Bezpečnostní střípky: zabezpečení nového PC

Přehledy a konference

Organizace European Network and Information Security Agency (ENISA) vydala svoji čtvrtletní zprávu – Quarterly Review Vol. 5 No. 2 . Dokument má 24 stran a obsahuje tyto kapitoly:

• Infrastructure Protection and Information Sharing
• Strategy and Business Risks
• Privacy
• Security of Wireless Networks
• Food for Thought. Rule-breakers – the Ones to Watch?

52-stránková studie – 2009 Data Breach Investigations Report (DBIR), která je věnována datovým průnikům v roce 2008, zpracoval Verizon. Přináší množství statistik. Stručné shrnutí výsledků lze nalézt v komentáři 90 data breaches in 2008: What went wrong .

Obecná a firemní bezpečnost IT

Dvě praktické příručky (plánování obnovy a bezpečnost e-mailů a webů – A practical guide to disaster recovery planning. Two papers for smaller businesses), které jsou určeny pro menší podnikání, lze najít na těchto stránkách:

• A practical guide to disaster recovery planning
• Everything you need to know about email and web security

Derek Slater na csoonline.com (Search Party: Why Security Pros Should Master Google) doporučuje bezpečnostním profesionálům, aby svůj arzenál doplnili o kvalitní zkušenosti s vyhledáváním. Uvádí k tomu několik argumentů (je třeba umět zjistit, zda z organizace neunikají chráněné informace) a také další související užitečné odkazy.

Jaká jsou vlastně současná kybernetická nebezpečí? O kybernetických nebezpečích se hovoří stále více, nemluvíme však o nich v příliš obecné rovině? Čeho se vlastně obáváme? Co mohou způsobit? Jevgenij Morozov v rozsáhlejším zamyšlení Cyber-Scare. The exaggerated fears over digital warfare uvádí různé typy scénářů kybernetických útoků a jejich možné dopady.

Cyber Security, the Nuclear Threat and You: Cassandra's Guide to the 21st Century aneb nukleární rizika a kybernetická bezpečnost. To je zajímavé interview na toto téma s tvůrcem koncepce kryptografie s veřejným klíčem Martinem Hellmanem (s touto koncepcí přišli v sedmdesátých letech spolu s W.Diffie). Hellman varuje před nukleárními riziky na své stránce Defusing the Nuclear Threat.

Sedm smrtelných hříchů bezpečnosti sociálních sítí uvádí Bill Brenner na csoonline.com. Pokud se zapojujete do některé ze sociálních sítí, určitě vám tento článek stojí za přečtení – Seven Deadly Sins of Social Networking Security. To users of LinkedIn, Facebook, Myspace, Twitter or all of the above: Are you guilty of one of these security oversights?.

1. Zbytečná sdílení informací o aktivitách společnosti.
2. Směšování osobních a profesních záležitostí.
3. Angažování se ve „vášních“ sociální sítě (flame wars).
4. Víra v to, že ten kdo zemře s největším počtem kontaktů, ten vyhrává.
5. Lenost při vytváření hesel.
6. Klikání na všechno možné.
7. Ohrožení sebe i ostatních (může se to týkat i života dotčené osoby), lze se stát obětí zloděje či dokonce únosce. Pozor na zveřejňované informace!

Čína a cenzura internetu, lidem se to nelíbí – Anger in China over web censorship. Green Dam je na čínských blozích diskutován velice kriticky. Také na Twitteru je jedním z nejfrekvento­vanějších témat. Viz dále poslední informace:

• China abandons plans for the Green Dam great firewall
• Details of Chinese malware revealed to all

Článek Encrypting the Internet je věnován šifrování na internetu. Hezky napsaný dokument (jeho autory jsou Satyajit Grover, Xiaozhu Kang, Michael Kounavis a Frank Berry) přináší základní informace rozdělené do následujících odstavců:

1. Anatomy of a Secure Sockets Layer Session
2. The Advanced Encryption Standard and the RSA Algorithm
3. Acceleration Technologies
4. Conclusion and References

Software

Jak bezpečné jsou vaše aplikace? V How secure are your applications? se Jon Collins zamýšlí nad současnou situací v bezpečnosti SW. Přimlouvá se (jako dlouhá řada odborníků před ním) za to, aby bezpečnost byla zvažována při vývoji aplikací již od samotného počátku vývoje.

Pět kroků k zabezpečení nového PC formuluje Bill Brenner (5 Steps to Secure a New PC):

• Odinstalujte SW, který nepotřebujete
• Nainstalujte Firefox
• Nainstalujte NoScript a další rozšíření k Firefoxu
• Vyhledejte všechny potřebné záplaty pro Windows
• Vyberte a nakonfigurujte vhodně antivir a firewall

Middler – to je nástroj, který umožňuje demonstrovat útoky typu muže uprostřed. MITM (Man in the Middle) útoky přitom mohou být nepříjemné pro řadu protokolů.

 – vyhledávač, který chrání vaše soukromí se jmenuje Ixquick. Další podrobnosti k němu najdete na mateřské stránce Ixquick Metasearch (about Ixquick).

Finjan zpřístupnil volně dostupné rozšíření prohlížeče pro bezpečné brouzdání – Free extension for secure browsing. Verze kompatibilní s IE či s Firefoxem si lze stáhnout z této stránky – Finjan SecureBrowsing.

Hlavních 10 důvodů proč hochům od firewallů vstávají vlasy na hlavě hrůzou, vyjmenovává Mark Desmond – Top 10 Reasons the Firewall Guy's Hair is on Fire.

Bezpečnému používání administrátorských oprávnění v Linuxu se věnuje článek The basics of secure admin privilege use with Unix. Chad Perrin v něm začíná kořenovým účtem a následně vysvětluje příkazy su a nástroj sudo.

12 nejfrekven­tovanějších útoků na webové aplikace je rozebíráno v studii (IBM Rational security experts, prosinec 2007) Preventing common application-level hack attacks . Jsou zde vyjmenovány a stručně rozebírány následující útoky:

• Cookie poisoning
• Hidden field manipulation
• Parameter tampering
• Buffer overflow
• Cross-site scripting
• Exploizing backdoor and debug options
• Forceful browsing
• Http response splitting
• Stealth/Trojan horse
• Exploiting a third-party misconfiguration
• Exploiting known vulnerabilities
• Exploiting XML and Web services vulnerabilities

Nová verze paketového snifferu Wireshark 1.2.0 je na světě – Wireshark 1.2.0 available. Stáhnout si ji (a seznámit se s dalšími podrobnostmi) lze na tomto odkazu – Wireshark 1.2.0 Release Notes.

Také Tor (anonymizující SW) má novou verzi – s označením 0.2.0.35. Opraveny byly některé dřívější chyby – New version of Tor fixes two security issues . Stáhnout si ji lze na tomto odkazu

Mafie vydělává na pirátském software, Organizované gangy distribuují nelegální software prostřednictvím on-line aukcí a falešných internetových obchodů. Své oběti vyhledávají hlavně v zemích s nízkou mírou pirátství, mezi které patří i Česko (PCWorld).

Malware

Top ten červnových hrozeb, žebříček, který vydala společnost BitDefender – Top ten e-threats for June 2009. Na prvních dvou místech mu vévodí Trojan.Clicker.CM a Trojan.Autoru­nINF.Gen.

Smrt Michaela Jacksona přinesla vlnu spamu a malware, Jr Raphael komentuje některé konkrétní případy – Michael Jackson Death Spurs Spam, Viruses . Viz také informaci společnosti F-secure – Michael Jackson Malware.

FF Searcher, to je nový typ klikovacích podvodů – FFSearcher: A Stealthy Evolution in Click Fraud. Nine-Ball trojan mezi jiným malware instaluje i tento trojan. Zneužívá Google Custom Search API, oběť ani neví, že je na infikovaném webu, vidí pouze klasické výsledky hledání Google. Velice rafinované schéma.

Červ Conficker způsobil problémy autobusové dopravy v Manchesteru – Bus lane fines axed over bug. Ztráty na platbách (únor 2009) činily 43 000 liber. Celkové ztráty pak byly ve výši až 1,5 milionu liber!

Jak bojovat proti spyware a jiné havěti, Josef Vavřina: Uvědomujete si nebezpečí spywaru? Víte jak proti němu bojovat? V tomto článku si přiblížíme co spyware a jeho příbuzní umí, jak dokáží znepříjemnit život. Ale především je článek zaměřen na ochranu proti tomuto škodlivému softwaru.

Compromised FTP details being exploited by in the wild malware, k trojanu, který krade detaily ftp komunikace. Napadeno je velké množství ftp serverů. Malware infikuje počítače z kompromitovaných webových stránek. Viz také – FTP login credentials at major corporations breached.

Hackeři

Také Velká Británie najímá bývalé hackery, říká to následující krátká informace – Hackers To Join Britain's Cyber­space Army.

Hardware

Klávesnice dveřních zámků a únik informací o příslušném kódu jsou předmětem sdělení a zajímavé diskuze na Schneierově blogu.

The human factor in laptop encryption, materiál je věnována otázkám šifrování pro notebooky. V dané studii (nezbytná je registrace) se lze seznámit s výsledky průzkumu, který provedl Ponemon Institute. Komentář ke studii je obsažen v stejnojmenném článku – The human factor in laptop encryption.

Bezdrát

Jak cracknout WEP heslo pro bezdrátovou síť? Gina Trapani v How to Crack a Wi-Fi Network's WEP Password with BackTrack uvádí kompletní postup.

Spam

Botnety formují cesty pro spam – Botnets lead the way for spam. Největším botnetem v současnosti je v tomto směru Cutwall. Názvy dalších velkých botnetů – Rustock, Grum, Donbot, Bagle, Xarvester, Mega-D, Gheg, Asprox a Darkmailer. 

Viz také komentář – Botnets lead way in spam charge. 

Elektronické bankovnictví

Dodavatel bankomatů si prosadil stáhnutí vystoupení na konferenci Black Hat (k zranitelnostem bankomatů) – ATM Vendor Halts Researcher’s Talk on Vulnerability. O tomto faktu a dalších podrobnostech informuje Kim Zetter. Viz také :

• ATM vendor gets security talk pulled from conferences
• Juniper Networks Gags „ATM Jackpot“ Researcher

Autentizace, hesla

Chraňte svou identitu při pobytu online, několik jednoduchých doporučení najdete na stránce Simple steps to keep your identity safe online.

Kryptografie

K historii kryptologie byla vyřešena šifra stará 200 let – Two Centuries On, a Cryptologist Cracks a Presidential Code . Šifrovaná zpráva nalezená v korespondenci Thomase Jeffersona (byla mu zaslána v roce 2001 jeho přítelem Robertem Pattersonem) zůstávala nerozluštěna až do nedávných dní. Šifru rozluštila až Lawren Smithline, 36-letá matematička, specializující se na kryptologii.

Nový útok na AES komentují Bruce Schneier na svém blogu spolu s dalšími diskutujícími – New Attack on AES. Týká se to nového článku Alexe Birjukova a Dmitrij Chovrakoviče. Nelze říci, že zde popisovaná metoda by s využitím současné výpočetní techniky umožnila luštit data zašifrovaná prostřednictvím algoritmu AES, ale ukázaný postup je lepší než útok hrubou silou. A jak se říká – do budoucna budou útoky vždy jen lepší…

MD6 staženo ze soutěže o novou hashovací funkci – MD6 Withdrawn from SHA-3 Competition. Bruce Schneier cituje vyhlášení Rona Rivesta. Další komentáře jsou v připojené diskuzi.

Nový pohled na Fermatovu metodu faktorizace obsahuje studie The Fermat factorization method revisited. Robert Erra a Christophe Grenier umí faktorizovat N=pq v polynomiálním čase pokud |p – q| < N exp (1/3).

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.