Bezpečnostní střípky za 36. týden

Obecná a firemní bezpečnost IT

Devět otázek, šest cest a čtyři hrozby. Trojice podobně nazvaných článků, která se sešla tento týden. Začneme prvním z nich – Mark Stevens (Nine questions to ask when evaluating a security threat) vyjmenovává otázky, na které by si měl odpovědět např. systémový administrátor v situaci, kdy získá informace o nové hrozbě.

• 1. Ovlivní nová hrozba software, který používáme?
• 2. Je příslušný exploit hrozbou zevnitř, či zvenku?
• 3. Jak obtížný je tento exploit?
• 4. Jaký je dopad úspěšného útoku?
• 5. Kdy bylo provedeno poslední zálohování?
• 6. Máme připravenu odpověď na tento typ hrozby?
• 7. V jakém stavu je dnes má síť?
• 8. Je tato hrozba osobní?
• 9. Není „léčba“ horší než „nemoc“?

Několik odborníků se sešlo v diskusi, která si kladla za cíl nalézt odpověď na otázku, jak přežít velké internetové útoky – 6 ways to survive major Internet attacks. Diskuse u kulatého stolu byla zaměřena na problematiku federálních institucí (USA) a vyústila v následujících šest doporučení:

• 1. Nejprve je nezbytné definovat problém.
• 2. Pro vytváření norem a nákup technických a softwarových prostředků volit centralizovaný přístup.
• 3. Zvažovat rizika.
• 4. Správa konfigurací by měla mít jednotnou politiku.
• 5. Kvalitnější lidé znamenají bezpečnější sítě.
• 6. Včasná identifikace problémů a rychlá reakce.

Konečně Mathew Friedman v The Four Most Common Security Dangers poukazuje na největší faktické hrozby. Nejsou to rafinované útoky nejzkušenějších hackerů, ale:

• sociální inženýrství
• chybné postupy
• technické nedostatky (ve složité firemní síti zůstala některá neošetřená místa)
• interní zneužití

Úspěšný útok přitom obvykle využije nějakou kombinaci těchto čtyř faktorů (které nemají tolik co do činění s vlastním útočníkem).

Mark Murtagh v SC Magazine v článku Hackers for hire říká, že donedávna bylo možné rozlišovat existenci dvou skupin hackerů. Ti, co patří do první z nich, se snaží proniknout na pokud možno nejutajovanější místa Internetu (a tedy z hackerského hlediska nejatraktivnější) a tímto svým výkonem získávat prestiž u ostatních. Do druhé skupiny hackerů patří ti, co jsou již provázáni s opravdovou kriminalitou, s gangy (např. krádeže údajů o kreditních kartách). Objevuje se však nový typ hackerů, autor je označuje jako „hackers for hire“, tedy nájemní hackeři. Jejich existence se odvíjí od hackerů z první skupiny, z těch, kteří zjistili, že by za své zkušenosti mohli příjít k nějakým penězům, a rozhodli se jít touto cestou. Nejsou to „tvrdí“ zločinci, s podsvětím se kontaktují prostřednictvím různých diskusních fór a chatů. Publikují zde své „objevy“ a jsou takto i placeni. Autor článku konstatuje, že tito hackeři vytvářejí velkou hrozbu jak pro podnikatelskou sféru, tak i pro jednotlivce. Ve druhé půlce článku pak autor dává některá doporučení organizacím, jak těmto novým hrozbám předcházet a jak se jim bránit (interní politiky, bezpečná infrastruktura atd.).

Software

Tim Smith se v A close look at web browser security zabývá problematikou bezpečnosti prohlížeče MS Internet Explorer. Dává několik jednoduchých doporučení pro jeho nastavení s cílem zajištění vyšší bezpečnosti. Na závěr článku doporučuje čtenářům několik utilit, které lze bezplatně stáhnout (AVG Antivirus, Adaware SE Pers.Ed., ZoneAlarm, Spybot, HijackThis).

Chyby v softwaru mohou mít různé dopady. Jak se vyvarovat bezpečnostních důsledků těchto chyb radí Sathya Mithra Ashok – Software security – building it right. Zmiňuje Capability Maturity Model, kterým se ve svých vývojových pracích řídí řada firem. Samotný životní cyklus vývoje software se u jednotlivých firem často podstatně liší. Základní stadia však zůstávají tytéž a jsou to:

• 1. Zadání obsahující požadavky
• 2. Analýza hrozeb (rizik) a modelování
• 3. Návrh a architektura
• 4. Pravidelný monitoring a testování v průběhu vývojové fáze
• 5. Závěrečné testování a záruky kvality.

Autor článku pak diskutuje tyto principy ve vztahu k řadě známých softwarových společností.

Ilustrovaný průvodce k IPSec – An Illustrated Guide to IPSec, jehož autorem je Steve Friedl, je prvním ze dvou slíbených článků (druhý se bude zabývat výměnou klíčů, databází bezpečnostních parametrů a některými podrobnostmi konfigurace IPSec). Jsou zde popsány (a popis je doplněn názornou grafikou) výchozí pojmy (IP diagram, protokoly AH, ESP), transportní a tunelový mód, autentizační algoritmy a vysvětleny základy problematiky VPN.

Cisco a Symantec oznámily existenci nebezpečné zranitelnosti v Cisco IOS – New Cisco flaw could pose threat to Net. Zatím nejsou známy exploity, patche existují. Viz podrobnější informaci také na Novinkách – Internet je v ohrožení, uvedl přední výrobce síťových prvků.

Chyba ve firewallu Windows může otevřít porty – Windows Firewall flaw may hide open ports. Týká se to operačních systémů Windows XP a Windows Server 2003.

Malware

Na adrese Book Reviw: Ending Spam najdete recenzi Tony Bradleyho ke knize Jonathan Zdziarski: Ending Spam. Bayesian Content Filtering and The Art of Statistical Language Classification, No Starch Press, July 2005. Knihu samotnou najdete např. na Amazonu.

V The Internet's new fear factor najdete kromě skoro šokující historky (autor červa vyhrožuje smrtí) pojednání o současných hrozbách Internetu. Ocituji závěrečnou poznámku článku (Mike Weider) – devadesát procent webovských stránek je zranitelných.

Robert Vamosi (CNET) se zamýšlí nad existencí několika skupin autorů posledních virů a nad nedávnými zásahy policie – A virtual den of thieves.

Forenzní analýza

Další recenzi od Tonyho Bradley, tentokrát knihy Hacking Exposed: Computer Forensics, McGraw-Hill Osborne Media, November 2004 od autorů Chris Davis, Aaron Philipp a David Cowen, najdete zde. Samotnou knihu pak třeba na Amazonu.

Autentizace

Emily Finch (University of East Anglia, kriminolog) na základě studia postupů jedinců s kriminálními úmysly (v tomto směru) vyslovuje vážné pochybnosti a varuje, že nové technologie povedou k častějším krádežím ID (New technology may increase ID theft, scientist says ). Viz také Schneierův komentář a diskusi k němu.

Probíhá debata o bezpečnostních opatřeních v amerických přístavech, která by měla sloužit jako ochrana proti terorismu, a o využití RFID s tímto účelem – Can RFID secure America's ports?

Bankovnictví

Podle studie Forrester Research se ve Velké Británii řada lidí vzdává e-bankingu, a to ze strachu z možných bezpečnostních rizik – E-banking security provokes fear or indifference. Uváděno je i konkrétní číslo: podle odhadu tak činí 600 000 klientů z celkového počtu 15 000 000 klientů, tj. čtyři procenta. Viz také závěry obdobného průzkumu v USA  – Security worries holding back online banking .

Normy a normativní dokumenty

Vyšla revize draftu dokumentu Federal Information Processing Standard 201 (FIPS 201), Personal Identity Verification (PIV) of Federal Employees and Contractors – Proposed Revision of FIPS 201. Připomínky je možno zasílat v následujících 30 dnech (po zveřejnění revize).

Vyšlo Informační rfc.4154 – Voucher Trading System Application Programming Interface (VTS-API) .

Dále byl vydán draft draft-gont-tcpm-icmp-attacks-04.txt. K tomuto draftu doporučuji si přečíst komentář Big debate over small packets – Robert Lemos diskutuje vážnost hrozeb, proti nimž hledá opatření ve svém draftu autor Argentinec Fernando Gont. Samotný draft diskutuje možnosti využití protokolu ICMP (Internet Control Message Protocol) k provádění útoků na protokol TCP (Transmission Control Protocol) resp. na obdobné protokoly a navrhuje několik protiopatření k eliminaci těchto útoků.

Kryptografie

Problematika kryptografického párování je poměrně novým úsekem kryptografie, úsekem však nadmíru zajímavým. V posledních letech se na toto téma objevila celá řada publikací, jejich přehled (včetně stručného úvodu do problematiky) najdete na stránce brazilského kryptologa Paulo Barreto – The Pairing-Based Crypto Lounge. Pro první seznámení je vhodný průvodce (Mike Scott) – The Tate Pairing, samozřejmě musíte něco vědět o eliptických křivkách. Pozornost k problematice obrátil článek D. Boneh, M. Franklin: Identity-based encryption from the Weil pairing . Autoři zde navrhují použít párování pro realizaci modelu práce s kryptosystémy s veřejnými klíči bez potřeby digitálních certifikátů. Tento přístup navrhl Shamir již v roce 1984, ale teprve Boneh s Franklinem přišli s uspokojivým a reálným návrhem na jeho technické provedení. Veřejným klíčem může být libovolný řetězec znaků, např. e-mailová adresa. Jestliže Alice chce zašifrovat e-mail, který posílá Bobovi, použije jako veřejný klíč řetězec „bob@firma.com“. Alice nemusí hledat Bobův certifikát. Bob po obdržení zašifrovaného e-mailu kontaktuje třetí důvěryhodnou osobu, která obhospodařuje generátor klíčových párů. Bob se vůči této straně autentizuje (stejně jako u certifikační autority se autentizuje např. prostřednictvím registrační autority) a obdrží svůj soukromý klíč. S jeho pomocí může pak dešifrovat e-mail. Poznámk: tento popis je samozřejmě zjednodušený, neobsahuje např. otázky spojené s revokací atd. V současné době se v této problematice objevují publikace dvou typů. Jedny z nich se zabývají návrhy různých modelů, které se opírají o využití kryptografického párování. Je jich už dnes celá přehršel, viz výše zmíněnou stránku Paula Barreto. Druhé se pak věnují efektivnosti příslušných výpočetních postupů (volbě vhodných eliptických křivek, návrhům algoritmů atd.). Patří k nim i nedávný článek Eliptic Curves for Pairing Applications, jehož autory jsou Angela Murphy a Noel Fitzpatrick (viz také Eliptické křivky pro párovací aplikace – teorie).

Různé

V příspěvku Budou podle projednávaného trestního zákona penetrační testy trestnou činností? pokračuje Vlastimil Klíma v diskusi k novému trestnímu zákonu.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.