Hlavní navigace

Bezpečnostní střípky za 48. týden roku 2006

Jaroslav Pinkava 4. 12. 2006

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Přehledy, obecná a firemní bezpečnost IT, software, malware, hardware, VoIP, RFID, mobilní telefony, spam, internetové bankovnictví, autentizace, hesla, phishing, normy a normativní dokumenty, kryptografie.

Přehledy

Byla zveřejněna druhá část zprávy společnosti Kaspersky Lab – Computers, Networks and Theft: Part 2 (první část najdete zde – Computers, Networks and Theft). Tato druhá část je věnována přehledu kriminálních útoků na organizace, společnosti a instituce. Takovéto útoky lze rozdělit do dvou kategorií. První z nich tvoří útoky na zdroje organizací, druhou pak útoky na klienty těchto organizací. Přehled obsahuje statistická data charakterizující dimenzi problému.

Tom Sanders se v 2007 to bring video viruses zamýšlí nad nedávnou zprávou společnosti McAfee. V závěru článku jsou uvedeny předpovědi McAfee na příští rok vztahující se k IT bezpečnosti:

  • 1. Poroste počet webovských stránek, na kterých kradou hesla – díky falešným stránkám (se sign-in), které se tváří jako populární online služby, např. jako eBay.
  • 2. Objem spamu (speciálně obrázkového, který ujídá více přenosové kapacity) poroste
  • 3. Popularita sdílení videa na webu nezbytně povede k tomu, že cílem hackerů se stanou soubory MPEG jako prostředek pro šíření škodlivého kódu
  • 4. Útoky na mobilní telefony budou častější, vzhledem k tomu, že mobilní zařízení se stávají chytřejšími a jsou častěji spojovány
  • 5. Adware se bude pravidelně objevovat – vzhledem k trendu komerčních PUP (Potentially Unwanted Programs).
  • 6. Krádeže ID a ztráty dat budou i nadále obvyklou situací – podstatou této kriminality je často krádež počítače či ztráta záloh anebo kompromitace informačních systémů
  • 7. Využívání botů (počítačových programů provádějících automatické aktivity) poroste a bude favorizovaným nástrojem hackerů
  • 8. Vrátí se parazitický malware nebo viry, které modifikují soubory na disku
  • 9. Poroste počet rootkitů na 32bitových platformách, stejně tak však se bude zlepšovat ochrana před nimi a příslušný potenciál pro „léčbu“.
  • 10. Zranitelnosti budou stále budit obavy díky existenci nelegálního trhu se zranitelnostmi.

Obecná a firemní bezpečnost IT

Information Security – Tolls of the Trade – to je přehled dlouhé sady nástrojů použitelných pro různá bezpečnostní hodnocení a penetrační testy. Přehled je rozdělen do řady kategorií, ke každému nástroji je uveden web, odkud lze nástroj získat (autor se nezmiňuje, zda všechny nástroje lze stáhnout bezplatně). K tématu lze doporučit stránku s články Dona Parkera. V uplynulém týdnu se také objevila nová verze nástroje Caine & Abel – verze 4.2 (k popisu jeho některých využití viz – Tools of the Trade revisited (Part 3)).

Oskenovat svůj počítač můžete také prostřednictvím Nmap online. Vysvětlení postupů najdete na stránce http://insecu­re.org/nmap/man/.

Rozlišujte vlastnictví dat a vlastnictví technického zařízení – Separating Data Ownership and Device Ownership – to je obsahem eseje Bruce Schneiera. Autor se zde zamýšlí v trochu obecnější podobě nad některými útoky na kryptografické systémy (postranní kanály, RSA), resp. nad problémy DRM atd.

Co je nejčastější příčinou bezpečnostních průniků? Harnish Patel (What Are The Most Common Causes Of Security Breaches?) diskutuje pravdivost šesti často formulovaných tezí ohledně spyware:

  • 1. Je to izolovaný problém.
  • 2. Stačí blokace na bráně.
  • 3. Stačí uzamčení počítače (Lock Down Your PC)
  • 4. Neuvědomělé stáhnutí je hlavním zdrojem narušení (penetrace)
  • 5. Problém je vnějšího původu
  • 6. Nikdo nechce spyware.

Největší hrozby pro organizace jsou interního typu. Například z přehledu Information Security Breaches (2006, DTI a Pricewaterhou­seCoopers) vyplývá, že původcem 32 procent bezpečnostních útoků byly interní zaměstnanci a původci dalších 28 procent útoků byly bývalí zaměstnanci a partneři.

Scott Granneman v článku A Hard Lesson in Privacy na jednom konkrétním příkladě rozebírá, co vše se může (a nemělo by) stát, pokud nechráníte svá data, která jste si uložili na disk (nedostatečně smažete data na disku a disk jde jinam, např. je prodán).

Trochou retrospektivy – na 25 let síťové bezpečnosti – se zabývá John Pescatore (analytik společnosti Gartner) v Analyst reviews 25 years of network security. V roce 1978 po studiích začal pracovat v NSA, pak v jiných tajných službách a všude se zabýval otázkami budování zabezpečených systémů. Následně pak pracoval v privátním průmyslu – na obdobné problematice. V článku autor popisuje svoji odbornou životní pouť a získané zkušenosti.

10+ e-mail best practices to share with your users – to je 4 stránkový průvodce (nezbytná je registrace) pro bezpečný e-mail. Obsahuje následujících deset doporučení (nejlepších postupů), resp. ve skutečnosti jich je dvanáct:

  • 1. Chraňte se před nákazou viry a před spamem.
  • 2. Vyhněte se útokům typu phishing.
  • 3. Spravujte svoji došlou poštu (třiďte zprávy podle priority, subjektu, data, odesilatele,…).
  • 4. Komponujte své zprávy tak, aby měly profesionální vzhled.
  • 5. Do řádku předmět (subject) pište efektivně, tj. aby příslušný popis nebyl ani příliš vágní ani příliš mnohomluvný.
  • 6. Správně používejte položky kopie a skrytá kopie (CC a BCC).
  • 7. Řiďte se etikou při přeposílání zpráv.
  • 8. Nestaňte se součástí „flame war“, tj. spíše emocionální než předmětné výměny zpráv.
  • 9. Chraňte adresy e-mailů (adresy spolupracovníků neposkytujte jiným firmám, přátelům apod.)
  • 10. Opatrně zacházejte s přílohami.
  • 11. Nevkládejte do e-mailu citlivé či potenciálně matoucí informace
  • 12. Uvědomte si, kdy je vhodné použít e-mail (a kdy ne).

Kapitolu 13 (IT Operational Security Plan – 80 stran) z knihy: Syngress IT Security Project Management Handbook si můžete stáhnout zde. Obsah kapitoly je následující:

  • Operational Security Assessment
  • Project Parameters
  • Project Team
  • Project Organization
  • Project Work Breakdown Structure
  • Project Risks and Mitigation Strategies
  • Project Constraints and Assumptions
  • Project Schedule and Budget
  • Operational Security Project Outline

Software

Antiprůvodce k bezpečnosti Windows Vista najdete na odkazu The Devil's Guide to Windows Vista Security Jonathan Hassell explains how to fly with all the safeties off. Jonathan Hassell ukazuje, jak se zbavit obtížností bezpečnostních nastavení OS Windows Vista. No, neposlechněte ho.

MS vydal 21 stránkový dokument (Windows Malicious Software Removal Tool: Progress Made, Trends Observed), který obsahuje jednak charakteristiku malware zachyceného nástrojem Windows Malicious Software Removal Tool, jednak popisuje efektivnost nástroje (dopad na ochranu uživatelů před malware).

Vulnerability Scanning Web 2.0 Client-Side Components  – Web 2.0 a sken zranitelností (komponent na straně klienta). Shreeraj Shah rozebírá požadavky, které klade nová generace webových aplikací.

Bezpečnostními otázkami a opatřeními proti hrozbám ve vztahu k DNS se zabývá Jeff Drake v článku DNS Security and Threat Mitigation: An Overview of Domain Name System Threats and Strategies for Securing a BIND Name Server. BIND je standardní DNS server používaný na linuxových a unixových systémech. Dokument uvádí přehled architektury DNS a procesu rozpoznání jména a také přehled obvyklých hrozeb ve vztahu k DNS. Následně jsou uvedeny některé obranné konfigurace, které mohou být v BINDu implementovány jako ochrana před popsanými obvyklými typy hrozeb.

Malware

Bot šířící se univerzitami využívá existující zranitelnosti – Bot spreads through antivirus, Windows flaws . Jedná se o malware s označením W32.Spybot.ACYR. Záplaty (MS, antivir Symantecu) sice existují, ale… Robert Lemos na tomto příkladu diskutuje poslední útoky botů a zmiňuje větší zranitelnost univerzitního prostředí.

Hardware

Útoky specifické pro hardware popisuje článek Adding extra hardware security for secure embedded devices. Jeho autorkami jsou Helena Handschuh a Elena Trichina. Předkládají zde čtenářům přehled obvykle používaného vybavení a technik k útokům, jejichž cílem je zjištění utajovaných dat obsažených v čipu, popř. reverzní inženýrství struktury samotného čipu.

The Lockdown: Locked, but maybe secure (part 1) aneb které mechanické zámky jsou bezpečné? Je to první část studie k trochu odlišné problematice, ale bezpečnost (fyzická) se bez jejího řešení neobejde. V daném článku najdete přehled možných typů útoků. Jsou diskutovány i v návaznosti na kriteria ustavená laboratořemi Underwriters Laboratories (norma UL 437). Související články téhož autora:

VoIP

VoIP – sedm volání z deseti je otevřeným působištěm pro hackery. V krátké studii VoIP Security – Does it exist? si autor klade otázku zda vůbec bezpečnost VoIP existuje. Odpověď vyznívá v tom smyslu, že rychlý rozvoj používání VoIP není následován analogickou pozorností, která by byla věnována zabezpečení VoIP. Komentář k studii obsahuje článek VoIP – open season for hackers. Mimochodem – výše zmíněný nástroj Cain & Abel lze použít k záznamu hovoru na HD, poté co jiný (dostupný) nástroj WireShark zachytí volání VoIP v síti.

Skype a jaká je jeho bezpečnost i z hlediska jeho používání v organizacích – To Skype or Not to Skype…. Keith Watson se zamýšlí nad pozitivy a riziky, které sebou využívání Skype technologie přináší. Jak se mají rozhodnout organizace – argumenty, proč užívání Skype povolit i proč na druhou stranu nepovolit. Odpověď by podle autora měla přinést příslušná analýza rizik.

RFID

Bezpečnosti RFID v praxi je věnován článek RFID security issues endanger companies and consumers . Joel Dubin zde rozebírá zranitelnosti RFID kreditních karet a dává následně několik doporučení, resp. formuluje čtyři otázky, na které by si podle jeho mínění měl budoucí implementátor systému s RFID odpovědět.

A jeden zajímavý top ten – nejlepší, nejhorší a nejbláznivější použití RFID – obsahuje článek Top 10: The best, worst… and craziest uses of RFID.

Mobilní telefony

Útok na mobilní telefony prostřednictvím servisní SMS popisuje článek Devastating mobile attack under spotlight. Zdroj zprávy v SMS není totiž autentizován a podle německého odborníka (Wilfried Hafner – SecurStar) lze toto zneužít (minimálně u některých typů mobilů). Hafner infikoval mobily trojanem Rexspy, který pak umožní útočníkovi získat kopie všech odesílaných SMS a dokonce odposlech hovoru (útočník je přidán jako třetí tichý účastník konferenčního hovoru).

Spam

On Fighting spam, spyware and malicious software  – to je studie EU, která se zabývá růstem spamu, spyware a malware a také otázkou, zda v tomto směru může pomoci legislativa (a jak). Jako zdroj 80 procent všeho spamu lze vysledovat 200 gangů působících na netu. Studie diskutuje stav problematiky a možná protiopatření. Členským zemím je doporučováno zabývat se vlastními legislativními kroky. Jako příklad pozitivního dopadu takovýchto kroků je uváděno Nizozemsko, kde po úpravě legislativy došlo k poklesu těchto (domácích) spamerských aktivit. Komentář k studii je na Spam rates rise; will legal tactics improve? Well over four-fifths of email is junk; gangs square off.

Internetové bankovnictví

Internetové bankovnictví se dynamicky rozvíjí a pokusy zneužití přibývají. ČNB proto vydala doporučení na obranu:

Jedním z témat Schneierova blogu v uplynulém týdnu jsou aktuální požadavky americké legislativy ohledně bank a dvoufaktorové autentizace (Fighting Fraudulent Transactions). Schneier chystané kroky považuje za nedostatečné a zdůvodňuje proč.

Autentizace, hesla, phishing

Podrobnější informace k bezpečnosti bankomatů obsahuje další komentář (ATM System Called Unsafe.) k studii The unbearable lightness of PIN cracking – zmíněné v minulých Bezpečnostních střípcích). Pozornost si zaslouží i připojená diskuse.

Nebezpečnost phishingu roste, konstatuje autor článku Phishing attacks hotting up.

Normy a normativní dokumenty

IETF vydalo v uplynulém týdnu následující dokument:

Je věnován mechanizmu SASL a použití v něm GSSAPI pro Kerberos.

Kryptografie

Úvod do problematiky šifrování založeného na identitě (Identity Based Encryption) obsahuje článek Encryption Made Easy: The Advantages of Identity Based Encryption . Je to krátká studie, víceméně P.R., ale je vhodná pro první seznámení s tématem.

Různé

Vyšlo nové číslo online magazínu (IN)SECURE Magazine (Prosinec 2006). Z obsahu:

  • Effectiveness of security by admonition: a case study of security warnings in a web browser setting
  • Interview with Kurt Sauer, CSO at Skype
  • Web 2.0 defense with AJAX fingerprinting and filtering
  • Hack In The Box Security Conference 2006
  • Where iSCSI fits in enterprise storage networking
  • Recovering user passwords from cached domain records
  • Do portable storage solutions compromise business security?
  • Enterprise data security – a case study
  • Creating business through virtual trust: how to gain and sustain a competitive advantage using information security

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: E-Ježíšek si i letos zařádí. Nákupy od 2 do 5 tisíc

E-Ježíšek si i letos zařádí. Nákupy od 2 do 5 tisíc

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami