Přehledy
Zpráva vydaná americkou vládou (Staff report agency data breaches since January 1, 2000, October 2006) ukazuje přehled bezpečnostních incidentů v jednotlivých resortech v období od ledna 2003. Komentář ke zprávě je na Feds get a D plus for data security. Konstatuje se zde, že problémy bezpečnosti IT narůstají.
- Ztráty dat jsou v amerických vládních organizacích rozšířeným problémem
- Úřady ne vždy vědí, která data byla ztracena
- Důležitým prvkem je fyzická ochrana dat. Jen malé procento úniků je způsobeno útoky online, většinou je ztráta dat způsobena fyzickou krádeží – přenosných počítačů, disků anebo neoprávněným použitím dat zaměstnanci.
- Smluvní dodavatelé se podílí na velké části hlášených úniků.
Obecná a firemní bezpečnost IT
Bruce Schneier na Hack in the Box Security Conference (Kuala Lumpur, minulý měsíc) – takto charakterizoval dnešních deset zásadních trendů informační bezpečnosti:
- 1. Informace jsou nyní cennější než kdy jindy dříve.
- 2. Sítě jsou kritickou infrastrukturou.
- 3. Uživatelé ne vždy mají pod kontrolou údaje o své osobě.
- 4. Hacking – je to rostoucí kriminální profese (není to již jen otázka amatérů).
- 5. Vaším nepřítelem je složitost.
- 6. Útoky jsou rychlejší než záplaty
- 7. Červi jsou sofistikovanější, než byli kdykoliv předtím.
- 8. Koncové body jsou nejslabším článkem.
- 9. Koncoví uživatelé se stávají hrozbou.
- 10. Regulační ustanovení tlačí na provádění auditů
Zdaleka ne vše, co je na internetu proveditelné, je také legální. Platí to i v souvislosti se skenovacími nástroji (skenování portů) – Port scanning a violation of property rights. Zajímavé zamyšlení nad střetem práva na kontrolu a vlastnického práva.
O konvergenci kryptografie a ostatních bezpečnostních technologií hovoří Richard Moulds ve svém stručném přehledu – Crypto goes mainstream. Zdůrazňuje současné široké rozšíření používání kryptografických postupů (vyjmenovává jednotlivé typy aplikací) a hovoří o nezbytnosti vhodné správy kryptografických nástrojů.
Jak dobře znáte svoji síť? Ptá se Cara Garretson v zamyšlení (How well do you know your network?) nad cestami, kterými lze kontrolovat obsah dění ve vaší síti. Jiná je situace v USA (zde v zásadě firma může vyhlásit svá práva na vše, co zaměstnanec ve firemní síti dělá) a jiná legislativa platí v EU a asijských zemích.
Nenastala doba pro aktualizaci vaší politiky pro monitoring zaměstnanců? Jay Cline V článku Time to Update Your Employee Monitoring Policy? cituje celou řadu informací z poslední doby (skandál v HP, výsledky různých přehledů), uvádí některá čísla (USA) a také doporučení:
- 1. Organizujte. Svolejte fórum složené z odpovědných bezpečnostních pracovníků (legislativa, audit, fyzická a IT bezpečnost) a revidujte současnou praxi a cíle.
- 2. Aktualizujte svoji politiku. Nechť je politika ochrany dat pro zaměstnance konzistentní s politikou pro zákazníky, ideální je, pokud obě vychází z týchž základů.
- 3. Certifikujte. Zveřejněte vaši politiku na intranetu a nechte ji certifikovat příslušnou institucí (legitimnost)
- 4. Komunikujte. Pravidelně a často informujte své zaměstnance o vaší monitorovací politice a také jim sdělte, jaká v tomto ohledu mají práva.
Aston Fallen (Under Attack – A Quick Overview of the Major Threats) předkládá přehled současných hlavních hrozeb i s krátkým návodem, jak těmto hrozbám čelit:
- Viry a červi
- Trojané
- Spam
- Phishing
- Paketové sniffery
- Sniffery portů
- Webovské stránky s malware
- Spyware
- Sdílené počítače
- Sledování Vašich aktivit na webu
- Ztráta hardware
- Rezidua fragmentů dat (HD v seconhandech)
ICSA Laboratory nyní provádí certifikaci antispamových produktů (ICSA Labs introduces Anti-Spam certification). Další informace k této americké nestátní certifikační laboratoři najdete přímo na jejích stránkách – ICSA Labs.
Chcete projít bezpečnostním auditem? Několik doporučení v tomto směru najdete v informaci Michaela Mullinse – Increase your chances of passing a security audit.
Software
Sedm kroků pro zabezpečení linuxového systému – jednoduchá doporučení především pro ty, kteří se s ochranou linuxového serveru začínají seznamovat:
- 1. Zabezpeč roootovský účet (silné heslo,…)
- 2. Nainstaluj firewall
- 3. Pro síťové transakce používej OpenSSH
- 4. Zruš nepotřebné služby
- 5. Používej spamovou a anti-virovou ochranu
- 6. Nainstaluj IDS (intrusion detection system)
- 7. Absolvuj pravidelné bezpečnostní audity
Google: Security Mishaps and User Trust – Michael Arrington se zamýšlí nad rolí, kterou firma Google sehrává ve vztahu k bezpečnosti IT a nad s tím souvisejícími problémy.
V článku Creating a Windows Live CD for System Recovery and Pen-Testing with Bart's PE Builder najdete návod, jak vytvořit Live CD pro obnovu systému a penetrační testy (a to s využitím nástroje BartPE).
Můžete si stáhnout (Java EE and .NET Security Interoperability) kapitolu z knihy Java EE and .NET Interoperability: Integration Strategies, Patterns, and Best Practices (vyšla v dubnu 206, má 648 stran). Je věnována problémům interoperability Java EE a .NET Security
Practical Onion Hacking aneb TOR nezaručí anonymitu – ukázka praktických postupů pro hack. Autoři ukazují, jak se dostat ke správným IP klientů TOR.
Michael Cobb uvedl nyní na jedné stránce (Nmap Technical Guide) odkazy na jednotlivé články z jím napsané série věnované nástroji NMap:
- Nmap: A valuable open source tool for network security
- Installing and configuring Nmap on Windows
- Installing and configuring Nmap on Linux
- Scanning ports and services
- Nmap: More port scanning techniques
- Firewall configuration testing
- Techniques for improving scan times
- Interpreting and acting on Nmap results
- Nmap parsers and interfaces
- Nmap and the open source debate
Ivan Ristic je autorem programu ModSecurity 2.0 (open source řešení – firewall pro webovskou aplikaci) a v článku (ModSecurity 2.0 with Ivan Ristic ) hovoří o poslední nové verzi 2.0 a o jejích možnostech.
Disk encryption with Microsoft's Vista – informace k šifrování ve Windows Vista (Bitlocker), zmíněn je i jiný šifrovací SW (bezplatné Free Compusec 4.21 SP2, Abylon Cryptdrive 6.0 a GNU Privacy Guard 1.4.4).
Software – Microsoft
Filip Hanker na Živé (Antipirátska ochrana vo Viste: Zadrží len neskúsených): Otestovali sme situáciu, keď Windows Vistu užívateľ do 30 dní neaktivuje a systém sa teda spustí len v obmedzenom režime. Zistili sme, o aký mód ide a aj to, že obchádzenie ochrany nie je vôbec náročné.
8 Simple Rules For Developing More Secure Code – Michael Howard na stránkách Microsoftu předkládá osm jednoduchých pravidel pro vývoj bezpečnějšího SW :
- 1. Převezmi odpovědnost
- 2. Nikdy nevěř datům
- 3. Modeluj si hrozby proti svým programům
- 4. Buď o krok vpředu
- 5. Používej fuzzing techniku
- 6. Nevytvářej programy, které nejsou bezpečné
- 7. Ber ohled na asymetrie v strategii
- 8. Používej ty nejlepší nástroje, které máš k dispozici
Microsoft dále vydal bezpečnostní příručku – Privacy Guidelines for Developing Software Products and Services. Komentář najdete na Microsoft releases guidelines for customer privacy . Dokument se nazývá – Privacy Guidelines for Developing Software Products and Services – Version 2.1 (October 10, 2006) , je to verze pro veřejnost (původně interní příručky MS), má 49 stran s následujícím obsahem:
- 1 Basic Concepts and Definitions
(User Data, Data Minimization and Data Management, Notice, Choice, and Consent, Notice Mechanisms, Security, Access, Data Integrity, Types of Privacy Controls, Shared Computers, Children’s Privacy, Software Installation, Server Products, Web Sites and Web Services, Special Considerations) - 2 Guidelines
(Scénáře pro: Transferring PII to and from the Customer’s System, Storing PII on the Customer’s System, Transferring Anonymous Data from the Customer’s System, Installing Software on a Customer’s System, Deploying a Website, Storing and Processing User Data at the Company, Transferring User Data Outside the Company, Interacting with Children, Server Deployment)
Microsoft nakonec umožní externí bezpečnostní software (např. Microsoft Now Decides to Accept Outside Security for Vista). Jedná se o software typu antiviry, antispyware. Zatím to vypadalo tak, že MS má v plánu obsadit tento trh. Bezpečnostní firmy jsou však zatím k tomuto kroku Microsoftu skeptické – Security firms skeptical about Vista shift.
A ještě jedna příručka MS – Approaches to Fighting Spam in an Exchange Server Environment – popisuje přístupy k boji se spamem v prostředí Exchange serveru. Příručka je určena příslušným odpovědným pracovníkům.
Malware
Zombie se pokouší stát se neviditelnými – Zombies try to blend in with the crowd. Autoři botů vyvíjí nové postupy. Joris Evers rozebírá tyto přístupy a popisuje pak možnosti boje s boty.
Hackeři chystají nový postup, jak skrýt malware (Hackers' project disguises security-busting code Secret not-a-toy surprise designed to evade AV software). Software, s názvem VoMM (eVade o’ Matic Module) kombinuje řadu technik mixování kódu tak, aby výsledek nebyl rozpoznáván antivirovým softwarem. S pomocí této techniky lze vytvořit „nekonečné“ množství variant exploitů.
Trojan using SMS messages to relay information, says McAfee – k trojanu, který používá SMS. Administrátoři si původně zvolili tuto cestu (zasílání SMS) pro možnost pohotovějších reakcí. Varianta trojanu W32/backdoor-DJC to však využívá k jiným cílům
Viry
Krátké rozhlédnutí po bezplatných antivirových programech (Avira AntiVir PersonalEdition Classic 7, AVG Free Edition 7, Avast! Home Edition 4.7) obsahuje článek Stop Viruses for Free!
Hackeři
Hack This Site – legální základna pro trénink hackerů. Mohou si zde otestovat a rozšířit své zkušenosti, zkusit některou ze zde publikovaných výzev.
Martin Haller na Lupě zveřejnil v uplynulém týdnu poslední díl svého šestidílného seriálu o útocích typu Denial of Service (DoS), principech jejich fungování (včetně praktických ukázek). Seznam jednotlivých dílů najdete na stránce Seriál Útoky typu DoS.
The Need for Host Intrusion Prevention – autoři tohoto článku říkají: prevence průniků (hostitelské počítače) je kritickou součástí strategie pro ochranu informací.
Vložením USB s nástrojem USB Hacksaw tento nástroj nainstaluje, (automaticky infikuje) PC s OS Windows, následně pak čeká na vložení jiného USB disku s daty, stáhne je a zašle ukradená data na e-mailový účet (USB Hacksaw – Description).
Je bitva s boty již prohraná? Ptá se Ryan Naraine a (Is the Botnet Battle Already Lost? ), popisuje současnou situaci, možnosti existujících nástrojů, a to i v perspektivním pohledu.
Hardware
Pomalu neuplyne ani týden, aby se neobjevil článek na téma hrozby, které vytváří mobilní úložná zařízení. V The threats posed by portable storage devices najdete malinko širší rozbor problému (a trochu je to i P.R. článek).
Autentizace, ID
Která data jsou součástí vašeho ID (které osobní informace), kde mohou být ukradena a jak je chránit – na tyto otázky odpovídá autor článku The Ultimate Guide to Identity Theft Prevention. Hezký přehled.
Normy a normativní dokumenty
V týdnu vyšly tři drafty skupiny IETF pkix:
- Server-based Certificate Validation Protocol (SCVP) – již 28.verze široce diskutovaného draftu pro SCVP
- Certificate and Certificate Revocation List (CRL) Profile (rfc3280bis) – chystaná nová verze rfc.3280, ústředního dokumentu pro popis profilů digitálních certifikátů X.509 a CRL
- Subject Alternative Name for expression of service name
Kryptografie
Právě vyšlo – Fred Piper, Sean Murphy : Kryptografie Průvodce pro každého , nakladatelství Dokořán, říjen 2006, 158 stran, na odkazu najdete i ukázku – Kryptografie v běžném životě. Viz podrobný komentář Vlastimila Klímy – Crypto-News.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.