Hlavní navigace

Bezpečnostní střípky za 42. týden roku 2006

Jaroslav Pinkava

Pravidelný týdenní přehled informací z bezpečnosti IT, které se objevily za posledních sedm dní. Dnes se budeme zabývat především tématy: Přehledy, obecná a firemní bezpečnost IT, software, malware, viry, hackeři, hardware, autentizace, ID, normy a normativní dokumenty, kryptografie.

Přehledy

Zpráva vydaná americkou vládou (Staff report agency data breaches since January 1, 2000, October 2006) ukazuje přehled bezpečnostních incidentů v jednotlivých resortech v období od ledna 2003. Komentář ke zprávě je na Feds get a D plus for data security. Konstatuje se zde, že problémy bezpečnosti IT narůstají.

  • Ztráty dat jsou v amerických vládních organizacích rozšířeným problémem
  • Úřady ne vždy vědí, která data byla ztracena
  • Důležitým prvkem je fyzická ochrana dat. Jen malé procento úniků je způsobeno útoky online, většinou je ztráta dat způsobena fyzickou krádeží – přenosných počítačů, disků anebo neoprávněným použitím dat zaměstnanci.
  • Smluvní dodavatelé se podílí na velké části hlášených úniků.

Obecná a firemní bezpečnost IT

Bruce Schneier na Hack in the Box Security Conference (Kuala Lumpur, minulý měsíc) – takto charakterizoval dnešních deset zásadních trendů informační bezpečnosti:

  • 1. Informace jsou nyní cennější než kdy jindy dříve.
  • 2. Sítě jsou kritickou infrastrukturou.
  • 3. Uživatelé ne vždy mají pod kontrolou údaje o své osobě.
  • 4. Hacking – je to rostoucí kriminální profese (není to již jen otázka amatérů).
  • 5. Vaším nepřítelem je složitost.
  • 6. Útoky jsou rychlejší než záplaty
  • 7. Červi jsou sofistikovanější, než byli kdykoliv předtím.
  • 8. Koncové body jsou nejslabším článkem.
  • 9. Koncoví uživatelé se stávají hrozbou.
  • 10. Regulační ustanovení tlačí na provádění auditů

Zdaleka ne vše, co je na internetu proveditelné, je také legální. Platí to i v souvislosti se skenovacími nástroji (skenování portů) – Port scanning a violation of property rights. Zajímavé zamyšlení nad střetem práva na kontrolu a vlastnického práva.

O konvergenci kryptografie a ostatních bezpečnostních technologií hovoří Richard Moulds ve svém stručném přehledu – Crypto goes mainstream. Zdůrazňuje současné široké rozšíření používání kryptografických postupů (vyjmenovává jednotlivé typy aplikací) a hovoří o nezbytnosti vhodné správy kryptografických nástrojů.

Jak dobře znáte svoji síť? Ptá se Cara Garretson v zamyšlení (How well do you know your network?) nad cestami, kterými lze kontrolovat obsah dění ve vaší síti. Jiná je situace v USA (zde v zásadě firma může vyhlásit svá práva na vše, co zaměstnanec ve firemní síti dělá) a jiná legislativa platí v EU a asijských zemích.

Nenastala doba pro aktualizaci vaší politiky pro monitoring zaměstnanců? Jay Cline V článku Time to Update Your Employee Monitoring Policy? cituje celou řadu informací z poslední doby (skandál v HP, výsledky různých přehledů), uvádí některá čísla (USA) a také doporučení:

  • 1. Organizujte. Svolejte fórum složené z odpovědných bezpečnostních pracovníků (legislativa, audit, fyzická a IT bezpečnost) a revidujte současnou praxi a cíle.
  • 2. Aktualizujte svoji politiku. Nechť je politika ochrany dat pro zaměstnance konzistentní s politikou pro zákazníky, ideální je, pokud obě vychází z týchž základů.
  • 3. Certifikujte. Zveřejněte vaši politiku na intranetu a nechte ji certifikovat příslušnou institucí (legitimnost)
  • 4. Komunikujte. Pravidelně a často informujte své zaměstnance o vaší monitorovací politice a také jim sdělte, jaká v tomto ohledu mají práva.

Aston Fallen (Under Attack – A Quick Overview of the Major Threats) předkládá přehled současných hlavních hrozeb i s krátkým návodem, jak těmto hrozbám čelit:

  • Viry a červi
  • Trojané
  • Spam
  • Phishing
  • Paketové sniffery
  • Sniffery portů
  • Webovské stránky s malware
  • Spyware
  • Sdílené počítače
  • Sledování Vašich aktivit na webu
  • Ztráta hardware
  • Rezidua fragmentů dat (HD v seconhandech)

ICSA Laboratory nyní provádí certifikaci antispamových produktů (ICSA Labs introduces Anti-Spam certification). Další informace k této americké nestátní certifikační laboratoři najdete přímo na jejích stránkách – ICSA Labs.

Chcete projít bezpečnostním auditem? Několik doporučení v tomto směru najdete v informaci Michaela Mullinse – Increase your chances of passing a security audit.

Software

Sedm kroků pro zabezpečení linuxového systému – jednoduchá doporučení především pro ty, kteří se s ochranou linuxového serveru začínají seznamovat:

  • 1. Zabezpeč roootovský účet (silné heslo,…)
  • 2. Nainstaluj firewall
  • 3. Pro síťové transakce používej OpenSSH
  • 4. Zruš nepotřebné služby
  • 5. Používej spamovou a anti-virovou ochranu
  • 6. Nainstaluj IDS (intrusion detection system)
  • 7. Absolvuj pravidelné bezpečnostní audity

Google: Security Mishaps and User Trust – Michael Arrington se zamýšlí nad rolí, kterou firma Google sehrává ve vztahu k bezpečnosti IT a nad s tím souvisejícími problémy.

V článku Creating a Windows Live CD for System Recovery and Pen-Testing with Bart's PE Builder najdete návod, jak vytvořit Live CD pro obnovu systému a penetrační testy (a to s využitím nástroje BartPE).

Můžete si stáhnout (Java EE and .NET Security Interoperability) kapitolu z knihy Java EE and .NET Interoperability: Integration Strategies, Patterns, and Best Practices (vyšla v dubnu 206, má 648 stran). Je věnována problémům interoperability Java EE a .NET Security

Practical Onion Hacking aneb TOR nezaručí anonymitu – ukázka praktických postupů pro hack. Autoři ukazují, jak se dostat ke správným IP klientů TOR.

Michael Cobb uvedl nyní na jedné stránce (Nmap Technical Guide) odkazy na jednotlivé články z jím napsané série věnované nástroji NMap:

Ivan Ristic je autorem programu ModSecurity 2.0 (open source řešení – firewall pro webovskou aplikaci) a v článku (ModSecurity 2.0 with Ivan Ristic ) hovoří o poslední nové verzi 2.0 a o jejích možnostech.

Disk encryption with Microsoft's Vista – informace k šifrování ve Windows Vista (Bitlocker), zmíněn je i jiný šifrovací SW (bezplatné Free Compusec 4.21 SP2, Abylon Cryptdrive 6.0 a GNU Privacy Guard 1.4.4).

Software – Microsoft

Filip Hanker na Živé (Antipirátska ochrana vo Viste: Zadrží len neskúsených): Otestovali sme situáciu, keď Windows Vistu užívateľ do 30 dní neaktivuje a systém sa teda spustí len v obmedzenom režime. Zistili sme, o aký mód ide a aj to, že obchádzenie ochrany nie je vôbec náročné.

8 Simple Rules For Developing More Secure Code – Michael Howard na stránkách Microsoftu předkládá osm jednoduchých pravidel pro vývoj bezpečnějšího SW :

  • 1. Převezmi odpovědnost
  • 2. Nikdy nevěř datům
  • 3. Modeluj si hrozby proti svým programům
  • 4. Buď o krok vpředu
  • 5. Používej fuzzing techniku
  • 6. Nevytvářej programy, které nejsou bezpečné
  • 7. Ber ohled na asymetrie v strategii
  • 8. Používej ty nejlepší nástroje, které máš k dispozici

Microsoft dále vydal bezpečnostní příručku – Privacy Guidelines for Developing Software Products and Services. Komentář najdete na Microsoft releases guidelines for customer privacy . Dokument se nazývá – Privacy Guidelines for Developing Software Products and Services – Version 2.1 (October 10, 2006) , je to verze pro veřejnost (původně interní příručky MS), má 49 stran s následujícím obsahem:

  • 1 Basic Concepts and Definitions
    (User Data, Data Minimization and Data Management, Notice, Choice, and Consent, Notice Mechanisms, Security, Access, Data Integrity, Types of Privacy Controls, Shared Computers, Children’s Privacy, Software Installation, Server Products, Web Sites and Web Services, Special Considerations)
  • 2 Guidelines
    (Scénáře pro: Transferring PII to and from the Customer’s System, Storing PII on the Customer’s System, Transferring Anonymous Data from the Customer’s System, Installing Software on a Customer’s System, Deploying a Website, Storing and Processing User Data at the Company, Transferring User Data Outside the Company, Interacting with Children, Server Deployment)

Microsoft nakonec umožní externí bezpečnostní software (např. Microsoft Now Decides to Accept Outside Security for Vista). Jedná se o software typu antiviry, antispyware. Zatím to vypadalo tak, že MS má v plánu obsadit tento trh. Bezpečnostní firmy jsou však zatím k tomuto kroku Microsoftu skeptické – Security firms skeptical about Vista shift.

A ještě jedna příručka MS – Approaches to Fighting Spam in an Exchange Server Environment  – popisuje přístupy k boji se spamem v prostředí Exchange serveru. Příručka je určena příslušným odpovědným pracovníkům.

Malware

Zombie se pokouší stát se neviditelnými – Zombies try to blend in with the crowd. Autoři botů vyvíjí nové postupy. Joris Evers rozebírá tyto přístupy a popisuje pak možnosti boje s boty.

Hackeři chystají nový postup, jak skrýt malware (Hackers' project disguises security-busting code Secret not-a-toy surprise designed to evade AV software). Software, s názvem VoMM (eVade o’ Matic Module) kombinuje řadu technik mixování kódu tak, aby výsledek nebyl rozpoznáván antivirovým softwarem. S pomocí této techniky lze vytvořit „nekonečné“ množství variant exploitů.

Trojan using SMS messages to relay information, says McAfee – k trojanu, který používá SMS. Administrátoři si původně zvolili tuto cestu (zasílání SMS) pro možnost pohotovějších reakcí. Varianta trojanu W32/backdoor-DJC to však využívá k jiným cílům

Viry

Krátké rozhlédnutí po bezplatných antivirových programech (Avira AntiVir PersonalEdition Classic 7, AVG Free Edition 7, Avast! Home Edition 4.7) obsahuje článek Stop Viruses for Free!

Hackeři

Hack This Site – legální základna pro trénink hackerů. Mohou si zde otestovat a rozšířit své zkušenosti, zkusit některou ze zde publikovaných výzev.

Martin Haller na Lupě zveřejnil v uplynulém týdnu poslední díl svého šestidílného seriálu o útocích typu Denial of Service (DoS), principech jejich fungování (včetně praktických ukázek). Seznam jednotlivých dílů najdete na stránce Seriál Útoky typu DoS.

The Need for Host Intrusion Prevention – autoři tohoto článku říkají: prevence průniků (hostitelské počítače) je kritickou součástí strategie pro ochranu informací.

Vložením USB s nástrojem USB Hacksaw tento nástroj nainstaluje, (automaticky infikuje) PC s OS Windows, následně pak čeká na vložení jiného USB disku s daty, stáhne je a zašle ukradená data na e-mailový účet (USB Hacksaw – Description).

Je bitva s boty již prohraná? Ptá se Ryan Naraine a (Is the Botnet Battle Already Lost? ), popisuje současnou situaci, možnosti existujících nástrojů, a to i v perspektivním pohledu.

Hardware

Pomalu neuplyne ani týden, aby se neobjevil článek na téma hrozby, které vytváří mobilní úložná zařízení. V The threats posed by portable storage devices najdete malinko širší rozbor problému (a trochu je to i P.R. článek).

Autentizace, ID

Která data jsou součástí vašeho ID (které osobní informace), kde mohou být ukradena a jak je chránit – na tyto otázky odpovídá autor článku The Ultimate Guide to Identity Theft Prevention. Hezký přehled.

Normy a normativní dokumenty

V týdnu vyšly tři drafty skupiny IETF pkix:

Kryptografie

Právě vyšlo – Fred Piper, Sean Murphy : Kryptografie Průvodce pro každého , nakladatelství Dokořán, říjen 2006, 158 stran, na odkazu najdete i ukázku – Kryptografie v běžném životě. Viz podrobný komentář Vlastimila Klímy – Crypto-News.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

23. 10. 2006 16:24

Teda M$ je fakt geniální:

8 Simple Rules For Developing More Secure Code
...
6. Nevytvářej programy, které nejsou bezpečné
...

To by němej neřekl. Jenom nevím, na co jsou tam ty ostatní pravidla ;-).






Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Stavební spoření: alternativa i pro seniory

Stavební spoření: alternativa i pro seniory

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?