Hlavní navigace

Bezpečnostní střípky za 41. týden roku 2006

Jaroslav Pinkava 16. 10. 2006

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu. Dnes se budeme zabývat především následujícími tématy: konference, obecná a firemní bezpečnost IT, software, malware, viry, hardware, RFID, bezdrát, VoIP, internetové bankovnictví, phishing, normy a normativní dokumenty, kryptografie.

Konference

Tento týden v Římě proběhla konference ISSE 2006 (Information Security Solution Europe), její program najdete zde – The Programme Overview, komentáře pak na těchto odkazech – Euro-security event kicks off today, Ciao Bella – ISSE 2006. Mj. na konferenci vystupoval i Bruce Schneier. Některá konferenční vystoupení lze získat po registraci.

Obecná a firemní bezpečnost IT

Strategies for preventing internal security breaches in a growing business aneb Strategie pro ochranu před vnitřními průniky jako rostoucí byznys. Deb Shinder rozebírá tuto problematiku (v zaměření na malé společnosti) z hlediska popisu existujících hrozeb. Ukazuje možné typy bezpečnostních politik, které jsou adresovány na tyto interní hrozby a svůj článek shrnuje v několika klíčových doporučeních:

  • Nepodceňujte rizika bezpečnostních průniků pocházejících zevnitř sítě.
  • Vypracujte politiky v podobě písemných dokumentů, které se speciálně zabývají interními hrozbami.
  • Informujte o těchto politikách a ujistěte se, že uživatelé podepsali, že jsou s nimi seznámeni.
  • Prosazujte sepsané politiky pomocí školení tak, abyste předcházeli neúmyslným průnikům (například vychovávejte uživatele ve vztahu k bezpečnému brouzdání po internetu: jak rozeznat nebezpečí spočívající v otvírání neznámých příloh, jak rozpoznávat sociální inženýrství, atd.
  • Prosazujte tyto politiky i pomocí technologických kontrol, všude kdekoliv je to možné.

Metriky a jejich využití v IT bezpečnosti, touto problematikou se zabývá kniha Measures and Metrics in Corporate Security, Communicating Business Value, zde potom je obsah knihy. Výňatek knihy, který si lze stáhnout na odkazu How to Use Metrics, ukazuje několik příkladů využitelnosti těchto metrik pro manažerskou praxi. Konkrétněji rozebírá situace, kdy změřené trendy (četnost incidentů,…) jako diagnostické nástroje identifikují rizika a invokují reakce k minimalizaci těchto rizik.

Volba vhodné strategie pro šifrování musí následovat po zvážení celé cesty chráněných dat od jejich vzniku přes jejich transformace a přenosy až po jejich ukládání a případnou následnou práci s nimi. Zvláštní rizika vznikají, pokud se data pohybují v nedůvěryhodném prostředí (internet, notebooky, PDA,…). Je třeba také brát do úvahy existenci dnešního malware, jako jsou třeba keyloggery či trojané. Článek R. A. Grimese http://www.data-storage-today.com/news/End-to-End-Encryption-Strategies/sto­ry.xhtml?story_id=023001­UYPTGH rozebírá celou řadu možných přístupů (i v návaznosti na vládní doporučení a příručky – NIST).

Pro ty, kdo pracují s penetračními testy, je užitečný strukturální dokument Penetration Testing Framework. Nedávno byl aktualizován a je nyní ve verzi v0.21.

A ještě upozornění na jednu užitečnou příručku. Kaspersky – Staying Safe Online. Z jejího obsahu:

  • Hrozby domácím uživatelům
  • Potenciální slabiny domácích PC a jak se chránit ve vztahu k těmto slabinám
  • Ochrany potřebné k zajištění bezpečnosti online
  • Časté problémy a jak je diagnostikovat

Viz také iniciativu Get Safe Online a komentář k ní na UK survey reveals widespread online fears.

„Zapomeňte na to, že běžné uživatele naučíte bezpečnému chování při pobytu online – taková je realita,” říká Stefan Gorling (Security expert: User education is pointless). Uživatelé jsou nejslabším článkem počítačové bezpečnosti, tuto větu slýcháme často. Ale není to ve skutečnosti tak, že se za chyby uživatelů schováváme proto, protože si nedokážeme přiznat vlastní neúspěch (míněno neúspěch lidí, kteří ve firmách či organizacích mají bezpečnost IT na starosti)? Výchova uživatelů – to je zbytečná ztráta času. Je třeba vytvořit potřebné rámce fungování IT, vhodné politiky pro fungování firemních zdrojů. Tyto musí mj. zahrnovat povinné používání bezpečnostního software, zákaz vstupu na XXX stránky atd.

Software – Microsoft

Podle bezpečnostních odborníků bude PatchGuard, technologie chránící jádro Windows Vista (An Inflection Point for Kernel Security and 64-Bit Computing), brzy prolomena – Windows kernel protection expected to break soon. Polský odborník Aleksander Czarnowski (polská firma AVET Information) odhaduje dobu zveřejnění tohoto prolomení na jeden rok, ale fakticky to nastane dříve.

Microsoft brání svoji antipirátskou politiku – Microsoft: Vista antipiracy policy won't mean more spyware. But nonvalidated users only get Windows Defender protection from ‚severe‘ threats. Diskuse je vedena okolo funkčnosti Windows Defender. Viz také jiný článek k politice MS vztahující se k bezpečnosti MS Windows Vista – Microsoft promises Vista security.

Steve Riley diskutuje povinné kontrole integrity ve Windows Vista Mandatory Integrity Control (MIC) a související čtyři úrovně integrity: low, medium, high + system.

Je Microsoft Software Protection Platform novým bezpečnostním rizikem? Ptá se Stan Beer v Microsoft SPP the ultimate security risk? . Protipirátská Software Protection Platform (SPP) může být podle autora článku zdrojem prohloubení bezpečnostních rizik. Vypnutí (oslabení) části operačního systému – je to správná cesta v boji proti pirátům? Anebo SPP bude perfektním cílem pro hackery?

Byla aktualizována stránka obsahující doporučení Microsoftu pro ochranu domácích počítačů – Protect yourself.

Software

Why Web services threats require application-level protection – Michael Cobb se zabývá ochranami webových služeb na aplikační úrovni. Popisuje jak webové služby fungují, jejich možné zranitelnosti a zabývá se ochranami proti jednotlivým hrozbám. Nakonec uvádí některá pravidla (pro organizace), jejichž dodržení by mělo vést k snížení potenciálních rizik.

Seznam bodů (checklist) pro zabezpečení konfigurace PHP najdete v článku Checklist for Securing PHP Configuration . Implicitní (defaultní) konfigurace PHP může vést k vzniku z bezpečnostního hlediska nedostatečně ošetřených situací. Vývojáři najdou v článku několik nastavení, které mají za cíl tento problém řešit.

Hacking Web 2.0 Applications with Firefox – Web 2.0, tato nová generace webových aplikací, je ještě v plenkách – určitě ve vztahu k bezpečnostním aspektům. Autor článku (Shreeraj Shah) popisuje celkem tři techniky k hledání zranitelností, opírají se o využití prohlížeče Firefoxu.

Stejný autor pak v článku Top 10 Web 2.0 Attack Vectors předkládá přehled deseti nejčastějších cest útoků na Web 2.0:

  • 1. Cross-site scripting in AJAX
  • 2. XML poisoning
  • 3. Malicious AJAX code execution
  • 4. RSS / Atom injection
  • 5. WSDL scanning and enumeration
  • 6. Client side validation in AJAX routines
  • 7. Web services routing issues
  • 8. Parameter manipulation with SOAP
  • 9. XPATH injection in SOAP message
  • 10. RIA thick client binary manipulation

Nestalo se vám, že byl napaden váš prohlížeč ? Autor Understand Web Browser Hijacking And How To Correct It (Otis Cooper) rozebírá, jaké jsou viditelné změny v takových situacích a jak se můžete bránit.

Bruce Schneier varuje před SecureRF (má to být prý první dostupné bezpečné řešení pro RFID). Ne všichni s ním v připojené diskusi souhlasí.

Není váš DNS server špatně nakonfigurován? V takovém případě se může stát, že nejste dostatečně chráněni vůči pharmářským útokům. Podle článku Is your DNS server configured wrong? (odkazujícího se na přehled Measurement Factory zpracovaný pro Infoblox) se tento stav reálně týká více než poloviny existujících DNS serverů. DNSSEC je podporováno jen jedním serverem ze 100 000 (!).

David H.M. Spector ( NMap: A security scanner) – sepsal úvod k problematikám souvisejícím s používáním bezpečnostního skeneru NMap a přidal také několik dalších užitečných odkazů:

  • NMap Audit- Perlovské skripty, které automatizují provádění skenů a generují zprávy s detaily výsledků
  • Remote NMap – program, který umožňuje skenování s centrálního serveru
  • PHP NMap – webové rozhraní
  • Qpenmapfe – speciální verze NMap (bezdrátové sítě)

Nastavte si doma – osobní SSH server (Set Up a personal home SSH server). Gina Trapani popisuje jednotlivé kroky instalace a konfigurace OpenSSH.

Google Code Search peers into programs' flaws  – Robert Lemos diskutuje Google Code Search – tento nový nástroj a přidává varování bezpečnostním profesionálům a vývojářům. Bohužel nástroj může útočníkům napomoci k snadnějšímu vyhledávání zranitelností. Umožňuje totiž prozkoumávat zdrojové kódy dostupné na internetu podstatně více do hloubky – stávají se zde součástí databáze, ve které lze vyhledávat. Viz také More fun with Google Code Search! a také Schneierův blog.

Malware

Thomas Claburn sepsal rozsáhlejší článek na téma nebezpečí botů – Beware The Bots. Malicious code that turns computers into zombies is wreaking all kinds of havoc.

Haxdoor, obzvláště agresivní trojan, napadl tisíce počítačů v UK (Haxdoor Trojan claims thousands of UK victims ). Instaluje zadní vrátka, keylogger a rootkit. Zcizeno bylo množství osobních citlivých dat různého typu (hesla, detaily bankovních transakcí, ale i další). Haxdoor toolkit je prodáván ruským hackerem, který si říká Corpse, za cca 2000 amerických dolarů. Podle F-Secure se mohou případné oběti trojana Haxdoor vyskytovat i mimo UK.

A jedna informace ze slovenského PCserveru – Vírusové správy za september z ThreatSense.Net: opäť vládne phishing: „Najrozšírenejšou infiltráciou bol v septembri HTML/Phishing.gen a získal tak neslávne prvé miesto v rebríčku. Podľa štatistického systému spoločnosti ESET ThreatSense.Net® tvorila táto infiltrácia až 3 % z celkového objemu za uplynulý mesiac“.

The future of malware: Trojan horses – Joris Evers diskutuje budoucí vývoj malware

Viry

Frank J. Ohlhorst (CRN Test Center) ve své recenzi (Review: Antivirus Protection That's Suite) hodnotí AVG Internet Security Suite 7.5 velmi pozitivně.

Hardware

Brian Bergstein zase rozebírá v $100 Laptop May Be at Security Forefront bezpečnostní potenciál stodolarových notebooků (hodnotí ho pozitivně!).

Bezdrát

Tony Bradley popisuje postup, jak změnit SSID pro váš bezdrát – Change Default SSID. Článek obsahuje několik jednoduchých doporučení:

  • Otevřte konzolu pro správu (administraci) routeru.
  • Podívejte se na nastavení bezdrátu a nastavte nové unikátní SSID.

Základy WiFi: jak zabezpečit bezdrátovou síť?  – David Ježek chce čtenáři přiblížit technologie, postupy a způsoby zabezpečení pro budovatele domácích bezdrátových sítí či malých sítí podnikových.

VoIP

V článku Swiss Government tests VoIP wiretap software se dozvídáme, že podle nedávno zveřejněných informací švýcarská policie a zpravodajské služby testují software, který dokáže odposlouchávat komunikace VoIP. Používají k tomu infikování uživatelského počítače speciálním trojanem a obejdou takto šifrování (např. v Skype).

Vybrané části knihy VoIP Hacks. Tips & Tools for Internet Telephony najdete na odkazech:

Obsah celé knihy je zde – Table of Contents.

Internetové bankovnictví, phishing

Server iDNES.cz přinesl test internetbankingu 2006 (ČR) – …blýská se na lepší časy:

A k zprávě, která ke konci týdne hýbala českým zpravodajstvím (nejen internetovým), alespoň tyto tři odkazy:

Lupa (Cracker: na podvodné e-maily naletí až dvacet procent příjemců) přinesla rozhovor Aleše Miklíka s člověkem, jenž se podle svých slov finančními podvody na internetu živí.

Normy a normativní dokumenty

Vyšla dvě doplňující rfc k Transport Layer Security (TLS):

Kryptografie

Pro ty, které zajímají další perspektivy rozvoje kryptologie, upozorňujeme na dokument ECRYPT Challenges for Cryptology Research in Europe for 2007–2013 and beyond (2006) (vydán 31.7.2006). Tento a řadu dalších dokumentů evropské iniciativy ECRYPT najdete na Network of Excellence in Cryptology .

Kvantová kryptografie – v článku Cheap quantum cryptography  – najdete stručný úvod a hlavně množství dalších odkazů (např. Course Information vás přivede k celé řadě dalších statí, které jsou přehledem vybraných partií problematiky)

An Attack on RSA Digital Signature – tento dokument obsahuje komentář NISTu k Bleichenbacherově útoku na digitální podpis RSA (z konference Crypto 2006) a také doporučení (používat adekvátní implementace pro verifikaci podpisu).

X. Fan, T. Wollinger a G. Gong – Efficient explicit formulae for genus 3 hyperelliptic curve cryptosystems – podrobně analyzují speciální typ hypereliptických křivek (genus 3), který je vhodný pro všechny typy zabudovaných (embedded) architektur (s omezeními na velikost místa, na čas a na výkon). Autoři předkládají celou řadu formulí umožňující efektivní implementace kryptosystémů na bázi hypereliptických křivek.

Významný francouzský kryptolog Serge Vaudenay navštíví Katedru algebry MFF UK v Praze ve dnech 16.-20.10.2006. Během svého pobytu přednese tři přednášky v budově Sokolovská 83, Praha 8 (u stanice metra Křížíkova). Přednášky jsou určeny pro všechny zájemce o tuto oblast a začínají vždy v 17.20. Více informací naleznete zde .

Různé

Magazín Vantage. Fall 2006 aneb RSA Security a pohled do světa obchodu s bezpečností – najdete zde několik zajímavých článků. Týkají se problematik autentizace, šifrování, připravenosti na obnovu po havárii atd.

Nová technika zasílání utajovaných zpráv (A method for secure communications over a public fiber-optical network) – James Bond by záviděl – alespoň podle komentáře k této studii na Sending secret messages over public internet lines can take place with new technique. Chráněný kanál v optické sítí běží pod úrovní šumu a není tedy obvyklými cestami detekovatelný.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?