Hlavní navigace

Bezpečnostní střípky za 46. týden roku 2006

Jaroslav Pinkava

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu. Tentokrát se budeme zabývat především tématy: přehledy, obecná a firemní bezpečnost IT, software, malware, rootkity, hackeři, hardware, spam, autentizace, hesla, phishing, elektronické hlasování, normy a normativní dokumenty, kryptografie.

Přehledy

Ernst & Young vydal v tomto týdnu svůj každoroční přehled – Global Information Security Survey 2006. Byl zpracována na základě informací od 1200 bezpečnostních profesionálů z 350 organizací v 48 zemích. Stručné shrnutí závěrů s komentářem najdete v článku Ernst & Young Global Information Security Survey highlights concerns over Privacy and Personal Data Protection . Materiál definuje pět základních priorit (dále vyjmenovaných), ve kterých společnosti vykázaly v uplynulém roce významný pokrok. Zároveň se konstatuje, že je třeba zde i dále dbát na další vylepšování situace tak, aby byl udržen krok s rostoucími riziky:

  • Integrace informační bezpečnosti v rámci organizace (jako viditelná součást hlavního směru podnikání a s dostatečnými zdroji).
  • Rozšíření dopadů vyhodnocování shody
  • Správa rizik ve vztahu k třetím stranám
  • Orientace na zabezpečení chráněných a osobních dat
  • Návrh a budování informační bezpečnosti na základě externě daných nároků na shodu a na základě bezpečnostních incidentů

Z dalších výsledků přehledu:

  • počet respondentů, kteří konstatovali, že informační bezpečnost je integrovanou součástí správy rizik jejich organizace, vzrostl na 43 procent (oproti 40 procentům v roce 2005)
  • bezpečnostní politiky (ve srovnání s minulými obdobími) jsou lépe chápány zaměstnanci
  • téměř polovina respondentů říká, že adoptovala nebo plánuje adoptovat některou normu informační bezpečnosti

SANS Institute vydal výroční aktualizaci svého seznamu 20 nejčastějších cílů bezpečnostních útoků (SANS Top-20 Internet Security Attack Targets (2006 Annual Update)). Jedná se o charakterizaci situace v průběhu uplynulého roku.

Operační systémy:

  • W1. Internet Explorer
  • W2. Windows Libraries
  • W3. Microsoft Office
  • W4. Windows Services
  • W5. Windows Configuration Weaknesses
  • M1. Mac OS X
  • U1. UNIX Configuration Weaknesses

Víceplatformové aplikace:

  • C1. Web Applications
  • C2. Database Software
  • C3. P2P File Sharing Applications
  • C4. Instant Messaging
  • C5. Media Players
  • C6. DNS Servers
  • C7. Backup Software
  • C8. Security, Enterprise, and Directory Management Servers

Síťová zařízení:

  • N1. VoIP Servers and Phones
  • N2. Network and Other Devices Common Configuration Weaknesses

Bezpečnostní politika a personál:

  • H1. Excessive User Rights and Unauthorized Devices
  • H2. Users (Phishing/Spear Phishing)

Speciální sekce:

  • Z1. Zero Day Attacks and Prevention Strategies

Na citované stránce najdete podrobnější detaily k jednotlivým typům zranitelností.

Obecná a firemní bezpečnost IT

Kevin Mitnick (Kevin Mitnick's Security Advice) radí, jak zabezpečit svůj počítač. Zde máte jeho deset doporučení (top 10):

  • Zálohujte všechno! Nejste nezranitelný. Může se vám přihodit katastrofální ztráta dat, stačí k tomu jeden trojan.
  • Volte hesla, která jsou skutečně těžko uhádnutelná, nestačí přidat pár čísel. Vždy měňte defaultní hesla.
  • Používejte antivir (např. AVG či Norton) a pravidelně jej aktualizujte.
  • Aktualizujte úzkostlivě svůj OS a opatrně aplikujte všechny bezpečnostní záplaty.
  • Vyhýbejte se aplikacím náchylným k hackům (jako IE) a zakažte automatické skripty.
  • Používejte šifrovací software (jako PGP) pro zasílání citlivých e-mailů. Také s jeho pomocí si chraňte celý pevný disk.
  • Nainstalujte si aplikaci detekující spyware (nebo několik takových). Ideální jsou programy, které lze nastavit tak, aby byly často spouštěny (např. SpyCop).
  • Používejte osobní firewall. Nakonfigurujte ho tak, abyste se chránili před připojením se jiných počítačů, sítí a stránek a specifikujte, které programy mají povoleno se připojit k internetu automaticky.
  • Zakažte všechny systémové služby, které nepoužíváte, konkrétně aplikace, které mohou jiným povolit přístup na váš počítač (jako Remote Desktop, RealVNC a NetBIOS).
  • Zabezpečte svou bezdrátovou síť. Doma používejte WPA s heslem v délce nejméně 20 znaků. Nakonfigurujte svůj notebook tak, aby fungoval v módu „infrastructure“ a nepovolujte sítě, které nepoužívají WPA.

Natasha Lomas si dala práci a sepsala následujících 26 článečků jako malou abecedu bezpečnosti:

Společnosti nevynakládají své investice do bezpečnosti rozumně – Companies are not spending their security dollars wisely. Příslušné náklady často nejdou do oblastí, kde jsou největší rizika. Podniky také nejsou dostatečně připraveny na budoucí hrozby.

Michael Mullins (Eight daily steps to a more secure network) definuje osm jednoduchých každodenních kroků k lepší bezpečnosti vaší sitě.

Ráno:

  • 1. Ověřte stávající spojení
  • 2. Prohlédněte si statistiku provozu sítě
  • 3. Prohlédněte si log antiviru
  • 4. Přečtěte bezpečnostní logy vašich doménových serverů
  • 5. Ověřte, zda nejsou nové bezpečnostní záplaty

Odpoledne:

  • 6. Kontaktujte a informujte
  • 7. Ověřte další logy
  • 8. Své poznatky transformujte do svých aktivit

Essential Computer Security – to je recenze stejnojmenné nové knihy Tony Bradleyho. Samotnou knihu najdete např. na Amazonu.

Software

Čerstvá informace hlásí cracknutí Windows Vista – Windows Vista Just Gold and Already Cracked (také v článku Windows Vista cracknuta ještě v den uvedení).

Microsoft vydal příručku – Windows Vista Security Guide. Z obsahu:

  • Overview
  • Chapter 1: Implementing the Security Baseline
  • Chapter 2: Defend Against Malware
  • Chapter 3: Protect Sensitive Data
  • Chapter 4: Application Compatibility
  • Chapter 5: Specialized Security – Limited Functionality
  • Appendix A: Security Group Policy Settings

Viz stručný komentář v článku Microsoft releases Windows Vista security guide .

Ajax a bezpečnost – zatím nejsou velcí kamarádi…, v článku Top 10 Ajax Security Holes and Driving Factors předkládá jeho autor seznam deseti nejvážnějších děr.

Bezplatně si můžete stáhnout program PC-Clean (exe). Blokuje nežádoucí software (phishing software, adware, spyware) popřípadě od něho vyčistí váš počítač.

Můžete si také stáhnout jednu kapitolu knihy How to Cheat at Designing Security for a Windows Server 2003 Network (Amazon). Jedná se o kapitolu 4. Securing the Network Management Process.

Malware, rootkity, hackeři

Robert Lemos v SecurityFocus píše o možnostech využití video souboru jako nosiče malware ( Malware goes to the movies ).

Spyware Horror Storie – zajímavá rubrika, kam přispívají samotní čtenáři. Popisují vlastní neblahé zkušenosti se spyware.

Implementace a detekce PCI rootkitu – Implementing and Detecting PCI Rootkit. V technicky zaměřeném článku autor (John Heasman) diskutuje možnosti uchování rootkitu v PCI zařízení s přídatnou flash ROM.

Ruští hackeři použili trojan SpamThru k vytvoření soustavy 70 000 botů. Na SecurityFocus toto komentuje Robert Lemos.

Hardware

Nejmenší spektrální analyzátor pro bezdrát – Wi-Spy. Co tento nástroj umí, najdete tady.

Spam

Největší spameři podle společnosti Spamhaus (Meet the world's most prolific spammers):

  • veřejným nepřítelem č.1 je Ukrajinec, známý jako Alex či Alexej
  • druhým je jakýsi Leo Kuvayev (Pavka/Artofit)
  • a třetím – Michael Lindsay (iMedia Networks)

Autentizace, hesla, phishing

Bezpečnost v gridech: autentizace uživatelů – Daniel Kouřil na Lupě: „Gridy spojují řadu institucí, které mají často rozdílné politiky pro správu uživatelů a přístup ke svým prostředkům. V takovém prostředí se objevují problémy, které nejsou známy z jiných oblastí a které proto vyžadují specifická řešení. Podívejme se, jaký vliv mají tato řešení na autentizaci uživatelů“.

Podle výsledku testů firmy SmartWare (Report: Firefox 2.0 Trumps IE7 In Phish-Fighting ) je v blokaci phishingových stránek Firefox lepší než IE7. Firefox blokoval 243 stránek, které IE7 přehlédl, oproti tomu IE7 blokoval 117 stránek, které přehlédl Firefox 2.0.

Ve Velké Británii byl vydán nový zákon (Fraud Act 2006) proti podvodům, obsahuje mj. i zákaz kitů pro phishing (Phishing kits banned by new Fraud Act). Jak je na tom české právo?

With IE 7, green means go for legit sites aneb IE7 a zelená pro legitimnost webovských stránek. Joris Evers vysvětluje význam aktivit CA Browser Forum. Nová funkcionalita IE7 by se měla objevit v lednu 2007.

Elektronické hlasování

V souvislosti s právě proběhnuvšími volbami v USA otevřel Bruce Schneier na svém blogu několik témat k problematice elektronického hlasování:

Normy a normativní dokumenty

Vyšel draft IETF pkix:

Je to v pořadí již šestá verze draftu. Chystaný dokument má nahradit známé rfc.3280, které obsahuje popis profilů digitálních certifikátů X.509 v3 a CRL X.509 v2.

Dále vyšlo rfc4716, ve kterém je definován formát veřejného klíče v SSH:

A konečně – objevila se první verze draftu

Komentář k tomuto draftu najdete na Financial Cryptography: Extended Validation – setting the minimum liability, the CA trap, the market in browser governance.

Kryptografie

Skupinové kryptografické klíče – přehled známých protokolů pro tuto problematiku obsahuje studie Security-Focused Survey on Group Key Exchange Protocols. Mark Manulis v ní navazuje na studii publikovanou na serveru IACR minulý týden.

Algebraický útok na DES (omezenou na deset cyklů), první útok tohoto typu popisují pánové Nicolas T. Courtois and Gregory V. Bard v práci Algebraic Cryptanalysis of the Data Encryption Standard.

Willi Geiselmann a Rainer Steinwandt navrhují v Non-Wafer-Scale Sieving Hardware for the NFS: Another Attempt to Cope with 1024-bit nový přístup k řešení hardware pro NFS (Number Field Sieve) – fáze síta.

Kryptologie zařazena mezi náboženství a mystiku… . Některá nakladatelství nabízí knihu Pavla Vondrušky čtenářům v sekci Mystika a náboženství.

Různé

Intellipedia aneb verze Wikipedie pro tajné služby – U.S. intelligence unveils spy version of Wikipedia. Samozřejmě není určena pro veřejnost. Viz také diskusi na Schneierově blogu.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

21. 11. 2006 17:42

anonym :-) (neregistrovaný)
MS Exchange mame bohuzel ve firme diky jednomu nasemu "skvelemu" externimu technikovy na servery,ktery se zabyva jen MS a ostatni je pro nej zmetek a pocitac starsi nez pul roku je na odpis.No proste kardinalni blb,ja se zameruji hlavne na Unix a Linux a protlacuji jej aspon u znamych a malych zakazniku a jsou spokojeni,protoze vim sam moc dobre ze jsou mnohem lepsi alternativy a umim jim to rozumne vysvetlit vyhody a nevyhody.Jinak Xubuntu testuji ted doma,zbyva rozchodit TV kartu,mam…

20. 11. 2006 18:50

--==[FReeZ]==-- (neregistrovaný)
S tim nelze, nez souhlasit. Ovsem MS Exchange, MS Outlook a MSIE jsou nejvetsi zlo, mnohem vyhodnejsi je nasadit alernativy, protoze pouzivat OpenSource mail server i mail client je hracka. Xubuntu mi pripada ponekud nadmiru user friendly, je vhodny zejmena pro takove usery, kteri neovladaji terminalove prikazy, vse instaluji z balicku a zasadne preferuji mys nad klavesnici =)
Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: 7 druhů hotových těst na vánoční cukroví

7 druhů hotových těst na vánoční cukroví

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“