Hlavní navigace

Bezpečnostní střípky za 44. týden roku 2006

Jaroslav Pinkava 6. 11. 2006

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu. Dnes se budeme zabývat především následujícími tématy: přehledy, obecná a firemní bezpečnost IT, software, sítě, malware, hackeři, IM, bezdrát, bluetooth, forenzní analýza, spam, autentizace, phishing, kryptografie.

Přehledy

Budeme vůbec moci někdy dokázat, že jsme se vypořádali s problémy IT bezpečnosti? Paul F. Roberts si v zamyšlení Future-proof your IT security nad současnou situací a perspektivami IT bezpečnosti klade tuto otázku, a to v návaznosti na výsledky nedávného přehledu 2006 InfoWorld Security Survey. Že v tomto směru nemůžeme být optimisty, ilustruje autor v závěru článku citací Bruce Schneiera:

  • Prokazatelná bezpečnost softwaru nebude dosažitelná v nejbližších dvaceti či třiceti letech. Nemáme k dispozici žádnou ideu, jak toto uskutečnit. Zajistit bezpečnost exaktními prostředky? Nevíme jak a ještě dlouho vědět nebudeme.

Ze zmíněného přehledu alespoň jedna ilustrační tabulka – ohodnocení vážnosti hrozeb pro bezpečnost podnikových sítí (v procentech):

  • 50 % – trojané, viry, červy a obdobný malware
  • 45 % – spyware
  • 44 % – spam
  • 39 % – chyba zaměstnance (neúmyslná)
  • 37 % – zranitelnost aplikace
  • 37 % – ukradená data (zaměstnancem či obchodním partnerem)
  • 36 % – hackeři
  • 30 % – vnitřní sabotáž
  • 30 % – bezdrátové LAN
  • 27 % – zavedení nové technologie (např. bezdrátová LAN, vzdálený přístup)
  • 24 % – chyba obchodního partner (neúmyslná)
  • 24 % – mobilní zařízení (PDA, smartphone)
  • 20 % – náhodný vetřelec (nikoliv konkurent, kyberterorista, zaměstnanec či partner)
  • 19 % – kyberterorismus
  • 16 % – nezpůsobilost vyhovět regulačním ustanovením
  • 15 % – špionáž konkurence

Přehled také komentuje Dan Goodin v 2006 InfoWorld Security Survey: IT's confidence crisis. Počty útoků sice klesají, ale jsou cílenější a velikost jejich dopadů naopak roste.

Obecná a firemní bezpečnost IT

Jon Espenschied v článku User tricks, security ‚treats‘. Because sometimes dealing with folks at the office is a dark art rozebírá možné postupy (triky) interních uživatelů charakteristické specifickým jednáním a ke každému z nich uvádí svá doporučení (připravenost, politiky,…)

Soukromí zaměstnance a sledování e-mailové pošty zaměstnavatelem – touto otázkou se zabývá Mark Rasch v Employee Privacy, Employer Policy. Popisuje dva nedávné soudní příběhy, kde odůvodněné očekávání zaměstnance ve vztahu k svému soukromí bylo důležitější než zaměstnatelova možnost číst e-mailovou poštu zaměstnance. A to i situacích, kdy politika zjevným způsobem deklarovala, že firemní maily mohou být a budou monitorovány.

Po registraci si lze stáhnout prvních sedm z osmi kapitol knihy The Definitive Guide to Information Theft Prevention. Názvy kapitol:

  • 1. Evolving Threat of Information Theft
  • 2. Understanding Information Protection and Privacy Regulations
  • 3. Overview of Key Technologies for On-Demand Security
  • 4. Protecting Information During Transmission
  • 5. Protecting Information Use on Unmanaged Devices
  • 6. Protecting Information Use on Managed Devices
  • 7. Risk Analysis and Incident Response
  • 8. Best Practices to Prevent Information Theft (zatím nelze stáhnout)

Obdobně (na téže stránce) lze stáhnout dokument SSL VPNs: Lessons Learned (27 stran).

Software

V článku Top 10 Signs You Have an Insecure Web App uvádí Michael Sutton nejčastějších 10 známek toho, že vaše webovská aplikace není bezpečná:

  • 1. Vyvěšené statistiky o uživatelích
  • 2. Kopie záložních souborů
  • 3. Vaše stránka se objeví na ‚Wall of Shame‘
  • 4. Lze procházet adresáři
  • 5. Logovací informace chodí v otevřené podobě
  • 6. Prošlé certifikáty SSL
  • 7. Zranitelná aplikace třetí strany
  • 8. Rozvláčné chybové hlášky
  • 9. Komentáře vývojářů v zdrojovém kódu
  • 10. Byl jste hacknut a vaše stránky pozměněny (defaced)

Debra Shinder zase ve stručném přehledu k bezpečnostním vlastnostem IE 7 (10 things you should know about Internet Explorer 7 Security) předkládá seznam deseti věcí, o kterých byste měli v této souvislosti vědět:

  • 1. Default protection from potentially dangerous Active X controls
  • 2. Per-zone control of Active X opt in
  • 3. Site and zone locking for Active X controls
  • 4. Protection against phishing
  • 5. Cross-domain security
  • 6. Locked down security zones
  • 7. Better SSL/TLS notification and digital certificate info
  • 8. Privacy protection features
  • 9. Address bars
  • 10. International character alert

Nejlepší doporučované postupy pro šifrování databází diskutuje materiál Best practice for database encryption solutions. Např. popisuje, jaké všechny faktory je třeba v této souvislosti zvažovat:

  • nalezení vhodného kompromisu mezi výkonem a bezpečností
  • na jakých úrovni budeme šifrovat
  • volba architektury
  • zabezpečení komunikací s databází

Studie se blíže zabývá modelem s názvem Hybrid a je vlastně příručkou pro implementace šifrovacích postupů k ochraně podnikové databáze (včetně jejich správy, zálohování, auditu, logů).

Šest základních pravidel pro bezpečnost projektů SOA (Service-oriented architecture – např.: Reference. SOA/Web Services) uvádí Kevin Smith v Six Basic Rules for Securing SOA Based Projects:

  • 1) Plánujte dopředu
  • 2) Poznejte podnikovou infratrukturu
  • 3) Využijte normy
  • 4) Myslete jako bezpečák (nebo nějakého najměte!)
  • 5) Připomeňte si podstatu webových služeb (je to vlastně černá skříňka se zveřejněným rozhraním)
  • 6) Uvědomte si dvojí ostří kryptografie (bezpečnost versus výkon)

Kapitolu 12 – Preventing SQL Injection – z knihy Pro PHP Security si můžete přečíst zde. Recenzi celé knihy napsal Alan Berg – Book review: Pro PHP Security by Chris Snyder and Michael Southwell.

Podrobnosti k ustavení chráněného vzdáleného spojení desktopu a serveru (Windows Server 2003) prostřednictvím TLS/SSL autentizace najdete v článku How to secure remote desktop connections using TLS/SSL based authentication (Martin Kiaer).

Sítě

Backdoors and Holes in Network Perimeters – to je fiktivní případová studie zabývající se zadními vrátky a děrami v perimetru sítě. Obsahuje k tomu příslušející analýzu a výsledná doporučení.

Kapitolu 8 z knihy How to Cheat at Securing a Wireless Network si můžete stáhnout zde – Monitoring and Intrusion Detection.

Malware, hackeři

Hrozby typu SQL injection jsou již delší dobu široce diskutovány a vývojáři mají za jeden ze svých cílů nezbytnost vytvořit obrany proti těmto útokům. Existují však útoky obdobného typu (LDAP injection, XPath injection), které jsou známy méně. Přesto jsou stejně nebezpečné a hackeři tyto útoky znají a používají – Malicious Code Injection: It’s Not Just for SQL Anymore (Bryan Sullivan).

AVG Anti-Spyware vstupuje do boje se spyware – AVG moves into the spyware battle with AVG Anti-Spyware. Erik Eckel recenzuje novinku společnosti AVG.

Malware Stration, také je známo pod názvy Warezov, Stratio. Jeho měnící se kód vzbuzuje nejistotu o existujících cílech – Tricky new malware challenges vendors. Šíří se e-mailem, pokud se usídlí v počítači, zasílá sám sebe na adresy, které v počítači najde. Každých třicet minut dokáže stáhnout novou verzi sama sebe z počítače, který je ovládán hackerem. Jeho detekce je proto obtížná a nejasné jsou tedy také záměry hackerů s tímto typem červa.

Wikipedia byla napadena malware Wikipedia hijacked by malware. Útočníci využili politiku otevřenosti, o které se opírají principy Wikipedie.

Alan Cox, známý linuxový vývojář varoval ve svém vystoupení na konferenci London's Linux­World před zámysly hackerů a hovořil o sumách, které jsou vkládány do pokusů hackovat open source systémy. Řada open source projektů má přitom k bezpečnosti daleko (Linux expert w;arns of open source's growing appeal to hackers).

Attack of the Bots – zde najdete informaci o reálných zkušenostech z útoku botů. Scott Berinato v rozsáhlejším článku popisuje situaci z května 2006 – jak byla zlikvidována společnost Blue Security.

Tynan Wilke uvádí svůj rozbor jednoho útoku botnetu provedeného díky existující zranitelnosti typu script-injection (s konkrétními detaily) – Botnet Attack and Analysis.

Million-PC botnet threatens consumers – na internetu je připravena milionová armáda botů. Otázkou je ale na co. Poslední takto velká frekvence botů se objevila v červenci a srpnu 2004 a připravila půdu pro epidemii viru Netsky. Jednou z možností jsou útoky rhybářů v návaznosti na blížící se Vánoce.

IM

Útoky na IM a sociální inženýrství – touto problematikou se zabývá Michael Cobb v Latest IM attacks still rely on social engineering. Popisuje některé triky útočníků a říká, co bychom měli udělat jako prevenci před těmito útoky. Situace je zde v zásadě obdobná jako u e-mailových útoků, ale je třeba si také uvědomit, že v současnosti firewally nekontrolují provoz IM.

Jestliže v naší firmě používáme IM, měli bychom uvažovat i o odpovídajících bezpečnostních opatřeních. V článku 6 Control Measures Every Business Should Take to Secure IM (částečně PR – nezbytná je bezplatná registrace) je uvedeno 6 základních opatření, které dle autora (Paul Ritter) by měly redukovat rizika spojená s používáním IM:

  • 1. Vyhodnocení současného používání IM
  • 2. Rozhodnout, zda je povoleno používání veřejných IM komunikací
  • 3. Ustavení politik pro používání IM, zadržení IM a uchovávání IM komunikací
  • 4. Zavedení technologií pro správu IM, pro jeho bezpečnost a kontrolu
  • 5. Integrace IM do systémů používaných ve firmě (Active Directory, LDAP Directory)
  • 6. Další (rozšířené) použití IM

Bezdrát

Hackers Threat to Wi-Fi Users – to je komentář k výsledkům jednoho přehledu (zpracovala firma Education Bureau na základě objednávky softwarové a bezpečnostní společnosti Aytel Systems). Přehled byl věnován hrozbám uživatelům Wi-Fi ze strany hackerů. Pokud bezdrát (třeba doma) používáte, věnujte trochu pozornosti jeho zabezpečenému provozu.

802.11b – útok DoS na úrovni firmware (Firmware-Level Attacks) využívá chyby ve firmware bezdrátových karet 802.11. V odstavci 8 jsou pak vyjmenovány některé verze firmware, kterých se chyba (zranitelnost) týká.

Bluetooth

Popis útoků na zařízení s Bluetooth najdete v tomto přehledu (All your Bluetooth is belong to us, jeho autory jsou Kevin Finistere a Thierry Zoller). Je zpracován formou rozsáhlejší prezentace, viz také krátký komentář – Bluetooth 0day hacking.

Forenzní analýza

Pokud se zajímáte o problémy forenzní analýzy, neměl by ujít vaší pozornosti elektronický časopi IJDE, který je cele věnovaný těmto otázkám. Vychází od roku 2002, na odkazu najdete i starší čísla, poslední číslo je zde – International Journal of Digital Evidence(IJDE) Fall 2006 Volume 5, Issue 1. Pro přiblížení obsahu časopisu jsou dále uvedeny názvy článků v tomto posledním čísle:

  • Exploiting the Rootkit Paradox with Windows Memory Analysis
  • Hidden Disk Areas: HPA and DCO
  • Forensics and SIMS Cards: An Overview
  • Google Desktop as a Source of Digital Evidence

Spam

Rekordní současnou úroveň spamu konstatuje James Clement v Spam levels reach record high. Přitom obrázkový spam (podstatně hůře je detekovatelný) tvoří 30 procent veškerého spamu.

Spam Filters Need the Human Touch (nezbytná je bezplatná registrace) – pro každý e-mailový server je úkol vyrovnat se vhodným způsobem se spamem jedním z nejdůležitějších . Z obsahu:

  • Proč je zapotřebí integrovat (do spamových filtrů) i výsledky lidské analýzy
  • Různé filtrovací techniky, které jsou dnes k dispozici
  • Zranitelnosti těchto řešení
  • Postupy pro integraci výsledků lidské analýzy do spamových filtrů a cíle této integrace

Autentizace, phishing

O phishingu aneb nenechte se podvést – Pavel Dobrý na Živě: Fenomén podvodných e-mailů (phishing) se již objevil i v České republice. V tomto článku se dozvíte, jakým způsobem je možné se bránit a jaké prostředky ochrany před podvodnými e-maily nabízí moderní řešení poštovních serverů.

Will Sturgeon v krátkém zamyšlení ( Can IE 7 kill off phishing?) hovoří o optimismu ve vztahu IE7 a phishing. Falešné weby by měly být snadno identifikovány a eliminovány. Ovšem lidská vynalézavost na jedné straně a obyčejná naivita (spíše hloupost) na straně druhé…

Kryptografie

V nakladatelství Albatros, edice OKO, vyšla koncem uplynulého týdne kniha českého kryptologa Pavla Vondrušky „Kryptologie, šifrování a tajná písma“, která je věnována výkladu základních pojmů, přehledu klasických šifrových systémů a historii kryptologie. Kniha je doplněna velkým počtem příkladů, které umožní čtenáři blíže se se systémy seznámit. Ukázky z jednotlivých kapitol knihy, včetně lektorského posudku Dr.  Vlastimila Klímy, lze nalézt na této stránce autora nebo na stránce nakladatelství.

Famous Unsolved Codes and Ciphers – seznam proslulých nevyřešených kódů a šifer zaujme jistě každého milovníka záhad.

Různé

Problémem smazaný soubor a Unix aneb jak by měl správně fungovat shredder (a někdy nefunguje) – nad tím se ve své prezentaci (Secure Programming Traps and Pitfalls – The Broken File Shredder ) zamýšlí Wietse Venema.

Možná využijete vyhledávač specializovaný na informační bezpečnost – SIS. Information Security Search Engine. A Co-operative search engine powered by Google Co-op.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Podnikatel.cz: Komunikace firem na Facebooku? Otřes!

Komunikace firem na Facebooku? Otřes!

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Nestlé vyvinula nový typ „netloustnoucího“ cukru

Nestlé vyvinula nový typ „netloustnoucího“ cukru

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?