Bezpečnostní střípky za 35. týden roku 2006

Přehledy

Ponemon Institute zpracoval přehled, který nazval National Survey on the Detection and Prevention of Data Breaches, komentář k tomuto přehledu najdete na Ponemon Institute Study Shows Lack of Accountability, Resources at Root of U.S. Corporate Data Loss Problem. Samotný přehled (po bezplatné registraci) lze stáhnout z těchto dvou odkazů:

• Ponemon Institute
• PortAuthority Technologies

K některým závěrům přehledu:

• skoro dvě třetiny výkonných pracovníků bezpečnosti IT věří, že bezpečnostním průnikům se nelze vyhnout
• většina respondentů navíc soudí, že jejich organizace nemá dostatek zdrojů a odpovědností nezbytných k prosazení vyhovující bezpečnostní politiky

Jiným materiálem přehledového typu, který se objevil na internetu v uplynulém týdnu, je dokument Network Attacks: Analysis of Department of Justice Prosecutions 1999 – 2006.Komentář k materiálu najdete na Help Net security

Obecná a firemní bezpečnost IT

Kniha Security Engineering, jejímž autorem je známý odborník na bezpečnost IT Ross Anderson, je nyní volně na internetu – Security Engineering. Recenze a komentáře najdete na Reviews and Publicity Material. Kniha je připravena k stažení po jednotlivých kapitolách (předmluvu ke knize napsal Bruce Schneier). Kniha byla vydána v roce 2001 a jejích šest set stránek je naplněno širokou škálou informací. Informační bezpečnost je zde představována v komplexním pojetí, a to včetně řady praktických otázek souvisejících s konkrétními situacemi v aplikacích, tedy nejen jako teoretická disciplina.

Pokud se chcete připravit ke zkoušce na CISSP (Certified Information Systems Security Professional), Rob Slade pro vás připravil přehled materiálů vhodných ke studiu – Reference books for the CISSP CBK domains. Mimochodem – jako jeden z hlavních odkazů zde figuruje výše uvedená kniha Rosse Andersona (absolutely excellent text).

Jakou cestou zavádět v organizaci politiku pro správu záplat? Na tuto otázku se pokouší odpovědět Michael Mullins. Ve své stručné studii – Establish a patch management policy – uvádí klíčové momenty při tvorbě politiky pro správu záplat.

SNARE – to je vstupní stránka k systémům pro detekci průniků – konkrétně zde najdete přehled informací k projektu SNARE (System iNtrusion Analysis & Reporting Environment) pro Linux.

Penetration Testing – A Systematic Approach – Manish S. Saindane napsal desetistránkovou příručku k problematice penetračních testů. Systematicky popisuje plánování jednotlivých fází procesu, které pak vyúsťují ve zpracování výsledné zprávy.

NetworkWorld na stránce The six worst security mistakes přináší šestici článků věnovaných možným chybám při nákupech bezpečnostních technologií:

• Not having a security architecture . Obsahuje vysvětlení, co autor chápe pod pojmem bezpečnostní architektura (1. bezpečnostní služby, které zajistí, že systém splní potřeby uživatelů, 2. dále prvky, které jsou nezbytné pro implementaci služeb a 3. chování těchto prvků ve vztahu k hrozbám prostředí). Dále autor vysvětluje filozofii sedmi ochranných zón.
• Not investing in training . Bezpečnost – to není balík softwaru, který koupíme a nainstalujeme. O bezpečnosti můžeme začít hovořit tehdy, když přichází s politikou a když jsou příslušné produkty konfigurovány tak, aby naplňovaly určité cíle a čelily specifickým rizikům.
• Neglecting identity management . Některé středně veliké společnosti neuvažují o vybudování správy ID, soudí, že je příliš náročná, drahá atd.
• Ignoring the insider threat . Hrozby zevnitř jsou tak staré jako podnikání samo.
• Not protecting Web appliances . Nedostatečná ochrana webovských aplikací bývá nejčastější a největší chybou řady společností.
• Buying products with the most bells and whistles . Nákup produktů, okolo kterých je nejvíce halasu, vůbec nemusí být tím správným rozhodnutím.

Autorem článků je Daniel Minoli.

Ne každý předpokládá, že může existovat i takovýto software – USBDumper, který funguje jako vysavač vašeho flash disku. Pokud tedy například někde přednášíte a vkládáte svoji prezentaci do cizího počítače, pak byste měli mít na paměti, že si tento počítač může stáhnout vše, co na tom disku máte (bez vašeho vědomí).

Jak zabezpečit mobilní zařízení vaší společnosti – Desktop Security Policy Enforcement – How to Secure Your Corporate Mobile Devices – to je třístránková studie, jejímž autorem je Jason S. Meyer.

Pokud se zbavujete starého mobilu, pak si dejte dobrý pozor na informace v něm obsažené – Cell phones won't keep your secrets. Nestačí pouhý příkaz k výmazu. Vhodný software zrekonstruuje celý obsah paměti.

Stephen Colbert dává tipy pro zvýšení bezpečnosti vašeho PC (video :-)) – Stephen Colbert Computer Security Tips (zde je pak 2. část). Viz také komentáře na Schneierově blogu. Ochrana vaší identity online, tipy (nepřekládám záměrně):

• 1. Always type with your non-dominant hand – so it's not typed in your handwriting.
• 2. Pick the right password – close your eyes and slap the keyboard at random.
• 3. Get hundreds of credit cards – never use the same one twice.
• 4. Defrag your hard drive once in a while – overheard a nerd say it somewhere at best buy.
• 5. For every real search on a search engine do a fake search – make it seem it's not you doing the search.
• 6. An infected computer is a vulnerable computer – make sure you wash your computer once a month.

Software

Tom Olzak v článku Web Application Security – Buffer OverflowS: Are you really at risk? se zabývá častou otázkou – problémem přetečení bufferu ve vztahu k bezpečnosti webové aplikace. Diskutuje možné varianty takovýchto situací a článek vyúsťuje v některá doporučované cesty pro ověření vaší konkrétní aplikace.

Chraňte svá Windows – Protect Your Windows Systems (Erna Arnesen)  – přehled nebezpečí, která číhají na dnešní uživatele, a navazujících doporučení.

Nick Suizo se vyjadřuje v článku XML propels security intelligence k bezpečnostním vlastnostem XML (sdílená chráněná data v heterogenním prostředí).

When Web 2.0 fails – Robert Vamosi se zde obrací k problémům Web 2.0 ve vztahu k exploitům Java skriptů a AJAXu (Asynchronous JavaScript). Viz také jeho předešlý článek Security Watch: JavaScript plus AJAX equals trouble.

Vybudování ochran firemní databáze – Robert L. Scheier popisuje zkušenosti jedné firmy (Loyalty Lab Inc.) ze San Francisca. V závěru článku je uveden stručný přehled – výběr dodavatelů technologií vhodných pro tyto účely (Building Up Database Defenses. Protecting the corporate database involves targeting at-risk data and implementing four key defenses. ).

Shawn Hermans popisuje své zkušenosti, jak obnovit ztracené soubory po nepředvídaném vymazání pevného disku (How to recover lost files after you accidentally wipe your hard drive). Za tímto účelem použil programy TestDisk a PhotoRec. V článku popisuje jednotlivé kroky svého postupu. Pokud naopak chcete svá data na disku vymazat takovým způsobem, aby je již nebylo možné obnovit, doporučuje program typu Wipe.

Bezpečnostní rizka SSH existují samozřejmě také (SSH security considerations). John Tränkenschuh se v následném článku Mitigating the Security Risks of SSH vyjadřuje k implementacím SSH v organizacích a k tomu, jak popsaná rizika zmírnit.

Why Own When You Can XSS – poukázáno na zajímavý typ XSS zranitelnosti. Útočník mění to, co vidí návštěvník webovské stránky, nikoliv samotný obsah webu.

Objevil se šifrovací plug-in do Firefoxu (freenigma), založený na GnuPG. Komentáře najdete na Crypto browser plug-in aims for simplicity a Freenigma Extension to encrypt your mail.

Firewally

Příručka k problematice firewallů (Firewall Architecture Guide , 13 stran, nezbytná bezplatná registrace) je určená pro řešení situací ve firmách a obsahuje následující čtyři kapitoly:

• Základy technologie firewallů
• Strategie pro výběr nejlepšího firewallu pro vaši společnost
• Topologie firewallu a techniky pro umístění v systému z hlediska maximální efektivity
• Jak efektivně provádět audit aktivity vašeho firewallu a provádět běžná ošetření.

Microsoft vydal dokument Protecting Clients from Network Attacks, který diskutuje vlastnosti ICF (Internet Connection Firewall), softwaru, který je součástí Windows XP. V závěru článku pak lze nalézt další odkazy na stránky Microsoftu, kde je rozebírána příbuzná problematika.

Hackeři

Recenzi knihy – Hacking the Cable Modem. What Cable Companies Don't Want You to Know (DerEngel, září 2006, 320 str.,)  – obsahuje článek Cable Modem Hacker Publishes a Tell-All . Knihu najdete na NO STARCH PRESS, obsah – table of contents a kapitolu ke stáhnutí – sample chapter (Chapter 17: Building a Console Cable )

Quack Hackers – autor se vrací ke konferenci Black Hat. Konstatuje, že se ukázalo, že dvě z oznámených bezpečnostních děr nebyly hacky, ale spíše hoaxy. Jedná se o oznámený problém ve firewallu Cisco a druhým je široce diskutovaný exploit v driveru pro bezdrát (Apple).

Bezdrát

Celou řada odkazů, tipů atd. k problémům bezdrátových sítí (začlenění do LAN, samotné WLAN) najdete na Wireless troubleshooting (nezbytná bezplatná registrace). Bezpečnosti je mj. věnována kapitola 3 (Chapter 3: WLAN Security) příručky WLAN All-in-One Guide.

Průvodce k WPA2 šifrování ve vaší bezdrátové síti je obsahem materiálu Davida Stroma – Tutorial: How to set up WPA2 on your wireless network.

Forenzní analýza

Live View – to je javovský grafický forenzní nástroj (zatím v beta verzi), který vytváří VMware virtuální stroj (mimo obraz disku či mimo fyzický disk). K používání Live View zdrojového kódu se vztahuje Gnu Public License (GPL).

Přehled informačních zdrojů k problematice forenzní analýzy, které lze nalézt na internetu obsahuje stránka Forensic Science, Computers and the Internet.

Autentizace, rhybaření

Robert Lemos se zamýšlí na otázkou – co přináší využívání počítačů s identifikací v síti (Trusted Platform Module – TPM) – Trusted computing a shield against worst attacks?.

Uncover Secrets From The Dark Side je recenze knihy Phishing Exposed, napsal ji Tony Bradley. Kniha vyšla v říjnu 2005, vydalo ji nakladatelství Syngress Publishing a má 395 stran (Amazon).

Normy a normativní dokumenty

Vyšlo (pracovní skupina IETF pkix)

• rfc.4630 – Update to DirectoryString Processing in the Internet X.509 Public Key Infrastructure­Certificate and Certificate Revocation List (CRL) Profile

NIST vydal čtyři nové drafty

• 1) SP 800–45A, Guidelines on Electronic Mail Security 
• 2) SP 800–94, Guide to Intrusion Detection and Prevention (IDP) Systems 
• 3) SP 800–95, Guide to Secure Web Services
• 4) SP 800–101, Guidelines on Cell Phone Forensics 

Stručný komentář k těmto draftům najdete na Draft Publications.

Dále NIST vydal dvě speciální publikace

• SP 800–86, Guide to Integrating Forensic Techniques into Incident Response
• SP 800–88, Guidelines for Media Sanitization

Kryptografie

Co mají společného jazz s kryptografií a teorií čísel aneb kde bere altsaxofonista Rudresh Mahanthappa inspirace? Netradiční souvislosti popisuje článeček From Crypto to Jazz.

Chystaným normám IEEE P1619 pro šifrování dat na pevných discích a páskových jednotkách je věnován článek Foil threats – Secure Storage on SoCs. Bude použit speciální nový šifrovací algoritmus LRW (jeho autory jsou M. Liskov, R. Rivest a D. Wagner). Článek pak podrobněji popisuje

• IEEE P1619–Standard architecture for encrypted shared storage media
• IEEE P1619.1–Standard architecture for encrypted variable block storage media

SHA-1 na Crypto 2006 pod tlakem (SHA-1 hash function under pressure) – článek upozorňuje na demonstraci nového útoku na redukovanou verzi SHA algoritmu, která proběhla na konferenci Crypto 2006. Christian Rechberger a Christophe De Canniere popsali útok, který umožňuje pozměnit dle jejich vyjádření celou jednu čtvrtinu zprávy (v této redukované verzi algoritmu). Další komentář najdete na stránce Financial Cryptography – SHA1 weakened further in new attacks. Otázka přechodu na bezpečnější alternativy k SHA-1 (tj. SHA-256 a SHA-512) se začíná stávat aktuálním.

Burt Kaliski (RSA) komentuje průběh Crypto 2006 a workshopu k hashovacím funkcím – RSA Security Blog and Podcast a sumarizuje podstatné momenty.

Různé

Vyšlo nové číslo (IN)SECURE Magazine (8/2006), z obsahu:

• Payment Card Industry demystified
• Skype: how safe is it?
• Computer forensics vs. electronic evidence
• Review: Acunetix Web Vulnerability Scanner 4.0
• SSH port forwarding – security from two perspectives, part two
• Log management in PCI compliance
• Airscanner vulnerability summary: Windows Mobile security software fails the test
• Proactive protection: a panacea for viruses?
• Introducing the MySQL Sandbox
• Continuous protection of enterprise data: a comprehensive approach

Ve dnech 14. — 17.10.2006 proběhne v brněnském hotelu Santon konference DATAKON 2006. Program konference – leták.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.