Bezpečnostní střípky: USA zbrojí v kybernetické bezpečnosti

2. 3. 2009
Doba čtení: 8 minut

Sdílet

Pravidelný přehled informací vztahujících se k bezpečnosti IT. Z novinek tohoto týdne lze upozornit na informace o vývoji červa Conficker, přehled historie prokazatelně bezpečných kryptografických systémů a na významný počin - vydání seznamu kontrol vztahujících se k bezpečnosti IT (pro federální instituce USA).

Konference

KAREL WOLF v článku na Lupě Trendy v internetové bezpečnosti: největší hrozbou zůstává uživatel informuje o průběhu čtvrteční konference o trendech v internetové bezpečnosti.

Obecná a firemní bezpečnost IT

Jaké jsou vlastně bezpečnostní hrozby? Je to sofistikovaný malware či jsou to lidé? Ptá se TOM LOCK v článku What are the security threats? Sophisticated Malware or just People?. Navazuje v něm na svůj předchozí článek – Making IT security matter, uvádí určité statistiky ohledně podílu jednotlivých typů hrozeb, podtrhuje význam lidského činitele.

Why Information Must Be Destroyed aneb proč je třeba ničit informace. BEN ROTHKE v rozsáhlém článku vysvětluje: informace jakého typu je třeba ničit, jaké jsou k tomu důvody – legislativní, etické, konkurenční – a cituje příklady z praxe ve vztahu k využívaným postupům. Poukazuje na význam existence formalizovaného postupu a objasňuje, co by mělo být jeho součástí.

Skoro dvě třetiny zaměstnanců kradou data při odchodu ze zaměstnání. Toto číslo vyplývá z přehledu (Jobs at Risk = Data at Risk), který zpracoval Ponemon Institute – Nearly Two-Thirds of Ex-Employees Steal Data on the Way Out. Na přehledu se podílelo 945 respondentů. Zajímavé číslo, které se zde objevilo – 24 % těch, kteří opustili zaměstnání, má stále přístup do počítačového systému svého bývalého zaměstnavatele.

Twenty Most Important Controls and Metrics for Effective Cyber Defense and Continuous FISMA Compliance – celá řada amerických organizací a agentur spolupracovala na vydání tohoto seznamu dvaceti nejdůležitějších kontrol, kterými mají procházet federální instituce USA:

Press Release Announcing the Draft Available for Public Comment

What the CAG Critics say…

Consensus Audit Guidelines Draft 1.0

Další komentář k vydání tohoto seznamu je na stránce US Dept of Defense lists top 20 security controls . Obamova administrativa, jak se zdá, bere otázky kybernetické bezpečnosti skutečně vážně (viz nedávná informace o šedesátidenní revizi stavu kybernetické bezpečnosti USA).

Bezpečnost webových stránek a internetu

Microsoft vyvíjí nový bezpečnější prohlížeč – Gazelle – Microsoft researchers devise new browser with stronger security. Měl by být bezpečnější než současné prohlížeče – Firefox, Google Chrome a Internet Explorer (IE 8 má již být podle některých zpráv hotov). Principy konstrukce prohlížeče Gazelle jsou popsány ve studii The Multi-Principal OS Construction of the Gazelle Web Browser. Odlišnost Gazelly od jiných prohlížečů spočívá mj. v tom, že Gazella chápe jednotlivé součásti webové stránky (rámce, pluginy,…) jakožto separátní prvky a takto s nimi i pracuje.

Zranitelnost proxy serverů je předmětem popisu DANA GOODINA v článku Proxy server bug exposes websites' private parts. Útočník se zneužitím popisované slabiny může dostat k informacím, které jsou normálně offline.

Jak nainstalovat Open SSH ve Windows Vista – Installing OpenSSH on Windows Vista? SETH FOGIE vysvětluje využití Cygwin a základní nastavení Open SSH. Dále – objevila se nová verze Open SSH – OpenSSH version 5.2 released.

SSL: Broken even more, k současným problémům SSL diskutuje MICHAEL KASSNER. Vrací se k výsledkům, které na konferenci Black Hat přednesl MOXIE MARLINSPIKE. Vysvětluje fungování nástroje SSLstrip. Nepřehlédněte také další související stránku (v článku je na ni odkaz) – HTTPS web hijacking goes from theory to practice.

eWeek – jeho hacknuté stránky šířily malware – Malicious advertising banners distributed by eWeek . Reklamní banner odkazoval na stránku, odkud si oklamaný čtenář stahoval tzv. Anti-Virus 1. K útoku byl zneužit Adobe Flash.

Co se celkově týká útoků na weby, příčinou je většinou stále vandalismus. Vyplývá to ze zprávy, kterou zpracovalo Web Application Security Consortium (WASC) – Study: Hackers still driven by urge to vandalize Web sites. Analysis of Web-site hacks shows defacement was biggest motivation for attackers. Penize ještě zatím nejsou tím hlavním tažným momentem, i když jejich role narůstá. Většina útoků využívá techniky SQL injection.

To Catch a Thief – o útocích na internetu typu přesměrování. EARL ZMIJEWSKI zde popisuje výsledky, které byly předneseny na nedávné konferenci Black Hat – Defending Against BGP Man-In-The-Middle Attacks.

Proč je třeba využívat DNSSec, vysvětluje MIKE FRATTO v článku DNSSEC: Forgetting The User, Again. Jeho hodnocení DNSSec je však kritické a autor zároveň poukazuje na jeho nedostatky, resp. nezbytnost dalších navazujících opatření.

Jak vybírat registrátora domény, na které nám záleží, k tomuto problému předkládá CHAD PERRIN pět svých doporučení – 5 tips for choosing a registrar for sites you care about.

Používáte G-mail? Pozor na pokusy o krádež vašich přihlašovacích údajů – ID thieves go phishing for GTalk, GMail passwords. Podvodné maily vás zvou k přihlášení – např. na phisherskou stránku Google Talk (falešnou pochopitelně).

K úterním (z minulého týdne) problémům G-mailu se vrací článek Google's email service goes down. Gmail tumbles out of cloud – again (jeho autorem je KELLY FIVEASH). Co se vlastně stalo? Podle článku Oldest trick in the book sends Gmail crashing se jednalo o soustředěný DDoS útok z tisíců počítačů.

Software

Společnost Adobe vydala záplatu na díru ve Flashi – Adobe plugs Flash-player hole . Očekávaná záplata k programům Adobe Reader 9 a Acrobat 9 bude vydána teprve 11. března.

Byla vydána nová verze programu  – Cain and Abel 4.9.28. Cain & Abel je nástroj k obnově hesel v systémech Microsoftu. Jak funguje, vysvětluje názorné video – Recovering lost passwords with Cain & Abel.

Cesty ochran před útoky na databáze jsou tématem článku Database Crime Scene Prevention. AMICHAI SHULMAN v rozsáhlejším článku rozebírá postupy útoků, které rozdělil do pěti fází:

  1. Tools of the Trade
  2. Initial Access
  3. Privilege Abuse
  4. Privilege Elevation
  5. Covering the Tracks

Navazují pak doporučení pro ochrany před útoky pro každou z těchto fází (2.-5.).

An expert’s guide to open source software security  – open source a bezpečnost – odborník komentuje problematiku. ROB RACHWALD poukazuje na záludnosti, které ve vztahu k bezpečnosti při využívání open source SW mohou vzniknout a dává některá doporučení.

Microsoft vydal opravu pro Autorun – After CERT WARNING, MICROSOFT DELIVERS AUTORUN FIX. Pokud jste u systémů Windows 2000, XP a Server 2003 dříve odstavili funkci Autorun, nestačilo to (odstavení nebylo plně funkční) a některé útoky toto nedostatečné zajištění zneužívaly.

Malware

Objevila se další varianta Confickeru – New variant of Conficker worm circulates. Po Confickeru A a Confickeru B přichází Conficker B++, má mít nový typ zadních vrátek s „aktualizací“.

Microsoft Conficker worm offers attack prevention lesson aneb lekce, které udělil červ Conficker. ERIC OGREN na jeho příkladě uvádí činnosti a kroky nezbytné k ochraně počítačových sítí.

Také na Schneierově blogu se objevila diskuze k nové variantě červa Conficker – Another Conficker Variant. Najdeme zde několik užitečných poznámek.

Hackeři

Jak se bránit před útoky typu man-in-the-middle – How to protect from man-in-the-middle attacks. To je několik doporučení jednak pro koncové uživatele a jednak pro podnikání.

Nejlepší postupy pro obranu před hackováním jsou rozebírány v Best practices against hacking. PAOLO PETROLINI a IRIS MARIANO diskutují různé cesty útoků a obrany před těmito útoky.

Proveden byl útok DDoS na stránky Metasploitu – Metasploit And Other Sites DDoSed. A tento útok se měl týkat i jiných stránek.

Hardware

Čtečky karet používané pro online bankovnictví nejsou bezpečné – Optimised to Fail: Card Readers for Online Banking. Vyplývá to z analýzy, kterou na konferenci Financial Cryptography prezentovali pánové SAAR DRIMER, STEVEN J. MURDOCH a ROSS ANDERSSON. Komentář k jejich vystoupení je obsažen v článku Cambridge security boffins slam banking card readers.

VoIP

Snahám o odposlech Skype se věnuje také diskuze na Schneierově blogu – NSA Wants Help Eavesdropping on Skype .

Elektronické bankovnictví

Další platební systém se stal předmětem útoku – Another payment firm breached, details few. Vyplývá to ze zjištění dvou bank, jedná se o jiný platební systém než Heartland (nedávná oběť hackerů). O který konkrétní systém se jedná, zatím zveřejněno nebylo.

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu následující dokumenty

Pracovní skupina IETF pkix vydala draft

Kryptografie

Je to matematická bomba anebo…? Seznamte se se zajímavou diskuzí na Schneierově blogu – The Doghouse: Singularics – okolo publikací jakéhosi JEFFA COOKA, který „dokázal Riemannovu hypotézu, vymyslel stoprocentně nerozbitelné kryptoschéma s veřejným klíčem, umí luštit RSA algoritmus“ a kdoví co ještě… Nesmírně šikovný chlap.

Historii prokazatelně bezpečných kryptosystémů s veřejným klíčem popisuje studie A Brief History of Provably-Secure Public-Key Encryption. Koncept prokazatelné bezpečnosti je někdy předmětem kritiky, přesto při vhodné volbě výchozích předpokladů přináší užitečné výsledky. ALEXANDER W. DENT seznamuje čtenáře s hlavními výsledky dosaženými v tomto směru ve vztahu k systémům s veřejným klíčem.

NSA pokračuje ve zveřejňování historicky zajímavých informací, tentokrát to jsou čtyři interview  – Oral History Interviews. Mimo jiné také s jedním z pionýrů moderní americké kryptologie – Dr. Solomonem Kullbackem – známým i širší odborné veřejnosti publikací své knihy Information Theory and Statistics, náhled na obsah knihy je na http://books.go­ogle.com).

Zajímavé odkazy

Pět zajímavých odkazů měsíce února zprostředkovává CHAD PERRIN – 5 interesting security links for February 2009.

Různé

Bude mít americká armáda EMP granáty? Diskuze na Schneierově blogu je věnována zprávě, že snad je u konce vývoj technologie umožňující vyzbrojit armádu zbraněmi produkujícími elektromagnetický puls (který vyřadí protivníkovu elektroniku) – Electromagnetic Pulse Grenades .

bitcoin školení listopad 24

Vyšlo nové číslo (březen 2009) – (In) Secure Magazine. Z obsahu:

  • Improving network discovery mechanisms
  • Building a bootable BackTrack 4 thumb drive with persistent changes and Nessus
  • What you need to know about tokenization
  • Q&A: Vincenzo Iozzo on Mac OS X security
  • A framework for quantitative privacy measurement
  • Why fail? Secure your virtual assets
  • Phased deployment of Network Access Control
  • Web 2.0 case studies: challenges, approaches and vulnerabilities ISP level malware filtering
  • Q&A: Scott Henderson on the Chinese underground

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku