Hlavní navigace

Bezpečnostní střípky za 40. týden roku 2006

9. 10. 2006
Doba čtení: 10 minut

Sdílet

Pravidelný týdenní přehled informací z bezpečnosti IT, které se objevily za posledních sedm dní. Dnes se budeme zabývat především tématy: přehledy, obecná a firemní bezpečnost IT, software, malware, viry, hackeři, IM (Instant Messaging), forenzní analýza, autentizace, hesla, rhybaření, normy a normativní dokumenty, kryptografie.

Přehledy

Security Trends Report je nedávno zveřejněný přehled společnosti Websense (USA, San Diego).Týká se trendů v prvním pololetí roku 2006 – různých typů hrozeb vztahujících se k bezpečnosti IT. Komentář k přehledu obsahuje článek Hacker Kit Use Surges, Means More Malicious Sites (Gregg Keizer). Kromě celé řady čísel, se kterými se v přehledu může zainteresovaný čtenář seznámit, stojí za povšimnutí jeden fakt, na který zpráva poukazuje. Týká se rozšířeného využívání souborů nástrojů (kitů) konstruovaných i pro nezkušené „hackery“ (hacking-for-dummies-style toolkits). Jedna ze šesti webovských stránek se škodlivým kódem byla „ošetřena“ těmito kity. Kity „vyrábí“ a prodávají ruští „podnikatelé“ – zmíněny jsou např. WebAttacker, Nuclear Grabber a Rock Phish Kit. Ceny takovýchto kitů se pohybují od 25 do 2500 dolarů.

Obecná a firemní bezpečnost IT

Alasdair Kilgour v článku A New Approach To Data Protection And Management hovoří o potřebě řízení procesů obnovy a s tím souvisejícím novým přístupem k ochraně dat a jejich správě. Nemůže nám jít jen o zálohování dat, ale i o efektivní postupy při obnově dat z těchto záloh.

Manažerské příručky – IT bezpečnost a jiné – rozsáhlou série odkazů na materiály k jednotlivým okruhům problematik najdete na stránce Executive Guides. Speciálně bezpečnosti se dotýkají

Jak se bránit proti aktivitám interních špiónů (Gear for—and Against—the Snoops)? Článek Spy vs. Spy: Corporate Espionage popisuje některé možné druhy obran, dále zde najdete některé „použitelné“ technologie.

První součástí (v čase) penetračních testů je sběr informací. V článku (Aelphaeis Mangarae – Learn Information Gathering By Example) jsou ukázány jednotlivé kroky postupu, jsou také diskutovány nástroje využívané v této souvislosti (Netcraft, WhoIs, NSLookup) a jejich konkrétní použití ve vztahu k cílovému webovému serveru.

Plánujte záplatování svého softwaru – Plan Your patching. Mathias Kullberg rozebírá různé přístupy a jejich dopady.

Software

Na stránce Learning Guide: Application security testing techniques najdete další přehled informačních zdrojů. Tentokrát se týká bezpečnostních testů aplikací a je rozdělen na následující tématické okruhy:

  • Vulnerability Assessment
  • Source Code/Static Analysis
  • Penetration Testing
  • Fuzz Testing
  • Obfuscation
  • Architectural Risk Analysis
  • Other Useful Resources

Na stránce najdete objasnění souvisejících pojmů a dále řadu odkazů na informace k danému tématu, a také odkazy na použitelné nástroje.

Deset doporučení k zabezpečení klientské VPN sepsal Martin Heller (10 tips to secure client VPNs):

  • 1. Používejte nejsilnější možnou autentizační metodu pro přístup do VPN;
  • 2. Používejte nejsilnější možné šifrování pro přístup do VPN;
  • 3. Omezte přístupy do VPN pouze na ty, kteří mají reálný pracovní důvod a jen tehdy, když je to nezbytné;
  • 4. Poskytujte raději přístup k vybraným souborům prostřednictvím intranetu než přes VPN;
  • 5. Umožněte přístup k e-mailu bez nutnosti přistupovat k VPN;
  • 6. Zaveďte a vynucujte politiku pro používání silných hesel;
  • 7. Poskytujte silnou antivirovou a antispamovou ochranu a ochranu prostřednictvím personálního firewallu vzdáleným uživatelům a vyžadujte, aby tyto ochrany používali;
  • 8. Nechť jsou uživatelé v karanténě v čase, kdy se připojí, až do doby, než budou ověřeni (jako bezpeční uživatelé);
  • 9. Zakažte používání jiných VPN a softwaru pro vzdálený přístup v čase, kdy uživatel je připojen k vaší VPN;
  • 10. Zabezpečte vzdálené bezdrátové sítě.

Obdobnou tématikou se zabývá také článek Remote Control Software and Today’s IT Environment (Mike Baldwin, Symantec). Řešení pro vzdálený přístup musí nezbytně zvažovat následující body:

  • Autentizace
  • Autorizace a kontrola přístupu
  • Bezpečnost perimetru a přenášených dat
  • Administrace
  • Šifrování (AES algoritmus)
  • Validace řešení, a to minimálně na úrovni FIPS 140–2 Level 1

Security Auditing with Linux Live CDs – David H.M. Spector zde popisuje možnosti Live CD Backtrack pro bezpečnostní audit (a jiných obdobných Live CD). Samotný ISO obraz CD (poslední verze 1.0) lze stáhnout zde – BackTrack Downloads.

Skupina bezpečnostních profesionálů vydala bezpečnostní záplatu pro starší verze Windows (MS je již nepodporuje) – Security pros patch older Windows versions. Záplata byla testována na Windows 98, Windows 98 Second Edition, Windows Millennium Edition, Windows 2000 a Windows 2000 + Service Pack 3. Týká se zranitelnosti komponenty vgx.dll.¨Záplatu vydala skupina, která si říká Zeroday Emergency Response Team (ZERT).

Vlastimil Waic na Živě komentuje – Microsoft: Windows Vista nebudou nic pro piráty!: Na svět se dostaly první oficiální informace o chování aktivace a Výhod legálních Windows v nové verzi tohoto systému. Uživatel bude odhlášen po hodině činnosti v neaktivovaném či pirátském systému! Aktivace a WGA ve Windows Vista.

Na slovenském webu DSL (Digitálny Svet pod Lupou) si můžete přečíst článek Freenigma, zabezpečené emaily v Gmail a webmailoch. Z abstraktu: Dnes si predstavíme službu Freenigma spustenú na konci augusta, ktorá prináša zatiaľ do niekoľkých najpoužívanejších webmailov možnosť komunikovať OpenPGP štandardom zabezpečenými emailovými správami.

Na odkazu Chapter 7: Ten Simple Security Searches That Work najdete kapitolu 7 z knihy Google Hacking for Penetration Testers (autoři – Johnny Long, Ed Skoudis, Alrik van Eijkelenborg). Viz také český překlad nakladatelství ZonerPress – Google Hacking (zde lze stáhnout některé další kapitoly – v češtině).

K nedávným bezpečnostním vylepšením v NetBSD se obrací článek Recent Security Enhancements in NetBSD. Napsal ho Elad Efrat a z hledisku obsahu to je trochu rozsáhlejší rozbor. Autor si dal za cíl provést celkový přehled novinek v bezpečnostních funkcích NetBSD. Dokument má pět hlavních odstavců:

  • Odstavec 2. – v něm najdete celkový obraz bezpečnosti v NetBSD, jak se NetBSD s bezpečností vypořádává, jaké jsou konstrukce rozhodování v softwaru NetBSD obecně a konkrétnější vyjádření k bezpečnostní infrastruktuře a bezpečnostním vlastnostem.
  • Odstavec 3 je celkovým přehledem nových vylepšení bezpečnostní infrastruktury a bezpečnostních vlastností. Zahrnuje (tam kde to lze) detaily konstrukce, implementace a možný další vývoj.
  • Odstavec 4 ukazuje situaci v současném výzkumu a vývoji problematiky – ve vztahu k bezpečnosti NetBSD.
  • Odstavec 5 diskutuje, jak popsaná vylepšení vzájemně spolupracují a to s cílem, aby celkově vznikla bezpečnější platforma.
  • Konečně odstavec 6 uzavírá celý článek a shrnuje dostupnost diskutovaných vlastností.

Secure programming with the OpenSSL API, Part 3: Providing a secure service – to je třetí pokračování seriálu, který je věnován bezpečnému programování s OpenSSL API. Tato část je věnována otázkám budování bezpečné webovské služby – serverová část. První část seriálu (Part 1) se věnovala konstrukci bezpečného klienta na bázi OpenSSL, druhá (Part 2) pak rozebírá více do hloubky problematiku digitálních certifikátů.

You know about XSS. How about XSRF/CSRF? autorem tohoto článku je Lenny Zeltser. Ptá se: Znáte XSS, ale víte také, co je to XSRF/CSRF? Útok CSRF využívá schopnost webové aplikace reagovat na základě příkazu HTTP, který jí zadal uživatel. Většina webových aplikací tak funguje díky své konstrukci. Trik útoku CSRF spočívá v tom, že donutí prohlížeč oběti zadat příkaz dle útočníkova výběru. Oběť dostane odkaz na zamýšlenou webovou aplikaci. Odkaz obsahuje požadavek GET, který zapříčiní, že aplikace provede akci, jakmile oběť klikne na odkaz. Obdobně jako příkaz GET může být zneužit i např. příkaz POST. Viz také články:

Počet aplikací, které se opírají o využití Asynchronous Javascript and XML (Ajax), roste, jejich vývojáři si však nelámou příliš hlavu s bezpečností, a tedy narůstá počet možných hrozeb, říká autor článku Tom Sanders v komentáři Ajax developers playing with fire ke konferenci AJAXWorld Conference & Expo 2006.

Nedávno bombasticky oznámený exploit pro Firefox byl víceméně žertem – Mozilla duped by hacker's ‚humorous‘ presentation. I to se stává… Viz také diskusi na Schneierově blogu Firefox JavaScript Flaw: Real or Hoax?.

Malware

Máte představu o tom, jaká je dnešní struktura malware? Podle McAfee (struktura jejich databáze – Avert Labs blog):

  • 31% trojanů
  • 28% Win32 botů/virů
  • 26% Zastaralé hrozby (MS-DOS, Windows 3.1)
  • 12% Skripty a makroviry
  • 3% Potenciálně nechtěné programy

Viz komentáře Mike Chapple v článku Malware: The changing landscape.

Viry

Vlastimil Waic na Živě komentuje – Grisoft uvádí… AVG v nové verzi. Grisoft, český výrobce bezpečnostních řešení pro osobní počítače, představil novou půlgeneraci svých produktů. Většina programů, které firma vyvíjí, poskočila na verzi 7.5. To se týká i programu zřejmě nejznámějšího, antiviru AVG.

Hackeři

Dalibor Chvátal na webu FinExpert.cz: Riziko vykradení dat se pomalu posouvá i do naší země. Přestože popisovaný způsob není tím nejhorším, chceme vás varovat ( Podvodníci útočí na uživatele Moneybokers).

Autor How Prevalent Are SQL Injection Vulnerabilities? zdokumentoval (s využitím Google), že 11.3% webovských stránek je zranitelných ve vztahu k útokům typu SQL Injection. V článku je také obsažena následující souhrnná tabulka demonstrující zranitelnost webovských aplikací (procenta stránek, které obsahují daný typ zranitelnosti):

  • 1. Cross Site Scripting (21.5%)
  • 2. SQL Injection (14%)
  • 3. PHP includes (9.5%)
  • 4. Buffer overflows (7.9%)

Další diskusi k tématu najdete na Schneierově blogu.

IM (Instant Messaging)

Instant messaging and the security pro. Enterprise packages balance security, comm concerns – autor článku rozebírá bezpečnostní vlastnosti některých řešení IM pro podniky (Lotus’s Sametime, Microsoft’s Live Communications Server + Jabber, Inc.’s Jabber server). Tato řešení samozřejmě nejsou zdarma.

Forenzní analýza

Základním východiskem forenzní analýzy je fakt, že každý kontakt nechává za sebou stopy. Robert Vamosi (The myth of online anonymity) doporučuje střízlivý pohled na otázku anonymitu na webu, a to včetně nedávno se objevivší verze Firefoxu – Torpark, která takovou anonymitu v brouzdání slibuje. Odkazuje se zejména na fakta uvedená ve vystoupení Neala Krawetze na letošní konferenci Black Hat v Los Angeles v létě.

Autentizace, hesla, rhybaření

Smrt jednotlivce, ať už díky věku nebo nemocem či náhodné nehodě, může přinést i problémy související se zabezpečnými daty, konkrétně zda bude možné získat nějakou cestou hesla k jeho cenným datům, cenným možná i pro další osoby (Taking passwords to the grave). V článku najdete popis zajímavé historie (jejím hlavním subjektem je nedávno zemřelý William Talcott – básník ze San Francisca). A k tomu – ještě zajímavější diskuse na Schneierově blogu. Viz také článek Viete, kto zdedí vaše e–maily? na obdobné téma.

Tahle otázka určitě není nová – jaká vlastně používat hesla? Autor článku How To Fix Your Memory for Passwords se kloní k myšlence používat pro vytváření hesel tzv. konstrukční schémata (password construction scheme). Diskutuje také nevýhody některých postupů.

Byl spuštěn projekt PhishTank – informace o rhybářských aktivitách (PhishTank casts its net for malicious email). Najdete ho zde – PhishTank, zahrnuje také open API, kterí umožňuje dalším přispěvatelům vkládat své informace. A opět – viz také diskusi na Schneierově blogu.

Autorem nového návrhu protokolu pro elektronické volby (The ThreeBallot Voing System) je Ron Rivest (ano – ono R v zkratce RSA, jinak profesor na MIT). Systém jeho autor nazývá ThreeBallott a základem zdůvodnění jeho bezpečnosti je skutečnost, že vstupy voličů jsou ověřitelné. Viz také komentář a následující diskusi na Schneierově blogu.

CA/NCSA Social Networking Study Report, September 2006 – to je přehled týkající se charakteru jednotlivých komunikací v sociálních sítích (chaty apod.) – je ve formátu rozsáhlejší powerpointové prezentace. Existující rizika jsou nezanedbatelná. Komentář k přehledu obsahuje článek Social networkers risk losing their identities.

Normy a normativní dokumenty

Byly vydány nové drafty pracovní skupiny EU pro el. podpis – EL SIGN:

NIST vydal Draft of the Special Publication 800–103, An Ontology of Identity Credentials, Part 1: Background and Formulation. Chystaná druhá část dokumentu pak bude obsahovat XML schémata – jako rámec pro uchování a výměnu informací vztahujících se k osobním dokladům.

Dále byl vydán draft skupiny pkix (verze 07):

A také vyšlo

Kryptografie

RC4-hash: A new hash function based on RC4 – RC4-hash – nová hashovací funkce opírající se o algoritmus RC4. Nová hashovací funkce má mít (z abstraktu autorů) zcela novou vnitřní strukturu, její efektivnost je přitom srovnatelná se známými hashovacími funkcemi jako SHA-1. Má variabilní délku výstupu (128–512 bitů). Měla by odolávat známým možným útokům. Tj. nová hashovací funkce má být bezpečná a zároveň rychlá, a také ji lze snadno implementovat.

Hashovací funkce HAS-160 je podobná SHA-1. V článku Colliding Message Pair for 53-Step HAS-160 jeho autor Florian Mendel prezentuje kolizní útok na tuto hashovací funkci v 53 krocích.

Pro zájemce – Wikipedia má kryptografický portál – Portal:Crypto­graphy.

root_podpora

Různé

Mimochodem – snad nikdy mi nechodilo tolik spamu jako v poslední době. Bohužel to odpovídá informacím, které se objevují v přehledech – spamu je víc a víc (Spammers target tech-savvy Web users ). Navíc některé mailové servery se proti tomu brání až příliš jednoduše, např. zablokují veškerou mailovou komunikaci některého poskytovatele mailových schránek. Někdy musím proto (z domova) odesílat mail i natřikrát (z různých adres), než jsem úspěšný. Máte podobné zkušenosti?

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?