Obecná a firemní bezpečnost IT
Šest nejhloupějších nápadů v počítačové bezpečnosti – poutavý titul a i článek samotný za přečtení stojí. Autor (Marcus Ranum) – v The Six Dumbest Ideas in Computer Security si vybral „antipřístup“ k tomu, co hýbe problematikou IT bezpečnosti. Odkud se berou takovéto nejhloupější nápady? Obvykle se jejich autoři snaží vyřešit něco, co není možné řešit už z principu. Míněno je to dobře, ale někde prostě vznikne nepochopení situace a nápad (v uvozovkách) je na světě. Autorem komentované „nápady“ jsou následující:
- 1. Implicitní (defaultní) povolení: Velice často se vyskytující „nápad“, je všudypřítomný a lze jeho přítomnosti těžko zabránit. Častým příkladem je nastavení pravidel firewallu. Jinými příklady jsou spouštění kódu, politiky webovských stránek. Opačným nápadem je implicitní zákaz, a to už skutečně za dobrou ideu považovat lze.
- 2. Seznam špatností: tento „nápad“ se odvíjí od historie IT. Kdysi dávno existoval jen velmi malý počet bezpečnostních děr. Obvyklou politikou pak bylo vytvořit jejich seznam a potom připravit reakce – detekce, blokace. Ovšem počet „špatností“ (v originále badness) narůstá s časem exponenciálně – viz obrázek v článku. Dnes už je fyzicky nereálné mít kompletní přehled o všech virech, trojanech, spyware, exploitech a dalších potenciálních hrozbách. Každý měsíc se přitom v tomto směru objevují stovky „novinek“. Bohužel tímto nápadem (seznam špatností) se stále řídí celá řada bezpečnostních produktů – od antivirů, detekce průniků, prevence průniků k firewallům atd.
- 3. Pronikni a záplatuj: stručně tento nápad lze popsat následovně. Zkoušíte zaútočit na svůj firewall (software, web,…), najdete chybu, záplatujete ji a znova zkoušíte najít průnik. V podstatě namísto ucelené filosofie ochran postupujete metodou pokus-omyl. Autor uvádí jako konkrétní příklad – Internet Explorer. Kdyby tato metoda byla úspěšná, máme dnes IE bez bezpečnostních chyb.
- 4. Hacking je bezva: sami vychováváme nové hackery publikací knih o jejich exploitech, používáme je k penetračním testům atd. Autor cituje Donna Parkera – hacking je sociální problém, nikoliv technologický.
- 5. Výchova uživatelů: červ Anna Kurnikova – naletěla mu skoro polovina populace – co s tím. Autor říká, správně položená otázka nezní „Můžeme uživatele vychovat tak, aby byli lepší ve vztahu k bezpečnosti?“, nýbrž „Proč vůbec musíme uživatele vychovávat?“ Rhybaření, otevírání příloh – v podstatě je to jiný případ implicitního povolení (tj. prvního „nápadu“ popisovaného v článku).
- 6. Akce je lepší než nečinnost: příkladem může být rychlá reakce systémového administrátora (na bezpečnostní problém), která (vinou nepromyšlenosti) může přinést víc škody než užitku. Toto samozřejmě nemusí platit vždy, ale řeč je o volbě vhodné strategie. Týká se to i zavádění nových technologií (např. využití bezdrátu) – není lepší někdy počkat na úspěšnou implementaci, než bezhlavě otevřít svou síť množství nových útoků jen proto, že bezdrát má jiné výhody?
Autor pak uvádí ještě některé obdobné „nápady“. Ne se vším v článku M. Ranuma lze bez výhrad souhlasit. Každopádně je to však soubor zajímavých myšlenek.
Plán obnovy – myslíte, že ho máte dostatečně kvalitně zpracován? A co když přijde velká pohroma? Autor So You Think You Have a Good Business Recovery Plan? – Steps an Asset Management Company Can Take to Recover from a Major Disaster připomíná 11. září, hurikán Katrin a zabývá se problémem, jak by podnikatelé měli být připraveni na takovéto situace.
Jinak – zkušenosti s hurikánem Katrin přivedly několik institucí z oblasti finančních služeb k záměru (Financial services industry eyes disaster recovery standards But one user figures many companies may ignore them) vyhotovit normu postihující připravenost a reakce na obdobné situace (disaster recovery and business continuity standards).
V sloupku na SecurityFocus Crime? What crime? se jeho editor Kelly Martin zamýšlí nad kriminalitou v IT. Smutně konstatuje, že morálka a etika, kterými se řídí náš svět online neexistují. Pro hackera okrást stařenku, sebrat jí její životní úspory z účtu, je stejné jako obrat o tytéž peníze kohokoliv jiného (možná i díky určité anonymitě na webu).
Pro firmy zabývající se IT bezpečností výsledky studie IT Security Market Sizing and Forecast 2004 – 2009, září 2005 (IT security market continues growth trend – survey) potvrzují perspektivu této oblasti trhu. Přehled byl zpracován pro Jižní Afriku.
Na adrese O'Reilly Releases „Computer Privacy Annoyances: How to Avoid the Most Annoying Invasions of Your Personal and Online Privacy“ najdete recenzi ke knize, která je určena široké škále uživatelů počítačů. Sestává z následujících částí:
- Privacy at Home
- Privacy on the Net
- Privacy at Work
- Privacy in Public
- Privacy and Uncle Sam
- Privacy in the Future
Samotnou knihu najdete zde: Amazon.
Software
O opatřeních proti rhybaření v IE 7 píše (Phishing Filter in IE7) jeden z jeho autorů (Tariq Sharif – Program Manager on the IE Security team). Za přečtení stojí i diskuse k článku připojená (mj. tam najdete příklady reálných rhybařících webů).
A když jsme u Microsoftu, jeho nový Xbox 360 prý půjde hacknout jen velice těžko (Microsoft claims Xbox 360 Unhackable ). Tvůrci her tak mají minimálně několik měsíců na jejich úspěšný prodej.
Byla oznámena zranitelnost autentizace v prohlížečích Mozilla a Firefox – SecurityFocus – BugTraq. Během několika málo hodin vznikl exploit. Viz komentář Hackers pick at Firefox holes.
Bezpečnost webovských stránek – co to obnáší: Web site security – what's that? Článek přináší zamyšlení nad problémem bezpečnosti webovských stránek, aktivitami hackerů (které jsou zaměřené na weby např. menších firem) a několik užitečných doporučení.
Bezpečností VoIP se zabývá Jeffrey L. Vagle v How secure is VoIP? Najdete zde stručný popis této nové technologie i poukázání na dosud nedořešené problémy (včetně bezpečnosti).
Bezpečnost sítí
Nejprve jedna užitečná adresa pro každého zájemce o tuto problematiku – Network Security. Najdete zde celou řadu odkazů na stránky, které se touto problematikou zabývají. Např. knihovna Network Security Library obsahuje množství článků, FAQů atd.
V článku Keeping IT private – IPsec and SSL VPNs provádí autor – Geoff Guy, Head of Marketing, Security and Compliance, BT Global Services – určité zhodnocení a porovnání obou technologií (IPSec a SSL) pro VPN.
Hackeři
O tom, jak hackovat síťovou tiskárnu, se dozvíte v Hacking Network Printers. Článek je orientován zejména na tiskárny HP JetDirects, několik informací je zde k tiskárnám Ricoh.
Jedna šestina spyware se pokouší ukrást ID – One In Six Spyware Apps Tries To Steal Identities. To je závěr analýzy firmy Aladdin Knowledge Systems, která prošla celkem 2000 známých hrozeb typu spyware.
Ano, stačí poslouchat vaši klávesnici, nahrát si její zvuky přes skrytý mikrofon – Keyboard Acoustic Emanations Revisited. Popisovaný a rozebíraný útok (akustické vyzařování klávesnice) vyžaduje pouze akustický záznam psaní na klávesnici a stačí to k rozkrytí psaného textu. Viz také komentář – SecurityFocus – Key clicks betray passwords, typed text.
Autentizace
Ve Velké Británii byla zahájena informační kampaň k chystanému zavedení biometrie v britských pasech – Passports: Biometric Info Campaign Launched In Manchester.
Vzhledem k tomu, s jakými hrozbami se dnes v IT setkáváme, je používání pouhých hesel jako prostředek autentizace nedostatečné, zaznělo na Gartner IT Security Summit v Londýně. Tyto hrozby se vztahují především k takovým technologiím, jako jsou Wi-Fi resp. webovské stránky. Viz Companies urged to move beyond passwords.
K nedávno zveřejněné bezpečnostní chybě služby Servis 24 České spořitelny se vyjadřuje Jiří Šedivý na stránkách Neviditelného psa: PENÍZE.CZ: Servis 24 České spořitelny má bezpečnostní chybu, přečtěte si i komentáře.
K „věčně zelenému“ tématu, nastavení hesel, se vrací Charlie Paschal v Passwords are key for security
Hodnocení bezpečnosti IT
Ve Velké Británii byla vydána informace o novém schématu (CSIA Claims Tested Mark scheme), které má za cíl zajistit, že uživatel IT bezpečnostního produktu koupí produkt splňující příslušné normy. První certifikát tohoto typu získala firma Becrypt (dodavatel státního sektoru). Obdobný certifikát získala na téže ceremonii firma SecureWave (dva produkty). Viz – UK gov flies IT security kitemark.
Kryptografie
V Scientific American vyšel velmi pěkně napsaný článek věnovaný kvantové kryptografii – Best-Kept Secrets Quantum cryptography has marched from theory to laboratory to real products. Je sice z lednového čísla letošního roku, ale teď se objevila na webu jeho plná verze.
Na semináři MIT Cryptography and Information Security Group: Seminars and Talks vystoupil Eran Tromer (Izrael) se společnou prací celé řady známých odborníků (kromě něho jsou autory ještě Adi Shamir, Arjen Lenstra, Willi Geiselmann, Rainer Steinwandt, Hubert K?r, Jim Tomlinson, Wil Kortsmit, Bruce Dodson, James Hughes and Paul Leyland). Práce – Special-Purpose Hardware for Integer Factoring – obsahuje návrh na speciální hardwarové zařízení určené k faktorizaci. Podle autorů by cena takovéhoto zařízení, které by bylo schopné faktorizovat modul RSA v délce 1024 bitů v časovém horizontu jeden rok, nepřesáhla jeden milión amerických dolarů. Komentář najdete v textu RSA keys – crunchable at 1024? resp. (Vl. Klíma) zde – Faktorizace 1024 bitového RSA do roka! Ostatně otázce volby vhodné délky klíče (různé šifrovací algoritmy) je věnována speciální webovská stránka – Keylength.com – Cryptographic Key Length Recommendation. Najdete zde v tomto směru nejvýznamější odkazy (publikace Arjena K. Lenstry a doporučení NIST). Viz také Je 1024 bitová délka klíče RSA dostatečná?
Byl stanoven předběžný program říjnové konference NIST k hashovacím funkcím – CRYPTOGRAPHIC HASH WORKSHOP Preliminary Program . Stojí za to si ho projít, uvidíte, kterým směrem se ubírají myšlenky předních odborníků (viz také Program konference NIST k hašovacím funkcím ).
V pondělí začíná v Kodani workshop ECC 2005, na adrese Timetable for ECC 2005 najdete jeho program. Abstrakty některých vystoupení najdete na ECC 2005.
Podrobné informace ke korejskému algoritmu blokové šifry SEED najdete na Block Cipher Algorithm SEED.
Různé
Recenzi knihy Forensic Discovery si přečtěte zde: ISN Review. Kniha je k dostání na Amazonu.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
ČLÁNKY DO MAILU