Hlavní navigace

Bezpečnostní střípky za 45. týden

14. 11. 2005
Doba čtení: 9 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: obecná a firemní bezpečnost IT, software, hackeři, malware, VoIP, Sony DRM rootkit, autentizace, biometrie a kryptografie.

Obecná a firemní bezpečnost IT

Samir Kapuria ze Symantec Global Consulting se zamýšlí nad problematikou správy rizik ve firmě – Steps for managing risk. Říká mimo jiné, že se často nerozlišují v dostatečné míře rizika technologická a rizika obchodní. Modely z norem (ISO 17799, Cobit – Control Objectives for Information and Related Technology a COSO – Commission of Sponsoring Organizations) mohou sloužit jako efektivní příručky, odrážejí však jen část celkového pohledu na správu rizik. Na základě této myšlenky pak autor rozebírá práci týmu zaměřeného na komplexní analýzu rizik ve firmě. Týká se to identifikace jednotlivých typů rizik, definování tolerance rizik a na základě tohoto pak ustavení vhodné strategie odpovědí na rizika. Autor poukazuje také na to, že správa rizik je nikdy nekončící proces a momentální řešení nebude nikdy definitivní.

Další příklady průmyslové špionáže najdete v sedmém pokračování seriálu Industrial espionage, Part 7: More cases.

Recenzi knihy The CISO Handbook: A Practical Guide to Securing Your Company najdete na Slashdotu. Autory knihy jsou Michael Gentile, Ronald Collette, Thomas August, autorem recenze pak Ben Rothke. Kniha je praktickou příručkou pro otázky bezpečnosti, ale není zaměřena na konkrétní technologie. Sestává z pěti kapitol s názvy Assess, Plan, Design, Execute and Report.

Autorem recenze knihy Surviving PC Disasters, Mishaps, and Blunders je Tony Bradley. Kniha samotná (autoři Jesse Torres, Peter Sideris, vyšla v lednu 2005) je k vidění např. na Amazonu. Kniha je určena pro každého uživatele, ať už jsou jeho problémem otázky bezpečnostního charakteru či otázky související s hardwarem nebo softwarem.

Chcete být bezpečnostním profesionálem? Možná vám pomůže těchto několik informací a doporučení – So you want to be a privacy pro?

Software

Bruce Schneier reaguje na článek Howarda Schmidta: Perspective: Give developers secure-coding ammo. Schneier soudí, že za nedostatky produktů (zde ve smyslu jejich bezpečnostních vlastností) musí zodpovídat dodavatelé, stejně jako tomu je v jiných odvětvích. Schmidtova myšlenka, že rozhodne všemohoucí trh, není podle Schneiera dobrým nápadem.

Caleb Sima se v Web Applications Worms – The Next Internet Infestation věnuje problémům bezpečnosti webovských aplikací. Říká, že bezpečnostní principy musí být zabudovány již v samotném návrhu. Mimochodem, tahle zřejmá pravda platila vždy a všude. Přesto se stále objevují nové návrhy (systémů, softwarových aplikací či jiných řešení), které s bezpečností nepočítají vůbec, a když už, tak jako s něčím, co se tam snadno dodělá. A autory k tomu nevedou jenom ekonomické motivy (snaha ušetřit za řešení), ale často bohužel i hrubé podceňování bezpečnostních otázek. Sima tento svůj článek vztahuje k problému, jehož význam v poslední době narůstá – webovské aplikace a útoky na tyto aplikace, které se opírají o využití červů.

Larry Greenemeier se v Cisco: The Next Big Security Concern zabývá jiným problémem, který dnes ovlivňuje bezpečnost podnikového IT prostředí. Je to operační systém IOS Cisca (Cisco Systems' Internetwork Operating System). IOS kontroluje routery spojující obchodní sítě, Internet. Jakákoliv bezpečnostní chyba, která by se zde objevila, může vést k tomu, že hackerovi budou zpřístupněny podnikové počítačové systémy a databáze. S rostoucím potenciálem systémů Cisca, jeho složitostí a počtem verzí IOS narůstají však i bezpečnostní rizika spojená s jeho využíváním. Mediálně bylo frekventováno vystoupení Michaela Lynna na konferenci Black Hat (viz např. Bezpečnostní střípky za 31. týden) – ukázal, že hackeři mohou nejen shodit routery Cisca, ale dokonce převzít kontrolu nad IOS. Viz také rozhovor s Jeffem Mossem – Black Hat Organizer Unbowed.

Potřebujete bezpečně vyčistit disk? Richard Bejtlich doporučuje Darik's Boot and Nuke – open source. Program využívá následující postupy:

  • Quick Erase
  • Canadian RCMP TSSIT OPS-II Standard Wipe
  • American DoD 5220–22.M Standard Wipe
  • Gutmann Wipe
  • NG Stream Wipe

Můžete ho spouštět z bootovací diskety či bootovacího CD (dostupný je ISO image).

Hackeři, malware

Windows Defender – Microsoft překřtil svůj nástroj proti spyware (nyní v beta verzi – Say hello to Windows Defender). Aplikace bude součástí příští verze Windows – Windows Vista, takový je alespoň záměr vývojářů. Technologie by však měla být dostupná i uživatelům Windows XP.

Anonymní vývojář zveřejnil detaily konstrukce červa, který je schopný kompromitovat databáze Oracle (Proof of concept worm targets Oracle databases. Týká se to situací, kdy jsou ponechány defaultní účty a hesla.

Podrobnosti, jak vlastně funguje síť botů (zombie počítačů), se dozvíte v článku Robot Wars – How Botnets Work. Jeho autoři (Massimiliano Romano, Simone Rosignoli, Ennio Giannini – článek je přetištěn z časopisu hakin9) popisují, jak vzniká síť infikovaných počítačů, jakými cestami jsou tyto počítače kontrolovány a konečně i doporučovaná opatření proti takovýmto hrozbám.

Vyhledávač Google byl zneužit k rhybaření – Google used as bait in phishing scam. Na stránce, která byla věrnou kopií stránky Google, podvodníci umístili slib výhry 400 dolarů – jen zašlete detaily vaší kreditní karty…

Již šestým dílem pokračuje seriál slovenského autora Michala Strehovského Cracking a ochrana pred ním, 6. časť: Boj proti debuggerom. Abstrakt: Dnes si predstavíme techniky používané proti crackerovej najobľúbenejšej zbrani – debuggeru. Okrem niekoľkých základných sa budeme venovať aj neštandardným, ale o to účinnejším ochranám.

VoIP

O prvním velkém útoku na VoIP hovoří Sharon Valencil v Access Intelligence Editor Uncovers First Major VoIP Hacking Scheme . Hackeři, kteří pronikli do systému, dokázali zmanipulovat systém plateb. Tento systém se pak domníval, že spojení bylo neúplné (účastník se nedovolal), a tak nebylo zpoplatněno. Mimochodem, nyní se bude v Praze konat VoIP Telephony Workshop. Nenašel jsem v programu přednášku, která by byla speciálně orientována na problematiku bezpečnosti VoIP.

Skype under scrutiny for bugs – nedávné dobré hodnocení a informace o bezpečnostních chybách v Skype přišly téměř současně, a tedy dost nešťastně pro samotnou firmu a její produkt. Viz také – Skype explains why security evaluation omitted bug reports a Opinion: What makes anyone think IP telephony is secure?

Sony DRM rootkit

Nejprve některé odkazy. Sony vydala záplatu – komentář – Sony to offer patch for ‚rootkit‘ DRM. A jak poznáte, že jste infikováni? Are You Infected by Sony-BMG's Rootkit?

Vyjádření firmy First 4 Internet, která rootkit implementovala, je zde – Sony’s Rootkit: First 4 Internet Responds. A všimněte si i bohatých komentářů pod článkem. Viz také More on Sony: Dangerous Decloaking Patch, EULAs and Phoning Home a Sony XCP patch might crash Windows .

Jak reagují antivirové firmy, se dozvíte v článku Antivirus firms target Sony ‚rootkit‘. Symantec – DRM rootkit detekuje a odesílá na stránky Sony, Computer Associates zase vydal nástroj, který rootkit odinstaluje.

Firma F-Secure informuje – Trojan horses targeting Sony DRM rootkit found – existují již dva trojani využívající Sony DRM rootkit. Prvním z nich je Stinx-E, druhým Breplibot.b. Dále např. Breplibot.c prevention and cure a První nebezpečný červ zneužívající Sony DRM rootkitu .

A Sony již čelí žalobám – Sony hit by lawsuits over root kit – Kalifornie, New York a Italie…a přijdou další. Jiné s tím související komentáře – Robert Lemos na SecurityFocus – Sony BMG faces digital-rights siege a Sony BMG sued over rootkit (again), Sony sued over Playstation, PSP .

Vyjádření Bruce Schneiera včetně řady dalších odkazů (a přiložených komentářů čtenářů) najdete zde a zde.

Navíc se zdá, že se problém netýká jen Windows – Mac anti-rip code surfaces on Sony BMG CD.

Jak je vidět, téma Sony a DRM rootkit dostatečně zaměstnává média. Ke konci minulého bouřlivého týdne pak firma Sony oznámila, že ukončuje výrobu CD s tímto rootkitem – Sony to stop making „rootkit“ CDs .

Na výše uvedených linkách najdete množství různorodých komentářů. Ocituji jen jeden: „Za bezpečnější pak musím skutečně považovat stahování MP3 z netu.“ Nedosáhla tedy firma Sony svým počinem pravého opaku?

Autentizace, biometrie

Zajímavý experiment, jehož cílem bylo poukázat na důvěřivost lidí, předvedla firma RSA Security v newyorkském Central Parku. ‚Live Phishing‘ Experiment Gets Consumers Hook, Line, and Sinker. Tým pracovníků vybrojený několika dárkovými předměty zde jménem RSA Security měl vnuknout lidem zdání oficiality a bezpečnosti. Pdo tímto pláštíkem byly lidem kladeny zdánlivě nevinné otázky (jaké bylo jméno vaší matky za svobodna, oblíbený sportovní tým, datum narození,..). Záměrem bylo získat informace, které lidé používají jako svá hesla (passwords). Akce ukázala, že většina lidí dobrovolně sděluje tato svá osobní data, V článku jsou uvedeny v tomto směru i některé jednoduché statistiky.

Byla založena odborná skupina Strong Authentication Experts Group. Jak už název napovídá, její cíl směřuje k vytvoření otevřených specifikací pro silnou autentizaci, a to široce využitelnou, tj. interoperabilního charakteru. Na blogu RSA komentuje tuto událost Shannon Kellogg – Liberty Alliance launches strong authentication experts group.

Norsko a Švédsko jsou první země, které zavádějí povinné využívání biometrických pasů naplňujících požadavky mezinárodních norem (Setec provides biometric passports to Sweden and Norway). V mikročipu jsou uložena data obsahující digitalizované informace o otisku (biometrii) obličeje.

Robert Lemos na Security Focus (Gold at the end of rainbow cracking?) informuje o vzniku nové „služby“ založené třemi hackery – RainbowCrack Online. Podstatou služby je nabídka obrovského souboru dat (500 GB) pro vyhledávání hesel – celkem v jedenácti tabulkách. Jedná se o reverzní postup – k hashi hesla přiřazujeme (vyhledáváme) samotné heslo. Je zde pokryto celkem sedm různých hashovacích algoritmů – LanMan, MD4, MD5, CiscoPIX, NTLM, MySQL 323, a SHA-1.

Kryptografie

U navrhované alternativy DHA-256 k hašovací funkci SHA-256 jsou nesrovnalosti – Vl. Klíma komentuje článek rakouských autorů Preliminary Analysis of DHA-256.

Německý tým faktorizoval RSA-640  – MathWorld Headline News. Tj. pro 193místné číslo dokázal, že:

310 741824049­0 0437213507 5­003588856 7930037346 022­8427275 4572016194 88232­06440 5180815045 5634682­967 1723286782 437916272­8 3803341547 1­073108501 9195485290 073­3772482 2783525742 38645­40146 9173660247 7652346­609
=
1634733 64580­92538 4844313388 3865090­859 8417836700 330923121­8 1110852389 3­331001045 0815121211 816­7511579
x
1900871 28166­48221 1312685157 3935413­975 4718967899 685154936­6 6638539088 0­271038021 0449895719 126­1465571

K faktorizaci byl použit algoritmus obecného síta (general number field sieve), přitom tři měsíce byly získávány potřebné vztahy a jeden a půl měsíce trvalo řešení vzniklé soustavy. K výpočtům byla použita soustava 80 počítačů (2.2 GHz – Opteron).

Není to největší dosud faktorizované číslo – tím je číslo RSA-200, které obsahuje 200 dekadických číslic. Číslo RSA-640 (na rozdíl od RSA-200) je však součástí oficiální výzvy firmy RSA Security – The New RSA Factoring Challenge. Týmu, který RSA-640 faktorizoval, náleží podle podmínek výzvy odměna (v daném případě 20 000 amerických dolarů). Viz také FactorWorld!, stránka, která obsahuje řadu souvisejících informací.

Komentář Burta Kaliskiho (šéf RSA Laboratories) k těmto výsledkům (faktorizaci RSA-640) najdete na blogu RSA – Team Factors RSA-640 Challenge Number. Kaliski se také zmiňuje o vyjádření Adi Shamira a Erana Tromera o možnosti konstrukce zařízení, které by faktorizovalo RSA-1024 během jednoho roku. Ovšem náklady s tím spojené přesáhnou deset miliónů dolarů – Faktorizace 1024 bitového RSA do roka!.

Prezentace a články k workshopu NIST k hashovacím funkcím jsou nyní online – CRYPTOGRAPHIC HASH WORKSHOP.

Rusko, Jižní Korea a Japonsko chtějí uplatnit své algoritmy v rámci doporučení IETF (Deciphering the World of Crypto ). Tak se v normativních doporučeních IETF (známých jako rfc) objevují algoritmy jako SEED, GOST a Camellia.

Pokud kryptografický algoritmus není zveřejněn a přesto je určen k užívání širokou veřejností, vznikají zákonitě pochybnosti o jeho bezpečnostních vlastnostech. Příkladem z posledních dní je čínská norma WAPI požadovaná pro použití v bezdrátových sítích ( The Link between Cryptography and Politics ). Někteří kryptografičtí odborníci podezřívají čínskou vládu, že algoritmus má v sobě zabudována zadní vrátka.

root_podpora

NSA pamatuje i na budoucí kryptology – The NSA/CSS CryptoKids. America´s Future Codemakers & Codebreakers. Kromě základních informací tam lze nalézt i řadu odkazů na další užitečné stránky.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?