Hlavní navigace

Bezpečnostní střípky za 34. týden

Jaroslav Pinkava

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: obecná a firemní bezpečnost IT, software, hackeři, Bluetooth, banky, kryptografie.

Obecná a firemní bezpečnost IT

Kdo areál nezná, není schopen se v něm orientovat. Tato slova pronesl (odpovědný?) činitel podniku Synthesia ve čtvrtečním zpravodajství televize Nova. Odpovídal na dotaz redaktorů této televize, kteří bez problémů vnikli do areálu podniku (vyrábí mj. výbušniny) a zase se bez problémů dostali ven. Ano, vždy existují jedinci, kteří se neorientují (v areálu, v počítačové síti), a může jich být i většina. Znamená to však, že dostatečná bezpečnost je taková, který nás chrání proti takovéto „málo znalé“ většině?

Gunter Ollman se v článku Assessing Your Security: Advice on Assessing your IT Security Posture zabývá problémem rostoucí odpovědnosti organizací za bezpečnost používaných informačních technologií. Aby ji organizace dokázala správně vyhodnotit, musí provádět odpovídající testy a ocenění. Autor pak provádí podrobnější analýzu možných přístupů a dochází k následujícímu závěru. Procesy vedoucí jak k ověření, tak i k udržení úrovně bezpečnosti systému organizace obsahují kombinace politiky, auditu a ocenění. První dva faktory lze obvykle dostatečně dobře propracovat vnitřními silami organizace, zato k ocenění (assessment) je vhodné zvolit externího partnera. Celý článek je více orientován na auditorský přístup, kvalitně navržený IT systém však musí být budován tak, aby umožňoval efektivní řešení auditů.

Jak budovat filozofii přístupových práv v organizaci ukazuje Derek Melber v Implementing Principle of Least Privilege. Jím diskutovaný princip nejmenšího privilegia jednoduše vyjádřený znamená, že každému uživateli jsou dána pouze taková práva, která potřebuje k vykonání svých úkolů. V článku jsou dále rozebrány situace, kdy je tento princip uplatňován ve firemní síti s MS Windows (administrátorská práva, využití Active Directory).

Také Německo se chce na vládní úrovni seriózně zabývat problematikou IT bezpečnosti – Germany launches IT security initiative. Zveřejněný „National Plan to Protect IT Infrastructures“ obsahuje tři následující hlavní cíle:

  • prevence útoků,
  • potenciál pro rychlou odpověď na uskutečněný útok
  • a pobídky pro široké používání obvyklých bezpečnostních postupů

Proč nechráníme citlivá (osobní) data šifrou? Otázkou, jaká uložená data je vhodné uchovávat v zašifrované podobě, se zabývá Hamish Macarthur v článku Storage and data encryption. A shrnuje – poslední věta článku říká – šifrování dat, která jsou pro danou organizaci kritická (jejichž ochrana je kritická), by se mělo stát standardní praxí.

Pohled z druhé strany – pracovníky firem, které se problematikou bezpečnosti IT zabývají, určitě potěší vyjádření pana Arta Coviello (vedoucí pracovník forma RSA Security) RSA Security Sees Hope In Online Fraud: Jako firma jsme na trhu již dvacet let a jsem nyní přesvědčen, že příležitosti trhu, který je teprve před námi, jsou bohatší, než byly kdykoliv předtím. Samotný článek je užitečným přehledem plánů a výhledů této přední bezpečnostní firmy.

Recenzi knihy Ira Winkler Spies Among Us: How to Stop the Spies, Terrorists, Hackers, and Criminals You Don't Even Know You Encounter Every Day (z března 2005) najdete na adrese apcmag.com.

Software

Vývoj bezpečného softwaru je záležitostí managementu – Djenana Campara v článku Developing secure software is a management issue nejen poukazuje na problém, ale dává i některá doporučení. Např. organizace mohou využít následující šestibodovou strategii:

  • 1. Audit softwaru (odhalit zranitelnosti a stanovit bezpečnostní priority).
  • 2. Plán – stop únikům (nový vývoj se bude zabývat i taktickými otázkami)
  • 3. Hluboký audit (vztah architektury a zranitelností)
  • 4. Převod průběžných výsledků auditu do politiky
  • 5. Vylepšení postupů (na základě monitoringu trendů a výsledků implementací)
  • 6. Iterovaná vylepšení (opakování kroků 3 až 5)

Jaikumar Vijayan se v Hackers Beating Efforts to Patch Software Flaws vrací k rychlosti, se kterou reagovali hackeři na zveřejněnou zranitelnost MS Windows. Reakcí může být jen rychlé záplatování. Problémem je samozřejmě otázka dopadů těchto záplat na další software. Obvyklou praxí je před uplatněním záplat provést jejich otestování a na tomto základě provést další potřebné úpravy.

Objevila se zpráva Zotob worm hole also affects Windows XP – Zotob je hrozbou také pro Windows XP (spolu se Service Pack 1 ve speciální konfiguraci – pak jsou XP zranitelná obdobně jako Windows 2000).

Autor článku Legal disassembly se ještě vrací k nedávnému sporu Cisco-Lynn, diskutuje úmluvu EULA (End User License Agreement) ve vztahu k objeveným zranitelnostem a klade si otázku „Je reverzní inženýrství legální?“

Hackeři

Úniky osobních dat – v poslední době se s takovýmito zprávami setkáváme stále častěji, nezdá se vám? Tentokrát to zasáhlo US Air Force. Hacker měl použít legitimní informace pro login do systému.

A ještě jednou k americké armádě. Rizika ztrát na základě útoků hackerů velice rychle narůstají (DOD's ‚Manhattan Project‘). Vojenské počítačové sítě jsou však příliš důležité, než aby byly vydány na pospas útokům hackerů.

Čtyři banky (Banesto Bank – Španělsko, Poste Italiane Banca – Italie, Canadian Bank of Montreal a Visions Federal Credit Union – USA) byly tento týden předmětem útoků rhybářů – Global phishing outbreak hits four banks.

Zpráva Phishing Activity Trends Report – July 2005 konstatuje stále sofistikovanější útoky rhybářů. Některé finanční služby přikročily k zadávání grafických symbolů (jako obranu proti trojanům, které využívají keyloggery). Rhybáři na to odpovídají snímáním celých obrazovek. Viz také komentář ke zprávě – Crimeware epidemic spreading fast. Pro zajímavost: ve zprávě byl mimo jiné zveřejněn žebříček zemí hostujících rhybářské weby, uvedeme alespoň prvních pět zemí, číslo značí procenta z celkového počtu:

  • USA – 35.5
  • Čína – 11.2
  • Jižní Korea – 10.1
  • Francie – 5.6
  • Něměcko – 3.2

Z technologicky méně vyspělých zemí se mezi prvními deseti objevuje překvapivě i Rumunsko.

DNS rhybaření (viz také Bezpečnostní střípky za 31. týden) – studie Iana Greena (35 stran, leden 2005) DNS Spoofing by The Man In The Middle ukazuje slabiny zabezpečení DNS. Autor uvádí některé nástroje k analýze těchto slabin a také k provedení útoku typu muž uprostřed (Man in the Middle attack).

Průvodce pharmařením – The Pharming Guide aneb Understanding & Preventing DNS-related Attacks by Phishers. Příručka (37 stran) obsahuje podrobnou diskusi jednak k DNS (principy, fungování), jednak k odvozeným útokům, ale i možným obranám.

Zkonstruovat virus, který kompletně zničí data vašeho počítače (disk), není jednoduché, ale také to není nemožné – Robert L. Mitchell v Awaiting the PC Killers.

David Emm (z Kaspersky Lab) konstatuje (Virus writers and hackers change tactics), že současní hackeři a autoři virů mění taktiku. Globální epidemie odchází do pozadí a cíle útoku jsou konkretizovány. Jako příklad je uváděno chování červa Bozori.

Podvržení IP adresy – celou řadu útoků tohoto typu diskutuje Suhas A Desai v Introduction: IP Spoofing .

Bluetooth

Nový systém pro šíření reklamy (Billboards beam adverts to passing cellphones) je zkoušen na londýnských nádražích (šest lokací). Během dvou týdnů zachytil signál z 87 000 mobilů s Bluetooth, zhruba 17 procent souhlasilo se stažením klipu. Kdo však zaručí, že si uživatel takto do mobilu nestáhne i něco, co nechtěl (virus,…)? Viz také Bluetooth Spam (+komentáře).

Pěkný příklad nezamýšlených dopadů technologie najdete zde: Phone pirates in seek and steal mission – Mobily s Bluetooth pomáhají zlodějům vyhledávat v zaparkovaných autech notebooky s Bluetooth. Z komentářů v Schneierově blogu (Bluetooth As a Laptop Sensor) mě zaujal jeden – tento případ je dalším argumentem proti špatně implementovaným RFID čipům v pasech.

Banky

Na rizika některými bankami nyní zaváděné praxe – login do účtu již není na stránce chráněné prostřednictvím SSL (snaha zkrátit dobu čekání klienta) – poukazuje článek Banks Abandoning SSL On Home Page Log-Ins . Kupodivu se to týká velikých bank – např. Bank of America.

Northern Bank, banka, která se již stala obětí největšího bankovního podvodu v historii Velké Británie, je znovu zasažena. Její bankovní systém (…Northern Bank robbed again! ) byl nabourán tak, že umožnil výběr hotovosti z bankomatu bez odečtu z účtu.

Kryptografie

William E. Burr (NIST) se vyjadřuje k posledním výsledkům ohledně SHA-1 (Storm brewing over SHA-1 as further breaks are found). Článek se vrací ke konferenci Crypto 2005, cituje také vyjádření dalších známých osobností. Např. Steven Bellovin (Columbia University) říká, že problémem stávající situace je skutečnost, že současné protokoly nejsou připraveny na provedení úprav, a to i v situaci, kdy vznikne dohoda na nové hashovací funkci.

Vraťme se ale také zpátky do historie. Na stránkách CRYPTO MACHINES najdete opravdu „krásné kusy“. Enigma, M209 či dokonce ruská Fialka a mnoho, mnoho dalších historických šifrovacích zařízení na vás dýchne z dnes již vzdálené minulosti (i když někde ne zase tolik).

GData: An Online MD5 Hash Database nabízí k dnešnímu datu 12 291 508 hesel a odpovídajích MD5 hashí (databáze 12 milionů passwordů a jejich MD5 haší).

Komentář k nalezené chybě v implementaci DH protokolu pro TOR najdete v Security Focus – BugTraq. Viz také Kryptografické chyby při realizaci DH protokolu.

Různé

Podle zveřejněného výzkumu MORI+StreamShield Networks – UK (Men More Likely to Fall to Online Scams, Spam and Viruses) jsou muži náchylnější k tomu „chytit něco na Internetu“ než ženy – zajímavé, ne? Např. že počítač je infikován virem, hlásí 46 procent mužů, 38 procent žen; spam na počítači – muži 50 procent, ženy 38 procent atd. Ale – 97 procent mužských uživatelů Internetu ví, co je to počítačový virus (ženy 92 procent), obdobně spyware (muži 66 procent, ženy 47 procent) atd. Geoff Bennett (ředitel Product Marketing at StreamShield) však shrnuje, že muži jsou zranitelnější.

Archivace elektronických dokumentů, to je téma hodně diskutované, ale zatím (vzhledem k dlouhé řadě souvisejících problémů) je v problematice více věcí nevyřešených než vyřešených. Zajímavá je v této souvislosti následující informace – Stand Guard Against Accidental File Erasure – hovořící o trestné postihnutelnosti v případě ztráty některých datových souborů (USA). Je to sice PR článek, ale obsahuje některé závěry vhodné k zamyšlení.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA