Hlavní navigace

Bezpečnostní střípky za 7. týden roku 2006

Jaroslav Pinkava

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: konference, obecná a firemní bezpečnost IT, software, antiviry, malware, hackeři, spyware, rootkity, autentizace, hesla, elektronický podpis, normy a normativní dokumenty, kryptografie.

Konference

Minulý týden (13.-17.února 2006) se v San José (Kalifornie) konala tradiční RSA konference. Je to již v pořadí patnáctá taková konference a v průběhu let se tato akce stala na poli IT bezpečnosti jednou z nejvýznamnějších událostí. Základní informace ke konferenci najdete v brožuře s programem. Seznam přednášek je také na Daily Agenda. Stalo se již tradicí, že každým rokem je na konferenci věnováno místo jednomu ohlédnutí do historie. Tentokrát takovým tématem byla starověká Védská matematika, sága Aryabhatta.

Zajímavostem na konferenci (spíše z pohledu firem – vystavovatelů) se věnují články Security titans ready for showdown at RSA a What’s Hot At RSA.

Jedním z ostře sledovaných vystoupení byla pochopitelně přednáška Billa Gatese – Gates Outlines Microsoft's Se­curity Vision. Motto jeho vystoupení: k tomu, aby byly bezpečnostní prostředky efektivní, musí být jednoduché. Viz také Gates promluvil na RSA.

Tomu co na konferenci zaznělo k VoIP, se věnuje článek – Network security is the key to keeping VoIP secure – klíčem k bezpečnosti VoIP je bezpečnost sítí. A David Endler (chairman of the VoIP Security Alliance – VoIPSA) doporučuje k ochraně provozu VoIP:

  • pravidelně záplatujte
  • všude změňte implicitní hesla
  • podle doporučení dodavatelů ověřte veškerá zabezpečení
  • používejte opatření k prevenci průniků
  • používejte firewally k ochraně IP PBX

Autor ještě konstatuje – útoky proti VoIP se objeví, neví se jen kdy.

Metrics are key to measuring security effectiveness – po využívání metrik ve vztahu k IT bezpečnosti se volá již dlouho, zatím však praxe v tomto směru stále pokulhává. Není však jiná cesta, jedině tak lze vyhodnotit efektivnost prostředků vynaložených na bezpečnost.

Na konferenci RSA vystoupil také ředitel FBI Robert Mueller – FBI director: Cyberthreats ‚fluid and far-reaching‘ . Říká – lovíme hackery, k úspěšnosti je však třeba vyvinout nové techniky, které budou schopny se vyrovnat se stále sofistikovanějšími a organizovanějšími útoky hackerů.

McNealy (Reporter's notes from the RSA conference) nabídl následující seznam toho nejhoršího, co může potkat bezpečnostního manažera:

  • 10. V první linii obrany je – vytáhnout kabel proudu ze zásuvky.
  • 9. Opotřebované (nefunkční) klávesy CTRL+ALT+DEL
  • 8. Příštích pět až sedm let chodit oděn do oranžového (barva vězeňských oděvů)
  • 7. Právě jste získal nové zaměstnání – v prodejně Microsoftu
  • 6. Notebook
  • 5. Jako jediný (ve firmě) jste otevřel soubor funnybunny.exe
  • 4. Politika společnosti umožňuje přístup na úrovni rootu ke všemu
  • 3. Modrá obrazovka Smrti
  • 2. Dozvěděl jste se, že je vydána záplata k záplatě
  • 1. Vir byl pojmenován na Vaši počest.

McNealy (Sun Microsystem) ale také zformuloval následující tezi – Klíčem k bezpečnosti je open source ( Sun's McNealy: Open Source Key To Security).

Některé další články, které se týkají průběhu konference najdete na News.com. Konferenci RSA bude nepochybně věnována řada komentářů i v následujících dnech.

Obecná a firemní bezpečnost IT

Diskusi dvou odborníků je věnována dvojice článků Bruce Schneiera – ‚Security in the cloud‘ is not the way to go a Brada Millera – Yes, security in the cloud is the way to go. Otázkou, na kterou se tito pánové zaměřili, je následující problém – je lépe bezpečnost outsourceovat, anebo používat tradiční metody (bezpečnost sítě, desktopu).

Z hlediska pohledu na konkrétní situaci v řadě společností hovoří Thomas Hoffman v Security Convergence o sbližování fyzické a informační bezpečnosti. Viz také Security Convergence: The Human Factor a Security Convergence: The Compliance Component

Pokud potřebujete provést audit databáze, pak Ted Julian v Database Auditing Best Practices dává doporučení v následujících oblastech:

  • Audit přístupů a autentizace
  • Audit uživatelů a administrátora
  • Audit podezřelých aktivit
  • Audit zranitelností a hrozeb
  • Změnový audit

Ondřej Bitto v článku na Lupě Na poli bezpečnosti stále rušno komentuje mj. tiskovou konferenci McAfee (z minulého úterý) a nedávný přehled společnosti trend Micro.

Jakub Dvořák – Zničte bezpečně obsah pevného disku – doporučuje několik utilit.

Software

Zabezpečte svá Windows XP – Protect Your Windows XP System. Základní doporučení, jejichž autorem je Tony Bradley, směřují zejména na Home Edition:

Chystaná Windows Vista a Longhorn server budou mít z pohledu TCP/IP některé nové vlastnosti. Řadu z nich komentuje Mark Joseph Edwards v TCP/IP Changes in Windows Vista and Longhorn.

Ross Anderson – Vista's encryption could vex investigators – říká, že vlastnosti šifrování ve Windows Vista mohou vést k problémům. Jedná se o tzv. TPM (Trusted Platform Module) čip. Viz také Panic spreads over Windows Vista back door that never was.

Programátor Daniel Wilkerson (University of California at Berkeley) předvedl nástroj Delta (open source), který podle jeho slov by měl dramaticky snížit nároky na obtížnost vyhledávání chyb v softwaru – Tool helps reduce search for bugs.

Najděte vážnou (kritickou) chybu v softwaru Microsoftu a dostanete odměnu ve výši deset tisíc dolarů – $10k bounty on ‚critical‘ Microsoft flaws. Tolik slibuje společnost iDefense (patří Verisignu), pokud informace k zranitelnosti dodáte do 31. března.

Paul Murphy v The four most common Unix security mistakes jako nejčastěji se vyskytující bezpečnostní chyby pro Unix označuje:

  • 1. Používání Windows pro administraci Unixu
  • 2. Z důvodů pohodlnosti opustíme princip minimálnosti (používáme nadbytečný software)
  • 3. Nepoužíváme preventivní opatření (školení, kontroly, stanovení odpovědností)
  • 4. Orientace v nesprávném směru (tam, kde rizika ve skutečnosti nejsou)

Byla vydána verze Beta 2 pro Windows Defender. Současní uživatelé Windows AntiSpyware (Beta 1) – budou automaticky informování o aktualizaci. Viz také komentář Petra Juráska na Živě – Co nabízí nový Windows Defender (Microsoft AntiSpyware). A ještě – nová verze Microsoft Antispyware hlásila (MS anti-spyware labels Symantec as Trojan) u dvou verzí antivirového produktu Symantecu existenci trojana. Podle Microsoft s Symantec flaw fixed je to však již opraveno.

Pracovník české pobočky Microsoftu Dalibor Lukeš odpovídá na některé otázky – Bezpečnost je pro Microsoft prioritou.

Antiviry

Dr. Web je ruská služba, za kterou stojí odborníci z antivirové laboratoře Igora Danilova. Jde o klasický antivirový systém, který však obsahuje jedno vylepšení. Testovat můžete stahované soubory a otvírané stránky, i když tento antivir nemáte v PC nainstalovaný – článek Jakuba Dvořáka Antivirová kontrola přímo ve vašem prohlížeči na Technetu. Pro někoho však může být otázkou, zda je vhodné svěřovat třetí straně informace o tom, jaké stránky navštěvuje.

Pochvalnou recenzi českého produktu Grisoft AVG Anti-Virus Free Edition najdete na Enterprise Security Today.

Malware, hackeři

Nejnovější techniky pharmaření umožňuji překonat dokonce i SSL – Recent Haxdoor Distribution Breaks SSL via Pharming. Podrobnosti najdete na advisories page at Secure Science.

Obdobné zkušenosti z rhybaření oznamuje Brian Krebs v článku The New Face of Phishing. Rhybařící strana byla chráněna certifikátem pro SSL šifrování. Certifikát byl vydán Equifaxem, a ten nyní patří jedné z nejznámějších společností, které vydávají SSL certifikáty – Geotrustu (!). Geotrust (ale i další prodejci SSL certifikátů) by měl udělat vše, aby zajistil, že entita, která o certifikát SSL požádala, jedná tak skutečně jménem uvedené společnosti.

George Kurtz (McAfee) na konferenci RSA poukázal na následující skutečnost: Worms turn on Google to hunt for victims – autoři červů používají vyhledávač Google k nacházení obětí.

Jak se bránit proti útokům DDoS (distributed denial of service)? Dancho Danchev v The War against botnets and DDoS attacks se zamýšlí nad současnou situací a přináší i celou řadu dalších odkazů.

Spyware

Spybot – najít a zničit je recenze Františka Podzimka na freeware antispyware aplikaci s názvem Spybot.

Nejméně čtyři skupiny protagonistů již vyhlásily jako svůj program boj se spyware. Článek – Spyware fight attracts a crowd – shrnuje existující informace, zamyšlení a odkazy.

Objevují se varování před nástrojem Google Desktop – EFF issues Google Desktop warning. Pokud si nástroj správně nenakonfigurejete, Google získá kopie Vašich citlivých dokumentů… Elinor Mills v Fur flies over Google desktop privacy komentuje tuto kritiku a zmiňuje se i o tom, že je chystána podniková verze Google Desktop, ale ani ta není očekávána s nadšením.

Na původní kritiku Google Copies Your Hard Drive – Government Smiles in Anticipation se také odkazuje Kelly Martin ve sloupku na SecurityFocus Privacy and anonymity. Jaký obsah má pojem soukromí na internetu? A jak si ho chránit, kde může pomoci anonymita?

Na stránce Things you don't want Google to find najdete krásné příklady – co vše se dá najít pomocí Google Hacking (z prezentace na konferenci RSA).

Rootkity

Rozsáhlou analýzu problematiky okolo rootkitu Sony CD DRM najdete v studii Lessons from the Sony CD DRM Episode. Viz také komentáře na Schneierově blogu.

Firma F-Secure oznámila, že našla rootkit na filmovém DVD – About the Hidden Smith Family. Jedná se o německou verzi filmu Mr. & Mrs. Smith.

Bude používání rootkitů postaveno mimo zákon? Začíná se o tom diskutovat: America ‚must consider banning rootkits‘ a Homeland security urges DRM rootkit ban a Sony Rootkit Experience May Lead to Federal Oversight.

Autentizace, hesla, elektronický podpis

V souvislosti se zaváděním ID karet se ve vztahu k jejich bezpečnosti objevují pochybnosti i ve Velké Británii – ID card security questioned. Viz také Government slammed for ID database shambles a IT firms told to flock to ID card project.

Adi Shamir (známý kryptolog, pro tu menšinu, která to neví, je to to prostřední S ve zkratce RSA) rozbil hesla v RFID – Cellphone could crack RFID tags, says cryptographer . Využil k tomu analýzu měření spotřeby proudu (power analysis). Shamir říká "Mobilní telefon obsahuje vše, co je nezbytné, k tomu, aby mohl být útok podniknut. Výsledek byl oznámen na konferenci RSA.

K sociálním aspektům používání systémů jako je PGP se vyjadřuje Atom Smasher v PGP Key Signing Observations: Overlooked Social And Technical Considerations.

Normy a normativní dokumenty

Normy ETSI pro elektronické podpisy a infrastrukturu (ETSI TS 102 023 a ETSI TS 101 456) byly zařazeny do soustavy ČSN – ze stránek ČNI. Viz Crypto-News.

WS-Security v1.1 se stala normou (OASIS) – Members Approve WS-Security v1.1 as OASIS Standard. Viz také OASIS stamps approval on WS-Security 1.1. Popis technologie Web services Security je na Web Services Security Specification (WS-Security, WS-Security 2004).

Jako norma OASIS byl také schválen jazyk Election Markup Language (EML) – OASIS Approves Election Markup Language (EML) as Standard. Používání jazyka EML umožňuje bezpečnou výměnu informací mezi elektronickými systémy pro hlasování (voting systems).

Kryptografie

Zemřel prof. Dr. Hans Dobbertin (1952–2006). Byl znám mimo jiné svými příspěvky v problematice hashovacích funkcí (podrobněji v nekrologu IACR).

V článku Efficient Primitives from Exponentiation in Z(p) autor Shaoquan Jiang dává novou konstrukci pseudonáhodného generátoru na základě umocňování v Z(p). Generátor je prokazatelně bezpečný a autor tvrdí, že mezi obdobnými pseudonáhodnými generátory má nejvyšší efektivnost. Autor také uvádí novou rodinu hashovacích funkcí rezistentních vůči kolizím (CRHF).

Článek High Security Pairing-Based Cryptography Revisited se zabývá kryptografickým párováním z pohledu praktické bezpečnosti. Autoři – R.Granger, D. Page a N.P. Smart – dochází k závěru, že Tateovo párování je efektivnější než Weilovo párování.

Sun bude podporovat eliptickou kryptografii – Sun talks up next-gen cryptography v jeho produktu Sun Java System Web Server 7.0, ale také v různých jím podporovaných programech open source:

  • OpenSSL
  • Network Security Services (NSS) cryptographic libraries
  • unlocking the technology for Firefox
  • other open source browsers

Bylo to oznámeno v San José na RSA konferenci.

Různé

5. ročník semináře Quality & Security se uskuteční 2.3.2006 v Praze (Masarykova kolej, ČVUT). Pořadatelem je časopis TECHNOLOGIES&Se­curity. Účast na semináři je bezplatná. Registrace je vyžadována.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

20. 2. 2006 17:27

Kero (neregistrovaný)
Přes putty by to neměl být problém.

20. 2. 2006 10:23

aaa (neregistrovaný)
...
Paul Murphy v The four most common Unix security mistakes jako nejčastěji se vyskytující bezpečnostní chyby pro Unix označuje:

* 1. Používání Windows pro administraci Unixu
...



Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?