Konec roku 2005 a bezpečnost IT
Na stránkách HNS – Help Net Security komentují odborníci některé z největších událostí počítačové bezpečnosti, které se staly v uplynulém roce – Looking Back At Computer Security In 2005. Znalosti bezpečnostních profesionálů, ale i „zlovolných“ uživatelů v oblastech IT rostou. Objevují se články, které popisují, jak velké procento uživatelů se bojí nakupovat on-line, elektronický obchod přesto roste. Každý rok je konstatováno, že právě uplynulý rok byl z hlediska bezpečnosti tím nejhorším a jaká nás čeká černá budoucnost. Zmíněný článek se snaží ukázat oba pohledy – jak pohled průmyslu (IT bezpečnosti), tak i samotných uživatelů. Některé problémy, které jsou v článku zmíněny:
- Kreditní karty – známá aféra s krádeží 40 miliónů čísel kreditních karet. Problém byl v tom, že firma CardSystems nesplnila některé z regulačních ustanovení. Bezpečnost zpracovávaných informací zkrátka nebyla taková, jaká by měla být. Samotná firma byla pak v říjnu prodána. Zmíněna je také nedávná aféra Guidance Software (bezpečnostní firma – byla hacknuta její databáze zákazníků – Hackers Break Into Computer-Security Firm's Customer Database
- Rootkity nastupují. Mark Russinovich publikoval 31. října své kritické poznámky k jejich použití firmou Sony pro DRM (Digital Right Management).
- Tisíce stránek byly tento rok popsány zprávami o různých typech malware. Je situace skutečně stále horší? „Průšvihů“ bylo méně. Problémem se však stává profesionalizace autorů virů.
- Ciscogate. Router Flaw Is a Ticking Bomb – to je odkaz na interview, které ukazuje rozdílnost pohledů Michaela Lynna a firmy Cisco.
- Common Vulnerability Scoring System (CVSS). Vytvoření tohoto systému pro hodnocení zranitelností – Vendors agree vulnerability scoring system, Qualys announces support for vulnerability rating methodology – by mělo napomoci práci IT manažerů v jednotlivých organizacích tak, aby byly správně stanoveny příslušné priority.
- Rhybaření (phishing). Dnes už téměř každý uživatel ví, co tento pojem znamená. Podle Howarda Schmidta však dopad rhybaření je omezený.
- Fjodor (autor nmap) ještě upozorňuje – zásadním trendem roku 2005 je růst botnetů.
Největší horory v IT bezpečnosti – tak nazval svůj článek Matthew Friedman, který požádal několik profesionálů o popsání nejhorších pohrom, se kterými se kdy setkali (The Worst Network Security Horror Stories ).
Wayne Rasch popisuje svoji představu o možných novoročních předsevzetích v bezpečnosti IT (Four Security Resolutions For The New Year). Rozebírá následující čtyři doporučení obecného charakteru:
- Potřebujete mít svoji bezpečnostní strategii.
- Získejte přesný obraz situace, jaké bezpečnostní prvky jsou u Vás používány, jak jste na tom s verzemi příslušného SW atd.
- Školte své lidi.
- Komunikujte.
Obecná a firemní bezpečnost IT
Šifrování citlivých dat – je to krásná myšlenka, ale málokdo ji chce implementovat – Encryption: A nice idea that few want to implement?. Podle studie – Ponemon Institute's 2005 National Encryption Survey – jen 4,2 procenta společností má jako součást vnitropodnikových plánů také postupy pro šifrování. Obavy, které s využitím tohoto nástroje souvisejí, se týkají především výkonu systému, dále pak složitosti a nákladů.
Sociální inženýrství a další bezpečnostní hrozby uvnitř sítě – to je tématem článku Ari Tammama Social Engineering And Other Threats To Internal Security. Využití lidských slabin – k tomu existuje celá řada konkrétních modelů. Opustíte-li své PC, jak dlouho bude trvat potenciálnímu útočníkovi, než vloží USB zařízení, nainstaluje trojana, keylogger či jinou aplikaci – s cílem ukrást citlivá data či získat přístup do firemní sítě? Také Kevin Mitnick považuje sociální inženýrství za jednu z nejvíce efektivních metod průniků.
Obdobně popisuje rizika vnitřní sítě John Leyden v The enemy within. Z přehledu firmy McAfee (evropská data) vyplývá mj., že např. 21 procent pracovníků nechává své rodinné příslušníky a přátele používat firemní notebooky a PC. 51 procent zaměstnanců připojuje svá vlastní zařízení (např. USB) k firemním PC. A čtvrtina z nich to dělá každý den, atd. Studie identifikuje čtyři typy zaměstnanců, kteří na svém pracovišti vnáší rizika (jsou ponechána anglická označení):
- The Security Softie. To je většina zaměstnanců, která má nízké povědomí ve vztahu k bezpečnosti IT. Např. na svém pracovním počítači nechají brouzdat rodinné příslušníky.
- The Gadget Geek. Tito lidé přichází do práce vybrojeni celou řadou svých počítačových doplňků, které vkládají do pracovního PC.
- The Squatter. To jsou ti lidé, kteří pracovní PC (i další IT zdroje firmy) používají k účelům, ke kterým nejsou určeny – např. hraní her.
- The Saboteur. Malá skupina lidí, přesto nebezpečná. Záměrně hackuji interní IT systém nebo infikují síť.
Možným vlivem rodinných příslušníků na bezpečnost IT organizace se zabývá také článek Security Risks You and Your Family Impose on Your Companies Computing and Networking Assets. Mj. se to týká zaměstnanců, kteří pracují doma (homeworking, teleworking). I když třeba zákazem používání svého pracovního notebooku namíchnete své rodinné příslušníky, stále je to ve svém dopadu přijatelnější, než kdybyste měli čelit vyhazovu z práce, resp. následným soudním rozhodnutím.
Recenzi (autorem je Tony Bradley) užitečného produktu (pomocníka při přípravě na CISSP) ISC2 CISSP® Practice Exam najdete na stránce PrepLogic CISSP Practice Exam
Internet
The Internet Is Broken – to je první část třídílného článku Davida Talbota (vyšlo v Technology Review’s December 2005/January 2006) . Další dvě pokračování najdete zde – Part 2 a Part 3. Autor hovoří o nezbytnosti nové, bezpečnější architektury internetu. Technologie, o které se dnešní internetové aplikace opírají, vytváří stále složitější rámec. Původně jednoduchý typ komunikace se přetvořil ve strukturu, kterou je stále obtížnější spravovat a která je každým dnem křehčí. Je proto zapotřebí znovu promyslet základy architektury internetu a to tak, aby již v těchto základech byly vlivy těchto nových technologií zváženy. V současnosti se k tomu rýsuje vhodná příležitost – National Science Foundation (NSF) připravuje výzkumný plán (na období pěti až sedmi roků – finance v rozsahu cca 200 až 300 miliónů dolarů), jehož obsahem bude návrh nové architektury. Takové architektury, která bude poskytovat dostatečnou bezpečnost a bude spolupracovat s novými technologiemi. Měla by také být lépe spravovatelná.
Nové verze softwaru, které se pravidelně objevují, nevznikají jen proto, aby uvedly nové funkčnosti, ale často je příčinou sebeobrana softwaru, obrana proti vznikajícím a stále se objevujícím útokům. Současná zranitelnost internetu je prostě objektivní skutečnost a je třeba s tím něco udělat. Záplatování internetu stále novými vrstvami bezpečnostního softwaru (firewally, antispamový software,…) není řešením. Nejde však zapomenout následující – dnešní internet je stále funkční. Implementace jeho nové podoby by čelila obrovským praktickým problémům, všichni poskytovatelé internetových služeb by museli vyměnit své routery a software, všechno to by stálo obrovský objem financí. NSF chce proto jít poněkud jinou cestou, ne okamžitě zrušit starou síť, ale paralelně budovat síť obsahující nové možnosti, nabízející novou kvalitu.
Co vše a v jakém rozsahu se dá dnes na internetu nalézt? O tom vypovídá studie Internet Security Systems (ISS) – komentář k ní najdete na llegal material uncovered on 16m web pages.
Software
Po vydání testovací verze (29. listopadu) Windows OneCare (Microsoft – jeho připravovaný bezpečnostní software) byly objeveny některé problémy – OneCare runs into tracking trouble. Pro řešení vzniklých problémů již byla vydána záplata. OneCare je určen koncovým uživatelům a je kombinací anti-spywarového software, dále antiviru, firewallu a některých další funkcí k doladění Windows PC.
Nově se objevující metadata ve Windows Vista mohou být zdrojem dalších bezpečnostních rizik – Watch out with metadata in Vista, analysts warn. Organizace by si měly připravit vhodnou bezpečnostní politiku pro jejich eliminaci.
A co i dnes o vás mohou vše nechtěně prozradit vámi publikované dokumenty na webu? To popisuje William Eazel v článku Fortune 100 sites leaking sensitive data. Zde obsažené údaje vyplývají z analýzy firmy Bitform ohledně publikovaných souborů Microsoft Word, PowerPoint a Excel firem Fortune 100. Např. 45 procent dokumentů obsahuje historii autorství dokumentu, 31 procent obsahuje údaje o tiskárně (mj. její sdílené jméno v síti) atd.
Několik poznámek k bezpečnosti VoIP najdete na stránce US-CERTu – Understanding Voice over Internet Protocol (VoIP). Je zde uvedeno také několik doporučení:
- Udržujte software (poslední verze záplat).
- Používejte anti-virový software.
- Využívejte bezpečnostní opce (např. někteří poskytovatelé nabízí šifrování).
- Instalujte (či povolte) firewall.
- Vyhodnoťte bezpečnostní nastavení svého PC.
Forenzní nástroje typu open source nabízí a analyzuje Brian Carrier v Open Source Digital Forensics Tools.
Techniky hackování webovských aplikací popisuje Shynlie Simmons (East Carolina University) – Hacking Techniques: Web Application Security Článek (spíše menší studie) obsahuje jednak popis známých existujících technik a také následná doporučení ve vztahu k příslušným ochranám. V závěru článku lze také nalézt odkaz na doporučení W3C – Secure CGI/API Programming (základní pravidla pro techniky programování v návrzích webovských aplikací).
Jak bude vypadat nová verze SSH (verze 4.3) se dozvíte v OpenSSH cutting edge (autor článku – Federico Biancuzzi). Najdete zde rozhovor s jedním z vývojářů (Damien Miller), kteří na této nové verzi pracují. Nová verze má umožnit vytvoření reálné VPN bez užití dalších nástrojů. Dále byla (mj.) zvětšena délka klíčů RSA na 2048 bitů (doporučení projektu NESSIE).
Malware
Rootkit lockx.exe vám nainstaluje na počítači Mr.Beana – filmovou verzi, anebo také filmovou produkci společnosti Disney. Otázka proč to vlastně provádí, s jakým cílem, není vyřešena (vánoční dárek neznámých hackerů…zatím, ale obětí čeho budete v budoucnu, je to jen experiment?) – Hackers download pirate movies onto compromised PCs
O nebezpečných souborech, které kolují v P2P sítích, hovoří Laurie Sullivan v P-To-P Video And Music Download Security Threat. Stahované soubory by měly obsahovat jen hudbu a video, navíc však obsahují i nebezpečný adware (IST Toolbar) – podle PandaLabs.
Kliknutí na soubor vám zpřístupní nejen obrázek Santa Clause, ale i další dárek – Santa Claus worm tricks IM users – vánoční červ a Instant Messenger.
Několik doporučení před chystanou aktivitou viru Sober (5. či 6. ledna 2006) najdete v článku The next Sober virus attack. Viz také Security experts fear Nazi Sober worm epidemic poised for January.
Je očekáváno, že v roce 2006 hrozby porostou hrozby zaměřené na mobily – Mobile security threats to rise in 2006 . Podle McAfee budou dokonce nebezpečnější než hrozby pro PC.
Hardware
Obyčajný USB kábel? Omyl – keylogger – je článek Martina Kováče na Živě. Doporučuji zejména nevěřícím Tomášům. Je zde popisováno zařízení KeyPhantom firmy DesignREM, které na první pohled vypadá jako obyčejný USB kabel, ale není…
Hesla, ID, on-line obchody
Byla vydána nová verze software John the Ripper – lamače hesel (password cracker).
Vzdálená autentizace (RADIUS, TACACS, TACACS+) je námětem článku Dona Parkera – Remote Authentication: Different Types and Uses.
V článku (Information Security for Small Businesses) se autor – Russell Morgan – zabývá obchodováním on-line malých firem a informační bezpečností. Najdete zde popis některých hrozeb a náměty na příslušná řešení.
Normy a normativní dokumenty
Vyšel nový draft IETF PKIX (sedmá verze) – Attribute Certificate Policies extension. Dokument popisuje jedno z rozšíření certifikátu – explicitně stanoví, jaké z politik atributových certifikátů jsou aplikovány ve vztahu k danému atributovému certifikátu.
NIST Special Publication 800–21–1 – Guideline for Implementing Cryptography in the Federal Government je druhé vydání příručky, která se týká ustanovení ohledně implementací kryptografických prostředků ve vládních organizacích (USA). Dokument má 138 stran a lze ho doporučit každému, kdo má co dělat s implementací kryptografických postupů v organizaci (ale také uživatelům těchto postupů).
Prvočísla
Zřejmě bylo objeveno 43. Mersennovo prvočíslo (Crypto-World News) – 43rd Known Mersenne Prime Found!!. Je to tedy zatím největší známé prvočíslo (pokud se výsledek potvrdí) – lze ho zapsat v podobě 2^30402457 – 1.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
ČLÁNKY DO MAILU