Obecná a firemní bezpečnost IT
Přehled, který pochází ze zkušeností samotných uživatelů – deset nejvíce nebezpečných věcí, které uživatelé provádí online (podle The Ten Most Dangerous Things Users Do Online):
- Kliknutí na neznámou přílohu e-mailu
- Instalace neautorizované aplikace
- Vypnutí anebo vyřazení automatických bezpečnostních nástrojů
- Otevírání zpráv neznámého původu
- Brouzdání na stránkách, kde existují právní rizika
- Rozhlášení svého hesla
- Náhodné brouzdání neznámem
- Připojení se do neznámé bezdrátové sítě
- Vyplnění webových skriptů, formulářů, resp. registrací (používejte alespoň zabezpečení pomocí SSL – i když ani zde nemusí být ochrana stoprocentní)
- účast v chatech nebo na stránkách sociálních sítí (social networking sites)
(po kliknutí na odkaz najdete ještě další podrobnosti k danému problému).
Studie Web content filtering in the corporate network perimeter (Panda Software) zdůvodňuje potřebu filtrace obsahu internetu (zaměstnavatelem) a k tomu diskutuje příslušné ekonomické dopady, resp. kvantitativní hledisko. Dále popisuje cesty k prevenci přístupu na nežádoucí internetové stránky (několik alternativ – politika společnosti, monitoring, omezení přístupu na proxy serveru, inteligentní třídění (filtrace) obsahu. Zbytek článku popisuje vlastnosti nástroje GateDefender Performa.
Christopher Beers v Strategic Security: Developing a Secure E-Mail Strategy rozebírá, jak rozpracovat firemní strategii pro bezpečný e-mail, jak za tímto účelem správně propojit technologii šifrování a další ochrany:
- Varianty pro šifrování – šifrování na hranici podnikové sítě (boundary encryption), šifrování s využitím speciálních serverů (staging-server) a konečně šifrování end-to-end.
- Obrany proti virům a spamu (autor zmiňuje také spyware+ phishing)
- Zabezpečení mobilních zařízení (BES – BlackBerry Enterprise Server- BlackBerry solutions)
Andrew K. Burger v první části (The Changing Faces of Internet Security Threats, Part 1 ) dvoudílné série věnované měnícím se podobám internetových hrozeb popisuje, jaké zde v současnosti nastávají změny. V druhé části (The Changing Faces of Internet Security Threats, Part 2) se věnuje novým bezpečnostním strategiím pro ochranu před těmito novými hrozbami. Autor říká: bojujeme s hackery, jako správní vojáci tedy musíme používat i rozvědku a vědět, co se děje na druhé straně fronty.
Objevila se první část (Computers, Networks and Theft ), rozsáhlejšího článku (resp. zprávy) věnovaného současným útokům. Jeho autorem je Jurij Maševskij (KasperskyLab). První část materiálu diskutuje útoky na jednotlivé uživatele (druhá část má být věnována útokům na organizace). Z obsahu:
- Jaké typy informací útočníky nejvíce zajímají (data potřebná k přístupům – finanční služby, hesla pro IM a webové stránky, hesla k e-mailovým schránkám, hesla k online hrám)
- Jakým způsobem jsou tyto informace kradeny (malware, sociální inženýrství). Autor ukazuje řadu příkladů.
- Co potom s ukradeným „zbožím“? Útočník vyzvedá peníze z účtu nebo se snaží získané informace dále prodat.
- Příklady podvodných mailů, podvodných webových stránek.
- Šest závěrečných doporučení by mělo napomoci vyhnout se popisovaným rizikům.
Můžete si přečíst recenzi knihy předních amerických expertů z oblasti zabezpečení počítačových sítí – Bezpečnost počítačových sítí. Kompletní průvodce návrhem, implementací a údržbou zabezpečené sítě. Knihu vydalo nakladatelství Computer Press v říjnu 2005.
Právě vychází kniha Delivering and Managing Real World Network Security. Na stránce British Standard produces network security book najdete její recenzi. kniha je určena senior manažerům a pokrývá především problematiku spojenou s využitím normy ISO/IEC 18028 – IT network security (pětidílná norma). Věnuje se ale také celé řadě dalších souvisejících otázek (aspekty architektur technické bezpečnosti, VPN, internetové brány,…)
Get Hired In Security: Today! aneb chcete pracovat v IT bezpečnosti? Diskutované zkušenosti jsou sice zahraniční, ale některé užitečné informace obsahují.
Software
Komentář k vydání finální verze Windows Defender napsal James Niccolai – Microsoft releases spyware tool whiel rivals bicker.. Windows Defender si můžete stáhnout zde – download. Viz také Chraňte se před spywarem pomocí finálního Windows Defenderu.
Zabezpečte svá Windows XP – deset jednoduchých doporučení najdete v článku Checklist: Securing Windows XP (nezbytná bezplatná registrace):
- Partition – konverze na NTFS
- Používejte automatické aktualizace
- Zprovozněte firewall ve Windows
- Zrušte sdílení souborů (Simple File Sharing)
- Zrušte účet hosta
- Vyžadujte hesla pro všechny účty jednotlivých uživatelů
- Přejmenujte účet administrátora
- Zrušte vzálenou plochu (desktop)
- Nainstalujte antivirový software
- Používejte spořič obrazovky chráněný heslem
Součástí článku jsou i podrobnější vysvětlení k jednotlivým bodům, resp. odkazy na stránky, kde tato vysvětlení lze nalézt.
Je Internet Explorer 7 bezpečnější než IE 6 – Is IE 7 Really More Secure Than IE 6? Brian Livingston popisuje nové vlastnosti IE.7, které mají za cíl zvýšit jeho bezpečnost, a diskutuje nedávno objevenou zranitelnost IE.7.
Office Genuine Advantage (Office antipiracy checks to become mandatory) – Microsoft zesiluje tlak na boj proti pirátským kopiím. Kromě Windows Genuine Advantage (WGA) máme nyní i OGA. OGA bude integrována přímo do Windows Vista jako součást tzv. Software Protection Platform.
How standards and regulations affect application security – zde najdete dlouhou řadu odkazů, které se dotýkají problematiky bezpečnost aplikací a dopadu normativních a legislativních ustanovení (např. ISO 17799).
Pavel Satrapa na Lupě (PowerDNS: server odolný proti spoofingu): „O DNS spoofingu se na Lupě již psalo, ovšem z pohledu švindlování DNS pro koncové stanice. Svými dopady je závažnější spoofing zaměřený na místní DNS servery, jehož cílem je podstrčit jim do vyrovnávací paměti nesprávné odpovědi, které pak budou poskytovány místním klientům. PowerDNS těmto snahám velmi dobře odolává, ale chránit se dají i jiné servery…“
Malware
Pánové Alexej Monastyrskij, Konstantin Sapronov a Jurij Maševskij z KasperskyLab ve své informaci (Rootkits and how to combat them) k problematice technologie rootkitů nejprve poukazují na růst využívání rootkitů pro skrývání malware. Diskutují pak odděleně rootkity pro Windows a rootkity pro Unix (jakými cestami se maskují, jak je lze detekovat).
Sofistikovaným malware je SpamThru – trojan s vlastním antivirem (SpamThru Trojan bundles own virus scanner).
Kelly Martin charakterizuje kybernetickou kriminalitu dneška jako obor, kde jsou velké zisky a malá rizika – Viruses, Phishing, and Trojans For Profit.
Viry
Fernando Cassia seznamuje čtenáře s výsledky svého ověření bezplatného AVG 7.1 pro Linux – Free AVG 7.1 for Linux is a must have – a hovoří o něm jako o nezbytnosti.
Hackeři
Online hackerské fórum Shadowcrew komentují Byron Acohido a Jon Swartz (Cybercrime flourishes in online hacker forums) – zajímavé počtení. Viz také diskusi na Schneierově blogu.
Martin Haller na Lupě pokračuje v sérii svých článků (Skenování portů: teorie): „V tomto článku se znovu podíváme na sítě z bezpečnostního hlediska, tentokrát na problematiku portů a jejich dálkového průzkumu. Řekneme si, v jakém mohou být rozsahu, jakého druhu, v jakém mohou být stavu, co to je banner a jak postupuje útočník při jejich skenování. Důležitá je samozřejmě i otázka etiky této činnosti v prostředí Internetu“. A samozřejmě nejen etiky, ale i legálnosti.
Jak ochránit své podnikání před hackery? Kevin Poulsen v How to hacker-proof your business předkládá dvě série doporučení:
Hardware
Autoři studie Vulnerabilities in First-Generation RFID-Enabled Credit Cards poukazují na nedostatečnou bezpečnost kreditních karet vybavených čipem RFID. Tyto čipy mohou na krátkou vzdálenost komunikovat ve vztahu k prováděným transakcím. Zákazníci mohou tak platit kartou, která přitom zůstává fyzicky v jejich peněžence. Je to pohodlné jak pro zákazníky, tak i pro obchodníky. Ale to, co přečte terminál obchodníka, může přečíst i skener nežádoucího útočníka. Studie poukazuje na dva zásadní typy existujících zranitelností:
- 1) Jméno je čitelné v otevřené podobě a kdokoli s patřičným skenerem ho zjistí (bez souhlasu majitele a kdekoli, tj. nejen v obchodě).
- 2) Možnost podvodů s platbami. Tyto karty jsou zranitelné (v různém stupni, záleží na provedení) ve vztahu k útoku, který autoři nazývají skimming. Útočník pomocí RFID čtečky může posbírat informace obsažené na kartě, s nevelkými náklady vytvořit její klon a s jeho pomocí připisovat náklady na účet majitele originální karty (popř. se získanými informacemi může provádět online transakce).
Možnosti útoků, které vyplývají z popsaných zranitelností, byly autory dokumentovány praktickými experimenty. Přes chystaná protiopatření se podle autorů studie nelze vyhnout nové vlně podvodů odvozených z existence těchto zranitelností.
Viz i komentář na Hacking contactless credit cards made easy a také článek Researchers warn over RFID credit cards.
Pokud znáte číslo pasu, datum narození jeho držitele a dobu platnosti pasu – máte vše potřebné k rekonstrukci šifrovacího klíče a můžete získat přístup k datům obsaženým v pasu (biometrie, další personální údaje) – RFID enabled e-passport skimming proof of concept code released (RFIDIOt). Tyto vstupní údaje lze přitom snadno získat z jiných kanálů (např. lze je nalézt na některých špatně zabezpečených webových stránkách, disponují jimi letecké společnosti atd.) Také je možné hledat příslušné šifrovací klíče využitím hrubé síly – vzhledem k snadné predikci těchto dat, tj. malé množině možných klíčů. Poslední verze knihovny RFIDIOt (obsahuje implementaci postupů z normy ICAO 9303 pro strojové čtení cestovních dokumentů) umí zatím přečíst jen některá data (MRZ, FACE), ale není důvod se domnívat, že postupně touto cestou nebude možné se dostat i k dalším datům z pasu.
Pčeřtěte si také související starší článek Q. What could a boarding pass tell an identity fraudster about you? A. Way too much.K objektivnímu posouzení celé situace by určitě bylo ale i vhodné vyslechnout názor druhé strany – vládních organizací.
cdr.cz – Trusted Execution Technology, zkráceně nazývaná TXT a dříve známá pod kódovým jménem „LaGrande“, učiní virům, červům, spywarům a jiným badwarům přítrž, tvrdí Intel. To by bylo perfektní – pokud je to reálné.
Bezdrát
Problematikou bezdrát a systémy pro detekci průniků se zabývá článek Web-stale Wireless IDS attacks. Najdete v něm popis základních vlastností WIDS (Wireless intrusion detection systems) a na základě získaných zkušeností autor v závěru dává několik doporučení s ohledem na volbu a konfiguraci WIDS.
Spam
Spamu je čím dál tím víc, vypořádáme se s ním? V Authentication the message for next round in spam fight popisuje Mike Bardon příčiny, proč MS nyní více tlačí na využívání svého systému MS Sender ID. Viz také Microsoft adds Sender ID to list of free specs..
Za podstatným růstem spamu v posledních dvou měsících je třeba hledat boty. Alespoň podle názoru bezpečnostních odborníků – říká Robert Lemos – Bot nets likely behind jump in spam.
Anti-spam protection in the network perimeter – v částečně PR článku společnosti Panda software International najde čtenář popis rizik, které se spamem souvisí, a popis některých možných opatření proti spamu.
Internetové bankovnictví
Webovské stránky některých britských bank (a asi nejen britských) nejsou dostatečným způsobem zabezpečeny proti útokům typu phishing – ‚ID theft risk‘ on bank websites – článek obsahuje popis existující situace.
Následující dva články se věnují popisu situace u nás:
Autentizace, hesla, rhybaření
Matúš Sotak v Nie všetky veľké slovenské servery držia naše heslá v bezpečí! předkládá neformální zprávu o svém průzkumu na téma: Jakým způsobem ukládají a spravují slovenské portály hesla uživatelů (otevřeně / hash) a jak vypadá proces jejich obnovení.
MySpace – účty kompromitované rhybáři – MySpace Accounts Compromised by Phishers. Modifikovaný podvodný login na hlavní stránce MySpace – netušící uživatelé tak prozradili své přihlašovací údaje (jméno a heslo).
Normy a normativní dokumenty
NIST vydal :
Tato první revize je dostupná k připomínkám po následující čtyři týdny.
Pracovní skupina IETF-smime vydala tento týden dva drafty věnované šifrování založenému na ID (identity-based encryption):
- Using the Boneh-Franklin and Boneh-Boyen identity-based encryption algorithms with the Cryptographic Message Syntax (CMS)
- Identity-based Encryption Architecture
A vyšlo také rfc.4718 (k problematice IKEv2 v IPSec), které má za cíl zpřesnit některé specifikace z předcházejícíh dokumentů a docílit tak interoperabilitu jednotlivých implementací:
Kryptografie
Nový útok postranním kanálem na RSA popisují autoři článku On the Power of Simple Branch Prediction Analysis (Onur Aciicmez, Cetin Kaya Koc a Jean-Pierre Seifert).
Wenbo Mao (autor známé knihy Modern Cryptography: Theory and Practice) chystá v spolupráci s Markusem Jakobssonem a Helgerem Lipmaa novou knihu Cryptographic Protocols. Kapitolu Elliptic Curves and Bilinear Pairing věnovanou aktuální problematice využití eliptických křivek pro bilineární párování si lze stáhnout již dnes.
Různé
British Telecom – provedena akvizice společnosti Counterpane (Bruce Schneier) – Real-life Da Vinci Code cracker goes to work for BT after $40m security deal. Viz také Schneierův blog. Nejprve RSA (EMC), pak Internet Security Systems (IBM), nyní Counterpane (BT), a kdo bude další? V letošním roce nastávají v IT bezpečnosti zajímavé posuny.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
