Bezpečnostní střípky za 44. týden roku 2006

Přehledy

Budeme vůbec moci někdy dokázat, že jsme se vypořádali s problémy IT bezpečnosti? Paul F. Roberts si v zamyšlení Future-proof your IT security nad současnou situací a perspektivami IT bezpečnosti klade tuto otázku, a to v návaznosti na výsledky nedávného přehledu 2006 InfoWorld Security Survey. Že v tomto směru nemůžeme být optimisty, ilustruje autor v závěru článku citací Bruce Schneiera:

• Prokazatelná bezpečnost softwaru nebude dosažitelná v nejbližších dvaceti či třiceti letech. Nemáme k dispozici žádnou ideu, jak toto uskutečnit. Zajistit bezpečnost exaktními prostředky? Nevíme jak a ještě dlouho vědět nebudeme.

Ze zmíněného přehledu alespoň jedna ilustrační tabulka – ohodnocení vážnosti hrozeb pro bezpečnost podnikových sítí (v procentech):

• 50 % – trojané, viry, červy a obdobný malware
• 45 % – spyware
• 44 % – spam
• 39 % – chyba zaměstnance (neúmyslná)
• 37 % – zranitelnost aplikace
• 37 % – ukradená data (zaměstnancem či obchodním partnerem)
• 36 % – hackeři
• 30 % – vnitřní sabotáž
• 30 % – bezdrátové LAN
• 27 % – zavedení nové technologie (např. bezdrátová LAN, vzdálený přístup)
• 24 % – chyba obchodního partner (neúmyslná)
• 24 % – mobilní zařízení (PDA, smartphone)
• 20 % – náhodný vetřelec (nikoliv konkurent, kyberterorista, zaměstnanec či partner)
• 19 % – kyberterorismus
• 16 % – nezpůsobilost vyhovět regulačním ustanovením
• 15 % – špionáž konkurence

Přehled také komentuje Dan Goodin v 2006 InfoWorld Security Survey: IT's confidence crisis. Počty útoků sice klesají, ale jsou cílenější a velikost jejich dopadů naopak roste.

Obecná a firemní bezpečnost IT

Jon Espenschied v článku User tricks, security ‚treats‘. Because sometimes dealing with folks at the office is a dark art rozebírá možné postupy (triky) interních uživatelů charakteristické specifickým jednáním a ke každému z nich uvádí svá doporučení (připravenost, politiky,…)

Soukromí zaměstnance a sledování e-mailové pošty zaměstnavatelem – touto otázkou se zabývá Mark Rasch v Employee Privacy, Employer Policy. Popisuje dva nedávné soudní příběhy, kde odůvodněné očekávání zaměstnance ve vztahu k svému soukromí bylo důležitější než zaměstnatelova možnost číst e-mailovou poštu zaměstnance. A to i situacích, kdy politika zjevným způsobem deklarovala, že firemní maily mohou být a budou monitorovány.

Po registraci si lze stáhnout prvních sedm z osmi kapitol knihy The Definitive Guide to Information Theft Prevention. Názvy kapitol:

• 1. Evolving Threat of Information Theft
• 2. Understanding Information Protection and Privacy Regulations
• 3. Overview of Key Technologies for On-Demand Security
• 4. Protecting Information During Transmission
• 5. Protecting Information Use on Unmanaged Devices
• 6. Protecting Information Use on Managed Devices
• 7. Risk Analysis and Incident Response
• 8. Best Practices to Prevent Information Theft (zatím nelze stáhnout)

Obdobně (na téže stránce) lze stáhnout dokument SSL VPNs: Lessons Learned (27 stran).

Software

V článku Top 10 Signs You Have an Insecure Web App uvádí Michael Sutton nejčastějších 10 známek toho, že vaše webovská aplikace není bezpečná:

• 1. Vyvěšené statistiky o uživatelích
• 2. Kopie záložních souborů
• 3. Vaše stránka se objeví na ‚Wall of Shame‘
• 4. Lze procházet adresáři
• 5. Logovací informace chodí v otevřené podobě
• 6. Prošlé certifikáty SSL
• 7. Zranitelná aplikace třetí strany
• 8. Rozvláčné chybové hlášky
• 9. Komentáře vývojářů v zdrojovém kódu
• 10. Byl jste hacknut a vaše stránky pozměněny (defaced)

Debra Shinder zase ve stručném přehledu k bezpečnostním vlastnostem IE 7 (10 things you should know about Internet Explorer 7 Security) předkládá seznam deseti věcí, o kterých byste měli v této souvislosti vědět:

• 1. Default protection from potentially dangerous Active X controls
• 2. Per-zone control of Active X opt in
• 3. Site and zone locking for Active X controls
• 4. Protection against phishing
• 5. Cross-domain security
• 6. Locked down security zones
• 7. Better SSL/TLS notification and digital certificate info
• 8. Privacy protection features
• 9. Address bars
• 10. International character alert

Nejlepší doporučované postupy pro šifrování databází diskutuje materiál Best practice for database encryption solutions. Např. popisuje, jaké všechny faktory je třeba v této souvislosti zvažovat:

• nalezení vhodného kompromisu mezi výkonem a bezpečností
• na jakých úrovni budeme šifrovat
• volba architektury
• zabezpečení komunikací s databází

Studie se blíže zabývá modelem s názvem Hybrid a je vlastně příručkou pro implementace šifrovacích postupů k ochraně podnikové databáze (včetně jejich správy, zálohování, auditu, logů).

Šest základních pravidel pro bezpečnost projektů SOA (Service-oriented architecture – např.: Reference. SOA/Web Services) uvádí Kevin Smith v Six Basic Rules for Securing SOA Based Projects:

• 1) Plánujte dopředu
• 2) Poznejte podnikovou infratrukturu
• 3) Využijte normy
• 4) Myslete jako bezpečák (nebo nějakého najměte!)
• 5) Připomeňte si podstatu webových služeb (je to vlastně černá skříňka se zveřejněným rozhraním)
• 6) Uvědomte si dvojí ostří kryptografie (bezpečnost versus výkon)

Kapitolu 12 – Preventing SQL Injection – z knihy Pro PHP Security si můžete přečíst zde. Recenzi celé knihy napsal Alan Berg – Book review: Pro PHP Security by Chris Snyder and Michael Southwell.

Podrobnosti k ustavení chráněného vzdáleného spojení desktopu a serveru (Windows Server 2003) prostřednictvím TLS/SSL autentizace najdete v článku How to secure remote desktop connections using TLS/SSL based authentication (Martin Kiaer).

Sítě

Backdoors and Holes in Network Perimeters – to je fiktivní případová studie zabývající se zadními vrátky a děrami v perimetru sítě. Obsahuje k tomu příslušející analýzu a výsledná doporučení.

Kapitolu 8 z knihy How to Cheat at Securing a Wireless Network si můžete stáhnout zde – Monitoring and Intrusion Detection.

Malware, hackeři

Hrozby typu SQL injection jsou již delší dobu široce diskutovány a vývojáři mají za jeden ze svých cílů nezbytnost vytvořit obrany proti těmto útokům. Existují však útoky obdobného typu (LDAP injection, XPath injection), které jsou známy méně. Přesto jsou stejně nebezpečné a hackeři tyto útoky znají a používají – Malicious Code Injection: It’s Not Just for SQL Anymore (Bryan Sullivan).

AVG Anti-Spyware vstupuje do boje se spyware – AVG moves into the spyware battle with AVG Anti-Spyware. Erik Eckel recenzuje novinku společnosti AVG.

Malware Stration, také je známo pod názvy Warezov, Stratio. Jeho měnící se kód vzbuzuje nejistotu o existujících cílech – Tricky new malware challenges vendors. Šíří se e-mailem, pokud se usídlí v počítači, zasílá sám sebe na adresy, které v počítači najde. Každých třicet minut dokáže stáhnout novou verzi sama sebe z počítače, který je ovládán hackerem. Jeho detekce je proto obtížná a nejasné jsou tedy také záměry hackerů s tímto typem červa.

Wikipedia byla napadena malware Wikipedia hijacked by malware. Útočníci využili politiku otevřenosti, o které se opírají principy Wikipedie.

Alan Cox, známý linuxový vývojář varoval ve svém vystoupení na konferenci London's Linux­World před zámysly hackerů a hovořil o sumách, které jsou vkládány do pokusů hackovat open source systémy. Řada open source projektů má přitom k bezpečnosti daleko (Linux expert w;arns of open source's growing appeal to hackers).

Attack of the Bots – zde najdete informaci o reálných zkušenostech z útoku botů. Scott Berinato v rozsáhlejším článku popisuje situaci z května 2006 – jak byla zlikvidována společnost Blue Security.

Tynan Wilke uvádí svůj rozbor jednoho útoku botnetu provedeného díky existující zranitelnosti typu script-injection (s konkrétními detaily) – Botnet Attack and Analysis.

Million-PC botnet threatens consumers – na internetu je připravena milionová armáda botů. Otázkou je ale na co. Poslední takto velká frekvence botů se objevila v červenci a srpnu 2004 a připravila půdu pro epidemii viru Netsky. Jednou z možností jsou útoky rhybářů v návaznosti na blížící se Vánoce.

IM

Útoky na IM a sociální inženýrství – touto problematikou se zabývá Michael Cobb v Latest IM attacks still rely on social engineering. Popisuje některé triky útočníků a říká, co bychom měli udělat jako prevenci před těmito útoky. Situace je zde v zásadě obdobná jako u e-mailových útoků, ale je třeba si také uvědomit, že v současnosti firewally nekontrolují provoz IM.

Jestliže v naší firmě používáme IM, měli bychom uvažovat i o odpovídajících bezpečnostních opatřeních. V článku 6 Control Measures Every Business Should Take to Secure IM (částečně PR – nezbytná je bezplatná registrace) je uvedeno 6 základních opatření, které dle autora (Paul Ritter) by měly redukovat rizika spojená s používáním IM:

• 1. Vyhodnocení současného používání IM
• 2. Rozhodnout, zda je povoleno používání veřejných IM komunikací
• 3. Ustavení politik pro používání IM, zadržení IM a uchovávání IM komunikací
• 4. Zavedení technologií pro správu IM, pro jeho bezpečnost a kontrolu
• 5. Integrace IM do systémů používaných ve firmě (Active Directory, LDAP Directory)
• 6. Další (rozšířené) použití IM

Bezdrát

Hackers Threat to Wi-Fi Users – to je komentář k výsledkům jednoho přehledu (zpracovala firma Education Bureau na základě objednávky softwarové a bezpečnostní společnosti Aytel Systems). Přehled byl věnován hrozbám uživatelům Wi-Fi ze strany hackerů. Pokud bezdrát (třeba doma) používáte, věnujte trochu pozornosti jeho zabezpečenému provozu.

802.11b – útok DoS na úrovni firmware (Firmware-Level Attacks) využívá chyby ve firmware bezdrátových karet 802.11. V odstavci 8 jsou pak vyjmenovány některé verze firmware, kterých se chyba (zranitelnost) týká.

Bluetooth

Popis útoků na zařízení s Bluetooth najdete v tomto přehledu (All your Bluetooth is belong to us, jeho autory jsou Kevin Finistere a Thierry Zoller). Je zpracován formou rozsáhlejší prezentace, viz také krátký komentář – Bluetooth 0day hacking.

Forenzní analýza

Pokud se zajímáte o problémy forenzní analýzy, neměl by ujít vaší pozornosti elektronický časopi IJDE, který je cele věnovaný těmto otázkám. Vychází od roku 2002, na odkazu najdete i starší čísla, poslední číslo je zde – International Journal of Digital Evidence(IJDE) Fall 2006 Volume 5, Issue 1. Pro přiblížení obsahu časopisu jsou dále uvedeny názvy článků v tomto posledním čísle:

• Exploiting the Rootkit Paradox with Windows Memory Analysis
• Hidden Disk Areas: HPA and DCO
• Forensics and SIMS Cards: An Overview
• Google Desktop as a Source of Digital Evidence

Spam

Rekordní současnou úroveň spamu konstatuje James Clement v Spam levels reach record high. Přitom obrázkový spam (podstatně hůře je detekovatelný) tvoří 30 procent veškerého spamu.

Spam Filters Need the Human Touch (nezbytná je bezplatná registrace) – pro každý e-mailový server je úkol vyrovnat se vhodným způsobem se spamem jedním z nejdůležitějších . Z obsahu:

• Proč je zapotřebí integrovat (do spamových filtrů) i výsledky lidské analýzy
• Různé filtrovací techniky, které jsou dnes k dispozici
• Zranitelnosti těchto řešení
• Postupy pro integraci výsledků lidské analýzy do spamových filtrů a cíle této integrace

Autentizace, phishing

O phishingu aneb nenechte se podvést – Pavel Dobrý na Živě: Fenomén podvodných e-mailů (phishing) se již objevil i v České republice. V tomto článku se dozvíte, jakým způsobem je možné se bránit a jaké prostředky ochrany před podvodnými e-maily nabízí moderní řešení poštovních serverů.

Will Sturgeon v krátkém zamyšlení ( Can IE 7 kill off phishing?) hovoří o optimismu ve vztahu IE7 a phishing. Falešné weby by měly být snadno identifikovány a eliminovány. Ovšem lidská vynalézavost na jedné straně a obyčejná naivita (spíše hloupost) na straně druhé…

Kryptografie

V nakladatelství Albatros, edice OKO, vyšla koncem uplynulého týdne kniha českého kryptologa Pavla Vondrušky „Kryptologie, šifrování a tajná písma“, která je věnována výkladu základních pojmů, přehledu klasických šifrových systémů a historii kryptologie. Kniha je doplněna velkým počtem příkladů, které umožní čtenáři blíže se se systémy seznámit. Ukázky z jednotlivých kapitol knihy, včetně lektorského posudku Dr.  Vlastimila Klímy, lze nalézt na této stránce autora nebo na stránce nakladatelství.

Famous Unsolved Codes and Ciphers – seznam proslulých nevyřešených kódů a šifer zaujme jistě každého milovníka záhad.

Různé

Problémem smazaný soubor a Unix aneb jak by měl správně fungovat shredder (a někdy nefunguje) – nad tím se ve své prezentaci (Secure Programming Traps and Pitfalls – The Broken File Shredder ) zamýšlí Wietse Venema.

Možná využijete vyhledávač specializovaný na informační bezpečnost – SIS. Information Security Search Engine. A Co-operative search engine powered by Google Co-op.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.