Obecná a firemní bezpečnost IT
Jak vést kampaň za zlepšení situace v IT bezpečnosti vaší společnosti? Takováto kampaň by měla mít následující tři cíle:
- 1. Ujištění se, že veškerý personál je informován o obecných hrozbách a je seznámen s bezpečnostní politikou a procedurami
- 2. Výchova bezpečnostní kultury
- 3. Demonstrace aktivní podpory vyššího managementu a personálu, který má na starost informační bezpečnost
Gideon T. Rasmussen (Security Awareness Program) na tomto základě dává následujících deset doporučení:
- 1. Používejte pro tuto kampaň nějaký jednoduchý slogan.
- 2. Mějte k dispozici web (interní) sloužící k předávání informací, které se týkají bezpečnostních problémů. Jsou zde zároveň umístěny přístupy k potřebným bezpečnostním zdrojům.
- 3. Zainteresujte na této kampani i vyšší management.
- 4. Výkonným pracovníkům zašlete vhodně zvolenou knihu s bezpečnostní problematikou.
- 5. Rozešlete doporučení (tipy) vztahující se k bezpečnostní problematice IT. Veškerému personálu zasílejte takovéto tipy alespoň jednou měsíčně.
- 6. Vypracovávejte přehledy o efektivnosti bezpečnostního programu, ověřujte shodu reality s politikami.
- 7. Mějte marketing bezpečnostního programu – pomůže k tomu, aby ho na mysli měl veškerý personál.
- 8. Zajistěte povinná školení (první den v práci a pak každým rokem).
- 9. Samotný program pravidelně aktualizujte.
- 10. Požadujte potřebné investice.
Diskuse na Schneierově blogu v minulém týdne byla mj. věnována otázce přístupu manažerů k řešení otázek IT bezpečnosti. Východiskem diskuse byl placený dokument (Navigating Risk — The Business Case for Security, ale ani Schneier neobětoval těch požadovaných 125 dolarů). Avšak na Kicking Some Brass zainteresovaný čtenář najde shrnutí závěrů plynoucích z výsledků této studie. V komentáři je poukázáno (jako na ústřední problém) na skutečnost, že manažeři stále považují bezpečnost za operativní problém, nikoliv za strategický problém společnosti.
Software
Samuel Sotillo v článku věnovaném bezpečnostním vlastnostem IPv6 (IPv6 Security Issues) uvádí stručný přehled některých vylepšení v protokolu IPv6 (majících vztah k bezpečnosti). V odstavci 5 je také poukázáno na existující zranitelnosti.
„Nakolik LAN switch chrání vaši síť?” Ptá se Phil Hochmuth v How much can a LAN switch protect your network?. Diskutuje schémata NAC, NAP. V samotném článku pak cituje Joela Snydera, který uvádí čtyři úrovně ochrany, které NAC poskytuje:
- základní autentizace – „go/no-go“
- uživatelé jsou rozděleni do několika virtuálních VLAN (např. různé úseky firmy, každý úsek s odlišnými právy)
- filtrování paketů
- firewall – inspekce paketů
Nedávný útok na komponentu Active X komentuje Robert Lemos na SecurityFocus (Attackers end-run around IE security ). Ukazuje se, že bezpečnostní vylepšení IE7 nemohou eliminovat hrozby vůči starším komponentám Windows.
Na stránkách SecurityFocus v článku Using Nepenthes Honeypots to Detect Common Malware najdete několik tipů, jak pracovat s honeypotem Nepenthes. Najdete zde návod na jeho instalaci, nakonfigurování i vlastní použití. Administrátor s pomocí tohoto honeypotu může rychle zjistit existující kompromitace sítě.
Federico Biancuzzi je autorem interview (FreeBSD Security Event Auditing) s Robertem Watsonem (TrustedBSD project). V tomto interview jsou diskutovány výhody a potenciál chystaného FreeBSD 6.2, zejména jeho novinka – audit bezpečnostních událostí (Security Event Auditing). Zainteresovaný čtenář najde hlubší podrobnosti v kapitole 16 příručky FreeBSD Handbook – Security Event Auditing.
Třetí kapitolu knihy Configuring IPCop Firewalls: Closing Borders with Open Source si můžete stáhnout zde – Deploying IPCop and Designing a Network. Recenzi knihy najdete pak na Linux.Security.com.
Viry
Grisoft AVG passes Vista compatibility test – Grisoft s AVG se zařadil k produktům firem jako Computer Associates, F-Secure a Trend Micro, resp. MS Windows Live OneCare.
Proč nestačí jednoduchý antivir, tuto otázku objasňuje Matthew Simiana v dokumentu Why one virus engine is not enough. Diskutuje proto potřebu vícenásobných antivirových skenerů (multiple scanners).
Hackeři
Víte co je to „Hackers Profiling Project“? Informace k tomuto projektu přináší Federico Biancuzzi v článku Inside the Hacker's Profiling Project. Je to mezinárodní výzkumný program, jeho cílem je vývoj otevřené (open) metodologie, která umožní identifikovat typ konkrétního útoku (podniknutého hackery).
Hardware
An Overview of Hardware Security Modules – to je průvodce základními vlastnostmi HSM modulů. Je to sice starší dokument (leden 2002), ale díky své stručnosti je vhodný pro úvodní seznámení se s problematikou. Z obsahu:
- Definice HSM
- Typické implementace HSM
- Pozitivní atributy HSM (certifikace dle FIPS-140–2, široce akceptované kryptografické algoritmy, kvalitní náhodný generátor, bezpečný zdroj času, standardizované rozhraní pro vývojáře, jednoduché a bezpečné uživatelské rozhraní, dobře zdokumentovaná fyzická instalace zařízení, záloha klíčů, ochrana klíčů, ochrana proti vyzařování, přizpůsobivost změnám architektury sítě v níž je HSM modul začleněn)
- Nevýhody používání modulu HSM (cena, výrobci nepublikují všechny údaje o funkcích modulu, obtížnost upgrade)
- FIPS 140–1 (resp FIPS 140–2, který byl vydán v roku 2001)
- Dodavatelé HSM modulů
- Odkazy na související weby
Bezdrát
Jak to je vlastně s vaší právní odpovědností, pokud někdo využije vaši nezabezpečenou WLAN a bude stahovat ilegální soubory (muziku, dětské porno,…)? Legislativa dnes nejspíše ještě nemá tyto věci plně ošetřeny a pod kontrolou. Autor článku Do not try the cheerleader defence přesto radí – ve vlastním zájmu si svoji síť zabezpečte!
Zranitelnosti bezdrátu – jaké jsou a kolik jich je (How many wireless vulnerabilities are really out there?)? Wireless Vulnerabilities and Exploits group – tato skupina začala v letošním roce katalogizovat existující zranitelnosti bezdrátových komunikací (hlavně Bluetooth a 802.11).
Wireless Networking in the Developing World – zde si můžete stáhnout stejnojmennou příručku věnovanou problematice bezdrátové sítě. Kapitola 6. příručky je věnována otázkám bezpečnosti, a to ze širokého spektra pohledů.
VoIP
Existující hrozby pro VoIP popisuje Leon Erlanger v článku VOIP may be vulnerable to barrage of threats. Konstatuje, že tyto hrozby jsou stále podceňovány a odpovídající bezpečnostní nástroje jsou buď nedostatečné nebo jsou nedostatečně využívány.
RFID
Na Schneirově blogu najdete diskusi ke kartám RFID.Schneier cituje tři články:
– které hovoří o možnostech snadného zjištění (přečtení) osobních dat kýmkoliv (neautorizovanou osobou).
Nedávná budapešťská deklarace k strojově čitelným cestovním dokumentům (MRTD) mj. říká: …nové cestovní dokumenty (pasy) dramaticky snižují bezpečnost a soukromí jejich majitelů… Také k tomuto problému najdete diskusi na Schneierově blogu. Budeme nosit své pasy v hliníkových pouzdrech?
Spam
Hladina spamu narůstá do nepředpokládané výše – Spam levels surge to unprecedented levels.
Ohledně červa Stration (zmiňován byl také v některém z předcházejících pokračování seriálu) bylo kupodivu teprve nedávno zjištěno, že je také viníkem masivního spamu (http://www.crn.com/sections/security/security.jhtml?articleId=193600380). Antivirové firmy nepředpokládaly existenci nějakého obdobného cíle. Ale Stration po šesti hodinách ( po tom, co se zabydlí v počítači) kontaktuje jinou doménu, stáhne spamovacího trojana a začne rozesílat maily.
Otázku, co se to děje se spamem, zkoumá také Cara Garretson v článku What´s with all this spam?. Podle autorky jsou hlavním viníkem dva trojané – Warezov a SpamThru. Kromě toho je poukazováno na šíření obrázkových spamů s využitím randomizačních technik.
Autentizace, hesla, biometrie
Průvodce nástrojem RainbowTables pro hackování hesel najdete v dokumentu Chrisa Gatese Tutorial: Rainbow Tables and RainbowCrack . Autor vysvětluje, jak lze využít (zneužít) slabost řešení LM hashí (Microsoft) pomocí nástroje RainbowTables.
Paul A. Henry v článku Is the UK ID Scheme Poised To worsen ID Theft? odpovídá na některé otázky, které jsou v souvislosti se zaváděním ID karet v UK často zmiňovány. Zdůrazňuje, že je třeba ještě dořešit několik problémů souvisejících s bezpečností celého systému. Říká dokonce, že otázky bezpečnosti je nutné považovat za prioritní. Jen tehdy bude mít systém šanci na to, že uspěje.
Tom Espiner v Phishing attacks surge seznamuje čtenáře s čísly, které v minulém týdnu zveřejnila Association of Payment Clearing Services (APACS) a která se týkají incidentů typu phishingový útok. V první polovině 2005 bylo zaznamenáno (UK) 312 útoků tohoto typu. Naproti tomu od ledna do června 2006 těchto útoků již bylo 5059, tj. nárůst o 1471 procent. Finanční ztráty postižených narostly ve vztahu těchto dvou období o 55 procent. Souběžně s nárůstem phishingu se objevuje nábor tzv. mezků (mule), tito slouží jako převaděči pro přesun peněz z účtů na jiný účet. Takováto „inzerce“ vzrostla oproti první polovině roku 2005 o 140 procent. Podrobný popis role typického „mezka“ najdete v ‚Money Mules‘: The Hidden Side of Phishing
O cílech nové iniciativy „za kvalitnější SSL certifikáty“ si můžete přečíst na jejích stránkách – CA/Browser Forum. Členy této iniciativy je skupina předních světových certifikačních autorit. O tzv. EV SSL certifikátech (Extended Validation SSL Certificates) ještě určitě uslyšíme v souvislosti s chystanými normami. Příslušné komentáře najdete v článcích ‚Supercerts‘ Aim to Highlight Legit Web Sites a Web browsers to adopt enhanced SSL.
Bezpečnostní software zavádí blokace nebezpečných webovských stránek – Security Software Moves Toward Blocking Sites. Po IE7 a Firefoxu s tím přichází také McAfee (SiteAdvisor Plus).
Normy a normativní dokumenty
NIST v tomto týdnu vydal
Příručka má 176 stran a ve 14 kapitolách a dvou přílohách podrobně poskytuje široký přehled o jednotlivých oblastech problémů souvisejících s bezpečností informací. Má tak napomoci manažerům při rozhodování a při implementacích bezpečnostních prvků.
Pracovní skupina IETF-smime vydala dva drafty
- ESS Update: Adding CertID Algorithm Agility
- Cryptographic Message Syntax (CMS) Multiple Signer Clarification
Kryptografie
Na webu Cryptology ePrint Archive se objevil v tomto týdnu nový článek českého kryptologa Vl. Klímy A New Concept of Hash Functions SNMAC Using a Special Block Cipher and NMAC/HMAC. Podrobný komentář ke Klímově článku napsal na stránkách Crypto-Worldu Tomáš Rosa – Nový koncept hašovacích funkcí od Vlastimila Klímy – přijmou ho ve světě?.
Knihu Pavla Vondrušky – Kryptologie, šifrování a tajná písma lze ode dneška zakoupit i na Slovensku. Objednat ji lze také přes internet, a to v nakladatelství Martinus.sk.
Eliptické křivky využitelné pro kryptografické párování jsou poměrně vzácné a není zase tak jednoduché je nalézt. Autoři článku A taxonomy of pairing-friendly elliptic curves (David Freeman, Michael Scott a Edlyn Teske) předkládají seznam známých konstrukcí, uvádí některé nové konstrukce a v závěru článku pak uvádí svá doporučení.
Bezpečnostní požadavky a modely pro protokoly ustavující skupinové kryptografické klíče jsou popsány v článku Survey on Security Requirements and Models for Group Key Exchange. Po seznámení se s touto rozsáhlejší studií získá čtenář přehled o současném stavu problematiky.
Různé
Nepřátelé internetu pojmenováni – ‚Enemies of the internet‘ named. Zajímavý seznam 13 zemí, kde podle skupiny pro lidská práva – Reporters Without Borders (RSF) – je nejvíce potlačována svoboda vyjadřování na internetu:
- Bělorusko, Barma, Čína, Kuba, Egypt, Irán, Severní Korea, Saudská Arábie, Sýrie, Tunisko, Turkmenistan, Uzbekistan, Vietnam
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
