Bezpečnostní střípky za 22. týden roku 2006

Obecná a firemní bezpečnost IT

Evropská komise (EU launches network security campaign, resp. EU ramps up against cybercrime) zveřejnila první informace týkající se její nové informační kampaně, kterou nazvala „IT Security for Europe“. Firmy, jednotlivci i veřejné instituce se nedostatečně věnují zabezpečení svých počítačů a sítí, říká se v prohlášení. Mnoho dnešních hrozeb vychází z krimiálních aktivit motivovaných ziskem. S rostoucí složitostí systémů rostou i počty bezpečnostních faktorů, které souvisí s fungováním těchto systémů. Agentuře ENISA (European Network and Information Security Agency in Heraklion, Greece,) byl svěřen úkol sebrat informace o bezpečnostních incidentech v 25 členských zemích a připravit tak systém „nejlepších odpovědí“. Jsou připravována další opatření, včetně legislativních.

Rozhovor s jedním z předních odborníků – Eugenem Spaffordem (Security expert recommends 'Net diversity) se týkal nejnovějších bezpečnostních hrozeb a souvisejících potřebných kroků správců sítí a dalších výkonných pracovníků IT.

Souvisí s tím i otázka, kterou si dali jako název článku Bobby Rogers a Brad Causey (Users Versus Hackers: Which Are Worse? ). Jsou horší hackeři nebo samotní uživatelé? Autoři se zabývají možnými motivacemi uživatelů (pracujících uvnitř sítě) – někdo jen tak ze zvědavosti něco zkouší, ale někdo již může mít i nějaký konkrétní záměr – poškodit něco, dostat se k nějakým informacím, které pak použije s cílem škodit, nebo uživatel ať již neúmyslně či úmyslně může napomáhat externímu hackerovi. Autoři dále také diskutují možné postupy těchto interních „nepřátel“ a v návaznosti na to jmenují několik základních opatření:

• 1. Prosaďte princip nejmenších práv. Pracovníci (a to včetně manažerů) mají mít jen ta práva, která vyžaduje jejich pracovní funkce. Nic víc.
• 2. Veškeré sdílené soubory a adresáře by měly být monitorovány – ve vztahu k přístupům a modifikacím, zvláště pak obsahují-li citlivá data.
• 3. Uživatelé by měli být často proškolováni ohledně bezpečnostní politiky. Bezpečnostní politika sama by měla obsahovat varování, která se týkají pokusů o přístup k neautorizovaným souborům, spouštění neautorizovaných programů (včetně vestavěných příkazů), a také je nezbytné, aby si uživatelé uvědomili, že data volně přístupná v síti nejsou nijak chráněna.
• 4. Zakažte a omezte příkazy vztahující se k internímu průzkumu, a to ať již manuálně nebo pomocí takových mechanizmů jako je politika pracovních skupin.
• 5. Provádějte pravidelný audit interních aktivit a analyzujte pravidelně logy. Pokud audity nebudete provádět, nemáte šanci přestupky zjistit.

Daniel B. Cid se pak v článku – Log analysis for intrusion detection věnuje analýze logů jako nástroji detekce průniků (často přehlíženému). Speciálně jsou to:

• proxy logy (nástroj squid),
• logy ve vztahu k webům (nestačí používat nástroje NIDS (Network-based IDS), jako je např. Snort)
• a logy zaznamenávají autentizační zprávy.

Na stránkách serveru IT Observer se objevily krátce po sobě dva články věnované problémům souvisejícím se správou ID. V Identity crisis – what crisis? Ray Stanton konstatuje, že správa ID je v současnosti jednou z nejrychleji rostoucích oblastí informačních technologií. Např. velké organizace mají v průměru 75 aplikací, databází, resp. systémů, které vyžadují autentizaci. Správu každého ze systému provádí přitom administrátor – člověk. Ten rozhoduje (pomocí papíru), jak bude řešena otázka přístupů. K tomu, aby jeho rozhodnutí byla správná, je nezbytné udržovat v aktuálním stavu všechny potřebné informace  – o jednotlivcích, jejích rolích i o fungování organizační struktury. Takovýto systém je pochopitelně náchylný k chybám. Autor proto říká – je třeba se zamýšlet nad řešeními, která budou tuto chybovost eliminovat, a zmiňuje např. vhodné používání biometrických prostředků. V druhém článku – Identity Management – The Growing Challenge – Ian Kilpatrick nejprve poukazuje na výsledky jednoho přehledu (DTI Information Security Breaches Survey of 2006). Podle nich v jedné pětině velkých podniků nastal bezpečnostní únik související s fungováním jejich správy ID. Původcem incidentů byli zaměstnanci (neautorizovaný přístup k datům, získání a zneužití důvěrných informací, krádež financí, útok rhybářů). Přitom dopad ztrát z těchto úniků byl poměrně značný. Autor pak zmiňuje řadu cest již existujících či v současné době rozpracovávaných, takových, které nějakým způsobem napomáhají řešit tuto problematiku (např. autentizace pomocí fyzického zařízení, systémy pracující s bezpečností koncových bodů, vhodné bezpečnostní politiky atd.).

The New Face of Disaster Recovery – článek popisuje otázky zálohování dat pro potřeby řešení obnovy dat, dává celou řadu podrobnějších příkladů v situacích, kdy byl používán nějaký konkrétní typ softwaru.

Ztrátu notebooku s osobními daty 243 000 hotelových zákazníků oznamuje zpráva – Ernst & Young laptop loss exposes 243,000 Hotels.com customers. Informace se týká firmy Ernst & Young, a to bohužel nikoliv poprvé (Ernst & Young loses four more laptops, Ernst & Young fails to disclose high-profile data loss)

Software

Microsoft vydal dokument Microsoft® Windows Vista™Security Advancements , ve kterém podává základní informace o bezpečnostních vlastnostech chystaného operačního systému Windows Vista. Podle vyjádření v úvodu materiálu, dokument dává obraz o situaci tak, jak je viděna z dnešního momentálně aktuálního pohledu a může samozřejmě ještě dojít k některým změnám. Čeho se dokument týká, to popisuje následující osnova:

• Secure Access
  User Account Control
  New Logon Architecture
  Easier Smart Card Deployments
  Network Access Protection
• Protection Against Malware and Intrusions
  Windows Security Center
  Windows Defender
  Windows Firewall
  Malicious Software Removal Tool
• Security Advances in Internet Explorer 7
  Protections Against Malware
  Personal Data Safeguards
• Data Protection
  BitLocker Drive Encryption
  Integrated Rights Management Services Client
  Encrypting File System Enhancements
  USB Device Control

Robert Vamosi (Microsoft's path of least user privilege) diskutuje nové vlastnosti Windows Vista, které se týkají přístupových práv. Windows Vista mají být prvním operačním systémem, který splní podmínky modelu tzv. Trustworthy Computing.

Několik úvah na téma – možná slabá místa SSH – obsahuje popis Johna Tränkenschuh v článku SSH Issues: Does Installing SSH Enable More Exploits Than it Solves?.

Peter Meyer (An Introduction to the Use of Encryption) radí všem, kdo chtějí používat kryptografický software. Rekapituluje základní pojmy a postuláty kryptografie, vyjmenovává důvody, proč byste měli šifrovat, poukazuje na nezbytnost používat silné algoritmy (a jejich kvalitní implementace – JP).

Darren Miller si ve svém článku Can Easy To Use Software Also Be Secure klade zajímavou otázku. Vede snaha po softwaru, který je snadné používat, je uživatelsky „přítulný“, také k tomu, že takovýto software je dostatečně bezpečný? Srovnává situaci s bezpečností raketoplánu. Jeho konstrukce obsahuje míle drátu, nesčíslně mechanických funkcí, milióny řádků kódu operačního systému a aplikací a to včetně systémů zajišťujících reakce v případě poruch atd. Úkolem vědců NASA je nyní vývoj méně složitého systému, který však dokáže naplnit stejné cíle. To samé se dle autora týká i světa počítačů, a to včetně řešených otázek bezpečnosti.

Malware, hackeři

Problematiku rootkitů vysvětluje David Sancho v článku Rootkits -The new wave of invisible malware is here. Popis je určen širšímu okruhu a čtenář se zde dozví především podstatná základní fakta.

Tony Bradley na svých stránkách – Avoiding and Removing Spyware dává návody ve vztahu k spyware – jak se mu vyhnout a jak ho odstranit. Není to zcela nový článek (ani nijak rozsáhlý), ale zejména část zabývající se nástrojem Hijack This nemusí být někdy bez užitku.

Jan Dvořák, Hana Hajduchová na Computerworldu – Spamy a viry – jak se jim účinně bránit – z úvodu: V současné době se stále častěji setkáváme s termíny spam a virus. Dnes se podíváme na to, jak se před nimi chránit.

Na Lupě se objevil článek Heleny Nikodýmové – Botnety: nová internetová hrozba. Autorka zde základy problematiky popisuje čtivou formou.

Počty virů klesají, četnost spyware roste. Tento fakt byl v poslední době konstatován v řadě článků, Colin Barker v Virus levels drop as spyware soars to dokumentuje na číslech z poslední analýzy společnosti SoftScan. V květnu 2006 (podle SoftScan) jen 0,37 procenta e-mailů obsahovalo vir. Přitom v loňském roce touto dobou byl počet virů desetkrát větší (v roce 2004 to bylo dokonce devět procent e-mailů). Na druhou stranu 17 procent společností s více než 100 zaměstnanci dnes hlásí přítomnost spyware (jak jsou např. keyloggery).

Žena (40-tiletá zdravotní sestra z Manchesteru – UK) se stala obětí ransomware – Woman targeted by web hackers. Soubory na jejím počítači byly zašifrovány a na oběti bylo požadováno, aby nakoupila lékarnické zboží od kohosi na internetu (snad z Ruska). Posléze se však objevila zpráva, že vyděračský kód byl cracknut – Extortion virus code gets cracked (zřejmě díky špatnému naprogramování). Viz také Police will not pursue ransom hackers.

Mobilní telefony

O virech (ale i trojanech) pro mobily a souvisejících útocích se rozepisuje Benny C. Rayner v patnáctistrán­kovém článku Mobile Phone Security. Historie této problematiky není dlouhá  – první význačnější vir pro mobily Cabir se objevil v roce 2004 – Mobile phone virus sounds alarm in Moscow. Přesto se dnes varianty těchto virů dají počítat na stovky. Antivirové a bezpečnostní firmy mají již připraveny nástroje pro ochranu mobilních telefonů.

Biometrie

Perspektivami, které leží před biometrickými postupy, se zabývá Gary Daniel v Biometrics – The wave of Future?. Autor říká: Biometrie má v sobě potenciál, který může napomoci řešit řadu otázek vztahujících se k důvěrnosti a ochraně (dat, osob). Je na nás, co z toho dokážeme využít.

Také Stan Smith se v obdobně zaměřeném článku Biometrics: 21st Century Security věnuje perspektivám biometrie. Je konkrétnější ve vztahu k současným systémům a najdete tam i poznámku k modelu PIV, který v současnosti připravuje americká vláda.

Bezpečnost e-mailu, rhybaření

Zamyšlení nad problémy současného e-mailu obsahuje článek Kelly Martina – Abandon e-mail! . Budeme budovat novou bezpečnou infrastrukturu?

Autoři článku Taking Steps To Protect Customer Data shrnují výsledky přehledu zpracovaného na objednávku PGP Corporation (zpracovatel – The Ponemon Institute) a definují nezbytné kroky, kterými by se měla řídit každá firma provozující CRM aplikace (CRM = Customer Relationship Management).

Používané triky ve vztahu k podvodným mailům a hoaxům popisuje David Cobaugh v Internet Scams and Hoaxes. Some information for your everyday user.. Informace (jak podtitul říká) je určena běžným uživatelům internetu.

Pět kroků jako obranu proti rhybářům:

• 1. Pochybuj
• 2. Používej cesty již vyzkoušené
• 3. Seznam se důkladně s podmínkami danými bankou, pracuj pečlivě s číselnými údaji
• 4. Zajisti bezpečnost svého počítače (Hosts files)
• 5. Oznam podezřelé aktivity

formuluje Tony Bradley v 5 Steps To Keep From Being Victimized By Phishing Scams.

Hesla

Deset nejčastěji používaných hesel (UK) najdete v krátkém přehledu Stuarta Browna – Top 10 Most Common Passwords :

• 1. ‚123‘
• 2. ‚password‘
• 3. ‚liverpool‘
• 4. ‚letmein‘
• 5. ‚123456‘
• 6. ‚qwerty‘
• 7. ‚charlie‘
• 8. ‚monkey‘
• 9. ‚arsenal‘
• 10. ‚thomas‘

A jak dopadli němečtí uživatelé v obdobném přehledu (Passwortdaten von Flirtlife.de kompromittiert)? Pět nejčastějších:

• 1. ‚123456‘
• 2. ‚ficken‘
• 3. ‚12345‘
• 4. ‚hallo‘
• 5. ‚123456789‘

V srovnání vítězů obou „hitpárád“ vychází „lépe“ větší důkladnost Němců :-).

Kryptografie

Minulý týden proběhla v Sankt Petěrburgu každoroční mezinárodní konference Eurocrypt. EUROCRYPT 2006 – zde najdete její program.

Kapitolu z knihy Cryptography Decrypted věnovanou protokolům pro dohodu na klíči je možné stáhnout na Exchanging Secret Keys Over Public Distribution Channels.

Nelineárním booleovským funkcím, které nalézají široké uplatnění v kryptografii, je věnován článek There exist Boolean functions on n (odd) variables having nonlinearity... Viz podrobnější komentář Vl. Klímy.

Zajímavá historie jedné šifry vázající se (snad) k reálně existujícímu pokladu – to je obsah článku The Beale Ciphers. Yet another story of secret codes.

A pokud by si někdo chtěl vyzkoušet svůj vlastní kryptoanalytický potenciál, nechť se podívá na stránku one time pad used twise a zkusí vyluštit tam popsanou úlohu (v době psaní tohoto článku tam ještě řešení nebylo).

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.