Hlavní navigace

Bezpečnostní střípky za 44. týden

7. 11. 2005
Doba čtení: 7 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: přehledy, obecná a firemní bezpečnost IT, software, hackeři, malware, autentizace, elektronický podpis, normy a normativní dokumenty, kryptografie.

Přehledy

Byl vydán nový přehled (v pořadí osmý) 2005 Global Information Security Survey společnosti Ernst & Young. Související tiskovou zprávu najdete zde – Regulatory compliance takes the lead as the most important driver of information security, surpassing worms and viruses, komentáře pak zde – IT security weakened by compliance issues a Data laws raise security worries. Přehled vychází z dat pocházejících od více než 1300 organizací (veřejného i soukromého sektoru) v 55 zemích.

Otázkou bezpečnostního charakteru, na kterou se bere v současné době největší zřetel v IT odděleních organizací, je potřeba naplnit regulační (legislativní) ustanovení. Studie společnosti Ernst & Young poukazuje na rostoucí vzájemnou závislost mezi společnostmi (ve vztahu k informační bezpečnosti). Organizace hledají produktivnější cesty ve vztahu k vlastní činnosti, snaží se využívat nové technologie. To často vede k bezpečnostním problémům – vzhledem k tomu, že tyto nové technologie (mobilní technologie, přenosná media, bezdrátové sítě, VoIP…) vytvářejí i nové typy vážných hrozeb. Většina organizací přistupuje k problematice IT bezpečnosti z pohledu řešení taktických a operativních otázek a nevěnuje se často v dostatečné míře vytvoření celkového strategického náhledu. Zpráva obsahuje celou řadu zajímavých statistik. Např. velké a malé organizace – jak rozdílně přistupují k problematice IT bezpečnosti? Co se týká přítomnosti příslušných specialistů IT bezpečnosti, jsou na tom kupodivu velké i malé organizace zhruba stejně. Ale pokud je řeč o certifikaci dle ISO 17799 (BS7799), byla provedena v 34 procentech velkých organizací a jen v 18 procentech malých organizací (procenta se týkají organizací dotazovaných v přehledu).

Byla zpřístupněna zajímavá služba na webovských stránkách SC Magazine. Umožňuje vyhledávat mezi tzv. „white papers“ (pocházejících od dodavatelů technologií, analytiků a dalších odborníků) v následujících oblastech:

  • Access Control
  • Anti-Virus Solutions
  • Automated Security Auditing/Source Code Analysis
  • Content Filtering
  • Encryption and Key Management
  • Firewalls
  • Identity Management/User Provisioning
  • Intrusion Detection/Forensics
  • Intrusion Prevention Solutions
  • Network Security
  • Security Monitoring
  • Usage Management and Monitoring
  • Vulnerability Assessment
  • Anti-Spam

Obecná a firemní bezpečnost IT

Pokračuje diskuse na téma čím nahradit koncepci ochran na úrovni perimetru – Security Myths: The Perimeter Is Everything.

Joe ‚Zonker‘ Brockmeier uvádí svůj Top Ten – My sysadmin toolbox – softwarových nástrojů pro administrátora:

V diskusi ke článku najdete ještě některá další doporučení (samozřejmě podle osobního vkusu).

Některé zajímavé případy průmyslové špionáže – Industrial espionage, Part 6: Cases – obsahuje již šestý díl zajímavého seriálu. Předcházející díly:

Software

V posledním roce hlásí 95 procent společností bezpečnostní incidenty související s jejich webovskými stránkami. Alespoň podle článku Web Application Security: More Budget Needed , jehož autorem je Matthew Cohen. Pokouší se zde nalézt odpověď na otázku, jak zabezpečit vaši aplikaci (i když třeba nejste zrovna bezpečnostní expert). Klade důraz na samostatné finanční zabezpečení. Jeho doporučení (Business and Budgeting Best Practices For Addressing Application Security) jsou následující:

  • Předvídej
  • Pronikni do podstaty problému
  • Zastav problém již na jeho počátku
  • Kompenzace musí být úměrné dosaženým výsledkům
  • Vytvoř pracovní skupinu
  • Postav se k situaci jako ke kterémukoliv jinému pracovnímu procesu
  • Řešení problému by mělo mít separátní financování
  • Zpracuj zprávu pro top management
  • Důvěřuj, ale prověřuj
  • Vyvaruj se rychlých řešení

Proč je důležitá ochrana webovských aplikací i z celkového pohledu na firemní IT bezpečnost, vysvětluje článek The Importance of Web Application Scanning.

Problematikou cookies se zabývá článek Cookie Dethroning. Demystified. Druhou část článku pak najdete zde – část 2.. Autor rozebírá podstatu cookie – základní vlastnosti, formát, omezení, práci s cookie jako se vzdáleným objektem atd. Rozebírá i existující zranitelnosti.

Robert Vamosi se na CNET věnuje ještě posledním informacím vztahujícím se k službě Skype (a VoIP obecně) – Security Watch: The Sky(pe) is falling Závěr jeho analýzy: Skype (a VoIP obecně) vyžaduje větší pozornost z hlediska bezpečnosti této nové technologie.

Hackeři, malware

Stručnou a jasnou definici pojmu bot (zombie) najdete v článku What Is A Bot? Or Zombie? – Tony Bradley. Je zde také uvedena řada odkazů na související informace.

V počítačové hře Warcraft byl objeven spyware – Warcraft game maker in spying row. Sbírá informace o jiných programech běžících na vašem PC. Podle firmy Blizzard tak činí pouze za účelem zjištění, zda hráč nepoužívá programy, které umožňují podvádět při hře.

Událostí týdne, dá-li se to tak říci, bylo zveřejnění výsledků práce Marka Russinoviche – Sony, Rootkits and Digital Rights Management Gone Too Far – minulé pondělí. I pokud jste již článek četli, stojí za to se na odkaz vrátit a seznámit se s bohatými komentáři pod článkem.

V průběhu týdne se pak objevila celá řada reakcí a komentářů, např.: The „Sony rootkit“ case a DRM od SONY za hranicí slušnosti a Hidden DRM code's legitimacy questioned a The Cover-Up Is the Crime . Doufejme, že firma Sony svým počinem neotevřela Pandořinu skříňku – viz

World of Warcraft hackers using Sony BMG rootkit .

V USA byla zahájena kampaň (americká vláda v součinnosti s Microsoftem), jejímž cílem je ochrana spotřebitelů před zombifikací, tj. zabránění tomu, aby se jejich počítač stal zombie (Microsoft and U.S. government aim to kill zombies at Halloween).

Cracking a ochrana pred ním, 5. časť: Odhaľujeme nebezpečné nástroje. Abstrakt: „Aj keď detekcia crackerských nástrojov nepatrí medzi najsilnejšie metódy ochrany programov proti crackingu, jej vhodné a nenápadné použitie môže crackerovi značne sťažiť prácu. Pozrieme sa na najpoužívanejšie nástroje a spôsoby, ako znížiť ich účinnosť.“

Jakub Dvořák na Technetu se věnuje firewallům – Chcete být na internetu v bezpečí? Pořiďte si spolehlivý firewall.

Měsíc říjen byl podle firmy Sophos rekordní ve vztahu k výskytu malware – October breaks malware production records. V říjnu narostl počet virů o 1685 nových (v září to bylo 1233).

V chatech AOL se objevil červ s rootkitem – Worm with rootkit hits AOL chat service. Jedná se o lockx.exe rootkit, který např. zkouší zavřít antivirový software či otevřít zadní vrátka pro instalaci dalšího malware. Viz také SDBot raises IM security concerns.

Autentizace, elektronický podpis

Objevila se nová varianta rhybaření – New type of phishing could hit mobile phone users, která se týká uživatelů mobilních telefonů. Autor článku ji nazývá mophophishing.

Obavy spotřebitelů v USA z bezpečnosti online narůstají – tuto informaci najdeme v komentáři na blogu RSA k výsledkům jednoho výzkumu (Confidence Dip Provides Fertile Ground for Quick-Thinkers).

Bruce Schneier napsal další kritický článek k pasům s RFID (Fatal Flaw Weakens RFID Passports). Pasy s RFID prozradí vaši totožnost i bez vašeho vědomí.

O tom, jak indický profesor v USA přišel o své úspory, se dozvíte v článku Invasion of the Stock Hackers. Krádeže hesel z domácích PC (nedostatečně chráněných) vedoucí k finančním ztrátám uživatele jsou smutnou realitou.

Normy a normativní dokumenty

Password-Based Public Key Cryptography – P1363.2, vyšel nový  – draft D22. K jeho stažení je zapotřebí registrace.

Kryptografie

Tento týden proběhl očekávaný NIST Workshop k hashovacím funkcím. Podrobnosti k jeho průběhu lze získat z komentářů Bruce Schneiera: část 1., část 2., část 3., část 4., část 5.. O workshopu se samozřejmě hodně diskutuje, např. Vulnerable security algorithms raise concerns a U.S. mulls new digital-signature standard a Security elite hash out encryption alternatives. Jasné je jedno – nové hashovací funkce jako náhrada za SHA hned tak nebudou. Odborníci se shodli na tom, že je třeba nejprve položit hlubší teoretické základy pro bezpečnou konstrukci hashovacích funkcí.

Uplynulo deset let od zveřejnění problémů spojených s tzv. postranními kanály. V této souvislosti napsali YongBin Zhou a DengGuo Feng přehledový materiál Side-Channel Attacks: Ten Years After Its Publication and the Impacts on Cryptographic Module Security Testing. Lze jen doporučit. Očekávaná verze FIPS 140–3 by také při testování kryptografických modulů již měla počítat s těmito typy útoků. Pokud se týká samotné problematiky postranních kanálů, tak celou řadu informací a dalších odkazů lze nalézt na ECRYPT. The Side Channel Cryptanalysis Lounge .

Zemřel Professor Angus McIntosh, luštitel Enigmy – Enigma code-breaker and professor dies in Capital .Zemřel v Edinburgu v úctyhodném věku 91 let. Během druhé světové války byl v Bletchley Park jedním z luštitelů, kteří dokázali proniknout tajemstvími německého šifrátoru Enigma.

Pokud si chcete pořídit repliku Enigmy, můžete. Viz Enigma – E. A fully operational – Real – Electronic Enigma

Různé

(In)Secure Magazin  – Vyšlo další číslo, říjen 2005. Z obsahu:

  • Structured traffic analysis
  • Access Control Lists in Tiger and Tiger Server – true permission management
  • Automating I.T. security audits
  • Biometric security
  • PDA attacks, part 2: airborne viruses – evolution of the latest threats
  • Build a custom firewall computer
  • Lock down your kernel with grsecurity
  • Interview with Sergey Ryzhikov, director of Bitrix
  • Best practices for database encryption solutions

28. října byly v České republice poprvé uděleny (anti)ceny pro Velké bratry – Big Brother Awards. Cílem soutěže je upozornit širokou veřejnost na společnosti, zákony a technologie, které výrazně narušují soukromí občanů. Vítěze v osmi kategoriích vybírala ze 70 nominací navržených občany odborná porota (Big Brother Awards).

root_podpora

Soutěž 2005 v luštění šifrových textů pořádaná e-zinem Crypto-World má vítěze. Soutěžící s pseudonymem misof zvládl (tak jako loni) vyřešit všech 26 publikovaných úloh nejrychleji.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?