Přehledy, konference
Z přehledu National Survey on Managing the Insider Threats – Ponemon Institute vyplývá, že většina bezpečnostních průniků zůstává neoznámena. Hlavním důvodem má být to, že společnosti nemají dostatečné zdroje, aby tento problém zvládly. Kopie přehledu lze získat od Ponemon Institute a ArcSight (přímý odkaz na přehled jsem nenašel, je možné, že je třeba za jeho kopii zaplatit).
Komentář k jinému přehledu – Survey: Large U.S. firms collecting more personal data – najdete na stránkách Computerworldu. Podle tohoto přehledu, který zpracovala společnost The Customer Respect Group Inc., sbírají velké firmy osobní data svých online zákazníků. Málokteré z nich však tato data sdílí s někým mimo vlastní organizaci.
Setkání IT bezpečnostních pracovníků, manažerů proběhlo na konferenci Security Standards (Boston, září 2006). Na konferenci byla rozebírána taková témata jako shoda s regulačními ustanoveními, reakce na vnitřní a vnější hrozby, práce s legislativními opatřeními a ustavení nejlepších bezpečnostních postupů (security best practices).
Pozornost médií přitahuje probíhající debata Microsoft versus EU na téma bezpečnost (Microsoft Debates Vista Security with EU). Microsoft chce ovládnout i ty trhy s bezpečností pro IT, kde dříve dominovali jiní hráči. Nebudí to samozřejmě kladné reakce. Navíc pro EU je to jen jeden z antitrustových problémů, které chce s Microsoftem řešit.
Obecná a firemní bezpečnost IT
Jeff Relkin dal dohromady zajímavý seznam deseti bezpečnostních problémů, které se vyskytují jen v návaznosti na bezpečnost IT – 10 security problems unique to IT. Jsou to:
- 1. Hrozby průniku do systému (penetrace)
- 2. Realita internetové bezpečnosti
- 3. Přenosnost hardware (notebooky,…)
- 4. Rozvoj nových komunikačních cest
- 5. Složitost softwaru
- 6. Stupeň vzájemného propojení
- 7. Nasycenost a dostupnost medií (CD, DVD, USB disky,…)
- 8. Centralizace (havárie centrálního serveru,…)
- 9. Decentralizace (zase z jiného pohledu, např. je třeba chránit celou řadu ekvivalentních kopií databází)
- 10. Fluktuace pracovníků
Další z článků na aktuální téma „zabezpečte svůj notebook” najdete (pod názvem Mobile defense forces: Securing your laptops) na Computerworldu. Je zde zmíněna služba Computrace, kde notebook předplatitele služby se jednou denně spojí s příslušným internetovým serverem. Pokud bude oznámena krádež tohoto notebooku, pak každých 15 minut probíhá ověřování. Podle IP adresy pak v různých databázích lze najít adresu ulice, kde ukradený notebook připojili k internetu. A pak už zbývá jenom. aby policie zaklepala na dveře…
V článku Use tools and common sense to protect laptops pak najdete následující doporučení (stále jsme u bezpečnosti notebooků):
- 1. Nepoužívejte počítačové tašky (sdělují všem v okolí, že nesete notebook).
- 2. Nikdy v aktovce nenechávejte přístupové kódy či hesla.
- 3. Hlídejte si neustále svůj notebook (jako příklad je zde uvedena situace, kdy procházíte letištní kontrolou)
- 4. Nepokládejte notebook na podlahu, raději ho přidržujte mezi nohama apod.
- 5. Pokud pracujete s citlivými soubory, chraňte zobrazovaná data na obrazovce. Týká se to situací, kdy musíte pracovat v místě, kde je plno lidí (např. existují řešení, kdy to, co je zobrazeno na obrazovce, vidí pouze ten, kdo je přímo před obrazovkou atd.)
- 6. Nenechávejte svůj notebook volně ležet v hotelovém pokoji.
A ještě jeden článek související s pátým bodem předcházejících doporučení – Dvojklik skryje otvorené okná, odoženie zvedavcov. Stisknete současně obě tlačítka myši a otevřená okna zmízí z obrazovky – pomůže jednoduchý software (bezplatný) – OneClick HideWindow .
Sociální inženýrství je také uměním – The art of social engineering. Trocha diskuse, příkladů a několik doporučení pro obranu. Za žádnou cenu nikdy:
- 1. nepodávejte informace neznámé osobě, která se vám sama ozvala (na ulici, telefonicky). Raději zavěste a zavolejte sami do příslušné firmy
- 2. Nedávejte nikomu své heslo. Neexistuje k tomu žádný legitimní důvod (včetně systémových administrátorů ve vaši firmě).
- 3. nikomu nesdělujte svůj bankomatový PIN
- 4. Nikdy neklikejte na odkazy či e-maily, které jsou tzv. od vaší banky či jiné finanční instituce. Banky neposílají e-maily oznamující, že máte ověřovat své heslo apod.
Pod Slurping – An easy technique for stealing data – v této krátké studii je diskutováno nekontrolované používání přenosných paměťových médií (iPod, USB zařízení, flash disky, PDA), které vede k velkým bezpečnostním únikům. Není třeba problém napsat softwarovou aplikaci, která automaticky prohledává firemní síť a nalezená citlivá firemní dat kopíruje na iPod, přehrávač MP3 (např). Krádeže informací zevnitř – toto je reálný problém každé organizace. Doporučení je proto jediné – zavedení přísné politiky pro práci s těmito zařízeními.
Chraňte své soukromí při vyhledávání online (Six Tips to Protect Your Online Search Privacy) – šest doporučení:
- 1. Do vyhledávače nevkládejte informace, které mohou sloužit k vaší identifikaci
- 2. Nepoužívejte vyhledávač poskytovatele vašeho internetového připojení
- 3. Nepřihlašujte se do vámi používaného vyhledávače, resp. do souvisejících nástrojů
- 4. Zablokujte cookies vašeho vyhledávače (autor doporučuje používání Firefoxu a v článku informuje, jak je ho třeba nastavit), obdobná informace je tam obsažena i pro Internet Explorer.
- 5+6. Lze-li to, měňte svou IP adresu, v opačném případě používejte anonymizující software.
Software
Ajax security: How to prevent exploits in five steps – Michael Cobb upozorňuje na možnosti Ajaxu (Asynchronous JavaScript and XML) jako souboru technologií, které jednak rozšiřují funkce prohlížečů a jednak umožňují uživatelům a aplikacím přístup, sdílení a editaci určitého obsahu. Bezpečnostní aspekty zde samozřejmě musí být také nutně zvažovány. Autor dále poukazuje na možnosti hackerů při vyhledávání exploitů pro Ajax a dává pět doporučení jako prevenci před takovýmito exploity.
Také Mario Morejon v Review: Security Cleanup For Ajax Apps diskutuje problematiku vyhledávání možných bezpečnostních chyb, zranitelností při používání Ajaxu. V této souvislosti se odkazuje i na využívání některých konkrétních nástrojů.
Jak postupují velké světové firmy při rozkrývání zranitelností, ptá se Federico Biancuzzi v článku Disclosure survey. Sebral zde pak vyjádření zástupců některých velkých světových firem k této problematice, tj. k rozkrývání zranitelností a dále k použitým následným procesům.
Stručná příručka Linux Security Quick Reference Guide je rychlou variantou pro hledání možných cest k zvýšení bezpečnosti vašeho systému.
Po příslušné registraci je možné si stáhnout kapitolu knihy Hacking for Dummies – je to Chapter 16, Web applications. V osmnáctistránkové kapitole se můžete seznámit jednak s principy, na jejichž základě jsou vytvářeny útoky proti webovským aplikacím a na druhou stranu zase s doporučovanými protiopatřeními. V závěru kapitoly jsou uvedeny praktiky nejlepších postupů z hlediska minimalizace bezpečnostních rizik (pro webové aplikace).
„Bomby“ XML a útoky XPath jsou dvě z hrozeb vztahujících se k XML webovým službám. Na stránce Prevent XML attacks najdete rozsáhlý souhrn odkazů na články, které se zabývají těmito a příbuznými problematikami.
SSH a pokusy útočníků o login, to je předmětem článku Christiana Seiferta (z Nového Zélandu) – Analyzing malicious SSH login attempts. Autor diskutuje možnosti honeypotů – jejich využití za tímto účelem. Na základě svých zkušeností dává řadu doporučení jako obranu před takovými pokusy.
Chcete předat příteli větší množství dat? Pak jednodušší cestou než vypalování DVD je využití chráněných záloh umístěných někde na internetu (G-mail,…). Autor článku Off-Site Backup for Home Users (Lenny Zeltser) pak za tímto účelem doporučuje používat open source software pro šifrování disků – TrueCrypt.
David Kierznowski (odborník na penetrační testy) nalezl několik slabých míst softwaru Adobe pro pdf soubory (Hacker Discovers Adobe PDF Back Doors). V článku jsou citovány dvě možnosti zadních vrátek a zmíněno, že existuje nejméně dalších sedm míst, kam lze umístit nebezpečný malware.
Hackeři
Schneierova esej What is a Hacker? navazuje na myšlenky z jeho knihy Secrets and Lies. Bruce Schneier se vrací k definici hackera z uvedené knihy – „A hacker is someone who experiments with the limitations of systems for intellectual curiosity“, konstatuje, že dnes není třeba na ní nic měnit a také zdůrazňuje užitečnost existence komunity hackerů. Zajímavá je i na blogu připojená rozsáhlá diskuse.
Jaký má vlastně armáda botů potenciál, co dokáže? Jaké zisky lze od ní očekávat? Co budoucnost? A co ochrana ISP (poskytovatelů internetového připojení), uživatelů atd.? Na tyto otázky chce odpovědět autor článku The World of Botnets Alan Solomon. Je to vše o penězích – samozřejmě.
Přehled (Arbor Network – Denial-of-service attacks, bots are worst security threats, survey says), který zahrnul informace řady síťových operátorů a poskytovatelů internetových připojení, konstatuje, že nejhoršími bezpečnostními hrozbami jsou útoky DoS a boti.
Delving deep into the hacker culture – informace o projektu – Hacker Profiling Project.
RFID
V článku Tag Implants May Be Dangerous for Security Apps, Says Group je komentována nedávno publikovaná studie (jejími autory jsou John Halamka, Ari Juels, Adam Stubblefield, studie byla vydaná v Journal of the American Medical Informatics Association, dostupná je jen předplatitelům). Studie se zabývá možnostmi klonování čipů RFID (VeriChip Corp.).
V této souvislosti není také bez zajímavosti nedávno vydaný přehled o tom, kde se čipy RFID používají v maloobchodní praxi – Discover RFID-enabled solutions in the retail industry.
A pokud si chcete ověřit své znalosti v problemace RFID čipů, pak na stránce Certification: Test Your Knowledge of RFID Topics najdete soubor 50 otázek k problematice.
VoIP
Secure SIP chrání provoz VoIP – citace z úvodu článku na stránkách Computerworldu: Protokol Session Initiation Protocol (SIP) se stal v současnosti preferovaným protokolem pro sestavování telefonních hovorů realizovaných prostřednictvím technologie VoIP, neboť je otevřený a snadno rozšiřitelný. Novinka jménem Secure SIP představuje bezpečnostní mechanismus, který je definován prostřednictvím dokumentu SIP RFC 3261, týkajícího se posílání SIP zpráv prostřednictvím zabezpečeného kanálu (TLS).
Forenzní analýza
Chcete být specialistou na forenzní analýzu? Ann Bednarz v článku (Techies under oath – orientovaném samozřejmě na situaci v USA) popisuje zkušenosti z praxe forenzní analýzy.
Autentizace, hesla, rhybaření
Administrátoři by měli mít po ruce prostředek, jak donutit uživatele vyměnit heslo po určitém čase. Stárnutí hesel v linuxových systémech je tématem článku Enable password aging on Linux systems.
Společnost RSA Security zpracovala přehled k používání hesel – Password Management Survey. Na zmíněné stránce najdete několik materiálů (kromě samotných výsledků přehledu také např. Top 5. – jak s hesly pracovat, Top 5 – jak naopak s hesly nepracovat atd.). Komentář ke zprávě obsahuje článek Password-Plagued Workers Burden Help Desks.
Zpráva Anti-Phishing Working Group (APWG) konstatuje nově dosažené rekordy v rhybaření (Pnishing Activity Trends Report, July 2006), komentována je v článku Phishing reaches record numbers .
Normy a normativní dokumenty
Americký NIST vydal tento týden:
- Draft SP 800–76–1, Biometric Data Specification for Personal Identity Verification
- Special Publication 800–96, PIV Card to Reader Interoperability Guidelines
Kryptografie
Bruce Schneier se ještě vrací k workshopu pro hashovací funkce – Notes from the Hash Function Workshop. Několik komentářů obsahuje také připojená diskuse.
Kryptografické systémy na bázi eliptických křivek a obrany proti útokům z postranních kanálů – na serveru se objevila rozsáhlá dvousetstránková práce (Efficient Scalar Multiplication and Security against Power Analysis in Cryptosystems based on the NIST Elliptic Curves Over Prime Fields – autorem je Lars Elmegaard-Fessel) obsahující jak úvod do problematiky, tak i řadu posledních výsledků.
Soutěž v luštění 2006 začala!. Obdobné soutěže pořádal e-zin Crypto-World již v letech 2000–2005. V roce 2000 byly úlohy zaměřeny na klasické šifrové systémy. V roce 2001 soutěž pokračovala řešením „modernějších“ systémů. V letech 2003 až 2005 byly předloženy úlohy od hříček přes jednoduché šifry až po klasické šifrové systémy (jednoduchá záměna, transpozice, periodické heslo) a šifry prvé a druhé světové války (ADFGX, ÜBCHI, Enigma). V letošním roce budete luštit šifrové texty od velmi jednoduchých systémů přes úkoly, které lze luštit tradičními metodami, kdy ale k řešení vede i chytrý nápad, postřeh nebo speciální znalost, až po klasické šifrové systémy. Pravidla, ceny a další řadu užitečných informací najdete na stránce Soutěž 2006.
Mikulášská kryptobesídka 2006 se koná letos 7. – 8. prosince 2006 v Praze. Workshop se skládá z
- (a) dne prezentací příspěvků, diskusí a neformálního setkání ve čtvrtek 7. prosince 2006 a
- (b) půldne prezentací příspěvků a diskusí v pátek 8. prosince 2006.
Součástí workshopu budou opět zvané přednášky. V současné době jsou domluveni následující hosté:
- Alex Biryukov (University of Luxembourg)
- Riccard Focardi (Universitá Ca' Foscari di Venezia)
a tři významní odborníci z České republiky
- Petr Hanáček (Vysoké učení technické v Brně) – Bezpečnost IS a chyby při návrhu
- Vlastimil Klíma (nezávislý kryptolog) – Hašovací funkce nové generace
- Pavel Vondruška (Telefónica O2) – Přehled a historie polyalfabetických šifer
Podrobné informace, včetně pokynů k registraci, se budou průběžně objevovat na výše uvedených stránkách workshopu.
Různé
Hysteria.sk končí – stručné oznámení (http://hell.sk/onyx/).
Atomové hodiny měří čas ještě přesněji – Chip-Scale Atomic Devices at NIST. Několik odkazů k této problematice pocházejících z poslední doby. Informace o stavu těchto technologií mohou zajímat řešitele různých problematik IT spojených s přesným stanovením času. Např. autority vydávající časová razítka, procesy pro přesnou synchronizaci času atd.
Subliminální zprávy – objevují se nově ve spamu – Subliminal messages come in spam. Podprahová reklama, zakázaná v televizi a ve filmu, se objevila na internetu – hlásí Panda Labs.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.