Bezpečnostní střípky za 50. týden roku 2006

Obecná a firemní bezpečnost IT

Dvacet respektovaných odborníků na bezpečnost IT se podílelo na zpracování seznamu deseti nejdůležitějších trendů v bezpečnosti pro následující rok (USA – The Ten Most Important Security Trends of the Coming Year):

• 1. Šifrování dat v noteboocích bude povinným opatřením v řadě vládních úřadů a na nových počítačích bude již předinstalován příslušný SW. Vedoucí pracovníci budou vyžadovat šifrování mobilních dat.
• 2. Podstatně vzroste počet krádeží PDA, inteligentních mobilních telefonů. A to jak z důvodu ceny samotných zařízení, tak i díky vlastním v nich obsaženým datům.
• 3. Bude přijato více legislativních opatření, takových, na jejichž základě bude ukládána ochrana informací zákazníků. Budou ukládány význačně tvrdší sankce (pokuty) organizacím, které ztratí citlivé osobní informace.
• 4. Začnou převládat cílené útoky, konkrétně na státní úřady. Vzroste počet útoků teroristických skupin. Útoky budou směrovány na vojenské dodavatele komerčních organizací a na podnikání, kde existují hodnotné informace o zákaznících.
• 5. Červy pro mobilní telefony infikují alespoň 100 000 telefonů, pohybovat se budou bezdrátovou sítí.
• 6. Systémy VoIP budou cílem kybernetických útoků. Technologie VoIP jsou vyvinuty ve spěchu a bez plného pochopení potřeb bezpečnosti.
• 7. Spyware bude stále obrovským a rostoucím problémem. Tvůrci spyware budou vydělávat peníze mnoha způsoby.
• 8. Zranitelnosti nulového dne se stanou příčinou mnoha velkých bezpečnostních incidentů, mnoho tisíc PC bude infikováno. Řada analytiků zranitelností často nějakou cestou zjištěné zranitelnosti využije (vlastní exploit, prodej zranitelnosti).
• 9. Většina botů bude svázána s rootkity. Rootkity změní operační systém tak, že zjištění přítomnosti útoku a odinstalace malware budou téměř nemožné bez reinstalace operačního systému.
• 10. Obecně využívaným postupem bude NAC (Network Access Control), vzroste i jeho sofistikovanost. Vzhledem k tomu, že obrana bude stále obtížnější, budou velké organizace chránit své vnitřní sítě ověřováním (testováním) jednotlivých počítačů. Náročnost těchto testů poroste – od jednoduchých testů existujících konfigurací a virových signatur k hlubší analýze při hledání stop po malware.

Informační bezpečnost a praxe podnikání – toto spojení je předmětem článku Johna Enamaita – Information Security as a Business Practice. Historicky organizace považovaly informační bezpečnost za součást informačních technologií, za něco s čím vlastní podnikání se zabývat nemusí. Informační bezpečnost byla brána jako něco, co je přídatnou vlastností, jako něco dodatečného – navíc. Avšak informační bezpečnost se musí stát součástí kultury organizace. Autor samozřejmě poukazuje na využití systémů jako ITIL a ISO/IEC 17799 pro vybudování základů solidního procesu informační bezpečnosti. Nezávisle na přístupu k budování informační bezpečnosti musí však v organizacích dojít k chápaní pojetí bezpečnosti IT jako integrální součásti celkového přístupu k podnikání.

V článku The ABCs of Business Continuity and Disaster Recovery Planning najdete užitečný přehled problematiky obnovy po haváriích a plánováním kontinuity podnikání. Materiál je v podobě odpovědí na 11 zformulovaných otázek a byl zkompilován (Derek Slater) z řady článků, které byly publikovány v magazínech CSO a CIO:

• Jaký je rozdíl mezi obnovou po haváriích a plánováním kontinuity podnikání?
• Co mají zahrnovat obnova po haváriích a plánování kontinuity podnikání?
• Odkud začít?
• Je skutečně nezbytné přerušit normální běh podniku pro otestování plánu?
• Jaké skutečnosti objevily společnosti při testech plánu?
• Jaké jsou hlavní chyby, které společnosti dělají při obnově po haváriích?
• Stále mám svazek k problému Y2K, bude fungovat?
• Lze naše mimořádná opatření outsourcovat?
• Mohu svůj plán pro kontinuitu podnikání prodat jiným exekutivám?
• Jak se ujistím, že tyto plány nezahubí moji společnost?
• Příbuzné články v CSO magazine. K článku je připojeno několik odkazů na případové studie vztahující se k problematice.

Michael R. Farnum se zabývá otázkou výchovy pracovníků ve vztahu k bezpečnosti IT (Security awareness training does not have to be hard). Uvádí několik základních bodů a hlavně odkaz na stránky Computer Security Resource Center at NIST, kde potom lze najít rozsáhlou řadu použitelných informačních zdrojů.

10 things you should know about privacy protection and IT aneb deset věcí, které byste měli vědět o ochraně soukromí a IT – to je relativně stručný přehled současných problémů. Také zde je za článkem připojena sada odkazů využitelných pro další studium.

A jaký byl rok 2006 v IT bezpečnosti? Na to se ptají Robert McMillan a Jeremy Kirk v 2006: The year in security. Předkládají pět (z jejich pohledu) hlavních událostí v počítačové bezpečnosti končícího roku.

• Dividendy kybernetické kriminality (aktivity hackerů směřují čistě na zisk).
• Den nula přichází v nové podobě (útoky tohoto typu jsou nyní častější než kdy předtím).
• Lavina spamu (přes dřívější optimistické předpovědi Billa Gatese).
• Web 2.0 je hacknut (MySpace.com je toho smutným příkladem)
• Vista vylučuje některé „nepříjemné“ dodavatele bezpečnostních technologií (MS technologie PatchGuard, nakonec MS souhlasil se zveřejněním API)

Diskusi k problémům boje proti terorismu a efektivnost vytěžování dat (existujících třeba na internetu) v návaznosti na článek Effective Counterterrorismus and the Limited Role of Predictive Data Mining najdete na Schneierově blogu.

Helena Nikodýmová si na Lupě položila otázku: Představuje Internet nebezpečné prostředí?. Rekapituluje současná nebezpečí, např. nejznámější útoky, trojské koně, zranitelnosti prohlížečů, 10 nebezpečných činností, které provádějí uživatelé atd.

It's not just untidy, it's unsafe. aneb jak by (ne)mělo vypadat vaše pracoviště. Viz také Messy Desks Spill Secrets a Features of The CSO Dream Office. Člověk si vzpomene na Z.Svěráka, ale zase na druhou stranu…

A k nedávným únikům dat na univerzitách:

• Los Angeles – UCLA Probes Computer Security Breach
• Texas – Personal Data Hacked at Texas College

Software

Srovnání bezpečnosti IE7 a Firefoxu 2.0, Michael Cobb se zabývá novými vlastnostmi prohlížečů v článku Firefox 2.0 vs. Internet Explorer 7.

Vyšla druhá část článku zabývajícího se správou hesel v IE a Firefoxu (Password Management Concerns with IE and Firefox, part two). První část je zde – Password Management Concerns with IE and Firefox, part one.

Jaké budou největší hrozby webovským aplikacím v roce 2007? Analytici identifikovali (podle Top Web application security threats for 2007 – Michelle Davidson) následující hrozby:

• Kvalita a bezpečnost obětovaná rychlému vývoji aplikací
• Zranitelnosti souborových formátů jsou cestou pro phishingové útoky
• Hackeři útočí na místa propojení
• Servery webovských aplikací jsou nezabezpečeny
• Více aplikací Web 2.0 = více hrozeb aplikacím
• Roste význam útoku na straně klientských aplikací
• Je očekáváno více červů
• Prostředí vývoje vyžaduje bezpečnostní kontroly

Jako pomoc pro práci síťového administrátora je míněn článek Ifconfig – dissected and demystified věnovaný popisu jednotlivých opcí příkazu ifconfig (Unix/Linux).

SELinux: Comprehensive security at the price of usability – Mayank Sharma se zabývá distribucí linuxu SeLinux (Security-Enhanced Linux – původním autorem nyní open source distribuce je NSA) z pohledu na v něm použité přístupové mechanizmy. V článku je také celá řada dalších odkazů k problematice.

Byla vydána nová verze průvodce Iptables Tutorial 1.2.2 – rozsáhlý, čerstvě aktualizovaný a volně přístupný materiál.

Výňatek z knihy Configuring IPCop Firewalls: Closing Borders with Open Source, PACKT Publishing byl zveřejněn na stránkách webu Linux Journal (obsahuje popis některých postupů využívajících IPCop a související motivace spolu s popisem některých využitelných vlastností).

Recenzi knihy Bezpečnost v Linuxu – Prevence a odvracení napadení systému (Bob Toxen) najdete na stránkách webu programujte. Samotná kniha je na stránkách vydavatelství – Computer Press.

Třetí část průvodce IPsecu ( IPsec, a Tutorial–Part III) diskutuje některé otázky související s použitými šifrovacími postupy (RSA šifrování, Diffie-Hellmanův protokol pro výměnu klíčů). Předchozí části:

• HOW-TO IPsec, a Tutorial–Part I
• HOW-TO IPsec, a Tutorial–Part II

Jsou to výňatky z knihy IPsec Virtual Private Network Fundamentals, kapitola 2.

Malware

Kaspersky předpovídá, že 90 procent současného malware poběží i na Windows Vista (Kaspersky predicts Vista security holes). Pesimismus v tomto směru roste (není tomu dávno, co se hovořilo o 50 procentech).

Vánoce s novým počítačem a také s viry a jiným malware (New PCs ripe for Christmas hackers). Dinah Greek varuje – stačí několik málo minut a nezabezpečený počítač připojený k internetu bude infikován. Doporučuje si přečíst příručku 10-minute guide for beginners.

RFID

RFID personální firewall, k tomu komentáře na Schneierově blogu týkající se jednoho velice zajímavého vystoupení na konferenci Usenix – viz Strážce pro Váš RFID chip (RFID Guardian).

Knihovna RFIDIOT (RFID IO tools) v pythonu pro RFID, open source je určena k analýze systémů s RFID. RFID access control tokens widely open to cloning – Adam Laurie vysvětluje své některé výsledky.

Spam

Ke Schneierově eseji o spamu Why Spam Won't Go Away si můžete přečíst i navazující diskusi na jeho blogu.

Forenzní analýza

Forensic Discovery, to je celá kniha online k stáhnutí. Z obsahu:

• Chapter 1 – The spirit of forensic discovery
• Chapter 2 – Time Machines
• Chapter 3 – File sytem basics
• Chapter 4 – File system analysis
• Chapter 5 – Systems and subversion
• Chapter 6 – Malware analysis basics
• Chapter 7 – Persistence of deleted file information
• Chapter 8 – Beyond Processes

Autentizace, hesla, phishing

Pets, Weddings, and Identity Theft (jména zvířecích miláčků a krádeže ID), to je kritické zamyšlení na stránkách blogu RSA nad koncepcí některých webů z hlediska hesel a pomůcek pro jejich zapamatování.

V eseji Real-World Passwords se Bruce Schneier vyjadřuje ke kvalitě hesel používaných v reálu (najdete zde některá statistická data – MySpace – a samozřejmě diskusi).

K možnostem klonování elektronických pasů (ePassport clones) sepsal článek David Reid po své cestě do Německa za původcem příslušného popisu (Lukas Grunwald). Odborníci říkají: Ještě není pozdě se vrátit a změnit koncepci elektronického pasu.

ING Direct seeks security using anti-keylogging – banka ING Direct přijala nové opatření proti key-loggerům. PIN se vkládá do klávesnice kalkulátoru na obrazovce, na něm pak jednotlivé číslice neustále mění svoji pozici.

‚Rock Phish‘ blamed for surge in attacks. Group described as sort of the Keyser Söze of phishing – kdo je či jsou Rock Phish – jsou prý odpovědni za téměř polovinu útoků typu phishing. Používají k tomu síť hacknutých počítačů, jsou původcem spamu (od nich má pocházet myšlenka obrázkového spamu),…

Elektronický podpis

Diskusi navazující na zajímavý materiál Proof of the Authenticity of a Document in Electronic Format Introduced as Evidence (autentičnost dokumentů v elektronické podobě) najdete na blogu Davea Walkera On Risk, Public Key Certificates and Expiry.

Normy a normativní dokumenty

IETF pracovní skupina pkix vydala draft (další verzi)

• Subject Alternative Name for expression of service name

Kryptografie

O problémech současné kryptografie napsal známý odborník a teoretik O. Goldreich filosoficky zaměřenou esej On Post-Modern Cryptography.

Otázkám bezpečnosti kryptografických protokolů je věnován průvodce Rana Canettiho Security and Composition of Cryptographic Protocols: A Tutorial.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.