Hlavní navigace

Bezpečnostní střípky za 38. týden roku 2006

25. 9. 2006
Doba čtení: 9 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Přehledy, obecná a firemní bezpečnost IT, software, malware, hardware, bezdrát, internetové bankovnictví, hesla, rhybaření, biometrie, normy a normativní dokumenty, kryptografie.

Přehledy

Podle posledního výzkumu Ponemon Institute (Perspective: Going after the bigger insider threats) jdeme vstříc stále větším hrozbám a to zejména hrozbám, které mají původ uvnitř samotné společnosti (organizace). 78 procent IT profesionálů v USA říká, že jejich společnosti jsou poškozeny neohlášenými bezpečnostními průniky.

Následující odpovědi zazněly na otázku, kdo je největším bezpečnostním rizikem:

  • Neopatrní zaměstnanci (34 %)
  • Nedbalí zaměstnanci (32 %)
  • Nespokojení zaměstnanci (21 %)
  • Dočasní zaměstnanci (19 %)
  • Partneři (16 %)
  • Privilegovaní uživatelé (12 %)
  • Systémoví administrátoři (11 %)

Obecná a firemní bezpečnost IT

Brouzdání po webovských stránkách je větším nebezpečím než infikované e-maily – Web bigger malware threat than email. Podle zprávy IDC Denmark u společností s více než 500 zaměstnanci infekce viry či červy nastala v 30 procentech v důsledku získání infekce z webovské stránky, zatímco infikovaný e-mail byl toho příčinou pouze v 20 až 25 procentech případů.

Při vyhodnocování logů musíme zvážit jaké zvolíme postupy. V materiálu Top 5 Essential Log reports jeho autoři (Chris Brenton, Tina Bird, Marcus J. Ranum) formulují pojetí pěti základních zpráv (dle jejich soudu), které by v této souvislosti měly být zpracovány. Jedná se o následující přehledy:

  • 1. Pokusy získat přístup prostřednictvím existujících účtů
  • 2. Nepodařené pokusy o získání přístupu k souboru či zdroji
  • 3. Neoprávněné (neautorizované) změny uživatelů, skupina a služeb
  • 4. Systémy, které jsou nejvíce zranitelné ve vztahu k útokům
  • 5. Podezřelá či neautorizovaná podoba síťových přenosů (network traffic)

V článku ke každé z těchto zpráv najdete – zdůvodnění jejího významu, popis formátu zprávy, kdo zprávu může využít a možné příčiny výskytu falešných hlášení. Viz také Log analysis follow up (NEW) (jsou zde i další odkazy k problematice).

Gartner: náklady na bezpečnost klesají, pokud máte zpracovánu správnou politiku – Security costs fall with good policies. Řada společností vychází při konstituování vlastních bezpečnostních politik spíše z požadavků legislativy než z ohodnocení reálných hrozeb. Takové politiky sice splní požadavky auditorů, ale je otázkou, nakolik obstojí v každodenním světě. Také při nákupu bezpečnostních technologií je třeba uvažovat příslušným směrem – nekupovat to, co je zrovna „top of the top“ na trhu, ale to, co nejlépe vyhovuje potřebám samotné společnosti (firmy, organizace).

Sarah D. Scalet napsala článek Five Ways Google Is Shaking the Security World – Google – pět cest, kterými zatřásl světem bezpečnosti. A je to zajímavé čtení – nové technologie mění pohled na bezpečnost, Google je v tomto směru velice razantní:

  • 1. Google hacking (přísnější definice)
  • 2. Google Hacking (volnější definice)
  • 3. Google Earth
  • 4. Podvodné klikání
  • 5. Google Desktop

Procento využívání Google přitom roste (údaje za prosinec 2005 versus prosinec 2004): Google: 48.8 (up 5.7%) Yahoo: 21.4 (down .3%) MSN Search: 10.9 (down 3.1%)…

Problematice ochrany e-mailového serveru je věnován článek A multi-stage approach to securing your email communication. Jeho autorem je Liviu Anghel. Článek má za cíl napomoci identifikovat a objasnit jednotlivé bezpečnostní vrstvy, což je důležité při výběru e-mailového serveru, jeho následné konfiguraci a praktickém používání. Z obsahu:

  • 1. Zabezpečení spojení mailového serveru
  • 2. Zabezpečení protokolů e-mailového serveru
  • 3. Zabezpečení parametrů pro kontrolu e-mailů
  • 4. Bezpečná konfigurace a administrace
  • Shrnutí

Zajímavý je seznam dvaceti pěti nejhorších webů všech dob – The 25 Worst Web Sites. Zvítězil MySpace.com. Zdánlivě téma s bezpečností příliš nesouvisí, ale na druhou stranu třeba právě stránky MySpace jsou v těchto souvislostech v poslední době diskutovány velice často…

Software

SnortSAM – to je open source řešení pro blokaci útoků na seznamy přístupů ve firewallu. Týká se to např. firewallů CheckPoint, Cisco PIX firewallů, Cisco routerů, UNIXových firewallů atd. V článku Block Network Attacks with SnortSAM (Danny) se dozvíte, jak SnortSAM nainstalovat a konfigurovat.

Joanna Rutkowska připravuje novou verzi Blue Pill – Malware researcher developing stronger Blue Pill. Hijack software takes better advantage of Vista virtualization. Co se týče verze prezentované letos v létě (Black Hat), je existenci tohoto prvního prototypu Blue Pill možné detekovat přesným časováním. U chystané verze již toto nebude možné, říká Joanna Rutkowska.

Torpark je modifikovaná verze Firefoxu, která umožňuje anonymní brouzdání (Free anonymous browsing). Prohlížeč Torpark může být uložen a spouštěn z USB flash disku a mění IP adresy každých několik minut. PC se pak stává anonymním terminálem. Torpark je vydáván s licencí charakteru GNU General Public License. V článku se říká, že pro ISP je nesmírně obtížné vysledovat aktivity a lokaci jedince (ovšem bezpečnostní odborník by se zeptal: Co to zde znamená, nesmírně obtížné?). Komentářů se pak na internetu objevilo několik, např. Firefox variant lets users surf without a trace. It changes a computer s IP address every few minutes, Torpark: webový prohlížeč vymyšlený hackery.

V posledních dnech se můžete setkat s celou řadou upozornění na nově zjištěnou zranitelnost Internet Exploreru (FAQ: What you should know now about the latest IE bug. Even patched versions may be vulnerable). Záplata hned tak nebude a exploity již putují po světě. Tato zranitelnost umožňuje útočníkovi převzít úplnou kontrolu nad počítačem oběti (a tedy i v situacích, kdy byly použity poslední záplaty). Existuje několik používaných názvů pro tuto zranitelnost, např. Symantec používá termín Trojan.Vimalov. Dokud nebude zranitelnost odstraněna, doporučuje se vypnout spouštění Java scriptů. Např. se nyní nedoporučuje navštěvovat ruské XXX stránky – Porn Sites Use New IE Bug to Install Spyware – můžete tam něco chytit.:-)

Managing Windows Security Patches  – správa záplat pro MS Windows. Článek obsahuje stručný přehled problematiky a popis tří základních nástrojů:

  • MBSA – The Microsoft Baseline Security Analyzer – řešení pro profesionály IT, kteří pro menší a střední organizace řeší otázky, zda aktuální stav odpovídá současným doporučením Microsoftu. Je i příručkou, jak případné problémy napravit. MBSA je tedy skener ve vztahu k záplatám, jeho použití vyžaduje administrátor­ská práva.
  • Windows Software Update Service (WSUS) – administrátoři a IT pracovníci mohou s pomocí tohoto nástroje a jeho vhodné konfigurace zajistit včasnost záplatování koncových bodů všech klientů.
  • Enterprise Management System (EMS) – obecný nástroj k distribuci bezpečnostních záplat, MS nabízí pro tyto cíle System Management Server.

Rozhraní firewire ve Windows bylo cracknuto – Security conference to debut Windows firewire crack. Bude to demonstrováno novozélandským specialistou 30. září na konferenci s názvem Sydney's Ruxcon security conference. Útočníkův počítač (Linux) získá během 20 vteřin z paměti uzamčeného počítače se systémem Windows potřebné heslo (Windows' password protection code). Jedinou možnou ochranou je vypnutí portu pro firewire.

Materiál Microsoftu je věnován otázce – jak zabezpečit Windows XP Professional v P2P sítích (Securing Windows XP Professional in a Peer-to-Peer Networking Environment). Z obsahu:

  • Úvod (k cíli dokumentu, napomoci bezpečnosti v P2P sítích)
  • Než začnete (instalované SP, administrátorská práva)
  • Zabezpečení systému souborů (série doporučení – konverze na NTFS, antivirový software, Windows Defender, sdílené soubory, vypnutí služeb, které nepotřebujete)
  • Firewall ve Windows (ověřit funkčnost)
  • Aktualizace bezpečnostních záplat (automatické aktualizace)
  • Příbuzné informace (další odkazy)

Linux Security Basic Guide aneb jak po instalaci OS rychle zabezpečit systém. Najdete zde návod (Mihai Marinof), jak to provést během deseti minut:

  • Krok 1: Vypni všechny zbytečné služby (+konfigurace xinetd)
  • Krok 2: Omez přístupy k běžícím službám použitím iptables

Free security tools that really work – Roger A. Grimes dává několik odkazů:

Malware

V čerstvé aféře HP figurují keyloggery rozesílané novinářům – Extensive Spying Found At HP. Zpráva (konzultační firmy Security Outsourcing Solutions Inc.) zpracovaná pro HP popisuje mimo jiné, jak vyšetřovatelé posílali e-maily obsahující v příloze spyware reportérům. Pokud dotyčný otevřel přílohu, nainstaloval se mu na jeho počítači program, který sleduje každé stisknutí klávesy.

Hardware

Novince – čipovým kartám s displejem je věnován článek On card displays become reality, making cards more secure. Máte pod dohledem I/O karty, víte, co z karty odchází. Není to však ochrana proti jiným typům hrozeb. Viz k tomu také Schneierův blog (diskuse).

Americké hlasovací stroje se dají odemknout klíčkem od schránky, viz Refuting Diebold’s Res­ponse) a komentář Vl. Klímy.

Bezdrát

David Maynor (Beginner's guide to wireless auditing ) se v návaznosti na svá vystoupení (spolu s Jonem Ellchem) na konferencích Black Hat a Defcon rozhodl napsat několik článků k přednesenému tématu. V tomto prvním článku rozebírá:

  • jak vytvořit auditní prostředí
  • jak konstruovat potřebné nástroje (fuzzing tools)
  • jak interpretovat získané výsledky

Internetové bankovnictví

Jak je to s bezpečností internetového bankovnictví u nás v ČR popisuje Helena Nikodýmová na Lupě.

A na několik základních otázek ve vztahu k internetovému bankovnictví odpovídá Tomáš Rosa – Bezpečně do banky přes internet.

Hesla, rhybaření, biometrie

Autorovi článku Analyzing 20,000 MySpace Passwords se podařilo z falešné (rhybaříci) stránky MySpace získat seznam 20 000 hesel, pod kterými se tam lidé (kteří naletěli rhybářům) přihlásili. Jak je správně poznamenáno v připojené diskusi, jedná se nikoliv o plně reprezentativní výběr (nejsou zde zastoupeni ti, kteří rozumně uvažujíc na tento rhybářský pokus nezareagovali), přesto získané výsledky nejsou bez zajímavosti. Např. nejčastěji používaná hesla (cookie123, iloveyou, password, abc123, fuckyou, miss4you, password19, clumsy, sassy, summer06 ), nízké procento dostatečně kvalitních hesel atd.

Aktualizovaný seznam defaultních hesel pro některá zařízení najdete na Default Password List. Někdy se to může hodit.

Tod Beardsley v rozsáhlejší studii (Phishing detection and Prevention – 33 stran, nutná registrace) rozebírá phishing jako jev, který je svým způsobem fenoménem dnešního internetu. Zabývá se technickými aspekty rhybářských kampaní, soustřeďuje se přitom na taktiky, metodologie a unikální vlastnosti rhybářských mailů a rhybářských webovských stránek. Popisuje pak, jak automatizovaná řešení, která vycházejí ze současných řešení pro technologie prevence průniků, mohou v těchto situacích napomoci v boji proti online podvodům.

Biometrické pasy, materiály ze semináře Cestování a ochrana soukromí – Ondrej Mikle informuje o možnosti přístupu k některým materiálům semináře Cestování a ochrana soukromí .

A ještě upozornění na článek Vl. Klímy (Ne)bezpečnost elektronických pasů v ČR.

Normy a normativní dokumenty

Vyšlo

Dokument popisuje postupy pro práci s DNS s bezpečnostními rozšířeními (DNSSEC). Je určen administrátorům zón, kteří DNSSEC používají. Jsou zde diskutovány otázky generování klíčů, ukládání klíčů, generování podpisů a souvisejících politik. Dokument nahrazuje rfc.2541.

Kryptografie

Objevilo se nové podpisové schéma (CMSS) se zajímavými vlastnostmi – CMSS – An Improved Merkle Signature Scheme. Na základě výsledků disertace jednoho z autorů článku (Coronado) je navržena varianta Merkleho podpisového schématu z roku 1989. Oproti tomuto původnímu návrhu má mít celou řadu výhodných vlastností:

  • Bezpečnost – odolá i útokům kvantových počítačů
  • Doba pro generování podpisu a pro jeho verifikaci je srovnatelná či dokonce lepší ve vztahu k takovým algoritmům jako je RSA, DSA či ECDSA
  • Oproti dřívějšímu Merklovu schématu, kde bylo možné jedním klíčem podepsat jen několik zpráv, říkají autoři, že zde lze bez nebezpečí podepsat až 240 zpráv
  • autoři ukazují také implementaci CMSS pro MS Outlook

Bezpečnost HMAC a NMAC – nové útoky – Forgery and Partial Key-Recovery Attacks on HMAC and NMAC Using Hash Collisions. Komentář k práci najdete na odkazu New results on HMAC.

Knihu – Cracking DES lze stáhnout na odkazu – Cracking DES: Secrets of Encryption Research, Wiretap Politics, and Chip Design (by the Electronic Frontier Foundation) .

Optimistické předpovědi budoucnosti Certicomu – ECC does it: Certicom CEO foresees decades of data-security dominance . Kryptografické systémy na bázi eliptických křivek, patentová práva a náskok ve vývoji odpovídajících technologií – to vše je důvodem pro optimistické vyhlídky, řekl Ian McKinnon na výroční konferenci společnosti. Přesto zatím zisky firma nemá (její strategie je orientována na dlouhodobý zisk) a nyní hledá partnera pro akvizici (podobně jako ECM nedávno provedl akvizici společnosti RSA Security).

root_podpora

Různé

Soutěž v luštění 2006 na Crypto-Worldu vstoupila do rozhodující etapy. Tuto sobotu byla zveřejněna poslední z jednatřiceti úloh.
Vtipné nápovědy k jednotlivým úlohám je umožňují dešifrovat téměř všem účastníkům. Pokud máte zájem, lze se stále přidat. Soutěž bude ukončena koncem října. Mimo třech nejlepších budou ještě vylosovány ceny i mezi tři další řešitele, kteří dosáhnou stanovený limit (letos se zdá, že limit je velmi měkký). Mezi cenami je i kniha Kryptologie, šifrování a tajná písma, která vyjde začátkem listopadu v nakladatelství Albatros. Všechny řešené úlohy (až na poslední) jsou právě z této knihy.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?