Bezpečnostní střípky za 49. týden roku 2006

Obecná a firemní bezpečnost IT

Autor článku The Truth about Patching (Mark Shavlik) rozebírá pět často tradovaných mýtů vztahujících se k systémům pro záplatování používaného softwaru. Tyto mýty se týkají rozlišení vlastností systémů používajících agenty pro sběr informací od systémů, které tyto agenty nepoužívají:

• 1. Systémy s agentem (sbírajícím informace) jsou přesnější (preciznější).
• 2. Se systémy s agentem se lépe pracuje.
• 3. Systémy s agentem potřebují menší kapacitu (sítě).
• 4. Systémy s agentem jsou rychlejší.
• 5. Systémy s agentem nabízí lepší pokrytí.

Autor konstatuje, že obě architektury mohou v zásadě vykonávat tytéž činnosti.

Otázky, které byste si měli položit, pokud se chcete ujistit, že aktiva vaší firmy jsou dostatečně ochráněna (ve vztahu k použitým softwarovým aplikacím), formuluje článek Ten Questions You'd Better Ask Yourself to Be Sure Your Company's Assets Are Secure :

• Jakým rizikům je vystaveno podnikání vaší společnosti ve vztahu k používanému softwaru?
• Jak mohou hackeři a nepřátelští interní zaměstnanci použít software k útoku proti vašemu podnikání?
• Jak bezpečný je můj software?
• Jaká mám k dispozici ujištění o bezpečnosti mého softwaru?
• Jaké kroky mohu podniknout k vyhodnocení těchto ujištění?
• Potřebuji takovéto hodnocení i ve vztahu ke komerčnímu a open source softwaru (nebo k softwaru mých partnerů a dodavatelů)?
• Vyžaduje kontrola bezpečnostních rizik spojených se softwarem organizační změny?
• Jaká cesta ke kontrole rizik firmy je nejvíce efektivní a účelná?

Enterprise Incident Response. Network and Disk Analysis – to je prezentace certifikovaného bezpečnostního pracovníka (CISSP), který se jmenuje Presmike (snad) a v současnosti pracuje ve smlouvě pro americké ministerstvo obrany. Pro toho, kdo si chce najít čas a v poměrně strohých informacích prezentace se bude chtít rozebrat, to nemusí být nezajímavé.

Celkový pohled na problém bezpečnosti internetu a bezpečnost firemních sítí a některá globální doporučení přináší článek Information Security – Whose Responsibility Is It? (autorem je Guillermo L. Ortiz-Caceres).

Krádeže IP adres jsou dnes na denním pořádku (častým příkladem jsou šiřitelé spamu). Autoři článku Accurate Real-Time Identification Hijacking navrhují nové schéma pro zachycení takových podvodů.

OSN varuje před ztrátou hesel. 5 našich tipů, jak se bránit – to je článek Pavla Kasíka na Technetu. Při poukázání na nezbytnost používání silných hesel by bylo dobré také poukázat na vhodné postupy (např. vytváření dlouhých zapamatovatelných hesel z celých vět – passphrase).

Hezký článek (informačně obsažný) ke správě hesel pro webové prohlížeče (IE a Firefox, konkrétně IE6 a IE7, resp. Firefox 1.5 a 2.0) se objevil (resp. zatím jeho první část) na stránkách ScurityFocus – Password Management Concerns with IE and Firefox, part one. Najdete zde následující:

• Mechanismy pro ukládání hesel a pro přístupy k těmto heslům
• Útoky na správce hesel

Druhá část článku (vyjde později) se má věnovat těmto otázkám:

• Falešný pocit bezpečí
• Použitelnost
• Opatření k redukci rizik, která mohou být učiněna jednotlivci i společnostmi.

V článku (jeho autorem je Mikhael Felker) najdete také celou řadu dalších odkazů k diskutované problematice.

Software

IRM (Information Rights Management) a MS Office ve Windows Vista jsou námětem článku How Vista Lets Microsoft Lock Users In. IRM (poprvé se objevilo v Office 2003) je systém, s jehož pomocí jsou uplatňována omezení na práva uživatelů ve vztahu k práci s dokumenty, které byly vytvořeny v MS Wordu, Powerpointu či Excelu. S IRM může uživatel Office specifikovat, zda jeho dokument může být tištěn, ukládán, editován, přeposílán dalšímu uživateli. Dokonce lze odvolat přistup k dokumentu ještě po jeho odeslání. Teprve budoucnost ukáže, zda IRM naplní všechny záměry svých tvůrců.

Co to je Windows Management Instrumentation Command-line, na tuto otázku najdete odpověď v článku Introduction to WMIC. Tento méně známý a přesto užitečný nástroj je obsažen ve Windows. William Lynch objasňuje jeho základní použití a vztah k testům zranitelností a penetračnímu testování resp. forenzní analýze.

Známý autor článků z problematiky bezpečnosti IT Robert Vamosi se v Windows Vista and the coming criminal diaspora vyjadřuje k otázce vztahu Windows Vista a bezpečnost. Windows Vista budou bezpečnější než jeho předchůdci, na tom se odborníci shodují. Otázkou je, jaká bude tato bezpečnost. „Počítačová kriminalita mě nepochybně v příštích měsících učiní zaměstnaným člověkem,” říká Vamosi.

Další seznam SW nástrojů, tentokrát pro bezpečnostního ředitele (CISO), je obsažen na stránce The Cheapskate’s In­fosecurity Toolbox. Následující volně dostupné nástroje – doporučuje Ken Pfeil:

• BartPE: Preinstalled Environment
• Snort: Open Source Intrusion Detection System
• VMWare Server: A virtual environment
• DataRescue's IDA Pro Freeware 4.3 disassembler and debugger
• OllyDbg disassembler and debugger
• eEye Digital Security's Binary Diffing Suite
• Cygwin: Linux-like environment for Windows
• Nagios: An open-source host, service and network monitoring program 
• Firewall and Management Interface: iptables a Firewall Builder
• Apache SpamAssassin: Fight Spam at the Gateway
• OpenSSH for Windows: Secure Shell for Windows
• Cheops-ng: The Network Swiss Army Knife
• ACID (Analysis Console for Intrusion Databases):

a ještě jsou zde uvedeny odkazy na sadu dalších nástrojů (Nessus, Nmap, Paros, Netcat,…)

Na klientské straně SSH je využitelný nástroj PuTTY – Key-Based SSH Logins With PuTTY. Falko Timme v zmíněném článku předkládá průvodce pro generování a používání dvojice klíčů (veřejný/soukromý) pro přilogování se do systému s SSH a to s využitím PuTTY (z obsahu – instalace PuTTY, vytvoření profilu, spojení s SSH serverem, generování páru veřejná/soukromý klíč, uložení veřejného klíče na serveru, práce se soukromým klíčem, login, atd).

Jak je v problematice IT bezpečnosti užitečný freeware – Information security freeware has its benefits – Ed Skoudis hodnotí tento vztah jednak obecně, ale také uvádí odkazy na některé konkrétní soubory nástrojů (spolu s jejich základním popisem):

• Helix bootable CD
• Sleuth Kit
• Sysinternals suite
• Snort

Distribuce Linuxu Ubuntu a Kubuntu – k jejich zabezpečení najdete podrobný popis v článku Locking Down Ubuntu (Joseph Quigley). Týká se bezpečnostních aktualizací, zabezpečení adresářů, problematiky firewallů (Firestarter pro Ubuntu a Guarddog pro Kubuntu).

Na stránce Database Security najdete rozsáhlou sadu informačních zdrojů k problematice bezpečnost databází. Z nejnovějších materiálů lze upozornit na Leveraging database security investments. James C. Foster zde dává následující doporučení ohledně praktických postupů ve firmách s ohledem na snížení nezbytných nákladů:

• 1. Zvol jednu plaformu a ber ji jako standard
• 2. Implementuj v ní vestavěné vlastnosti – šifrování a přístupové metody
• 3. Databáze umísti (fyzicky/virtuálně) v těsném sousedství
• 4. Využij konzultanty jak pro testování konfigurací, tak i pro nástroje vztahující se k zranitelnostem
• 5. Zpracuj postupy pro své produkty

Firewally

Autorem průvodce pro konfigurování firewallu prostřednictvím NetFilter/iptables je David Mair (Simple Firewall Configuration Using NetFilter/ipta­bles – SuSE Linux).

Výsledky testu firewallů (Free firewalls outclass paid-for ones, test reveals). který provedli pracovníci společnosti matousec říkají, že ty bezplatné jsou lepší než jejich placení konkurenti. V testu nejlépe dopadly:

• Comodo Personal Firewall v2.3
• Jetico Personal Firewall v2.0 beta

(tyto dva obdržely hodnocení – výtečně)

• ZoneAlarm Pro 6.5
• Trend Micro PC-cillin Internet Security 2007

(hodnocení – velmi dobře). Firewall Microsoftu dopadl jako jeden z nejhorších. Pro srovnání – jiný takovýto test najdete na Firewall leak tester 2003–2006.

Malware

V devítistránkové studii (Introducing Stealth Malware Taxonomy), autorka (Joanna Rutkowska – známá svými aktivitami v problematice rootkitů) vysvětluje svůj návrh klasifikace malware.

K současnému stavu problematiky detekce rootkitů sepsal článek Andrew Conry-Murray (Rootkit Detection. Finding the Enemy Within).

Červ na stránkách MySPace využívá exploit v QuickTime (MySpace worm uses QuickTime for exploit. It steals log-in credentials and sends out adware-promoting spam). Podle odhadů je infikována jedna třetina profilů (73 miliónů uživatelů). Červ odesílá uživatele na falešný web a zde se snaží z uživatele vylákat logovací data a rovněž je původcem rozesílání spamu z kontaktů uživatele. Viz také QuickTime worm uses MySpace to spread

VoIP

Užitečná doporučení aneb 25 cest k lepšímu zabezpečení vaší VoIP sítě obsahuje článek VoIP Security Challenges: 25 Ways to Secure your VoIP Network. O (ne)zabezpečení technologie VoIP padla na těchto stránkách zmínka již mnohokrát. Některým útokům se však lze při znalosti problému bránit.

RFID

Otázkou, jak ochránit osobní informace obsažené v čipu RFID, se zabýval tým pracovníků v rámci RFID Guardian Project. Výsledky zpracované formou studie byly minulý týden předneseny na konferenci Usenix (A Platform for RFID Security and Privacy Administration). Článek získal na této konferenci ohodnocení Best Paper Award.

Mobilní telefony a mobilní zařízení

McAfee oznámil první spyware nalezené na mobilech – Researchers spot first mobile spyware. Jedná se o spyware pro mobily s operačním systémem Symbian. SymbOS/MultiDrop­per.CG kopíruje odeslané SMS zprávy a log soubor obsahující údaje o telefonních číslech a odchozích hovorech.

Marek Hudema na stránkách DigiWeb.cz oznamuje Hackeři míří na chytré telefony.

Průvodcem bezpečností mobilních zařízení je sedmnáctistránková studie The CIO's Guide to Mobile Security (spíše stručným přehledem než hlubší informací).

Jim Alfred (Certicom), mj. v návaznosti na využití eliptické kryptografie, diskutuje v Ensuring Strong Security for Mobile Transactions podmínky bezpečnosti systému pro provádění transakcí s využitím mobilních zařízení.

Phishing

Microsoft informuje o svém filtru chránícím před phishingem – Microsoft Phishing Filter (IE7 pro Windows XP s SP2 a Windows Vista).

Normy a normativní dokumenty

Vyšla dvě rfc vztahující se ke kryptografickým postupům:

• rfc.4758 – Cryptographic Token Key Initialization Protocol (CT-KIP)
• rfc.4757 – The RC4-HMAC Kerberos Encryption Types Used by Microsoft Windows

NIST vydal

• Special Publication 800–89, Recommendation for Obtaining Assurances for Digital Signature Applications

Dokument je určen pro vývojáře aplikací digitálního podpisu (SW, bezpečnostní politiky).

Kryptografie

Úspěšný útok na bezcertifikátové podpisové schéma předkládají Zhenfeng Zhang a Dengguo Feng v Key Replacement Attack on a Certificateless Signature Scheme. Autoři studie říkají, že útočník záměnou veřejného klíče podpisujícího strany získá cestu k podvržení platných digitálních podpisů.Viz také obdobný výsledek v An attack on the certificateless signature scheme from EUC Workshops 2006

Diskusi k šifře v nově nalezených důkazech (Exclusive: Evidence Obtained In Unabomber Case) proti Unabomberovi najdete v Schneierově blogu. Kdo to byl a čím Unabomber nechvalně proslul, k tomuto si popis lze přečíst v článku Key Events In The Unabomber Case.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.