Bezpečnostní střípky za 39. týden

Obecná a firemní bezpečnost IT

Jak to je se síťovými firewally, jak jsou efektivní v obraně proti hackerům? Tyto otázky a problémy s nimi související jsou předmětem článku Have Network Firewalls Become Useless? , jehož autorem je Mark Long. V současnosti řada firem předpokládá, že vybudováním perimetru jsou s bezpečností za vodou. Stuart McIrvine z IBM to však připodobňuje k situaci, kdy tvrdím, že mám zabezpečený dům, pokud mám v domě dveře a okna. Dám-li do dveří tucet visacích zámků a zamřížuji okna, co se stane při požáru? Nikdo nemůže ven ani dovnitř. Obdobné zabarikádování vnitřní sítě má analogický účinek. V tomto směru, říká autor, je třeba změnit filosofii budování ochrany perimetru. Firewall není všelék a nelze se ve všem (z pozice budování bezpečnostní strategie) spoléhat pouze na něj. McIrvine ukazuje jeden model budování bezpečnostních přístupů ve firmě založený na třech vrstvách:

• Kontrola
• Politika
• Záruky

Kontrolní vrstva definuje tu práci s perimetrem, která je mimo dosah firewallového software (k firewallům stručné seznámení, viz např.: Bezpečnost IS/IT). Politika definuje efektivní procesy, které jsou odpovědí na různé konkrétní hrozby. A záruky nám říkají, že naše infrastruktura je v pořádku. Pokud nastane výjimečná situace, mám k dispozici správné postupy v souladu se stávající obchodní politikou. Autor dále diskutuje model použitý v posledních produktech Symantecu.

Počítače, které jsou aktuálně bez přítomné obsluhy, se stávají předmětem útoků – Warning over unattended PC peril . Na tato PC se ve firmách často zapomíná a Gartner doporučuje zabudovat časový limit, po jehož vypršení budou všichni uživatelé automaticky odlogováni. Je otázkou, jestli je tento postup vždy optimálním řešením.

Auditor: The security tool collection – zde najdete recenzi na CD Auditor, což je soubor bezpečnostních nástrojů (více než 300 programů). Image poslední verze CD lze stáhnout zde – download. Pro bližší představu, menu CD je rozděleno do následujících několika skupin:

• Footprinting (nástroje k získání informací o serveru, např. Whois a Dig)
• Analysis (analýza sítě, např. pomocí Ethereal)
• Scanning (sken sítě, např. pomocí Nmap)
• Wireless (testy bezdrátové sítě)
• Brute-forcing (seznam více než 64 miliónů slov – potenciálních hesel)
• Cracking (nástroje využívané spolu s hrubou sílou)

Známý publicista v oboru Tony Bradley nabízí tři bezplatné online kurzy k IT bezpečnosti:

• Computer Security 101
• Introduction to Security Tools
• Wireless Network Security

Zatím se v úvahách zákonodárců (USA) objevil návrh na snížení daní pro firmy, které využívají vhodné bezpečnostní normy – Tax breaks for cybersecurity fir­ms?

Průmyslové špionáži bude věnována série článků, úvodní část, Metody, se objevila zde – Industrial espionage, Part 1: Methods, autorem je M. E. Kabay.

Na Technetu se objevil článek Pavla Škopka Smazání disku vaše data neochrání. Trochu chybí doporučení, jak tedy vlastně ta data na disku mazat (utility typu Shredder (free)…).

Software

Coming Next Year: The First ‚Trusted‘ Linux OS – bude Red Hat Enterprise Linux 5 první bezpečným operačním systémem? Dosažená úroveň bezpečnosti má podle plánů vyhovovat úrovni CC EAL-4 (Common Criteria). Viz také ‚Trusted‘ Linux OS tipped for next year.

Na obranu Firefoxu vystoupil Robert Vamosi – In defense of Mozilla Firefox – v reakci na poslední studii Symantecu.

Rhybaření

Objevila se nová varianta rhybaření založená na self-signed certifikátech – New Phish Deceives With Phony Certificates. Je dosti nebezpečná, podvodné stránky používají https protokol a self-signed SSL certifikát. Kdo si to neuvědomí, může se snadno stát obětí. Zpracovaný komentář Susan Larson ze společnosti SurfControl najdete také zde – Phishers' latest hook: SSL certificates.

Rhybáři a falešné Yahoo! – Phishers target Yahoo! Photos – cílem je ukrást údaje uživatelů Yahoo! použité pro login. Uživatel obvykle obdrží e-mail, který jakoby pochází od přítele, jenž chce ukázat nějaké fotografie apod. Přitom je použit odkaz na rhybářskou stránku, která se tváří jako stránka Yahoo! Obrázek této falešné stránky lze vidět zde – Phishing Alert: Yahoo! Photos.

Že to s bojem proti rhybaření není zrovna jednoduché, ukazuje následující informace – Trusted search software labels fraud site as ‚safe‘. Geotrust, technologie pro rozeznání podvodných (rhybařících) webů, zklamala a byla vypnuta (falešnou stránku označila jako pravou).

Také fotbaloví fanoušci musejí být na pozoru – FIFA scam lures footy fans. I FIFA se stala objektem rhybářů, zasílaný e-mail žádá osobní údaje, aby mohla být vyplacena výhra…

Rootkits, hackeři, viry

Jak bojovat s rootkits – Rootkits and how to combat them – popisuje článek autorů z Kasperského laboratoří, a to jak s ohledem na operační systém Windows, tak i ve vztahu k OS Linux. Je zde poukázáno na nárůst využití rootkits jako techniky pro zamaskování přítomnosti malware. Zatímco v roce 2003 se jednalo o jednotky procent, koncem roku 2004 to bylo zhruba 12 procent a v polovině roku 2005 se již tento údaj pohyboval okolo třiceti procent. Autoři dále popisují techniky, s jejichž pomocí se rootkits v systému maskují, a naopak cesty k jejich detekování.

Jaká je současná situace s Windows rootkits, se lze dozvědět z interview s pány Gregem Hoglundem a Jamie Butlerem (autoři knihy Rootkits: Subverting the Windows Kernel) na Windows rootkits come of age.

Tento týden bylo oznámeno cracknutí posledního firmwaru pro herní konzoli PSP (Sony PlayStation Portable) – PSP crackers break console ‚wide open‘. Využívá techniku přetečení bufferu – nedávno oznámený exploit umožňuje zápis vykonatelného kódu a v důsledku vznikl software, který PSP donutí využít update pro verzi 1.5, a tak nahradit firmware 2.0 starší verzí.

Ještě malá odbočka k virům pro mobily. Odborníci – Destructive power of mobile viruses could rise fast, experts say – předpovídají, že jejich destruktivní potenciál poroste. Podle F-Secure je v současné době známo 87 virů pro mobily (v loňském roce jich bylo méně než 10), z nich 82 bylo napsáno pro operační systém Symbian.

Bankovnictví

Na Lupě se objevil článek Františka Fuky Bezpečnost nade vše jako komentář k bezpečnosti v pojetí České spořitelny z pohledu jejího klienta. Přečtěte si také diskusi. Teorie je teorií a praxe se svými problémy je někdy o něčem jiném.

Podle přehledu LloydsTSB Home banking users fail to keep AV up to date více než polovina domácích uživatelů internetbankingu připouští, že má svůj počítač infikovaný. Samotná banka (LloydsTSB) doporučuje uživatelům volně přístupný nástroj Zone Labs k oskenování jejich počítače.

Autentizace, elektronický podpis

S kolika hesly pracuje obvyklý uživatel a proč už se to nedá dnes dosti dobře zapamatovat, to se dozvíme z posledního přehledu firmy RSA Security (využito odpovědí 1700 koncových uživatelů) – Password overload plagues US.biz . Vyplývá odsud, že přes čtvrtina uživatelů pracuje s více než 13 hesly a dalších 30 procent uživatelů pracuje s 6–12 hesly. Samozřejmě firma RSA Security využívá situaci k propagaci svých produktů, ale samotný problém je reálný.

Společnost eIdentity získala jako třetí akreditaci pro poskytování certifikačních služeb – Živě. Z informace: Ministerstvo informatiky udělilo firmě eIdentity a.s. akreditaci pro výkon činnosti akreditovaného poskytovatele certifikačních služeb. Stává se tak po První certifikační autoritě, a.s. a České poště, s.p. třetím subjektem na trhu. Firma bude zajišťovat vydávání kvalifikovaných certifikátů a vydávání kvalifikovaných systémových certifikátů. Poskytování služeb by mělo být zahájeno v listopadu.

Německo testuje elektronickou zdravotnickou kartu – Germany tests electronic health data card. Jedná se o pilotní projekt – jedna nemocnice, padesát pacientů a tři lékařské ordinace. Karta obsahuje čip, ve kterém jsou uloženy osobní údaje pacienta a medicínská data důležitá pro krizové situace. Součástí celého projektu jsou pak aplikace pracující se soubory lékařských záznamů pacientů (data jsou uložena buď přímo na serveru nemocnice, nebo i mimo nemocnici) a profesionální zdravotnické karty, které lékařům umožňují přístup k elektronickým souborům pacientů. V první polovině roku 2006 bude pilotní projekt rozšířen na cca 20 000 pacientů a 75 lékařů.

Byla vydána novela zákona o DPH. V platnost vstoupila 1. října 2005. Text návrhu schváleného poslaneckou sněmovnou naleznete zde (Část 31) – PSP:

• (4) Daňový doklad může být vystaven se souhlasem osoby, pro kterou se uskutečňuje zdanitelné plnění nebo plnění osvobozené od daně s nárokem na odpočet daně, i v elektronické podobě, pokud jej plátce nebo osoba uvedená v odstavci 3 opatřila zaručeným elektronickým podpisem založeným na kvalifikovaném certifikátu nebo elektronickou značkou založenou na kvalifikovaném systémovém certifikátu podle zvláštního právního předpisu nebo pokud je zaručena věrohodnost původu a neporušitelnost obsahu daňového dokladu elektronickou výměnou informací (EDI).

Nemělo by tedy již docházet k pochybám o možnostech vedení účetnictví v elektronické podobě.

Normy a normativní dokumenty

Nová rfc:

• rfc.4158 – Internet X.509 Public Key Infrastructure:Cer­tification Path Building – dokument navazuje na rfc.3280 (Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile) a zabývá se postupy pro vybudování certifikačních cest v aplikacích.
• rfc.4210 – pkix – Certificate Management Protocol (CMP) – dokument nahrazuje rfc.2510.
• rfc.4211 – pkix – Certificate Request Message Format (CRMF) – dokument nahrazuje rfc.2511.

A nové drafty:

• Using SCVP to Convey Long-term Evidence Records  – první verze nového draftu – implementace protokolu SCVP pro potřeby dlouhodobě archivovaných elektronických dokumentů
• Attribute Certificate Policies extension  – již šestá verze tohoto draftu.
• Subject Alternative Name for expression of service name  – první podoba draftu dokumentu, který definuje nový formát pro ta jména v rozšířeních X.509 certifikátů, která vyjadřují názvy služeb.
• UMAC: Message Authentication Code using Universal Hashing  – viz komentář UMAC – zabezpečovací kód zpráv.

Kryptografie

Peter van der Linden's Guide to Linux: A Lesson in Encryption, Part 1  – to je první část výňatku z 11. kapitoly knihy Peter van der Linden's Guide to Linux opublikované v srpnu 2005. Další dvě části výňatku najdete zde Part 2, Part 3 (kapitolu 6 věnovanou prohlížečům najdete zde Chapter 6).

Formalizovanou teorii pro šifrování pevných disků on-line najdete v práci Universally Composable Disk Encryption Scheme. Viz podrobný komentář Vlastimila Klímy Šifrování HDD on-line, teorie.

Různé

Na stránkách RSA Security se jako novinka objevil slovník informační bezpečnosti – Information Security Glossary. Slovník bude dále rozšiřován. Viz také (např.) Whatis.com

Knihou pro nejmladší generaci (ale i pro ty, kdo ke kryptologii dosud vůbec nepřičichli) je titul Diana Kimptonová: Mazané kódy z edice Děsivá věda (tak nevím – co si z názvu této edice odvodí dnešní dvanáctiletí?).

Přehled vychází z průběžně publikovaných novinek na Crypto – News.