Hlavní navigace

Bezpečnostní střípky za 51. týden roku 2006

27. 12. 2006
Doba čtení: 8 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu. Poslední střípky starého roku především s tématy: konec roku 2006, obecná a firemní bezpečnost IT, software, malware, viry, hardware, VoIP, spam, autentizace, phishing, normy a normativní dokumenty, kryptografie.

Konec roku 2006 se blíží

A v této souvislosti se pochopitelně objevila řada článků, jednak věnovaných rekapitulaci končícího roku a jednak se zabývajících úvahami o situaci v bezpečnosti IT v roce nadcházejícím. Článek Johna Leydena Lost laptops, zero-day vulns and RFID chips patří do první z těchto dvou kategorií. Poukazuje na alarmující trend prozrazování chráněných dat – byla zaznamenána kompromitace více než jednoho sta miliónů osobních dat (!). Významné úniky zahrnují také ukradené notebooky. Obavy budí použití RFID čipů v připravovaných amerických pasech. Obvyklým typem útoku hackerů se staly cílené útoky trojanů, které často využívají nezáplatované zranitelnosti (zranitelnosti nulového dne).

Naopak predikcí pro rok 2007 (ve vztahu k bezpečnosti IT) se zabývá Andrew Charlesworth v článku vnunet.com's IT security predictions for 2007. Očekávané jsou bezprecedentní útoky na e-mail (spam). Webové hrozby je však překonají (30 procent firem s více než 500 zaměstnanci bude infikováno malwarem a způsobí to brouzdání internetem). Spam, zejména pak obrázkový spam, bude tvořit stále větší procento e-mailů. Cílem útoků v roce 2007 se stanou IM a VoIP. Spotřebitelé i podnikatelé se budou stávat obětí ransomware (data jsou uzamčena, a to do doby, než oběť zaplatí).

Clement James ve svém článku Cyber-security new year resolutions for 2007 uvádí plán „maximální“ počítačové a síťové bezpečnosti pro start do roku 2007 v šesti bodech:

  • 1. Změňte každé heslo.
  • 2. Stáhněte si záplaty a aktualizace
  • 3. Najměte si hackera
  • 4. Provádějte pravidelná hodnocení rizik
  • 5. Komunikujte a revidujte svoji bezpečnostní politiku (ve vztahu k datům)
  • 6. Chraňte svoji síť před viry

Viz také původní článek If Computers Could Make New Year's Resolu­tions. Zde je obsaženo ještě jedno doporučení:

  • 7. Vzdejte takový přístup k bezpečnosti, který se dá označit slovy „udělej si sám“ a bohužel je ještě stále častý.

Don MacVittie (Survivor's Guide to 2007: Security) shrnuje problémy, které očekávají profesionála v IT bezpečnosti a ukazuje na využitelné přístupy a nástroje. Aplikace používající nové technologie (SOA a Web 2.0) vyžadují i nové přístupy k bezpečnosti. Skenery zranitelností a malware jako automatické nástroje vyhledávání bezpečnostních chyb budou nacházet stále širší uplatnění. Jsou očekávána nová řešení pro stále problematickou správu ID.

Zamyšlení Marka Rasche na stránkách SecurityFocus (All I Want For Christmas) se týká otázky položené následovně. Co by chtěl bezpečnostní odborník jako dárek pro komunitu bezpečnosti IT? Jaké prostředky by měly existovat, být dostupné a snadno použitelné pro každého v nadcházejícím roce? Odpovídá v těchto bodech:

  • 1. Snadné šifrování
  • 2. Znej co znáš… a zbytek najdi
  • 3. Povolení, prosím (týká se dokumentu – oprávnění, úschova a likvidace)
  • 4. Mobilní zařízení, která se hlásí majiteli
  • 5. Mobilní přístup
  • 6. Silná autentizace s anonymitou
  • (7. Milk and cookies for Santa)

A vánoční přání – tentokrát z té druhé strany… (The cyber-criminal's Chris­tmas wishlist. Tedy informace, které se dají koupit (UK, tj. uváděná čísla jsou v britských librách):

  • Trojan program to steal online account information (worth 500 – 2,500)
  • Credit card number with Pin (250)
  • Billing data including account number, address, Social Security number, home address and birth date (40 – 150)
  • Driver's licence (75)
  • Birth certificate (75)
  • Social Security card (50)
  • Credit card number with security code and expiration date (3 – 12)
  • PayPal account log-on and password (3)
  • Unsuspecting user (priceless)

V roce 2007 jistě nepoleví poptávka po bezpečnostních odbornících, ale konkrétně jakých? Krissi Danielsson ( Employers to seek more security talent in '07) specifikuje žádané specializace.

Obecná a firemní bezpečnost IT

Čtrnáctero seznamů zajímavých nej přináší web CSOonline.com – A World of Lists. Např.:

a další.

V době rozvoje IT komunikací si uživatelé právo na soukromí musí vybojovat. To říká Dean Takahashi ve svém zamyšlení nad současnou situací, kdy mnoho lidí pociťuje ztrátu soukromí a zvažuje, co s tím dále (Researcher takes new tack in privacy fight).

Studie Making Effective Use of Your Intrusion Detection System (Jamie Riden) se zabývá otázkou efektivního využití vašeho systému pro detekci průniků. Znalost vlastní sítě, typických aktivit uvnitř této sítě, co můžeme očekávat, že se objeví v logu, co by tam naopak nemělo být, co se stane při narušení bezpečnostních opatření atd. Tyto a další obdobné otázky bychom si měli klást při implemtacích IDS ve svých sítích. Znalost vlastní sítě by měla být jednou z našich hlavních předností, kterou máme ve srovnání s možnostmi potenciálního útočníka.

Komu patří odpovědnost za firewall? Někdy není tak jednoduché tuto otázku správně zodpovědět (Who should manage the firewall? ).

Software

Bezpečnost PHP pod drobnohledem – Robert Lemos (PHP security under scrutiny ) uvádí: roste počet webových aplikací psaných v PHP, které mají bezpečnostní problémy. V roce 2005 to bylo 29 procent, v roce 2006 ale už to bylo 43 procent, tj. téměř polovina.

Jak nepoužívat cookies, co jsou to špatná cookies atd., informace tohoto typu se dozvíte z článku – How Not To Use Cookies. Článek obsahuje nejprve několik úvodních vysvětlení, co jsou to cookies a jaká sebou přináší bezpečnostní rizika. Následně jsou na příkladu dokumentovány uváděné problémy.

MS vydal první draft k PatchGuard API (Microsoft releases first draft of PatchGuard APIs They'll be offered to third-party security vendors). Viz také Q&A: Fathi explains draft API release for PatchGuard. Dokument bude k dispozici dodavatelům bezpečnostních technologií.

Vysvětlení základních principů SSL, použití SSL certifikátů atd. obsahuje materiál Securing your Online Data Transfer with SSL (Thawte).

Malware

K dvěma programům: Rootkit Hunter a Chkrootkit pro detekci rootkitů v Linuxu najdete informace v článku Various ways of detecting rootkits in GNU/Linux .

Viry

Viry, červy a malware – top 2006 – firma Panda Software zveřejnila svůj každoroční přehled (The Panda Software virus yearbook 2006).

Hardware

Kladivo nebo šifrování – to doporučuje pro zničení dat na vašem pevném disku (mj.) autor článku Top tips on destroying data on your hard drives. Reformatting a drive or deleting its partition doesn't truly erase. (Andrew Brandt).

Trochu důkladněji se na tento problém dívá autor studie (Daniel James) Forensically Unrecoverable Hard Drive Data Destruction. Dozvíte se i něco o technologii fotografování MFM (magnetic force microscopy) a specifikaci amerického ministerstva obrany US DoD 52220.22. Tato specifikace předepisuje, že pevný disk musí být přepsán postupně samými nulami, samými jednotkami a potom náhodnými znaky. To vše musí být opakováno nejméně třikrát. Zamysleme se – pokud si zašifruji data na disku (těsně než se disku zbavím) – splním tyto podmínky?

Nebývá zvykem na těchto stránkách oznamovat nové produkty společností. Výjimkou je následující upozornění na existenci nové technologie – miniHSM (nCipher) – první zapuštěný HW bezpečnostní modul (nCipher introduces world's first embedded cryptographic Hardware Security Module). Tento miniHSM je veliký asi jako balíček žvýkaček, přesto umožňuje vykonávání řady kryptografických funkcí (je pre-validován dle FIPS 140–2 na bezpečnostní úroveň 3). Jsou to např. algoritmy 3DES, AES, RSA, DH a také algoritmy eliptické kryptografie. Další podrobnosti jsou na stránce miniHSM.

VoIP

Objevil se trojan, který se šíří prostřednictvím Skype, instaluje spyware, který krade hesla a další osobní informace (Skype worm spotted, také Malicious Code: Skype Trojan Horse a Worm may be spreading via Skype chat).

Skype Chatosky Worm: Friend or Foe? uzavírá autorka svůj komentář odstavcem, ve kterém konstatuje následující: „Chat opírající se o použití technologie Skype a dokonce snad i příslušná telefonní služba fungují tak, že komunikace, která je směrována na jednu cílovou osobu, jde prostřednictvím počítačů třetích osob. API je tak naprogramováno, že umožňuje vzdálenou manipulaci. Není divu, že tento program je dáván zdarma“.

K rizikům VoIP vyšel článek, ve kterém autorka (Jennifer Hagendorf Follett) komentuje možný vývoj pro rok 2007 – VoIP Risks Take Center Stage in 2007.

Spam

Sítě botů a spam – v roce 2007 to bude horší, říká Gregg Keizer(Sturdier Botnets Mean More Spam In 2007). Inteligence a s tím související odolnost botů (obtížnost jejich eliminace) narůstají.

Larry Seltzer napsal k problému nárůstu spamu komentář – Who's Behind the Spam Surge?. Stejně jako Gregg Keizer upozorňuje na „vydařený“ SpamThru Trojan/bot a na nejasnosti okolo současného stavu celého problému se spamem.

Staré antispamové technologie jsou neúspěšné. To přiznala i skupina ORDB uzavřela své aktivity (Anti-spam group, past its prime, closes doors). Skupina předtím fungovala přes pět let.

Autentizace, phishing

Ethan Zuckerman napsal stručnou technickou příručku pro anonymní blogování – A Technical Guide to Anonymous Blogging. Uvádí plně zdůvodněný příklad potřeby anonymního blogu (sekretářka chce sdělit světu, že její šéf krade, popsat podrobnosti a nechce přitom přijít o místo, tj. nechce, aby byla zjištěna totožnost bloggera). Autor uvádí několik možných postupů, každý má však také svá ale.

Nová verze prohlížeče Opera obsahuje antiphishingový filtr (Opera browser adds phishing filter). Jedná se o verzi 9.1 – byla vydána minulé pondělí.

Normy a normativní dokumenty

Pracovní skupina IETF S/MIME vydala v uplynulém týdnu tři drafty:

Pracovní skupina IETF pkix vydala již 29. verzi draftu

Americký NIST vydal v minulém týdnu dva dokumenty:

Kryptografie

Vyšlo zajímavé informační rfc:

Šifrovací norma DES z roku 1977 není již dávno považována za bezpečný algoritmus. Byla také nahrazena normou AES. Přesto ještě dnes řada aplikací se o využití DES opírá a dokonce je DES podporována i v některých nových aplikacích. Dopady aktuálního stavu (ne)bezpečnosti DES jsou v tomto rfc proto podrobně diskutovány.

Cryptex – vánoční dárek pro kryptologa (:-)) z kolekce The Noble Collection.

Různé

Dnešním největším známým prvočíslem je číslo 2 exp (232,582,657) – 1. Toto číslo má v dekadickém zápisu 9,808,358 číslic, tj. skoro deset milionů. Existuje vypsaná odměna 100 000 dolarů pro toho, kdo najde první prvočíslo o velikosti zápisu větší než deset miliónů dekadických číslic (World's Largest Known Prime Number).

root_podpora

Z hlediska možností detekce steganografických postupů diskutuje Michael Cobb některé využitelné nástroje a související taktické postupy – jak vyhledávat skryté zprávy (Using steganography for securing data, not concealing it ).

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?