Bezpečnostní střípky za 6. týden roku 2006

Konference

Informace k přípravě konference Black Hat Europe 2006 najdete na Black Hat, seznam připravovaných vystoupení (s podrobnější anotací) na Topic descriptions:

• Silver Needle in the Skype (Philippe Biondi + Fabrice Desclaux)
• IBM iSeries For Penetration Testers: Bypass Restrictions and Take Over Server (Shalom Carmel)
• WLSI – Windows Local Shellcode Injection(Cesar Cerrudo)
• How to Automatically Sandbox IIS With Zero False Positive and Negative (Tzi-cker Chiueh)
• Malware Cinema: A Picture is Worth a Thousand Packets(Grego­ry Conti)
• Separated By A Common Goal—Emerging EU and US Information Security and Privacy Law: Allies or Adversaries? (Bryan Cunningham +Amanda Hubbard)
• Project Paraegis Round 2: Using Razorwire HTTP proxy to strengthen webapp session handling and reduce attack surface (Arian J. Evans etc.)
• Analysing complex systems: the BlackBerry case (FX)
• Attacks on Uninitialized Local Variables (Halvar Flake)
• Implementing and Detecting An ACPI BIOS Rootkit (John Heasman)
• Exploiting Embedded Systems (Barnaby Jack)
• Hacking fingerprint Scanners – Why Microsoft's Fin­gerprint Reader Is Not a Security Feature (Mikko Kiviharju)
• Bluetooth Hacking – The State of The Art (Adam Laurie etc.)
• Death of a Thousand Cuts- Finding Evidence Everywhere! (Johnny Long)
• Hacking, Hollywood Style (Johnny Long)
• Skeletons in Microsoft's Closet – Silently Fixed Vulnerabilities (Steve Manzuik + Andre Protas)
• Combatting Symbian malware (Jarno Niemelä)
• Stopping Automated Application Attack Tools (Gunter Ollmann)
• MPLS and VPLS Security (Enno Rey)
• Rootkits vs. Stealth by Design Malware (Joanna Rutkowska)
• RAIDE: Rootkit Analysis Identification Elimination (Peter Silberman+Jamie Butler)
• Beyond EIP (spoonm + skape)
• The Science of Code Auditing (Alex Wheeler, etc.)
• Anomaly Detection Through System Call Argument Analysis (Stefano Zanero, etc.)

Konference se koná 2. a 3. března 2006 v Amsterdamu.

Obecná a firemní bezpečnost IT

Modelování a simulace – tyto postupy byly použity již v řadě oblastí, IT bezpečnost je zatím v tomto směru Popelkou. Mohammad Heidari v The Role of Modeling and Simulation in Information Security. The Lost Ring se pokouší jednak analyzovat současný stav problematiky (využití modelování a simulace ve vztahu k informační bezpečnosti), a za druhé předkládá některé dle jeho soudu nové náměty.

IV&V (independent verification and validation) je u nás asi nepříliš známý nástroj pro analýzu stavu v oblasti IT bezpečnosti. Je to méně než audit, v rámci organizace to však může napomoci zlepšit situaci (z hlediska používání bezpečnostních prvků). Marc S. Gartenberg v How to survive a security IV&V ukazuje na výhody spojené s jeho používáním (i třeba například v rámci přípravy na nepopulární audit).

Software

K novému Internet Exploreru (IE7) se z pohledu bezpečnostních vlastností vyjadřuje Bruce Schneier – The New Internet Explorer, samozřejmě se seznamte i s přiloženou diskusí. Na odkazu IE7 „Preview“ – Nearly Ready for Prime Time? najdete informace, jak se k IE7, verzi beta 2, dostat.

Ve Windows Vista Beta2 se objevilo celkem šest typů politik ke kontrole účtu uživatele:

• Behavior of the elevation prompt for administrators
• Behavior of the elevation prompt for standard users
• Elevate on application installs
• Run all users, including administrators, as standard users
• Validate signatures of executables that require elevation
• Virtualize file and registry write failures to per-user locations

V blogu 6 User Account Control Windows Vista Policies lze k jednotlivým politikám najít podrobnější objasnění.

Microsoft – OneCare bude k dispozici v červnu a bude stát cca 50 dolarů na jeden rok (pro tři počítače s Windows XP) – Microsoft OneCare coming in June. Služba je kombinací antiviru, antispyware, zálohování a nástrojů pro optimalizaci běhu PC.

Příručku ke GPG, což je open source verze PGP, tentokrát pro Linux (většinou) najdete na E-Mail Encryption for Linux: A Startup Guide. Pokud posíláte e-mailem citlivé informace, neváhejte.

Software jako služba – to je software, který není na klientské stanici, ale je na serveru a klientovi je přístup k němu umožněn prostřednictvím webu. Článek Software as a Service and Security (autorem je Samir Kapuria, Symantec) diskutuje bezpečnostní dopady tohoto pojetí.

Objevují se nové služby v oblasti IT bezpečnosti – Microsoft a Symantec. Robert Vamosi si v zamyšlení nad současným vývojem – Whom do you trust? – klade otázku, komu budeme více důvěřovat.

Na stránkách NirSoftu lze nalézt řadu užitečných freeware utilit rozdělených do následujících kategorií:

• Password Recovery Utilities
• Network Monitoring Tools
• Internet Related Utilities
• Command-Line Utilities
• Desktop Utilities
• Freeware System Tools

Na webu lze nalézt také příručku k open source implementacím PKI – The Open–source PKI Book. A guide to PKIs and Open–source Implementations. I když je materiál staršího data (2000), obsahuje řadu užitečných informací.

Malware, hackeři

Dánské weby jsou kvůli karikaturám předmětem intenzivních útoků DoS – Muslim extremists angered over satirical Danish caricatures of the prophet Muhammad have launched a cyberspace attack. Agentura Zone-H, která provádí monitoring, eviduje nárůsty počtu hacknutých serverů. Příklady hrozeb najdete na Cyber attacks against Danish sites. Viz také Danish Web sites hacked over Mohammad cartoons a Džihád na internetu.

Kaspersky se vyjadřuje k dění okolo wmf zranitelnosti – Hackers writing zero-day malware to order. Poznámky k tomuto problému najdete také v článku The Market Price of a Vulnerability.

Spyware

Autoři sedmnáctistránkové studie (University of Washington) – A Crawler-based Study of Spyware on the Web – analyzují současné trendy ve vztahu k spyware. Komentář ke studii pak najdete v článcích Drive-by downloads on the wane a Spyware poses a significant threat on the Net. Autory použitá metodologie (crawler technology) ukázala, že objem spyware se za poslední rok zmenšil.

To je ale v rozporu s výsledky jiného výzkumu – Spyware Triples During 2005. Vývojář antispyware (Colo Boulder) společnosti Webroot konstatuje např. následující: Na počátku roku 2005 bylo pouze 40 000 cest pro distribuci spyware, na konci roku jich však bylo již 120 000.

Greg Shultz v 10 things you should know about fighting spyware in Windows XP dává následující doporučení:

• 1. Nauč se identifikovat přítomnost spyware
• 2. Udržuj svůj operační systém a další software v aktualizova­né podobě
• 3. Používej firewall
• 4. Skenuj svůj systém pomocí antispyware
• 5. Rozpoznej spyware (na výstupu anti-spywarového softwaru)
• 6. Používej anti-spyware skener průběžně
• 7. Bezpečnostní zónu v Internet Exploreru měj nastavenou na hodnotu Medium
• 8. Doporučuje používat Microsoft's online Malicious Software Removal Tool
• 9. Používej Pop-Up Blocker
• 10. Uzavírej správně pop-up okénka

Asi svátek sv.Valentýna je důvodem aktuálnosti varování v článcích Spyware: Dejte si velký pozor na seznamovací weby a Tajemný ctitel nebo skrytý nepřítel? (Kriminalita). Mimochodem – jedním z nejpopulárnějších odkazů posledních dnů na Crypto-News je následující – Jak poslat SMS jménem jiného mobilu – možnosti zneužití nasnadě. Komentář asi není zapotřebí.

Rootkity

Mark Russinovich pokračuje ve svých výpadech proti používání rootkitů – Using Rootkits to Defeat Digital Rights Management. Tentokrát se to týká obcházení DRM (Digital Right Management) v počítačových hrách.

Sítě

Traffic Monitoring with Packet-Based Sampling for Defense against Security Threats, článek (jehož autory jsou Joseph Reves a Sonia Panchen) obsahuje popis technologie založené na výběrech z paketů. Popsané různé konkrétní techniky pak umožňuji provedení bezpečnostní analýzy provozu v síti.

V článku Protecting your network against spoofed IP packets publikoval Brien M.Posey tutoriál, který má za cíl dát administrátorům popis postupů pro dostatečnou ochranu souborů v síti.

Průvodce užitečným nástrojem Netcat najdete na odkazu NetCat Tutorial . Z popisu: Netcat je jednoduchá unixová utilita, která čte a zapisuje data síťových spojení, používá protokol TCP nebo UDP. Umožní vytvořit libovolnou konektivitu a má celou řadu dalších zajímavých funkcí. Domovskou stránku má Netcat na The GNU Netcat project.

Keyloggery

K čemu všemu lze využít USB Hardware Keylogger, který zaznamená každé stisknutí klávesy? Jistě to mohou být i cíle zcela legální – např. pro některé druhy práce operátorů, forenzní zdokumentování atd. to může být vysoce užitečný nástroj. Na druhou stranu si však lze bohužel představit i jiná využití…

Softwarový keylogger (příslušný trojan infikující počítače byl obsažen v příloze e-mailu) byl použit při krádeži více než jednoho milionu euro z účtu francouzské banky – Stealth keylogger used in bank heist resp. ‚Sleeper bugs‘ used to steal 1m € in France.

VoIP, bezdrát, mobilní telefony

Komentář k vyjádření bezpečnostního šéfa Skype – ve vztahu k jejich PKI modelu – najdete na ZDNet. Kryptografickými prostředky, které Skype využívá, se zase zabývá článek Is strong crypto worse than weaker crypto? Lessons from Skype

Slovník pojmů, které se váží k problematice bezdrátu a VoIP (spolu se stručným popisem), najdete na stránkách mpirical companion.

Ke konferenci Shmocoon se ještě váže následující prezentace – VoIP WIFI Phone Handset Security Analysis. Autor (Shawn Merdinger) analyzuje telefonii VoIP prostřednictvím Wi-FI z bezpečnostního hlediska.

WiFi for dummies – populární článek, který objasňuje přístupnou cestou problematiku bezdrátu.

Jak se ukazuje, i bez svolení dotyčného majitele mobilního telefonu lze umístění telefonu snadno alokovat, a to veřejně dostupnými prostředky – Locate almost anyone in the UK without their permission. Provedený výzkum se týkal podmínek ve Velké Británii, ale podle jeho autorů lze popsané postupy použít i v dalších zemích – i když asi ne ve všech sítích.

Objevila se informace o zranitelnostech mobilních telefonů Sony Ericsson – Vulnerabilities found in Sony Ericsson phones. Týkají se 4 modelů a vztahují se k chybě při práci s bluetooth.

Autentizace, hesla, elektronický podpis

Populární program pro crackování hesel (password cracker) John the Ripper se objevil již v sedmé verzi. Na openwall.comnaj­dete vylepšení oproti předcházející šesté verzi. Primárním cílem softwaru je detekce slabých hesel v Unixu.

Ivo Mareček popisuje v KeePass Password Safe: hesla pěkně pod šifru nástroj (open source) pro ochranu používaných hesel šifrováním.

Byla publikována Statistika vydaných kvalifikovaných certifikátů za rok 2005. Komentář Pavla Vondrušky najdete na Crypto-news.

Normy a normativní dokumenty

NIST vydal Special Publication 800–73–1 – Interfaces to Personal Identity Verification. Cílem úprav je synchronizace dokumentů SP 800–73 a SP 800–76 (Biometric Data Specification for Personal Identity Verification). Dále NIST vydal novou verzi SP 800–18 – Guide for Developing Security Plans for Federal Information Systems.

Objevila se osmá verze draftu IETF PKIX  – Attribute Certificate Policies extension. Dokument popisuje jedno z rozšíření certifikátu – explicitně stanoví, jaké z politik atributových certifikátů jsou aplikovány ve vztahu k danému atributovému certifikátu.

Outsourcing ve finančnictví – je připravována norma pro bezpečnostní postupy – Group Crafts Standards for Evaluating Outsourcers a také Pravidla kvalitního outsourcingu pro finančníky.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.