Hlavní navigace

Bezpečnostní střípky za 36. týden roku 2006

Jaroslav Pinkava 11. 9. 2006

Pravidelný týdenní přehled informací z bezpečnosti IT, které se objevily za posledních sedm dní. Dnes se budeme zabývat především následujícími tématy: přehledy, obecná a firemní bezpečnost IT, software, malware, hackeři, forenzní analýza, autentizace, bankovnictví a kryptografie.

Přehledy

Message Labs vydaly srpnový přehled (lze stáhnou na adrese Intelligence Report August 2006) věnovaný situaci v informační bezpečnosti. Přehled konstatuje pokračující trend charakterizovaný mimo jiné jednak novými sofistikovanými postupy pro phishing a jednak výskytem trojanů, kteří využívají zranitelnosti široce používaných programů (jako příklad je uváděna zranitelnost MS06–040). Komentáře k tomuto přehledu obsahují následující odkazy:

Obecná a firemní bezpečnost IT

Několik jednoduchých doporučení pro každého, jak zabezpečit svá data, najdete v článku Computer Security: How to Safeguard Your Data:

  • Používejte a spravujte antivirový software a firewall (včasné aktualizace)
  • Pravidelně skenujte svůj počítač s ohledem na výskyt spyware
  • Aktualizujte svůj software (záplaty instalujte pokud možno ihned po jejich vydání)
  • Vyhodnoťte si nastavení svého softwaru (defaultní nastavení umožňují sice vždy správnou funkcionalitu, nemusí však poskytovat požadovanou bezpečnost)
  • Zvažte využívání oddělených účtů pro jednotlivé uživatele
  • Zaveďte postupy pro faktické používání počítače (pokud ho používá více lidí, např. děti, měli by všichni znát meze a chovat se tak, aby data, která je třeba chránit, chráněna byla)
  • Používejte hesla a šifrujte citlivé soubory
  • V pracovním prostředí dodržujte politiky společnosti pro práci s informacemi a jejich ukládání
  • S citlivými informacemi pracujte odpovídajícím způsobem
  • Dodržujte náležité bezpečnostní zvyklosti.

Insider Risk Management Guide je stručná příručka uvádějící problematiku „správa interních rizik“ (Gideon T. Rasmussen). Obsahuje následující části:

  • Klasifikace a analýzy dopadů (odkaz na příručku NIST SP 800–60)
  • Identifikace základních kontrol (najdete zde odkazy na několik dalších využitelných dokumentů, např. na NIST SP 800–53 a rozdělení vlastních kontrol do jednotlivých kategorií spolu s jejich krátkým popisem)
  • Implementace (stručně)
  • Audit (nezbytnost a cíle auditu)
  • Odkazy (url dalších pěti dokumentů použitelných v těchto souvislostech)

Organizace CompTIA nově vydává i certifikaci pro práci s RFID. V článku Certification: Exploring the RFID+ Certification (Emmett Dulaney) je rozebírán obsah této certifikace a uvedeny informační zdroje, se kterými by se příslušný uchazeč měl seznámit.

Dejte si pozor na počítačovou techniku nakoupenou z druhé ruky – The computer spy that steals your passwords and credit details. Je zde komentována situace, kdy jakási Cheryl Lambert koupila infikovaný počítač a její osobní data se pak objevila někde na ruském webu… Krádeže ID nejsou v současnosti nijak mimořádnou záležitostí.

Recenzi knihy How Personal & Internet Security Works (jejím autorem je Preston Gralla, kniha o 288 stranách vyšla 31.května 2006) obsahuje stejnojmenný článek na Help Net Security. Knihu lze nalézt např. na Amazonu.

Software

Na stránkách http://www.sec­too.org/ najdete první verzi distribuce Linuxu zaměřené na síťovou bezpečnost – Sectoo Linux. Verze je zatím určena spíše k úvodnímu seznámení a k testům. Podle popisu se je zde možné opřít o využívání řady implementovaných bezpečnostních funkcí (port scanning, packet sniffing, OS fingerprinting, intrusion detection, …).

Bezplatný firewall společnosti Comodo lze stáhnout v nové verzi (2.3.4.45) – zde najdete stručný komentář.

K novému prohlížeči Browzar – po počátečním nadšení (Net browser promises private surf) se objevuje jeho kritika – Adware attack on privacy tool – obsahuje adware. Ale – není to prý adware, ale reklama sponzorů…

Bezpečnost webovských aplikací – chyby a práce s nimi, tímto tématem se zabývá článek Web Application Security: Application Error Handling . Bryan Sullivan a Billy Hoffman (SPI Dynamics) rozebírají jednotlivé typy chyb (chyby ve vstupech uživatelů, interní chyby,…) a dávají doporučení typu nejlepší postupy (best practices).

Google a údajné špehovanie cez mikrofón – na toto téma se v týdnu objevilo několik glos. Slovenský autor Filip Hanker v úvodu svého článku dává následující komentář. Pokiaľ by sa Google rozhodol implementovať do niektorého zo svojich produktov svoju technológiu zobrazovania reklamy na základe zvukov zachytených mikrofónom, bude kritizovaný zo všetkých strán ešte skôr, než stačí rozšíriť osvetu o tom, že zachytávané dáta nemožno žiadnym spôsobom zneužiť.

Federico Biancuzzi diskutuje na téma „Nalezené zranitelnosti a procesy pro jejich zveřejnění“ se zástupci předních světových firem (resp. shrnuje dostupné informace) v článku Disclosure survey .

Kapitolu z knihy MCTS Self-Paced Training Kit (Exam 70–536): Microsoft® .NET Framework 2.0—Application Development Foundation věnovanou otázkám šifrování a bezpečnosti lze stáhnout zde – Chapter 11: Application Security . Je to celkem 74 stran, doporučena je znalost Microsoft Visual Basic nebo C#.

Malware, hackeři

Trojanům, kteří zneužívají EFS (Encrypting File System) ve Windows k tomu, aby zakryli svoji přítomnost, se věnuje Aditya Kapoor ve svém článku Protecting against EFS based attacks.. Je zde obsažen jak popis takovéhoto nedávného trojana (obsahuje dialer Qdial-45 a downloader označovaný jako Spy-Agent.bf), tak i několik doporučení pro prevenci (antivir, popř. zákaz používání EFS). Viz také diskusi k článku resp. popis varování společnosti McAfee v Malware scrambles to evade defenses.

Analýzu velkých útoků DDoS, takových, které přichází z různých zdrojů, obsahuje materiál Analyzing Large DDoS Attacks… pěti autorů (Mao, Sekar, Spatschek, van der Merwe, Vasudevan). Jsou zde popsány k tomu používané techniky pro podvržení IP adres a doporučení pro poskytovatele internetových služeb (ISP) k obraně před těmito útoky.

As Windows becomes harder to crack, could virus writers start to target hardware?  – zamyšlení nad možnými trendy. Windows je stále těžší cracknout, zaměří se autoři virů na hardware? Je to mj. reakce na virus z posledních dní (W32/W64.Bounds), který využil zranitelnost procesoru AMD64 CPU (i když zde se jednalo o soubor instrukcí X86–64).

Na téma „Dnešní úlohy antivirových programů“ najdete zajímavou diskusi v článku Anti-Virus Testing and Consumer Reports

Gromozon – téměř nedetekovatelný rootkit infikoval čtvrt miliónu počítačů – Gromozon rootkit has infected 250,000 PCs. Malware se původně šířil z webu Gromozon.com, nyní ho však lze nalézt na rostoucím počtu dalších webovských stránek. Podrobný popis k vlastnostem tohoto rootkitu lze nalézt v dokumentu – Gromozon-pdf.

Titulek typu „další notebook s citlivými daty byl ukraden” se v poslední době objevuje na internetových stránkách stále častěji. Kevin Beaver (CISSP) se v Laptop hacking step by step zabývá problémem mj. i z pohledu opačné strany – tj. z pohledu těch, kteří sami notebook ukradli anebo se nějakou cestou k ukradenému (ztracenému) notebooku dostali. Jejich cílem je proniknout k informacím v notebooku obsaženým. Článek obsahuje následující odstavce:

  • 1. Jak by se to vlastně mohlo stát (proniknutí do notebooku)
  • 2. Jak cracknout notebook – diskutován je např. nástroj Ophcrack
  • 3. Jak notebook zabezpečit (technologie pro zašifrování celého disku jako jsou PGP Whole Disk Encryption a TrueCrypt)
  • 4. Shrnutí – bezpečnost notebooku (klasická doporučovaná základní bezpečnostní opatření)

Forenzní analýza

V článečku Sleuth Kit now has Windows binaries – je zminěna nová verze (z 1.9.2006) forenzního nástroje Sleuth Kit, kterou lze již spouštět i pod MS Windows.

Microsoft Office security, part two – to je druhá část článku věnovaného bezpečnosti MS Office (první část je zde – Microsoft Office security, part one). Tato druhá část se zabývá především forenzními aspekty (po případné kompromitaci).

Autentizace, bankovnictví

Slabina Windows při ukládání hesel umožnila vznik následujícího nástroje – Instant USB Password Recovery Tool. Popis se týká vlastností tzv. LM (LAN Manager) hashí ve Windows 95. Jako protiopatření doporučuje autor používat hesla s minimálně 15 znaky či delšími. Windows 2000 již LM hashe nepoužívají.

Přístup na webovskou stránku a jak ho zabezpečit prostřednictvím klientského SSL certifikátu, touto otázkou se zabývá článek HOWTO: Securing A Website With Client SSL Certificates (viz také připojenou diskusi).

Úkol, před kterým stojí banky, zajistit odpovídající bezpečnost svých online transakcí, je rozebírán v obsáhlejším článku Ellen Messmerové – Banks under gun to bolster online security. Autorka popisuje, jak se s problémem vypořádávají některé větší banky, a to ve vztahu k dokumentu Authentication in a Banking Environment, který loni v říjnu vydala americký vládní orgán Federal Financial Institutions Examination Council. Viz také předchozí článek autorky GAO report critical of federal banks´ security.

Analýzu současných řešení (bezpečnost a náklady) pro online bankovnictví a s ním spojený problém vzájemné autentizace najdete v článku Mutual Authentication for Online Banking: One size does not fit all. Je to sice PR článek (Comodo), ale obsahuje užitečné moderní pohledy na tuto problematiku.

Kryptografie

Problematika tzv. Time-Release PK Encryption se zabývá situacemi, kdy je povoleno soubor odšifrovat až po uplynutí určité doby. Alexander W. Dent a Qiang Tag ve své studii Revisiting the Security Model for Timed-Release Public-Key Encryption with Pre-Open Capability revidují starší přístup (Hwang, Yum, a Lee), kritizují jeho některé bezpečnostní vlastnosti a formulují vlastní návrh.

Poznámky z panelové diskuse k budoucnosti hashovacích funkcí na Second NIST Hash Workshop najdete na stránce Notes from the Hash Futures Panel. Zajímavé čtení – viz také komentář Vl.Klímy.

RSA Signature Forgery – zranitelnost podpisů dle PKCS 1, v.1.5 popsal nedávno (Rump session na Crypto 2006) Daniel Bleichenbacher. Týká se RSA veřejného exponentu 3, pokud je použit, existuje možnost podvržení podpisu (dle výše uvedeného PKCS). V tomto ohledu je pak zranitelný software, který takovéto podpisy vytváří, konkrétně se to týká OpenSSL – do verzí 0.9.7j a 0.9.8b.

IEEE P1363.3: Identity-Based Public Key Cryptography – na webovských stránkách se objevily nové příspěvky – submissions. Týkají se připravované normy k této problematice, příspěvky obsahují některé nové návrhy (ve formě článků a prezentací).

Kvantová kryptografie v síti – Quantum cryptography networks unlock security issues – článek popisuje podle vyjádření autorky (Liz Tay) první funkční síť s kvantovou kryptografii (Northwestern University  – USA).

Turingova bomba – to je přezdívka stroje, který rozbil Enigmu. Výsledkem deseti let práce fanoušků (týmu 60 nadšenců) je replika tohoto stroje – Enigma replica ‚homage to heroes‘.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

15. 9. 2006 7:46

a díky za správné upřesnění, nešel jsem do nyancí jako defaultní nastavení resp. zpětná kompatibilita.

14. 9. 2006 17:07

Věta "Windows 2000 již LM hashe nepoužívají" není (obecně) pravdivá. Z důvodu zpětné kompatibility LM hashe podporují (a používají) všechny současné verze Windows. Jde jim to ale explicitně zakázat, jak uvádí i zmíněný článek :

"It is also worth mentioning that LM hashes can be disabled entirely on a Windows 2000 or higher computer by making a simple change to the registry. For more information on preventing Windows from storing a LM hash see the following article in the Microsof…

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte