Hlavní navigace

Bezpečnostní střípky za 35. týden

5. 9. 2005
Doba čtení: 8 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: obecná a firemní bezpečnost IT, software, hackeři, viry a červy, rhybaření, bezdrát, bankovnictví, normy a normativní dokumenty, elektronický podpis, kryptografie, legislativa.

Obecná a firemní bezpečnost IT

Podle studie Ponemonova institutu se v současnosti objevují některé velmi pozitivní trendy ve vztahu k bezpečnosti firemního IT prostředí – Are companies prepared for fallout from a security breach? Většina společností (průzkum se týkal 68 firem z Severní Ameriky) používá již běžně technologie jako šifrování, firewally a antivirový software. Také se to odráží na růstu prodeje bezpečnostních prostředků a softwaru – Network security appliance market worth $6.4 billion by 2008.

Na ZDNet se objevil komentář Bruce Schneiera Is Microsoft skirting the issue? Průmyslové konsorcium Trusted Computing Group (viz třeba dokument Design, Implementation, and Usage Principles for TPM-Based Platforms ) má za cíl postavit bezpečnější počítače. Tyto cíle jsou ve zmíněném dokumentu podrobněji specifikovány a ve stručnosti se dají vyjádřit těmito body:

  • Security
  • Privacy
  • Interoperability
  • Portabilty of data
  • Controllability
  • Ease-of-use

S tímto dokumentem a jeho principy vyjadřuje Schneier v zásadě svůj souhlas. Jeho kritika je směrována vůči Microsoftu, který je také členem konsorcia. Podle jeho názoru zdržoval Microsoft již zveřejnění tohoto dokumentu (byl nakonec publikován v červnu 2005) a blokoval jeho další využití pro softwarovou verzi specifikace – tzv. Trusted Network Connect. Podle Schneiera je hlavním důvodem postoje Microsoftu jeho neochota aplikovat tyto principy v chystané nové verzi Windows – Vista. Viz také Trusted Computing standards won't apply to Vista – Schneier.

Rozhovor s Michaelem Zalewski, autorem knihy Silence on the Wire, najdete zde: www.onlamp.com/pub/a/s­ecurity/2005/08/2­5/zalewski.html a samotnou knihu zde: Silence on the Wire: A Field Guide to Passive Reconnaissance and Indirect Attacks..

Software

Microsoft vydal dokument (v předběžné verzi) Understanding Security in Microsoft Internet Explorer 6 in Windows XP SP2, který se zabývá stavem bezpečnosti internetových prohlížečů jednak obecně, jednak ve vztahu k Internet Exploreru, k jeho rozšířením z SP2.

O tom, že problematika bezpečnosti IE je vážnou otázkou, svědčí informace z tohoto týdne – Microsoft Internet Explorer Remote Code Execution Vulnerability  – viz také Další nebezpečná kritická chyba všech MS IE, bez záplaty !

A několik dalších odkazů diskutujících zranitelnosti Windows:

Pro ty, kdo mají rádi rychlé návody, následuje desetiminutový průvodce bezpečností sítí v pěti bodech:

  • Evaluate your security policy;
  • Vulnerability Management;
  • Patch management;
  • Get informed;
  • Go shopping.

Hackeři

Další hacknutý počítač, tentokrát s osobními a finančními daty 154 studentů Kalifornské státní univerzity – CSU: Computer holding student financial data breached .

Site allegedly exposes British secret agents, viz komentář MI6 má radost. Cryptome zveřejnil podrobné info o 276 agentech.

Osobně mě nejvíce mrzí, když se někdo neštítí zneužít lidského neštěstí, bohužel se to aktuálně týká i živelné katastrofy na jihu Spojených států. Hurikán Katrina – Katrina's des­truction attracts online fraudsters – anglicky hurricane Katrina, v pátek již bylo nově registrováno 250 domén obsahujících jedno z těchto dvou slov. Pro spravedlnost – někteří to učinili z legitimních důvodů, jiní z toho chtějí profitovat. Minimálně se třeba pokouší doménu znovu prodat (tedy se ziskem) a inzerují charitativní důvody (!). Viz také Online scammers exploiting Katrina disaster a Virus exploits Hurricane Katrina disaster . Spameři používají v předmětu e-mailů např.:

  • Re: g8 Tropical storm flooded New Orleans.
  • Re: g7 80 percent of our city underwater.
  • Re: q1 Katrina killed as many as 80 people.

Uživatel je pak nasměrován na webovskou stránku, kde může být infikován.

Viry a červy, rhybaření

Zajímavou konverzaci s autorem červů najdete zde – Conversation With a Worm Author. Osoba s přezdívkou Diabl0 vysvětluje některé principy svého počínání.

V Turecku je vyslýcháno 16 podezřelých v návaznosti na krádeže spojené s kreditními kartami. Ukazují se souvislosti mezi aktivitami hackerů a kybernetickou kriminalitou (Zotob arrests point to cybercrime nexus).

Podle informace v Status Quo as viruses are down down, deeper and down lze v průběhu srpna vysledovat pokles počtu virů i „rhybaření“. Narostlo však množství spamu (ze 70 procent e-mailů na počátku letošního roku na 79 procent).

Virus pro mobilní telefony se rozšířil v malé firmě ve Skandinávii (Phone virus spreads through Scandinavian company. The virus spread from a worker's infected cell phone). V tomto případě šlo o virus Commwarrior.B, který dorazil jako příloha MMS (Multimedia Messaging Service) resp. pomocí Bluetooth.

Úřad pro ochranu osobních údajů varuje před podvodnými e-maily. Jejich odesilatelé oznamují výhru v mezinárodní loterii nebo slibují provizi za pomoc při převodu peněz. Chtějí ale jen získat osobní údaje příjemce včetně čísla bankovního účtu (Pozor na e-maily, varují ochránci soukromí). K informaci je přiloženo „Desatero přikázání počítačové etiky“.

Microsoft připravuje nástroj proti rhybaření (Antiphishing tool – Microsoft adds antiphishing tool to IE). Ovšem testovací verze tohoto nástroje MS jsou dostupné pouze v USA (US-only trials for MS anti-phishing toolbar). Podle MS je to proto, že je nástroj v beta verzi (?).

Bezpečnost bezdrátové komunikace

V SC magazine se objevil hodnotící článek s názvem Wireless security is broken and it doesn’t matter. Autor (Thomas Gilbert) charakterizuje dnešní situaci vztahující se k bezpečnosti bezdrátu a připodobňuje ji k bezpečnosti Internetu.

V článku Efficient key exchange protocols for wireless netwoks and mobile devices (autoři Katrin Hoper a Guang Gong) je navržen nový typ protokolů pro výměnu klíčů v bezdrátových sítích a mobilních zařízeních. Protokol bere v úvahu speciální omezení, která jsou dána použitím těchto technických prostředků, a má být efektivnější a bezpečnější.

Nové technologie mají napomoci k větší bezpečnosti Wi-Fi – Distance detection may help secure Wi-Fi. Intel vyvíjí postupy přesně detekující vzdálenost, kterou cestují pakety. To by mělo zabránit uživateli mimo dům dosáhnout na bránu Wi-Fi uvnitř domu.

Na konferencích DefCon a Black Hat se hackerům v letošním roce kupodivu nepodařilo hacknout bezdrátovou síť (ač v minulých ročnících tomu tak nebylo) – DefCon and Black Hat wireless hackers foiled.

Bankovnictví

Operační centrum Visa International je chráněno takovým způsobem, že návštěvník firmy se dozví pouze, že je umístěno někde v centrálním regionu Spojených Států. Po aféře s drobným subdodavatelem CardSystems Solutions (došlo k exponování osobních údajů více než 40 miliónů klientů) dochází k hledání nových cest k ochraně osobních dat klientů – Visa Seeks New Ways to Keep Data Secret , týká se to mj. zřetelného oddělení výpočetních systémů a výchovy spolupracujících obchodníků a zpracovatelů.

Velice zajímavou analýzu problematiky generování PINů (které např. banky rozesílají klientům) naleznete v článku Laser-printed PIN Mailer Vulnerability Report. Autoři (Mike Bond, Steven J. Murdoch a Jolyon Clulow) ukazují dle jejich vyjádření jednoduché techniky útoků, kdy lze zjistit hodnoty PINů bez poškození obalu, ve kterém jsou zasílány. Uvádí, že diskutovanou technologii používá např. většina britských bank. Viz také: Schneier – blog a Poor print exposing Pin numbers .

Normy a normativní dokumenty

Byla publikována druhá část publikace NIST Special Publication 800–57, Recommendation for Key Management – Part 2, Best Practices for Key Management Organization.. Je věnována otázkám doprovodných politik a prováděcích postupů.

Draft třetí verze dokumentu Common Criteria Common Criteria – Unofficial CC/CEM versions se objevil v červnu letošního roku. Připomínky k němu lze zasílat do 1. listopadu 2005. Nová verze zahrnuje reakci na množství připomínek, které zaslali dodavatelé a hodnotitelé technologií či jejich uživatelé.

Ve Velké Británii byly vypracovány nové normy pro biometrii (British Standard, zároveň ale i jako normy ISO/IEC). Jsou to (New biometrics standards from BSI business information):

  • BS ISO/IEC 19794–2:2005 Finger minutiae data
  • BS ISO/IEC 19794–4:2005 Finger image data
  • BS ISO/IEC 19794–5:2005 Face image data
  • BS ISO/IEC 19794–6:2005 Iris image data

Elektronický podpis

Česká pošta začala vydávat kvalifikované certifikáty – Konec monopolu pro vydávání certifikátů – vzhůru na poštu – PR článek. Cena je pro uživatele určitě zajímavá. Ale jak známo, elektronický podpis je živen především projekty, ve kterých je aplikován. S čím přijde Česká pošta? Elektronické SIPO – jaké bude, v čem bude jeho výhodnost pro zákazníky? A co přijde dál?

Kryptografie

Michael Szydlo (SHA1 Collisions can be Found in 263 Operations) shrnuje poslední výsledky a komentuje možný další postup. Viz také SHA-1 Cryptanalysis Breakthrough.

Byly zveřejněny prezentace z konference Crypto 2005 – Rump session. Kromě Shamirova přednesu prezentace profesorky Wangové – New Collision Search for SHA-1 – je zde celá řada dalších poutavých témat. Tomáš Rosa – Pozor na DSA! – si všímá příspěvku Daniela Bleichenbachera Experiments with DSA.

Přehled dnešního stavu problematiky protokolů pro dohodu na klíči (key agreement) najdete v článku Overview of Key Agreement Protocols  – autory jsou Ratna Dutta a Rana Barua.

Legislativa

Otázky týkající se právních dopadů činností spojených s vyhledáváním bezpečnostních děr, zranitelností resp. s jejich zneužitím nejsou jednoduché a nelze říci, že legislativa má na všechno správné odpovědi. Zájmy výrobců a (bezpečnostní) zájmy uživatelů nejsou tytéž. Diskuse na takovéto téma lze v tisku nalézt poměrně často – viz např. The truth about security anebo Lynn's actions at Black Hat weren't noble. O tom, že česká legislativa na tom není lépe, svědčí příprava nového trestního zákona, viz Vlastimil Klíma – Bude podle navrhovaného §205 trestního zákona věda (kryptoanalýza) trestná?.

Různé

Ve dnech 22. - 23. listopadu 2005 se v Praze koná konference IT SECURITY GigaCon Bezpečnost a spolehlivost informačních systémů. Z popisu: Konference se zabývá nejnovějšími řešeními a technologiemi, které zajišťují spolehlivost informačních systémů. v České republice bude IT Security GigaCon 2005 největším přehledem dostupných prostředí a nástrojů, které jsou nezbytné k efektivnímu zajištění bezpečnosti informačních systémů. Účastníci budou moci mimo absolvování odborných přednášek srovnat a ocenit nabízené produkty, setkat se a diskutovat s odborníky. Na konferenci je vstup zdarma, podmínkou účasti je registrace.

root_podpora

Letos popáté se koná český a slovenský workshop Mikulášská kryptobesídka (MKB). Je zaměřen na podporu úzké spolupráce odborníků se zájmem o teoretickou a aplikovanou kryptografii a další příbuzné oblasti informační bezpečnosti. Upozorňujeme všechny zájemce, že příspěvky je nutné zaslat do 12. září 2005!

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?