Obecná a firemní bezpečnost IT
Začneme odkazem na recenzi knihy Computer Security: 20 Things Every Employee Should Know (2. vydání), jejímž autorem je Ben Rothke. Autorem recenze je Tony Bradley, samotná kniha je na Amazonu. Kniha není nijak objemná (50 stránek v ceně cca 8 dolarů) a je určena širokému publiku. Právě v tomto zaměření spočívá její aktuálnost – ne každý by chtěl být specialistou v problematice IT bezpečnosti. Každý, kdo využívá dnešní výpočetní techniku, se však musí umět vypořádat se základními informacemi a doporučeními v tomto směru, nikdo asi nechce být obětí nějaké z hrozeb. A že jich je dnes požehnaně.
Ivan Arce a Eduardo Arias diskutují aktuální a pro praxi potřebnou otázku – ochrana koncového bodu – Collaborative endpoint security, part one. Dnes je již zjevné, že ochrana vnitřní sítě pouze na úrovni perimetru je nedostačující. Exploity, které jsou zaměřené přímo na klientskou část, rhybaření, spam, viry, červi, rootkits, key-loggery, útoky DOS, různí agenti a další malware, to jsou současné reálné hrozby pro koncový bod a vyžadují potřebné bezpečnostní ošetření. Autoři rozebírají tyto požadavky a v druhé (připravované) části článku chtějí dát doporučení, která se týkají potřebných (volně dostupných) nástrojů.
How to use cryptography to tighten security – Paul Galwas (firma nCipher) zde poukazuje na rostoucí potřebu šifrovat podniková a firemní data vzhledem k existujícím bezpečnostním rizikům (trochu PR článek, ale v zásadě odráží objektivní situaci).
Servery DNS jsou široce zranitelné – Most DNS servers ‚wide open‘ to attack. Jsou zde komentovány výsledky přehledu, který zpracovala firma Measurement Factory. Uvádí se v něm mj., že čtyři z pěti serverů mají zranitelnosti, které jsou využitelné pro útoky hackerů. V článku je pak uvedeno několik doporučení pro podniky, cílem těchto doporučení je ochrana před DNS útoky.
Software
WS-Security OASIS Standard nepokrývá veškeré potřeby pro zabezpečení webovských služeb (WS – Web Services), a proto konsorcium OASIS zveřejnilo plány na rozšíření této normy (OASIS to Advance Standards for Web Services Secure Exchange). Byl vytvořen nový „OASIS Web Services Secure Exchange (WS-SX) Technical Committee“, který má za úkol definovat připravované specifikace. Východiskem k tomu jsou tři úvodní materiály s názvy: WS-SecureConversation, WS-SecurityPolicy a WS-Trust.
Byly zveřejněny některé podrobnosti k bezpečnostním vlastnostem IE 7 – MS Details More IE 7 Security Goodies. Nadále nebude IE7 podporovat protokol SSLv2, ale bude využit silnější protokol TLSv1 (viz také Microsoft outlines IE7 security plans). V práci s digitálními certifikáty, pokud bude zjištěn problém, bude IE7 signalizovat varování i s objasněním, proč vznikl konkrétní problém. Dále – Windows Vista bude podporovat několik nových kryptografických algoritmů, mezi nimi AES (s délkou klíče až 256 bitů). Ve Windows Vista bude také ověření revokačního statutu certifikátu zavedeno jako implicitní volba.
Ve vztahu k Internet Exploreru a browserům vůbec lze doporučit přečtení kapitoly 5 Throw Internet Explorer out the Window (volně k stažení) knihy PC Pest Control (autor Preston Gralla, červenec 2005) – Amazon. Je zde dána celá řada užitečných doporučení, a to včetně doporučení používat alternativy jako Firefox, Mozilla, Netscape a Opera.
Na stránkách Microsoftu se objevil materiál – How To: Perform a Security Code Review for Managed Code (.NET Framework 2.0). Jeho cílem je ukázat, jak analyzovat bezpečnost kódu vašeho programu. Pokud cílem programátora (resp. jeho šéfa) je zajistit ve vytvářeném softwaru neexistenci bezpečnostních děr, pak by se měl řídit filozofií tohoto materiálu (nebo jiného s obdobným zaměřením).
Hackeři, malware
Ptačí chřipka proniká do malware. Nejprve se objevila informace o spamu (nabízený lék Tamiflu prodejem přes Internet)- Beware the bird flu spammers. Následovala serióznější hrozba – Bird Flu Trojan Poses Danger To Word Users. Nový trojský kůň (Panda Software ho označila jako Navia.a) používá v předmětu zprávy hlavičky jako „Outbreak in North America resp. What is avian influenza (bird flu)?“ s cílem donutit uživatele otevřít připojený MS Word dokument. Jedno z maker v něm obsažených pak umožňuje vytváření, změnu či odstranění souborů, jiné otevírá zadní vrátka do počítače.
Objevily se první výskyty malware na herních konzolích – Game on as first PSP and Nintendo Trojans emerge. Podle bezpečnostní firmy Panda se jedná o trojany Format.A and Tahen (varianty A a B) pro Sony's PSP (PlayStation Portable) a Nintendo DS. Jsou popisovány jako extrémně nebezpečné – mohou způsobit i (nevratnou) nepoužitelnost konzolí.
Vyděračské viry zase „pracují“ v Rusku – Extortion virus makes rounds in Russia. Zašifrují soubory a požadují peníze.
Anti-Spyware definitions – byly dokončeny práce na definicích jednotlivých pojmů souvisejících se spyware. Nová „řeč“ bude k připomínkám veřejnosti k dispozici po 27. listopadu.
Cracking a ochrana pred ním, 4. časť: bojujeme proti crackom a loaderom. Abstrakt: Zabezpečenie programu proti nepovoleným úpravám patrí medzi štandardné prvky ochrán aplikácií pred nelegálnym šírením. Úprava ochrany programu je totiž najrozšírenejším spôsobom jej obchádzania. V tomto dieli sa bližšie pozrieme na možnosti, ktoré sa programátorom ochrán v tejto oblasti ponúkajú.
VoIP
Hodnocení bezpečnosti Skype (Skype Security Evaluation) zpracoval Tom Berson, Anagram Laboratories – hodnocena verze 1.3, hodnocení trvalo dle autora čtyři měsíce. Závěr vyznívá pozitivně (každopádně je třeba vzít v úvahu, že toto není oficiální hodnocení akreditovanou laboratoří). Komentář k hodnocení – Bezpečnosť Skype – nezávislý audit napsal pro Root Ondrej Mikle.
Vzápětí se však objevila informace Scramble to fix Skype security bug o zranitelnostech Skype (typu přetečení bufferu). Secunia zveřejnila záplaty, doporučuje se update na poslední verzi (Technet). Viz také Skype vulnerability poses huge threat for business a Skype could pose security problems for companies, analysts say.
Německá BSI varuje před riziky v rozsáhlé (146 stran, v německém jazyku) studii Studie zur Sicherheit von Voice over Internet Protocol). Komentář k ní najdete na adrese German security agency warns of VoIP security risks Mj. bylo nalezeno 19 (!) typů různorodých potenciálních útoků na VoIP. Autoři se obrací na firmy s výzvou, aby tyto provedly svou analýzu používání VoIP, zhodnotily, jak kritická je tato komunikace z hlediska pohledu na potřebnou úroveň bezpečnosti.
Aliance VOIPSA (Voice over IP Security Alliance) vydala v minulém týdnu dokument, který označila jako první seznam bezpečnostních hrozeb pro VoIP – VOIPSA. Komentář lze nalézt na Working group aims to lock down VoIP Security.
Bankovnictví
Současnou situaci ve vztahu rhybaření (phishing) a banky analyzuje autor rozsáhlejšího článku Fear of phishing hurts banks – Tom Spring. Banky jednak doplácejí na rhybáření samy, jednak také ztrácejí kvůli skutečnosti, že se snížila důvěra jejich zákazníků. Klesá ochota klientů platit své účty online, někteří dokonce plně ustupují od používání online bankovnictví.
Banks urged to look beyond passwords, usernames for security – Jaikumar Vijayan zde diskutuje poslední doporučení Federal Financial Institutions Examination Council (USA) v příručce vydané 12. října letošního roku. Doporučení jsou závazná a podléhají auditu (počínaje prosincem 2006).
Autentizace, elektronický podpis
Bruce Schneier se v Scandinavian Attack Against Two-Factor Authentication vrací k otázce dvoufaktorové autentizace a říká o ní, že nezastaví rhybaření. Viz také připojené komentáře.
Joshua Wright a Carlos Cid předkládají analýzu mechanizmu použitého v Oracle (An Assessment of the Oracle Passord Hashing Algorithm) a ukazují na některé existující slabiny. Z hashe hesla se potenciální útočník může dostat až k samotnému heslu v nezašifrovaném tvaru (!). Viz také Oracle password system comes under fire a SANS reveals Oracle hack. Oracle je kritizován za pomalou reakci na zveřejněné bezpečnostní zranitelnosti a dokonce za chybné záplaty zveřejněné jako update svého softwaru.
V souvislosti s přípravou k zavádění elektronických pasů v USA byly sebrány komentáře veřejnosti – DEPARTMENT OF STATE – Electronic Passport. Pohled na současný stav příprav najdeme v článku U.S. to require RFID chips in passports . Přetrvávají pochybnosti o vhodnosti zvolené technologie (RFID) a bezpečnostních vlastnostech navrhovaného řešení.
Stručný pohled na problematiku digitálního podpisu a XML lze nalézt v Digital Signatures In XML.
Biometrie
Odborníci chtějí mezinárodní biometrickou agenturu – Experts call for global biometrics agency . Důvod je zřejmý – využití biometrie v cestovních pasech se již netýká pouze jednotlivých zemí, ale je mezinárodní otázkou.
Firma OKI vyvinula software (Face recognition security comes to mobiles ), který používá biometrii obličeje k autentizaci uživatele. Mělo by tak být zabráněno krádežím mobilů.
Normy a normativní dokumenty
Tento týden byly vydány čtyři drafty skupiny IETF-pkix:
- CMC Compliance Document. Dokument poskytuje informace potřebné k tomu, aby vytvářená verze protokolu CMC byla ve shodě, tj. naplnila požadavky dané v dalších dokumentech.
- Standard Certificate Validation Protocol (SCVP). Již dvacátá první verze protokolu, který umožňuje klientovi delegovat ověření certifikátu a certifikační cesty na server.
- Certificate Management Messages over CMS. Dokument definuje základy syntaxe pro CMC (Certificate Managment over CMS).
- Certificate Management over CMS (CMC) Transport Protocols. Dokument definuje několik transportních mechanismů pro CMC – HTTP, file, mail a TCP.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
