Hlavní navigace

Bezpečnostní střípky za 40. týden

10. 10. 2005
Doba čtení: 8 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: obecná a firemní bezpečnost IT, software, hackeři, viry, malware, rhybaření, bezdrát, bankovnictví, autentizace a elektronický podpis a kryptografie.

Obecná a firemní bezpečnost IT

Deset věcí, které byste měli udělat, než připojíte nové PC k Internetu, to je titul ze série návodů na TechRepublic:

  • 1. Vytvořte si bootovací CD-ROM
  • 2. Odstraňte promoční aplikace (budete vyzváni k registraci, zatím s tím vyčkejte)
  • 3. Nainstalujte antivirus
  • 4. Zapněte softwarový firewall (ve Windows XP SP2 anebo jiný, např. nainstalujte Zone Alarm)
  • 5. Nainstalujte tiskárnu a další periferie
  • 6. Zadejte administrátorské heslo
  • 7. Vytvořte nový uživatelský účet spolu s heslem
  • 8. Vypněte nadbytečné služby Windows (viz Windows XP services that can be disabled
  • 9. Vytvořte bod návratu systému (Instantly create Restore Points in Windows XP)
  • 10. Nainstalujte a zkonfigurujte router

Je známo, že nechráněné PC po zapojení do Internetu je s vysokou pravděpodobností infikováno během několika minut. Autor výše uvedených doporučení Mark Kaelin – 10 things you should do to a new PC before surfing the Web – proto říká: Nespěchejte a vaše nové PC nejprve nakonfigurujte, proveďte nezbytný update a nainstalujte záplaty.

Zajímavý článek (autoři: David Čepička, Thorsten Eggeling, Andreas Kroschel a Christian Löbering) se objevil na webu PC World Security – Co všechno o nás ví Microsoft? Lze jen doporučit. Z abstraktu: Máte představu, co všechno se dá z vašeho počítače zjistit? Prodejci to považují za službu zákazníkům, uživatelé se zase obávají ztráty soukromí. O čem to vlastně mluvíme? Přece o skutečnosti, že řada programů zasílá bez našeho vědomí informace z našeho počítače do Internetu. Přečtěte si zde, jaká data se z vašeho počítače odesílají a jak se před přílišnou zvědavostí výrobců některých programů chránit.

Popis dalších používaných metod obsahuje druhá část článku k průmyslové špionáži – Industrial espionage, Part 2: More methods.

Informace ke zjištěným problémům s bezpečností rozhraní USB byla obsažena v Bezp. střípcích za 31. týden – zranitelnost byla demonstrována na konferenci Black Hat. Nyní se objevilo oznámení o komerčně prodávaném zařízení Plug and Play – BlackDog. Ze zařízení by měl být přístup do jakéhokoliv bodu sítě, do kterého má přístup počítač, na jehož USB port je zařízení připojeno. Prima pro hackery, zloděje, špiony atd.

Evropská komise – EC proposes greater surveillance to combat crime – přijala návrh (vyžaduje ještě schválení všech 25 členských států), který se týká povinnosti zaznamenávat telefonické hovory, e-maily a provoz Internetu. Záznamy o proběhlých telefonických hovorech by se měly uchovávat po dobu jednoho roku, poskytovatelé Internetu musí záznamy uchovávat po období jednoho půlroku.

Software

Otázku, zda může být napsání počítačového programu kriminálním činem, si položil autor článku Mark Rasch Can writing software be a crime? Carlos Enrique Perez-Melara napsal a prodával program zvaný Loverspy (program typu keylogger). Soud v Kalifornii autora programu odsoudil. Odpověď na otázku v titulku článku je tedy ano.

Zda bude SP3 pro Windows XP, se zatím neví. Objevila se však neoficiální ukázka na The Hotfix. Komentář najdete na PCWorld.com.

O bezpečnostních rizicích IM (Instant Messaging) hovoří Dr. Horst Joepen v článku v SC Magazine Messaging – is it an instant threat?. V současné době (podle Gartnera) se IM používá v celkem 70 procentech firem. Pouze 15–20 procent firem však pracuje s administrací IM, tj. nějakým způsobem upravuje tuto činnost. Zbývajících 50 procent firem se vystavuje některým bezpečnostním rizikům. To samé se ale týká i P2P sítí.

Terry Dickson se v Avinti CEO On The State Of E-Mail (In)Security zabývá otázkou, jaká je bezpečnost e-mailu. Rozebírá mimo jiné následující hrozby:

  • 1. Rychle se šířící e-mailový útok. Zranitelnost vyplývá z faktu, že vždy musí existovat nějaký časový interval mezi vytvořením nového viru (např.) a reakcí na tento fakt v příslušném bezpečnostním (antivirovém) produktu. Kupř. takové viry jako Bagle a Sober mohou být v průběhu několika málo hodin obsaženy až v 75 procentech internetového provozu.
  • 2. Útoky na izolovaný subjekt (organizaci). Cílem může být přístup k informacím osobního a důvěrného typu. Zpráva obsažená v e-mailu se tváří jako zpráva, kterou zasílá důvěryhodná instituce atd. Součástí zprávy pak může být malware tapu keylogger atd.
  • 3. Neznámý typ hrozby. Nikdo dnes neví, jaký typ hrozby v dnešním rozsáhlém světě Internetu může být ještě stvořen. Z takovéhoto pohledu bude paranoia otcem ochrany, říká autor.

Hackeři, viry, malware

Software security and Reverse Engineering aneb RI (reverzní inženýrství) pro účely crackerů. Z pohledu crackera obsahuje článek řadu informací. Autor však poněkud zužuje samotný pojem RI – nemusí se vždy jednat pouze o cíle spojené s cracknutím softwaru. Programátor v řadě případů může sledovat i jiné cíle, například využití implementovaných dílčích postupů v jiném softwaru nebo spočívající jen v získání informací. Ve forenzní analýze může být také pomocí RI sledován přímo opačný cíl – zjistit, zda autor softwaru „neukradl“ použité myšlenky atd.

Problematikou crackování se chce zabývat seriál Michala Strehovského Cracking a ochrana pred ním, jehož první část se objevila tento týden na Živě – 1. časť: pohľad crackera .

Zamyšlení nad otázkou, jak využít znalostí hackerů, přináší článek autora Michael Arnone – White hat, gray hat, black hat. Hackers can teach government and industry valuable IT security lessons. Nepochybně mnoho hackerů by rádo pomáhalo – vládám, organizacím – např. v boji proti terorismu.

Microsoft připravuje další krok v boji proti spyware – oznámil vydání beta verze svého nového bezpečnostního produktu koncem roku 2005 – Microsoft announces imminent security release. Microsoft Client Protection má být jeden integrovaný produkt (součástí by měly být Windows AntiSpyware + Windows OneCare). Komerční verze by se měla objevit v roce 2007.

I toto je už dnes realitou – malware zašifruje data na napadeném počítači a pak vyzve uživatele k zaplacení za rozšifrování (Websense Security Labs. Security Trends Report. First Half 2005). Viz Zaplať nebo nikdy neuvidíš data na svém PC + zajímavá zpráva o bezpečnostních trendech a Web attack extorts by encryption.

A podle bezpečnostního experta IBM firmy útočníkům platí – Are online firms doing secret deals with DDoS attackers?

Rhybaření

Bruce Schneier napsal pro Wired.com článek (A Real Remedy for Phishers), ve kterém jednak reaguje na legislativní změny v Kalifornii, které se týkají rhybaření, a jednak hlouběji rozebírá samotnou podstatu problému. V závěru pak shrnuje: Jak je obvyklou pravdou při vytváření bezpečnostních politik, příslušnou práci nejlépe vykoná ta entita, která je v nejlepší pozici, v níž lze zmíněná rizika zmírnit. Jedinou cestou, jak vyřešit tento problém (rhybaření), je učinit odpovědnými za ztráty vzniklé rhybařením příslušné finanční instituce.

Největší banka v severských zemích, Nordea Sweden, měla podle podvržených e-mailů měnit svá bezpečnostní opatření a na falešných webech v Jižní Koreji lákala zákazníky k vyzrazení hesel (Phishers Target Swedish Bank).

Bezdrát, mobilní telefonie

V Security Magazine vyšel článek Martian Allena Tackling mobile, security, kde autor poukazuje na rizika spojená s využíváním mobilních zařízení ve firmách a dává některá doporučení.

10 ways to wireless security – Deb Shinder dává deset tipů pro ochranu bezdrátové sítě:

  • 1. Používejte šifrování
  • 2. Používejte silné šifrování
  • 3. Změňte defaultní administrátorské heslo
  • 4. Vypněte přenosy SSID
  • 5. Vypněte WAP, pokud není používán
  • 6. Změňte defaultní SSID
  • 7. Používejte MAC filtry
  • 8. Oddělte bezdrátovou síť od zbytku LAN
  • 9. Kontrolujte bezdrátový signál
  • 10. Přenosy provádějte na různých frekvencích

O tom, jak správně nakonfigurovat WPA (přístupový bod, klient), se dozvíte v WPA-PSK: Step-by-Step.

Nokia spolupracuje se Symantecem na bezpečnosti mobilů (Nokia puts Symantec on its mobile phones). Byla podepsána smlouva na zahrnutí softwaru Symantec Corp.'s Mobile Security do mobilních telefonů Serií 60 a se Symbian OS.

Autoři Exploiting Open Functionality in SMS-Capable Cellular Networks demonstrují možnost útoku prostřednictvím SMS, který by znemožnil provoz např. celé mobilní telefonní sítě v New Yorku atd. – prostřednictvím skupiny botů (zombie počítačů).

Bankovnictví

V Kanadě se připravuje biometrické bankovnictví – NCR promotes biometric banking in Canada. Diskutují se tři varianty pro práci s otisky prstů – optická, ultrazvuková a RF.

Malware jako strašidlo – objevilo se dokonce varování – nepoužívejte internetbanking! Článek v SC Magazine (‚Don‘t bank online' warns expert) komentuje vyhlášení pana Davida Perryho (global director of education at Trend Micro). Jiní odborníci však s tímto varováním nesouhlasí.

Definitivní rozhodnutí, zda firma CardSystems Solutions zůstane dále zpracovatelem pro firmu Visa, padne až koncem ledna 2006 (Visa backtracks over ID theft case).

Autentizace, elektronický podpis

Pokud jste zapomněli heslo BIOSu, můžete použít následující návod – Bypass the BIOS Password . Návod pochází z knihy: PC Hacks. 100 Industrial-Strength Tips & Tools (By Jim Aspinwall, First Edition October 2004,304 pages).

Na této adrese naleznete některé vybrané kapitoly knihy k volnému stáhnutí.

Vojtěch Kment okomentoval na Lupě novelu zákona o DPH z pohledu používání elektronického podpisu – Konglomerát omylů k novele DPH.

Kryptografie

The Case for Elliptic Curve Cryptography – souhrnný článek vysvětlující pozici NSA ve vztahu k využívání kryptografických algoritmů na bázi eliptických křivek. Ze závěru: Eliptická kryptografie poskytuje větší bezpečnost a efektivnější techniky systémů s veřejným klíčem, než poskytovala první generace (RSA a Diffie-Hellman). Pokud dodavatelé kryptografických technologií budou provádět upgrade svých systémů, měli by vážně zvažovat využití technologie eliptických křivek.

nCipher má licenci Certicomu na využití eliptické kryptografie ( Certicom Licenses Intellectual Property to nCipher). HSM moduly s eliptickou kryptografii a potřebným certifikátem – např. jednou z variant jejich využití je práce se soukromým klíčem certifikační autority.

Snaha o záchranu SHA-1 – zde najdete komentář k článku Is SHA-1 conceptually sound?, jehož autory jsou Charanjit S. Jutla a Anindya C. Patthak.

Informaci o patentu na systém s veřejným klíčem, jehož autorem je Clifford Cocks, šéf matematiků v GCHQ (mj. objevil kryptosystém, který nyní nese název RSA, o tři roky dříve než pánové Rivest, Shamir, Adleman), najdete zde – Cryptome spolu s řadou dalších zajímavých odkazů.

Různé

Vyšel The Security Journal (Security Horizon) – Summer 2005. Z obsahu:

  • Web Services Eco-System and SAML
  • recenze knihy: Hack Attack Revealed
  • Information Security Assessment Methodology (IAM) Analysis
  • The Perfect Dead Drop (steganografie)
  • Apple Laptops for Sensitive Works

První workshop k problematice bezpečnosti ve vztahu k nanotechnologiím uspořádá NIST v únoru 2006 – NANO – SECURITY WORKSHOP

root_podpora

Do soutěže v luštění šifrových textů pořádané e-zinem Crypto-World se přihlásilo přes 120 řešitelů. Z tohoto počtu vyřešila všechny úkoly prvého kola již více jak čtvrtina účastníků. Přihlásit se lze i dodatečně, a to kdykoliv v průběhu celé soutěže.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?