Obecná a firemní bezpečnost IT
Záplatujte a záplatujte. Díky „bezpečnosti“ dnešního softwaru se toto volání ozývá stále častěji a uživatelům nezbývá nic jiného než uposlechnout. Určitě by ale bylo vhodné tuto činnost nějak optimalizovat. Burt Toma v Computerworldu – Six steps for developing a patch management strategy that flies – doporučuje v následujících šesti bodech, jak vyvinout pro tyto účely správnou strategii.
- 1. Správu záplatování je třeba provádět na základě ustavené politiky. Tento přístup umožňuje administrátorům automatizovanou správu, instalace záplat probíhá na základě povolení administrátora. Vyžaduje to, aby systém prováděl automatický sběr a ukládání příslušných informací. Dochází ke snížení existujících rizik.
- 2. Automatický monitoring počítačů v síti a jejich charakteristik umožní např. identifikaci nových, dosud nezáplatovaných počítačů.
- 3. Pokud po aplikaci záplat někdo provede instalaci nového softwaru, který nečekaně anuluje tyto záplaty, vzniká další typ rizik. Automatizovaný monitoring musí být připraven i na takovéto situace.
- 4. Důležitým faktorem je spolehlivost a diversifikovatelost (rozlišení jednotlivých typů prvků sítě – servery, desktopy, notebooky) použitého systému pro správu záplat.
- 5. Provádění testů – některé lze automatizovat, jiné vedou k manuálnímu ověřování – je jednou z nejnáročnějších součástí správy záplatování. Každá ze záplat může vést k nečekaným změnám stability systému a mít nepatřičné dopady.
- 6. Po otestování záplat provádí jejich implementaci místní administrátoři (mají nejvíce informací vzhledem k nezbytnému ošetření). Monitoring by však měl být prováděn centralizovaně.
K otázce „Jaká je budoucnost IT bezpečnosti ve firmách?“ se vyjádřil Risto Siilasmaa z firmy F-Secure – Will corporates outsource security?, autorem článku je Phil Muncaster. Stále složitější je prostředí IT, vznikají zcela nové typy hrozeb, a to vše vede k obtížnější situaci IT. Vznikají otázky, jak tyto hrozby analyzovat, jak chápat stupeň zranitelnosti, jak konfigurovat firewally a PC. Outsourcing bezpečnosti (jaký provádí právě firma F-secure) vede jak k redukci nákladů, tak i ke snížení existujících rizik.
Z událostí posledních měsíců vychází rozsáhlejší článek Ciphering Out Security. Autor (Drew Robb) reaguje na oznámené ztráty osobních dat v zálohách bank, které se týkaly miliónů klientů. Proč tato data nebyla šifrována? S šifrováním jsou samozřejmě spojeny další dodatečné náklady, ale z hlediska existujících rizik se již dnes ukazuje patřičnost vynaložení těchto nákladů. A například (uvádí autor) některé státy jako Kalifornie již dnes pamatují v legislativě na tyto situace a společnosti, které nešifrují, se vystavují tvrdým sankcím.
Na témata Katrina a terorismus polemizuje s Bruce Schneierem Dan Verton v článku Bruce Schneier: Wrong About Katrina, Wrong About Terrorism. Schneier kritizoval vládní instituce za jejich nepřipravenost.
Bruce Schneier se v jiném článku – A Sci-Fi Future Awaits the Court – zabývá otázkou důvěrnosti a ochrany informací: Co nás čeká v budoucnu s rozvojem nových technologií a co na to justice?
Orgány EU jsou ve sporu ohledně ukládání dat – Top EU privacy body criticizes data storage plan. Jsou to data z telefonních hovorů (měla by být ukládána na období jednoho roku) a data internetových serverů (na půl roku) v rámci ochrany před terorismem. Orgán EU – The European Data Protection Supervisor (EDPS) – říká, že není přesvědčen o nezbytnosti opatření, se kterými přišla Evropská komise.
NSA získala patent na metodu, která umožňuje zeměpisnou lokalizaci uživatele Internetu – A granted Net location-tracking patent. Popis v patentu je všeobecný a metoda není bezchybná, přesto jistě v řadě situací bude účinná. Znění patentu: Method for geolocating logical network addresses.
O problémovosti anonymity na webu diskutuje Matthew Tanase v Anonymity made easy.
Rozsáhlou analýzu problematiky spamu a postupy pro využití kryptografie jako ochrany před spamem spolu s návrhy příslušných kontrol lze nalézt ve studii Cryptographic Protocols to Prevent Spam. Autorem je Amir Herzberg.
Pět doporučení k ochraně dat na vašem notebooku – Love your laptop uvádí ve svém článku společnost Ontrack Data Recovery:
- 1. Notebook není nezničitelný, zacházejte s ním opatrně. Uvnitř je relativně křehký pevný disk a může ho poškodit i menší náraz. I vibrace mohou být příčinou problémů s pevným diskem. Při cestách používejte vhodnou cestovní tašku.
- 2. Udržujte notebook v čistotě. Pokud pracujete v nevhodném (například prašném) prostředí anebo jen v takovémto prostředí máte svůj notebook uložený, určitě tím nepřispějete jeho obvyklé funkcionalitě. Pokud možno tedy pracujte v čistém a suchém prostředí.
- 3. Data na disku ochraňujte před kompromitací (alespoň heslem, uvádí autor, podle charakteru dat doporučuji šifrovat – JP).
- 4. Zálohujte důležité dokumenty a data pravidelně.
- 5. V případě, když už se data na disku stanou z důvodů technických problémů nedostupná, obraťte se na profesionální firmu, která se problematikou obnovy dat zabývá (samozřejmě PR formulace, ale někdy nic jiného nezbude).
Software
V tomto týdnu se objevilo několik informací vztahujících se k bezpečnosti prohlížečů. Symantec se nejprve ve své zprávě Symantec: Mozilla browsers more vulnerable than IE kriticky vyjádřil k prohlížečům Mozilly. Symantec říká, že k těmto závěrům dospěl na základě studia zranitelností objevených v první polovině roku 2005. Zpráva mj. konstatuje, že zranitelnosti prohlížečů jsou v současné době preferovaným vstupním bodem do systému (z pohledu hackerů). Dnes se také přednostním cílem hackerů stává finanční prospěch (získání důvěrných informací). Mozilla – Mozilla hits back at browser security claim – ve své odpovědi poukazuje na to, že v situacích, kdy je zranitelnost nalezena, je reakce Mozilly lepší než reakce Microsoftu. Podle Mozilly jsou také zranitelnosti Microsoftu vážnějšího charakteru.
Tento týden se také objevilo varování uživatelům Linuxu – Linux users warned over Firefox flaw. Zranitelnost Firefoxu (odstraněna v právě zveřejněné verzi 1.0.7) může hackerovi umožnit získat kontrolu nad počítačem s operačními systémy Unix či Linux.
Firefox – jeho popularita vzrůstala v posledních měsících i díky jeho obrazu bezpečného prohlížeče. Bude tomu tak však i nadále? Nad tím se zamýšlí Robert Lemos v Mozilla's popularity stressing its security image .
Proprietární koncepci populárnímu programu Skype vytýká Scott Granneman v Skype security and privacy concerns . Bohužel totiž nelze objektivně ověřit dosaženou úroveň bezpečnosti. Software nyní koupila společnost eBay a autorovi se už vůbec nezamlouvá množství osobních informací, které jsou či budou této společnosti přístupné.
Viry, červi atd.
Korejská jazyková verze populárního prohlížeče Mozilla a e-mail klienta Thunderbird, umístěná ke stažení na veřejném serveru, byla infikována tři roky starým virem Virus.Linux.RST.b (Mozilla Security, VirusDiary). Viz článek na serveru Logios Viry pro Linux? Korejský mirror Mozilly infikován.
Byla identifikována nová vlna šíření červa Bagle (varianta s označením BagleDL-U Trojan), který je šířen prostřednictvím spamu – Hacker spams huge quantities of Trojans, again, resp. Two-wave Bagle Trojan attack launched. Bagle je jedním z nejpopulárnějších červů historie – dosud bylo detekováno více než sto jeho variant.
Objevila se informace Symbian phone virus infects Windows – Virus z mobilního telefonu může infikovat PC. Win32/Padobot.Z a Win32/Rays jsou podle F-Secure prvními takovými červy. Zatím jde (naštěstí) spíše o prokázání principu existence takovýchto červů (proof of concept) než o jejich reálnou škodlivost.
Ještě k zmíněné zprávě Symantecu (Symantec Internet Security Threat Report Identifies Shift Toward Focused Attacks on Desktops) – počet případů rhybaření a útoků DOS narostl v prvním pololetí 2005 o 680 procent(!). Viz také Phishing and denial of service attacks surge during 2005 a Malware targeting confidential data on the rise.
Bankovnictví
Informace z Koreje – dle nové legislativy budou banky zodpovědné i za veškeré ztráty plynoucí z činnosti hackerů (Lawmakers: Banks Should Be Responsible for Hacking Damages). Nevím, jak je na tom legislativa v tomto směru jinde ve světě, ale určitě je to krok správným směrem. Kdo jiný než velké finanční instituce má odpovídající prostředky k tomu, aby byla zajištěna bezpečnost online?
Rozhodnutí soudu (Kalifornie) ale může být dnes i takovéto – Credit card companies can keep data ID theft secret – společnosti pro kreditní karty nemusí informovat zákazníky o tom, že jejich osobní data byla ukradena. Podle Gartnera (E-commerce now a turn-off – official) však v současnosti klesá důvěra klientů v online transakce.
Banks ‚must raise their game on security‘ – banky musí zlepšit své bezpečnostní postupy, jinak ztratí důvěru zákazníků – vyplývá z výsledků přehledu firmy EDS (zpracovaného na základě odpovědí 1424 klientů bank v Severní Americe).
Autentizace, elektronický podpis
International Civil Aviation Organization vydala (A whole new (biometrics) world ) doporučení členským státům (189 zemí) pro zavedení biometrických prvků v pasech do roku 2010.
Problematiku zavádění elektronických pasů diskutuje Burt Kaliski (RSA) v Travel Security and Function Creep: Thinking about the ePassports in the Long Term. Zmiňuje se o nových (doplněných) ochranných prvcích (ochrana radiových signálů v obalu pasu, data budou šifrována). Je však otázkou, zda tato opatření budou dostatečná k ochraně osobních údajů obsažených v pase (včetně hlediska dlouhodobého pohledu).
Česká pošta v srpnu na základě akreditace ministerstva informatiky rozšířila své služby o poskytování služeb kvalifikované certifikační autority a zahájila prodej certifikátů pro elektronický podpis. Hlavním marketingovým hitem České pošty je cena: 190 korun. V článku na Lupě Jak jsem si pořídil elektronický podpis České pošty popisuje své zkušenosti Lukáš Nevosád. Mimochodem – pan Nevosád si nepořídil elektronický podpis, ale digitální certifikát a elektronické podpisy vytváří teprve svým soukromým klíčem. Není to však první článek s takovouto terminologií, bohužel.
Normy a normativní dokumenty
Novou verzi příručky Special Publication 800–21 Guideline for Implementing Cryptography in the Federal Government vydal NIST (zatím v draftu).
IETF skupina pkix vydala draft (v šesté verzi) Internet X.509 Public Key Infrastructure – Subject Identification Method (SIM). Dokument definuje metodu SIM (Subject Identification Method), která slouží k zahrnutí dodatečného identifikátoru v rozšíření certifikátu subjectAltName. Tento identifikátor může např. sloužit k tomu, aby ověřující strana mohla zjistit, zda příslušná osoba (majitel certifikátu) odpovídá tomuto identifikátoru.
Kryptografie
Paul Barreto (Brazílie, zabývá se i problematikou kryptografického párování) provozuje také stránku věnovanou hashovacím funkcím – The Hashing Function Lounge. Najdete zde přehled vybraných publikací.
S hackováním MD5 se potýká Eduardo Diaz na Exploiting MD5 collisions (in C#).
NSA schválila sadu algoritmů pro ochranu utajovaných dat stupně SECRET a TOP SECRET (Fact Sheet NSA Suite B Cryptography). Jako klíčový aspekt současného stavu je zdůrazněno použití technologie eliptických křivek (pro digitální podpis i výměnu klíčů). Viz také Crypto-News.
I Microsoft (Microsoft Scraps Old Encryption in New Code) dochází k nezbytnosti změnit svou politiku ohledně používaných kryptografických algoritmů (Microsoft dává vale starým kryptoalgoritmům, včetně SHA-1).
Různé
Začala soutěž v luštění jednoduchých šifrových úloh, kterou již tradičně na podzim pořádá e-zin Crypto-World. Do soutěže je třeba se registrovat na stránce soutěže. Pro soutěžící jsou připraveny zajímavé ceny.
Termín podání příspěvků na Mikulášskou kryptobesídku 2005 byl prodloužen do 3. 10.! Pokyny k podání příspěvků jsou uvedeny zde: Call for Papers. Viz Mikulášská kryptobesídka 2005.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
