Bezpečnostní střípky za 50. týden

Obecná a firemní bezpečnost IT

Současné potřeby bezpečnosti IT charakterizuje dlouholetý pracovník National Security Agency Brian Snov v článku We Need Assurance!. Otázka bezpečné práce s IT technologiemi nestojí před odborníky první den. Výrobcům bezpečnostních produktů se však stále nedaří zabránit škodám, které postihují jednotlivé uživatele. Při popisu své představy o tom, jaká by měla být bezpečnost, používá Snow zajímavé přirovnání. Přirovnává situaci v IT bezpečnosti k historii automobilového průmyslu. V roce 1930 automobilový průmysl produkoval auta, která jela rychlostí 100 km/hod či rychleji, auta, která pěkně vypadala a dostali jste se s nimi tam, kam jste potřebovali. Výkon těchto aut byl skvělý, ale samotná auta neměla téměř žádné bezpečnostní prvky. Pokud byste s nimi absolvovali nehodu ve velké rychlosti, s největší pravděpodobností byste nepřežili. Dnešní automobilový průmysl vyrábí auta s airbagy, bezpečnostními pásy, karoserií konstruovanou s ohledem na nebezpečí při nárazech, brzdy mají speciální bezpečnostní přizpůsobení a je zde i celá řada dalších bezpečnostních prvků. Řidiči a pasažéři si navykli na pravidelné používání bezpečnostních pásů.

Stejně tak chceme, aby uživatelé IT přivykli používání bezpečnostních prvků IT produktů. Snow říká – dnešní softwarová bezpečnost je na tom stejně, jako byl automobilový průmysl v roce 1930. Máme výkonný software, máme ale málo bezpečnosti. Vidí potřebu splynutí dvou oblastí – záruk bezpečnosti a obecně používaných norem. Normy jsou již obecně veřejností přijímány, co se však týká vlastních záruk, tam je situace výrazně kritičtější. Výrobci softwaru říkají, že uživatelé nechtějí platit za bezpečnostní záruky u komerčních produktů. Ale třeba japonské firmy Toyota a Honda v sedmdesátých letech prorazily na americkém automobilovém trhu právě tím, že se předháněly v tom, co se týkalo spolehlivosti a kvality automobilů.

V další části článku Snow rozebírá své představy o potřebných zárukách, uvádí postupně upřesňující definice tohoto pojmu, charakterizuje několik oblastí, kterých se potřebné záruky týkají – operační systémy, softwarové moduly, vlastnosti hardware, systémové inženýrství, testování třetí stranou a legislativní omezení. Závěrem upozorňuje – většina dnešních útoků vzniká na základě nedostatečných záruk, nikoliv na základě chybující funkcionality.

Mike Fratto v úvaze o situaci v IT bezpečnosti – Survivor's Guide to 2006: Security  – se zabývá problémem odpovědnosti za bezpečnostní incidenty a celkovým náhledem na vývoj IT bezpečnosti v roce 2006.

Cyber Security Industry Alliance vydala zprávu National Agenda for Information Security in 2006. Jedenáctistránková zpráva hodnotí dění v IT bezpečnosti v roce 2005 (USA).

Komentář k vystoupení Bruce Schneiera na infoSecurity Conference (New York's Jacob K. Javits Center) najdete v článku It's the Economics, Techie. Bezpečnost IT není technologický, ale především ekonomický problém. Pokud hovoříme o bezpečnosti, diskutujeme potřeby v tomto směru, je nezbytné takto uvažovat i s využitím ekonomických kategorií. Co nás to bude stát a co za to dostaneme. Nejde tedy uvažovat o bezpečnosti v černobílých schématech – je to bezpečné, není to bezpečné – ale je třeba zvažovat rozumné kompromisy. Ukazuje také na nezbytnost záruk ze strany dodavatelů a potřebu legislativních úprav v tomto směru.

Kelly Lucas v článku Low Cost Technique for Intrusion Detection ukazuje na několik technik pro detekci průniků, které jsou (díky nízkým s nimi spojeným nákladům) použitelné v malých až středně velkých firmách. Položil si a odpovídá na následující otázky:

• Proč použít nástroje typu open source či nástroje volně dostupné?
• Jaký nástroj použijeme?
• Kde tyto nástroje použijeme a proč?
• Jakému slouží účelu?
• Co použijeme pro urychlení procesu?
• Jaké jsou dostupné zdroje, které pomohou naplánovat vlastní detekci průniků?

Autor v samotném článku pak diskutuje využití následujících volně dostupných produktů – Eagle X (jako primární detekční mechanismus), Ethereal (pro zachytávání a reporty) a GFI Languard (integrita systému, detekuje změnu souborů, jejich odstranění či naopak přidání).

V Inexpensive Cisco Network Log Analysis Mark Lachniet dává obdobně ekonomicky nenáročná doporučení pro analýzu logů v síti Cisco (speciálně PIX firewally). Doporučovaným softwarem jsou Kiwi Syslog a Sawmill (nástroj k analýze logů).

Tony Bradley dává další doporučení k předvánočním nákupům ( v IT Security):

• Linux and Unix Security Books
• Homeland Security and Privacy Books
• Pop-Up Ad Blocking Software
• Computer Forensics and Incident Response Books
• Encryption and Cryptography Books

Software

Windows XP byly certifikovány ve smyslu dokumentu Common Criteria na úroveň EAL 4. Jedná se o Windows Server 2003 (ve čtyřech verzích – Standard Edition, Enterprise Edition, Datacenter Edition and Windows Server 2003 Certificate Server) a Windows XP SP2 Professional and Embedded – viz informace v článku Windows XP Gets Security Certification. Certifikace byla provedena díky iniciativě National Information Assurance Partnership, která vznikla na základě spolupráce NIST (National Institute of Standards and Technology) a NSA (National Security Agency).

Nick Farrell píše o funkci zajímavé pro Velkého bratra – geolocation finder v Ms Windows Live – Microsoft's Win­dows Live will spy on you. Je ještě otázkou, zda to projde v EU.

A ještě jednou k Microsoftu. Byl vydán rozsáhlý dokument Web Service Security. Scenarios, Patterns, and Implementation Guidance for Web Services Enhancements (WSE) 3.0 (v pdf je to 360 stran). Jeho cílem je napomoci bezpečným návrhům webovských služeb. Dokument obsahuje následující kapitoly:

• 1. Authentication Patterns
• 2. Message Protection Patterns
• 3. Implementing Transport and Message Layer Security
• 4. Resource Access
• 5. Service Boundary Protection Patterns
• 6. Service Deployment Patterns
• 7. Technical Supplements

Jak bezpečně nastavit PC s OS Linux popisuje článek na TechRepublic – Securely setting up a Linux PC. Je zde popsáno následujících deset doporučení k přípravě OS před připojením PC k internetu:

• 1. Zohledněte cíl (zda se jedná o desktop či server)
• 2. Instalace vhodných součástí Linuxu
• 3. Instalujte a konfigurujte softwarový firewall
• 4. Nakonfigurujte soubory /etc/hosts.deny a /etc/hosts.allow
• 5. Ukončete či odstraňte nepodstatné služby
• 6. Zabezpečte požadované služby
• 7. Dolaďte síťové bezpečnostní volby jádra
• 8. Připojte PC k routeru
• 9. Provádějte pravidelný update softwaru
• 10. Další software sloužící např. k monitoringu či k jinému zabezpečení

Brouzdejte bezpečně s VMware Player (je volně k stažení) – nabízí Michael Desmond v VMware's Secure Browser Appliance . Tento software umožňuje běh Firefoxu na virtuálním systému a tedy samotný hostitelský počítač má takto být následně imunní vůči možným hrozbám (jak pro Windows, tak i pro Linux PC).

Malware

Internet Relay Chat (IRC) – i pro tento způsob komunikace existují některé typy hrozeb – Investigating Botnets, Zombies and IRC Security. Seth Thingen z univerzity ve východní Karolině rozebírá v tomto článku jednotlivé existující typy útoků.

Podle studie PandaLabs se v roce 2005 se objevilo 10 000 nových botů – More than 10,000 new bots emerge in 2005. Studie zároveň charakterizuje tento typ malware jako v tomto roce nejvíce rozšířený.

Pátého ledna je očekáván útok viru Sober. Tom Espiner popisuje v Don't fear the Sober, just prepare for it jak by měli být připraveni systémoví administrátoři.

Robert Vamosi (CNET) diskutuje bezpečnost antivirových aplikací ve vztahu k známému problému s přetečením bufferu – Your antivirus software has B.O.

Hardware

Tématu USB zařízení a bezpečnost se věnuje komentář Dennise Szerszena ze SecureWave – USB = Ultimate Security Breakdown? Tento bolavý problém je diskutován stále častěji. Ze závěru článku: Důležitým krokem při řešení tohoto problému bude použití softwaru, který prosadí takovou politiku ve vztahu k USB zařízením (a to na každém počítači), která bude (v potřebném smyslu) rozpoznávat práva jednotlivých uživatelů a jednotlivých modelů a vyhotovení USB zařízení.

V takových situacích, kdy jsou zapotřebí jak využití kryptografie, tak i dosažení vysokého výkonu, lze použít UltraSPARC T1 system (Sun) – šikovný nástroj pro kryptografické postupy – UltraSPARC T1 – Cool threads? Cool crypto!. Mj. obsahuje speciální jednotku pro modulární výpočty (využitelná funkce pro většinu systémů s veřejným klíčem – RSA, DSA, DH atd.).

Rozhovor s jedním z tvůrců Intelem chystaného čipu pro rozpoznávání rootkitů najdete na Newsmaker: Taking on rootkits with hardware. Viz také článek Jana Šindeláře na Živě: Chraňte počítač už na hardwarové úrovni.

14 dní po startu Xboxu 360 v Evropě tvrdí holandská skupina hackerů, že Xbox 360 úspěšně hackla – Dutch hacking group cracks Xbox 360 (samotné oznámení – PI XBOX-360 DUMP EXTRACT V1.0 OPEN SOURCE).

Hesla, ID, online nákupy

Nejčastější obětí krádeže ID jsou mladí lidé – Teaching teens about ID theft. V závěru článku dává autor několik rozumných doporučení – stojí za přečtení.

Ve vztahu k předvánočním nákupům se objevilo varování firmy Sophos spolu s další řadou doporučení – Spammers and criminals working hard to trick Christmas shoppers.

UK – přes některé pesimistické předpovědi se podle přehledu CyberSource obchodníkům daří bojovat proti podvodům na síti (UK shopkeepers beating online fraud).

Článek Ondřeje Bitta na Lupě Googlem ukradená hesla se týká Google hackingu. Pokud Vás problematika zajímá, tak právě vyšel český překlad výborné knihy – Johny Long – Google Hacking

Hromadné krádeže ID (k několika z nich došlo v letošním roce) budí svým objemem velké obavy o možná zneužití. Bruce Schneier v Most Stolen Identities Never Used však (pro částečné uklidnění) říká – většina ukradených ID nebude nikdy použita.

Jak cracknout hesla ve Windows – to je tématem článku How To Crack Passwords. Autor (Darren Miller) se zabývá informacemi, které lze získat z dat ležících na pevném disku a také využitím zajímavého nástroje Cain & Abel.

Biometrie, elektronický podpis

Dnes již klasickým biometrickým prostředkem jsou čtečky otisků prstů. O tom, že ne vždy jsou spolehlivým autentizačním nástrojem, přesvědčil před čtyřmi léty vydaný článek japonských odborníků – Impact of Artificial „Gummy“ Fingers on Fingerprint Systems. O současném stavu výzkumu problematiky hovoří článek Clarkson University Engineer Outwits High-Tech Fingerprint Fraud.

Je připravován nový typ certifikátů SSL s vysokým stupněm důvěryhodnosti – Browsers to get sturdier padlocks.

Normy a normativní dokumenty

Skupina LTANS (zabývá se otázkami archivace elektronických dokumentů, dlouhodobou platností elektronického podpisu) vydala tento týden další dokument:

• Requirements for Data Validation and Certification Services, třetí verze draftu

Vyšla dále následující rfc:

• RFC 4231 – Identifiers and Test Vectors for HMAC-SHA-224, HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512, obsahuje testovací vektory pro vyjmenované HMAC a hashovací funkce
• rfc.4262 – X.509 Certificate Extension for Secure/Multipurpose Internet Mail Extensions (S/MIME) Capabilities, popisuje rozšíření digitálního certifikátu (dle X.509) ve vztahu k S/MIME (Secure/Multi­purpose Internet Mail Extensions)
• rfc.4325 – Key Infrastructure Authority Information Access Certificate Revocation List (CRL) Extension, definuje nové rozšíření v CRL (slouží k nalezení a získání certifikátu vydavatele CRL)

NIST vydal tento týden tyto tři dokumenty:

• Special Publication 800–77: Guide to IPsec VPNs. 
• DRAFT Special Publication 800–76, Biometric Data Specification for Personal Identity Verification(druhá verze v pořadí)
• Draft Special Publication 800–90, Recommendation for Random Number Generation Using Deterministic Random Bit Generators- viz také popis Jak navrhovat deterministické generátory náhodných čísel

Kryptografie

Jsou připravovány normy pro šifrování dat na discích a páskách – chystá je IEEE (Standards on the way for encrypting data on tape, disk). V skupině pro přípravu jsou mj. zástupci Cisco, HP, IBM, McData a americké armády. Algoritmy zvažované pro šifrování disku – Liskov, Rivest, Wagner-Advanced Encryption Standard (LRW-AES). Pro šifrování pásek pak – NIST AES Galois/Counter mód (AES-GCM) a AES Counter v CBC-MAC módu (AES-CCM).

Se zajímavým nápadem přišel Laszlo B. Kish z Texas A&M University – Totally Secure Classical Communication Utilizing Johnson(-like) Noise and Kirchoff´s Law. Je to svým způsobem analogie kvantové kryptografie – prostředky klasické fyziky. Pokud analýzy ukáží její životaschopnost, může to znamenat revoluci v kryptografii. Viz komentář Bruce Schneiera – Blog.

NSA doporučuje kryptografické algoritmy, které jsou součástí tzv. Suite B – NSA posts notice about faster, lighter crypto. Jedná se mj. o eliptickou kryptografii. Certicom již tuto informaci oznámil, nyní je zde i přímé doporučení NSA.

Několik postřehů z historie kryptologie najdete v článku Some Human Factors in Codebreaking – autorka Chistine Large byla od roku 1998 ředitelem Bletchley Park (UK). Lidský faktor hrál v otázkách praktické kryptografie vždy důležitou roli.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.