Hlavní navigace

Bezpečnostní střípky za 42. týden

Jaroslav Pinkava 24. 10. 2005

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: konference, obecná a firemní bezpečnost IT, software, hackeři, malware, rootkits, bezdrát, bankovnictví, autentizace, elektronický podpis, normy a normativní dokumenty, kryptografie.

Konference RSA Europe 2005

Komentář k právě proběhlé konferenci RSA Europe 2005 (Vídeň 17. 10. – 19. 10.) najdete na blogu RSA. Jeho autorem je Burt Kaliski , šéf RSA Laboratories. Tématicky konference pokryla (kromě např. ohlédnutí do historie kryptografie – Elizebeth Friedman) především aktuální otázky – budoucnost autentizace uživatelů, bezpečnost sítí, nebo i konkrétnější problematiku, příkladem mohou být problémy spojené s nevhodnými implementacemi kryptografických algoritmů (RC4) atd.

Obecná a firemní bezpečnost IT

Zajímavé zamyšlení přináší článek Mary Ann Davidsonové – Lessons of warfare for IT security. Autorka je specialistka v IT bezpečnosti, a jak uvádí, jejím koníčkem je vojenská historie. V článku M. A. Davidsonová přináší z jejího pohledu viděné souvislosti těchto dvou oblastí. Správa rizik musí zvažovat nejen identifikaci a obranu důležitých aktiv, ale také analýzu strategických bodů sítě, kde potenciální protivník může zaútočit.

Problémem, jak redukovat rizika, jejichž příčinou je lidský faktor, se zabývá Douglas Schweitzer v Addressing the Human Security Vulnerability. Uvádí čtyři základní cesty – monitoring, přístupová omezení, unifikovaná správa hrozeb a bezpečnost koncového bodu.

První kapitolu knihy Data Protection and Information Lifecycle Management (jejím autorem je Tom Petrocelli) si můžete přečíst zde  – Chapter 1: Introduction To Data Protection. Kniha vyšla v září 2005 – Prentice Hall a je orientována na popis (nové) strategie pro správu podnikových informací, která zohledňuje jejich hodnotu v čase. Autor popisuje techniky pro ochranu úložných systémů a úložných sítí a říká, jak integrovat bezpečnost vztahující se k ukládání dat do celkového systému bezpečnosti.

Několik úvah na téma správa konfigurací a bezpečnost najdete v Do Configuration Management During Design & Development (Mark Curphey a Rudolph Araujo). Správa konfigurací ovlivňuje všechny součásti aplikací – od kontroly přístupu a autentizace až po audit a systém logů. Některé požadované změny mohou ovlivnit celou architekturu aplikace, je proto třeba již při vlastním vývoji aplikace počítat s možnými eventualitami, které následně bude praxe vyžadovat. Tím se tedy vyhnout nákladům, které by vyžadovala změna zdrojového kódu aplikace resp. rizikům souvisejícím s nevhodnou konfigurací, říká autor.

Dennis O'Reilly uvádí tutoriál Bezpečnost vašeho PC v deseti krocích – 10-step security for your PC. Jedná se samozřejmě o základní kroky vztahující se k této problematice:

  • 1. Automatický systém záplat
  • 2. Nečekejte na reakci Windows (pokud např. váš počítač byl několik dnů vypnut, mělo by použití Windows Update být vaším prvním krokem)
  • 3. Používejte Windows Security Center (obsahuje ho Windows XP SP2)
  • 4. Přípony souborů (doc, rtf,…) nenechte v skryté podobě.
  • 5. Bezpečný Internet Explorer (autor doporučuje úroveň High v nastaveních).
  • 6. Obdobně Firefox (instalujte NoScript plugin)
  • 7. Pracujte opatrně s poštou (e-mail).
  • 8. Skenujte přílohy e-mailů, zda neobsahují viry.
  • 9. Doporučováno je zastavit využívání panelů pro preview (Outlook, Outlook Express, Mozilla Thunderbird)
  • 10. Svou poštu čtěte v textovém formátu.

Autor pak dává některá doporučení vztahující se k používání bezdrátové sítě (šifrování).

Pokud se chcete stát součástí sítě, kde jsou sdíleny soubory, buďte velice opatrní ve vztahu k tomu, co stahujete, a současně pozor na to, které soubory necháváte přístupné zbytku světa – Brian Krebs v Extreme File Sharing.

Software

Stránka Security Configuration Guides  – najdete zde celou řadu příruček pro bezpečnou konfiguraci od softwaru typu open source až po proprietární software. Příručky zpracovala a distribuuje NSA. Příručky jsou mj. pro Windows 2000, Windows XP, Windows Server 2003, Database Server, Cisco Router, Microsoft Router, webovské servery a prohlížeče atd.

Jeden z mála článků na téma zranitelnosti driverů ve Windows napsal Piotr Bania – Exploiting Windows Device Drivers. Jedná se přitom o jednu z hrozeb, jejichž význam v poslední době stále narůstá.

Windows se stávají v letošním roce bezpečnějšími, říká Michael Desmond v Windows Security: A Year of Progress?. Není pochyb o tom, že Microsoft se bezpečností zabývá již seriozně a považuje ji za jednu z prioritních záležitostí. Otázkou je reálná efektivnost těchto snah. Windows se vyvinuly ve velmi složitý organismus.

Dodavatelé a nikoliv programátoři zodpovídají za bezpečnost softwaru, zaznívá v reakci na vystoupení Howarda Schmidta (Bezpečnostní střípky za 41. týden) – Vendors, not developers, to blame for poor code. V této souvislosti jsou také zajímavé výsledky ankety čtenářům ZDNet UK (Více než 1000 respondentů)- 53 procent respondentů říká, že zodpovídají dodavatelé. Dále 40 procent říká, že není nikdo zodpovědný (?) a jen 6 procent říká, že zodpovídají programátoři. Je to opravdu zajímavá otázka k diskusi. On i ten pojem dodavatel v této souvislosti je pravděpodobně brán nedostatečně zřetelně. Konkretizace by se měla týkat především toho, jaké podmínky vývoje softwaru (ve vztahu k jeho bezpečnosti) z tohoto hlediska dodavatel ve své firmě vytváří. Zda je zabezpečena dostatečná kontrola výsledků programátorské práce bezpečnostními specialisty, zda existuje cílená spolupráce těchto dvou odborných zaměření atd.

Analytický článek (Jeremy Epstein) Are Standards Enough for Web Services Security? se zabývá bezpečností webovských stránek a otázkou, zda jsou normy v tomto směru dostatečnou oporou. Autor ukazuje, že jsou zde ještě další činitelé, které je nutné zvažovat (design, použitá platforma, testy třetích stran,…).

Hackeři, malware, rootkits

Červ Samy jako jeden z prvních využívá zranitelnost XSS (cross-site scripting) – Samy opens new front in worm war. Úmysl autora červu byl víceméně neškodný, avšak nápad, který použil, může mít (tím, že ho okopírují autoři malware) podstatně hlubší důsledky.

Commwarrior.C je současný nejnebezpečnější virus pro mobily. Jeho popis (firmou F-Secure) najdete zde – More information on Commwarrior.C. Zatím však není příliš rozšířený.

Cracking a ochrana pred ním, 3. časť: Úvod do PE-formátu. Abstrakt: Bez dostatočných znalostí operačného systému je vytvorenie serióznej ochrany proti crackingu takmer nereálne. V tomto dieli sa preto bližšie pozrieme na formát spustiteľných súborov vo Windows.

Tvůrci rootkits se profesionalizují – Rootkit creators turn professional. Autor zmiňuje Golden Hacker Defender, nástroj umožňující hackerovi nedetekovatelně (?)přistupovat k počítačům, a vytvářet tak sítě botů. Viz také Rootkits Sprout on Networks (a kdo je osoba, která si říká Holy Father – tvrdí o sobě, že žije v České republice?).

Důvěra v e-obchod klesá vinou rhybaření, říká Lorraine Cosgrove Ware v Phishing sinks confidence in e-commerce. Doporučuje:

  • 1. Na vašich webovských stránkách vychovávejte zákazníky, informujte je o podvodných stránkách.
  • 2. Součástí vaší politiky musí být skutečnost, že zákazníci nejsou e-mailem dotazováni na osobní informace.
  • 3. Mějte nastaveny procesy, které použijete proti rhybářům.

Autor článku Cisco Password Encryption nabízí nástroj dešifrování hesel pro VPN klienta Cisco – Cisco Password Revealer. Viz také Jak šifruje passwordy Cisco VPN client? No přece klíčem, který si každý může zjistit !?!.

Bezdrát

Ronald Pacchiano – Understanding WEP Encryption Bit by Bit  – objasňuje některá fakta spojená s používáním protokolu WEP (délka klíče, formáty klíčů, používané frekvence).

Bankovnictví

Otázka, co se změní v dnešním online bankovnictví, je obsahem úvahy Kelly Martina v článku na SecurityFocus – Two-factor banking (jsou zde diskutována témata jako dvoufaktorová autentizace, legislativní opatření v USA s tím související, odpovědnost bankovních institucí atd.).

Anglická norma k bankovnictví online bude vydána koncem letošního roku – Online banking security standard ‚by the end of 2005‘, to je obsahem sdělení od Association of Payment and Clearing Systems (APACS). Jejím obsahem bude definice malého zařízení, které přečte vloženou čipovou kartu a po vložení PIN vygeneruje (dle definovaného algoritmu) jednorázové heslo, jež zobrazí na displeji. Pomocí tohoto hesla pak uživatel provádí autentizaci online.

K historii karet v bankovnictví se vrací Charles Arthur v How ATM fraud nearly brought down British banking. Viz také Neuvěřitelné jak jednoduše šlo okrást anglickou banku na počátku (neplatí to také nyní a někde jinde?) vydávání bankomatových karet.

Autentizace, elektronický podpis

Burt Kaliski na konferenci RSA Europe 2005 (Kaliski not convinced on electronic passports) varuje před ukvapeným zavedením elektronických pasů v USA. Viz také Travel Security and Function Creep: Thinking about the ePassports in the Long Term.

Provokující název má článek Eduarda Hlavy na Lupě – Dnešní elektronický certifikát? Zastaralý!. Viz také diskusi k tomuto článku.

J. Peterka v článku na Lupě komentuje dění v ČR posledního měsíce – příprava nového trestního zákoníku, elektronické podávání daní, certifikační autorita eIdentity – Stalo se: eIdentity, epodpis a věda mimo zákon…

Normy a normativní dokumenty

Článek ISO 17799: Scope and Implementation – Part 1. Security Policy je inzerován jako první z nové řady článků. Řada bude věnována diskusi této velice užitečné normy.

Byla publikována nová norma ISO 27001, která bezprostředně navazuje na ISO 17799 – ISO 17799 and ISO 27001. Obsahuje specifikaci tzv. ISMS (Information Security Management System). Viz také ISO 17799 Newsletter a ISO 27001 Security.

Vyšlo nové rfc.4212 – Alternative Certificate Formats for the Public-Key Infrastructure Using X.509 (PKIX) Certificate Management Protocols .

NIST vydal dva dokumenty – NIST – Special Publication 800–85 (SP800–85), PIV Middleware and PIV Card Application Conformance Test Guidelines (SP800–73 Compliance) a NIST – Special Publication 800–87 (SP 800–87) Codes for the Identification of Federal and Federally-Assisted Organizations.

Kryptografie

Neil Barrett se zamýšlí nad nelehkou otázkou, jak vytvořit legislativní rámec, který by umožňoval získat přístup k zašifrovaným datům v situacích, kdy jsou tato data předmětem vyšetřování – Criminal IT: Unlocking the power of computer crime evidence. Debata na toto téma v UK stále pokračuje.

Různé

Barevné laserové tiskárny zanechávají na vytištěných dokumentech identifikační znaky (datum, čas tisku, sériové číslo tiskárny) – Secret Code in Color Printers Lets Government Track You – zjištění Electronic Frontier Foundation (EFF).

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

24. 10. 2005 21:30

lump (neregistrovaný)
Jo, Holly Father je Cech. A Hacker Defender je "jen" rootkit - skryva to co nema byt videt - to jak ty widle naborite a jestli je budete pouzivat, jako zombies v bot-netu je vase vec! Nedetekovatelnost samotneho HD spociva ve zmenach/rekompilaci binarek, aby je AV nenasly, nic vic. A oproti obecnym tvrzenim (HF a jeho znamych, kteri s elite undergroundem nemaji nic spolecneho), ho skoro nikdo nepouziva.

24. 10. 2005 13:08

abyssal (neregistrovaný)
Okrem ineho vyuzivali "parallel universe of dummy banks, dummy branches and dummy accounts", ktore boli povodne na testovanie a debugovanie, ale davali realne peniaze. Modifikovali generator pinov, aby boli len tri piny pre nove karty (a bankomaty davali tri pokusy ;-)), takmer neuveritelne.
Vitalia.cz: 7 originálních adventních kalendářů pro mlsné

7 originálních adventních kalendářů pro mlsné

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá