Bezpečnostní střípky za 47. týden roku 2006

Obecná a firemní bezpečnost IT

Hacking Email: 99 Tips To Make You More Secure and Productive aneb 99 tipů pro vyšší bezpečnost a produktivnost vašich e-mailů. Doporučení jsou rozdělena do následujících skupin:

• etiketa
• komunikace a efektivnost
• mobilní e-mail
• produktivita, organizace a filtrování
• přílohy e-mailů
• triky, hacky, zálohy
• specifiky mailových systémů
• bezpečnost a důvěrnost

Další reference k problematice obsahuje závěr článku.

U.S. Cyber Consequenses Unit vydala užitečný dokument (The US-CCU Cyber-Security Check List), který obsahuje přehled typů jednotlivých zranitelností. Je rozdělen do šesti oblastí, podrobněji pak do šestnácti okruhů:

Area I. Hardwarové zranitelnosti

• 1. Fyzická zařízení
• 2. Fyzické prostředí
• 3. Vedlejší fyzické produkty

Area II. Zranitelnosti software

• 4. Autentizace identity
• 5. Práva aplikací
• 6. Validace vstupů
• 7. Odpovídající vzory chování

Area III. Síťové zranitelnosti

• 8. Stálá síťová spojení
• 9. Občasná síťová spojení
• 10. Údržba sítě

Area IV. Mechanické zranitelnosti

• 11. Vzdálené senzory a kontrolní systémy
• 12. Zálohovací procedury

Area V.Zranitelnosti lidského operátora

• 13. Údržba bezpečnostních procedur lidmi
• 14. Záměrné aktivity k ohrožení bezpečnosti

Area VI. Zranitelnosti dodaného software

• 15. Vnitřní politiky pro vývoj software
• 16. Politiky pro součinnost s externími dodavateli

Cílem dokumentu je napomoci organizacím při vytváření metodik (politik) pro posuzování zranitelností jejich systémů.

USA – některé negativní zkušenosti, zjištěné slabiny IT struktur vládních organizací, vedly k vydání zprávy Agencies Need to Develop and Implement Policies for Periodic Testing. Dokument obsahuje také řadu metodických odkazů.

Interní nepřítel je snad větší hrozbou, než jsou červi a spyware (Insider security threats come in many forms). Společnosti by měly dát zřetelně najevo svým zaměstnancům, že jsou monitorováni, říká Kerry Anderson. Uvedených několik dalších souvisejících myšlenek je pak doplněno odkazy na příbuzné články.

Pokračováním autorova (Aelphaeis Mangarae) článku Learn Information Gathering By Example je 70ti stránková studie Vulnerabilizy Enumeration For Penetration Testing. Autor popisuje vyhledávání zranitelností ve vzdálených systémech, které lze nalézt pomocí penetračních testů (následně po sběru informací o cíli). Upozorňuje: Ne všechny postupy v článku popsané mohou být legální ve vaší zemi(!).

Security adviser: Cyberthreats keep growing – Tom Espiner popisuje vystoupení bezpečnostního poradce Howarda Schmidta ve sněmovně lordů (v právě uplynulém týdnu). Schmidt zde charakterizoval rostoucí potenciál možných hrozeb kybernetické kriminality. Významnou zranitelností IT struktur je lidský faktor. Poukázal také na spam a související phishingové hrozby.

Software

Mark Rasch rozebírá v článku Vista's EULA Product Activation Worries funkční i právní důsledky přístupu Microsoftu k licenčním podmínkám v novém operačním systému (End User License Agreement – EULA).

Studie Which database is more secure? Oracle vs. Microsoft diskutuje rozdíly dvou databázových produktů: Microsoft SQL a Oracle RDBMS. Z porovnání lépe vychází produkt MS.

Chyba ve Firefoxu umožňuje krádež hesla (Critical Firefox hole allows password theft. Vulnerability lies in browser's Password Manager software). A sice na webech, kde si uživatel sám vytváří své webové stránky, jako je třeba MySpace.com.

Top 10 Web 2.0 attack vectors – Shreeraj Shah v tomto článku předkládá seznam nejvážnějších existujících zranitelností pro novou generaci webových aplikací (např. start.com, Google maps, Writely a MySpace.com).

Manolis Tzanidakis (How to bridge networks with OpenVPN): OpenVPN je založeno na využití Open SSL. Existuje několik průvodců, jak s jeho pomocí připojit jeden počítač (např. vzdálený notebook) k síti. Zde se autor zabývá složitější situací – propojení celé sítě (např. pobočky firmy).

Pohled na bezpečnost koncových počítačů z hlediska existujících prostředků při využívání SSL VPN lze nalézt v článku The Means to an Endpoint Security (jeho autorem je Ameet Dhillon).

Learning Guide: Application threats: CSRF, injection attacks and cookie replay to je průvodce, který je orientován na problematiku (některých) častých hrozeb aplikacím:

• Cross-site request forgery
• Injection attacks
• SSI injection
• LDAP injection
• XPath injection
• Cookie replay
• Other Useful Resources

Najdete zde vybraný seznam odkazů na související články (vysvětlení pojmů, doporučení odborníků). Navíc na vstupní stránce dole najdete celou další řadu užitečných odkazů (Threats, Vulnerabilities, Countermeasures).

Malware

Alexander Gostev je autorem čtvrtletní zprávy společnosti Kaspersky Lab – Malware Evolution: July – September 2006. Hackerské komunitě prý chybí nápady, jak vytvářet nové typy malware. Takovýto komentář ke zprávě obsahuje článek Is the hacking community running out of fresh ideas?.

Hackeři

Možnost anonymního RFI útoku s využitím Google popisuje autor Anonymizing RFI Attacks Through Google. Umístíme cílovou URL na nějakou webovou stránku, Google ji navštíví a oindexuje ji.

Hack the Playstation 2 – to je kapitola (lze ji stáhnout po bezplatné registraci) knihy Joe Grand's Best of Hardware, Wireless, and Game Console Hacking DVD. Z obsahu knihy:

• PS2 system overview
• Mainboard revisions
• Opening and disassembling the PS2
• Hack #1: Installing a serial port
• Hack #2: Booting code from the memory card
• Additional hacks and resources

Hardware

V popis sedmi kroků k zabezpečení práce s USB disky vyúsťuje článek Nimroda Reichenberga 7 Steps to Securing USB Drives . Autor nejprve rozebírá existující rizika a následně dává tato doporučení:

• 1. Vždy definujte a publikujte politiku své společnosti pro práci s personálními zařízeními pro ukládání dat
• 2. Institucio­nalizujte podniková personální zařízení pro ukládání dat
• 3. Ujistěte se, že data na těchto zařízeních jsou kompletně zašifrována
• 4. Ujistěte se, že uživatelé nemohou obcházet příslušná bezpečnostní opatření
• 5. Udržujte auditní záznamy týkající se pohybu dat, ukládaných na USB zařízeních
• 6. Zabezpečte možnost obnovy dat, která jsou na na těchto personálních zařízeních uložena
• 7. Ujistěte se, že vaše podniková řešení jsou dostatečně komplexní tak, aby umožňovala ukládat informace na bezpečné USB disky, dále kontrolu využívání mobilních zařízení, a to jak uvnitř, tak i mimo podnikové prostředí. A také aby existovala centrální správa podnikových USB disků.

Bezdrát

Hacky Wi-Fi označovaná jako „Evil twin“ – to jsou útoky následujícího typu. Útočník v blízkosti komerční bezdrátové sítě spustí svůj vlastní přístupový bod pro bezdrátovou síť a dá síti totéž jméno. Nic netušící uživatel se přihlásí do této falešné sítě a neuvědomuje si vůbec, že jeho provoz je plně monitorován, personální informace se dostanou do rukou nepovolaným osobám. V některých situacích může dojít takto i k vzdálenému hacku počítače. Nedávno byla takováto „zlá dvojčata“ zjištěna v blízkosti salónků první třídy na mezinárodním letišti, v garážích specializovaných na drahá auta, která nabízí Wi-Fi pro dobu, kdy zákazník čeká (Evil twin Wi-Fi hacks target the rich).

VoIP

U některých IP telefonů může dojít k vzdálené aktivaci odposlechu – IP Telephones – Michael Puchol popisuje v stručné poznámce dva z možných scénářů.

Internetové bankovnictví, online nákupy

Vlastimil Klíma to nazval slovy Otřesná ochrana PINů v přenosovém bankovním systému a opravdu – existenci zranitelnosti takové, jak ji popisují O. Berkman a O.M. Ostrovsky v The unbearable lightness of PIN cracking, ani jinak hodnotit nejde. Zmiňovaný útok může být proveden z vnitřního prostředí banky, a to kterékoli, kterou použijete pro zadání svého příkazu. Diskusi k citované studii najdete také na Schneierově blogu.

Varování před nadcházejícími svátky: každý desátý se stává obětí podvodu při online nákupech – One in 10 surfers fall prey to cyber-criminals. Zveřejněné výsledky se tedy týkají Spojených států, ale od věci jistě nejsou následující doporučení:

• Neobchodujte online prostřednictvím nešifrované či otevřené bezdrátové sítě
• Před připojením na internet či online obchod mějte nainstalován aktualizovaný antivir a antispywarový program, nainstalovaný firewall a pravidelně aktualizujte operační systém.
• Před tím, než začnete své online obchody s neznámým e-obchodem, ověřte si tohoto prodejce a zjistěte si jméno a fyzickou adresu prodejce – pro případ, že by bylo něco v nepořádku.
• Nedávejte k dispozici svá finanční data na nezabezpečených webech.
• Ochraňujte svá osobní data rozumem i technologiemi. Buďte ostražití, pokud někdo požaduje nečekaně osobní data.

Další doporučení pro větší bezpečnost vašich online nákupů najdete na stránce Holiday Shopping? How To Be On Guard When You’re Online. Tentokrát pochází od FTC (The Federal Trade Commission). Jsou sice z loňska, ale jistě nic neztratila na své aktuálnosti. Čerstvý komentář k nim obsahuje článek FTC offers guidelines to reduce online shopping risks. EDS also weighed in with e-shopping do's and don'ts.

A ještě sada doporučení (celkem 11), jak chránit svoji (kreditní) kartu před podvody – 11 Tips for Preventing Credit Card Fraud This Season. Viz také:

• Online, Phone, U.S. Mail or In-Person: Where is Your Credit Card and Personal Identify Safest?
• 10 Secret Strategies to Improve Your Credit Score

Phishing, biometrie

Antiphishingové lišty nepomáhají – Phinding Phish: An Evaluation of Anti-Phishing Toolbars. Studie seznamuje čtenáře s výsledky testování deseti (Microsoft Explorer 7, eBay, Google, Netcraft (Mozilla), Netscape, Cloudmark (Mozilla), Earthlink, Geotrust’s Trus­tWatch, and Stanford University’s Spo­ofguard a McAfee’s Site­Advisor.) populárních antiphishingových lišt (toolbars). I ty nejlepší detekují jen 85 procent podvodných stránek. Komentář ke studii je obsažen v článku Study shows antiphishing toolbars are ineffective. Most of the toolbars suffered to varying degrees from false positives.

O bezpečnosti britských biometrických pasů a s tím spojené problematice ochrany osobních dat informuje článek Cracked it!.

Normy a normativní dokumenty

Vyšla dvě experimentální rfc věnovaná využití a popisu variant protokolu EAP (Extensible Authentication Protocol):

• Multiple Authentication Exchanges in the Internet Key Exchange (IKEv2) Protocol
• Extensible Authentication Protocol (EAP) Password Authenticated Exchange 

Kryptografie

Na tuto studii – On the Power of Simple Branch Prediction Analysis – jste mohli najít upozornění již v 43. týdnu. Tomáš Rosa nyní podrobněji komentuje možné dopady popsaného útoku – Postranní kanály v mikroprocesorech – další skok kupředu (studie samotná upoutala pozornost médií a je nyní citována poměrně často).

Různé

IEEE Cipher – vyšlo nové číslo (listopad 2006). Komentáře, recenze knih, informace o konferencích.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.