Device Authentication: An Overview and Implementation
• NISTIR 7200, Proximity Beacons and Mobile Handheld Devices: Overview and Implementation
• SP 800–70, Security Configuration Checklists Program for IT Products

• NIST – Special Publication 800–26 Revision 1, Guide for Information Security Program Assessments and System Reporting Form 

Kryptografie

NIST vydal první část třídílné příručky NIST Special Publication 800–57, Recommendation for Key Management – Part 1, General. The Recommendation for Key Management . Druhá část se má objevit 20. srpna a třetí část je ve fázi rozpracování. Přiručka byla několik let v podobě draftu a je velice užitečným materiálem pro každého, kdo se zabývá implementacemi kryptografických metod.

Konference Crypto 2005 – vystoupení prof. Wangové se nakonec konalo jen v jejím zastoupení (ujal se ho Adi Shamir) – Šok a ostuda: Američané nepustili prof. Wangovou na konferenci Crypto 2005. Jak je to tedy s hashovacím algoritmem SHA-1 – přečtěte si Prof. Wangová urychluje útok na SHA-1, takže je prakticky proveditelný na Internetu. Viz také New Cryptanalytic Results Against SHA-1 (+ komentáře) a SHA1 attack updated at Crypto, US responds by stifling research.

Různé

Vyšlo nové číslo online magazínu (In)Secure Magazin. Z obsahu:

• Security vulnerabilities, exploits and patches
• PDA attacks: palm sized devices – PC sized threats
• Adding service signatures to Nmap
• CSO and CISO – perception vs. reality in the security kingdom
• Unified threat management: IT security's silver bullet?
• The reality of SQL injection
• 12 months of progress for the Microsoft Security Response Centre
• Interview with Michal Zalewski, security researcher
• OpenSSH for Macintosh
• Method for forensic validation of backup tapes

Jako každý měsíc vydal Bruce Schneier patnáctého svůj Cryptogram.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.