Obecná a firemní bezpečnost IT

Pět zpráv (novinek) z bezpečnosti IT, kterým bychom měli věnovat pozornost – Five security news items that should get your attention. Chad Perrin vybral pětici informací, které si to podle jeho názoru nejvíce zaslouží:

• NSA pomohlo Microsoftu s bezpečností Windows 7. Diskutuje se o tom, zda by NSA zde mohla mít vytvořena zadní vrátka.
• Kompromitována byla stránka NSA
• Společnost IBM oznámila, že má k dispozici prostředek, který umí pracovat se zašifrovanými daty – bez nutnosti je dešifrovat (autorem tohoto nového algoritmu je Craig Gentry).
• V Takoma Park jako první použili kryptografický hlasovací systém (voting system) MIT.
• V záři se objevil první červ pro reddit (stránka pro novinky v sociálních sítích, hlasuje se o jejich významu).

McAfee – jaké typy podvodných e-mailů můžeme očekávat s blížícími se Vánoci? V článku McAfee warns about ‚12 Scams of Christmas‘ jich pracovník společnosti McAfee David Marcus identifikoval 12, jsou zde vyjmenovány, např.:

• podvodné e-maily, které zdánlivě mají charakter charity
• falešná oznámení od zásilkových služeb
• žádosti přátel ze sociálních sítí
• falešné luxusní šperky
• bezpečné sváteční nákupy (je vaše bezdrátová síť dostatečně zabezpečena?)
• podvodné maily spojené s hledáním zaměstnání
• podvodné maily, které se snaží z vás vylákat hesla k účtům či jiná citlivá data
• vyděračské soubory

Bill Brenner v Checklist: 11 Security Tips for Black Friday, Cyber Monday zase uvádí jedenáct bezpečnostních doporučení pro online nákupy před svátky (USA – Den díkůvzdání):

• Ujistěte se, že máte zapnutý bezpečnostní software
• Chraňte uživatele před jejich vlastními chybami, jinak řečeno zvyšujte jejich bezpečnostní povědomí
• Monitorujte síť
• Segmentujte sítě
• Stop pro malware v mobilních zařízeních
• Odevzdávejte hotovost
• Důvěřuj, ale prověřuj
• Ověřujte podpisy
• Transakce opírající se o PIN jsou lépe chráněny
• Uchovávejte co nejméně dat ke kartám (nechte to na odpovědných institucích)
• Šifrujte

So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users aneb jaké mohou být racionální důvody pro zamítnutí bezpečnostních doporučení. Tento méně tradiční pohled na řešení bezpečnostních otázek je také diskutován na Schneierově blogu – Users Rationally Rejecting Security Advice.

Byla vydána zpráva U.S.-China economic and security review commision. Komentář k tomuto rozsáhlému dokumentu (381 stran) je v článku, jehož autorem je Thomas Claburn – China Cyber Espionage Threatens U.S., Report Says. Co se týká nebezpečnosti čínské kybernetické špionáže, je zde v letošním roce konstatován význačný posun těchto aktivit oproti rokům 2008 a 2007.

Americká vláda – je třeba zpřísnit požadavky na pracovníky IT bezpečnosti – FY 2009 FISMA Evauazion Report. Komentář k této zprávě amerického ministerstva vnitra je obsažen v článku Feds To Sharpen Cybersecurity Job Policies.

Proč musíte mít své hlavní uživatele pod kontrolou? na tuto otázku odpovídá Bob Tarzey v článku Why you must rein in your power users. Říká, že privilegovaní uživatelé musí být kontrolováni nejméně tak jako běžní uživatelé, ale spíše více. Pokud oni zapříčiní škodu, nebývá to škoda malých rozměrů.

Jaký je současný stav vývoje amerických vojenských kybernetických sil, k tomuto tématu vystoupil jejich šéf (US 24th Air Force, Lackland v Texasu) generálmajor Richard Webber na sympoziu v Los Angeles – US Military cyber forces on the defensive in network battle.

Kybernetické průniky jsou utajovány – Cyber breaches kept secret. V článku agentury Reuters se uvádí, že na zveřejněné případy datových průniků připadá mnohem více takových případů, kdy se o uskutečněných datových průnicích mlčí. Někdy není informována ani FBI (je popisována situace v USA).

Software

Čtyři možnosti, jak relativně lacino monitorovat síť – s cílem sbírat důkazy, uvádí ve svém článku Brandon Gregg – 4 Cheap Options to Monitor Networks for Evidence. Je zde také několik odkazů na další články se související problematikou.

Co se týká top 100 https stránek, jen 24 z nich je zabezpečeno proti poslednímu útoku na TLS – 24 of the 100 top HTTPS sites now safe from TLS renegotiation attacks. Tedy útoku, který je označován jako TLS renegotiation attack. Anil Kurmus demonstroval na příkladu Twitteru, jak využitím této zranitelnosti lze krást hesla.

Cloud computing pros and cons – výpočty v oblacích (cloud computing), jaké jsou jejich klady a zápory, to je komentář ke zprávě Cloud Computing: Business Benefits With Security, Governance and Assurance Perspective, kterou připravila ISACA.

Seznam přání ohledně bezpečnostních vlastností IE 9 připravil Brian Prince – A Security Wish List for Microsoft Internet Explorer 9. Je to reakce na informaci Microsoftu, který v ní uvedl některé podrobnosti k nové verzi prohlížeče Internet Explorer (ohledně novinek, které se vztahují k bezpečnosti, však nebyla žádná zmínka).

MS unleashes legal attack dogs to lick up COFEE spill – jaké jsou současné snahy Microsoftu vzhledem k uniklému nástroji MS COFEE? COFEE (Computer Online Forensic Evidence Extractor) je nástroj určený k sběru digitálních důkazů, není určen veřejnosti. Nyní je v pozměněné podobě dostupný na torrentech.

Exploit pro Internet Explorer byl zveřejněn online, týká se verzí IE 6. a IE 7. Viz komentáře:

• Internet Explorer exploit published online
• Microsoft issues security advisory on IE vulnerability
• Race on between hackers, Microsoft over IE zero-day

O chybě IE 8 zase informuje článek

• Major IE8 flaw makes ´safe´ sites unsafe

Jak si správně vybrat bezpečnostní software, nad tím, jaké možnosti mají uživatelé, se zamýšlí Nick Mediati – Picking the Right Security Software. Mezi doporučeními se objevují např. G-Data Antivirus (nedávno úspěšný v testech) a ZoneAlarm.

Strategie, která vede k přesměrování DNS pro chybné požadavky může vést k škodám na internetu – DNS redirect requests can harm the Internet, ICANN says. Mikael Ricknäs komentuje sdělení ICANN (Internet Corporation for Assigned Names and Numbers), které kritizuje často zaužívanou praxi, kdy po chybně zadané adrese někteří operátoři odešlou požadavek na jinou IP adresu (NXDOMAIN substitution), často jí je nějaký informační portál.

Security Starter Kit byl nově doplněn pro rok 2010 – Security Starter Kit. Bezplatně dostupné bezpečnostní programy v něm obsažené (ke každému z nich je uvedena stručná informace):

• Avast Home Edition – Free Antivirus
• Avira AntiVir Personal – Free Antivirus
• Malwarebytes Anti-Malware
• ThreatFire AntiVirus Free Edition
• Web of Trust for Firefox
• NoScript
• Adblock Plus
• AVG LinkScanner
• LastPass Password Manager
• Comodo Internet Security
• Online Armor Free
• TrueCrypt
• Enigmail
• KidZui (rodičovská kontrola)
• Norton Safety Minder
• K9 Web Protection

Komentář k aktualizaci tohoto seznamu je na stránce Big changes in Security Starter Kit 2010.

Malware

Některá rozšíření Firefoxu lze zneužít pro instalaci malware – Some Firefox extensions may be exploited to install malware. Michael Kassner informuje o výsledcích výzkumu, který provedli pánové Suggi Liverani a Freeman (to druhé jméno je pochopitelně pseudonym).

Viry

Viry skryté v antivirech, Ondřej Bitto na Živě: Jednou z moderních hrozeb jsou podvodné aplikace, v čele s falešnými antiviry. Poslední dobou jejich počet stoupá – jak fungují a jak se proti nim úspěšně bránit?

Hackeři

Japonská stránka Symantecu se stala další obětí rumunského hackera Unu – Symantec Japan website bamboozled by hacker. Plaintext passwords revealed. John Leyden informuje o nalezené zranitelnosti typu Blind SQL Injection.

A jeden speciální hack – stránky kláštera Shaolin – Hacks of Chinese temple were online kung fu, abbot says. Představený shaolinského kláštera to charakterizoval jako online kung fu.

Co znamená únik e-mailů k změnám klimatu ve vztahu k trendům hacktivismu? V článku Climate Change E-mail Leak Indicates ‚Hacktivism‘ Trend se Stefanie Hoffman pokouší zařadit tento únik dat do širších souvislostí. Viz také článek

• Climate Change E-mail Hack Could Lead To Future Attacks

Mobilní telefony

Malware na iPhone je žhavým tématem posledních dní. První skutečně škodlivý červ se objevil v Holandsku – IT: First Malicious iPhone Worm In the Wild on Saturday November 21, @03:37PM . Viz také komentář Johna Leydena – First malicious iPhone worm slithers into wild.

Nový červ pro iPhone krade bankovní data, staví botnet – New iPhone worm steals online banking codes, builds botnet. Rychlost, se kterou se vyvíjí situace s malware pro iPhone, je varující. Viz také – New iPhone password: „ohshit“.

Elektronické bankovnictví

Jaké jsou bezpečnostní hrozby online financím v roce 2010? Ori Eisen v Online financial security threats: What can we expect in 2010? ukazuje na pětici v tomto směru největších hrozeb a v druhé pětici poukazuje na to, kde bychom měli být především opatrní.

• Další rozšíření phishingu a objevení se SMShingu
• Na scéně budou podvody
• Nábor soumarů
• Útoky botů
• Otevírání online účtů (Demand Deposit Accounts – DDA) bude poskytovat podvodníkům další výhody.

A tedy čeho se v roce 2010 obávat:

• Vzdálené depozity
• Mobilní bankovnictví
• Podvody běžící vícekanálově (např. kombinace informací získaných online s bankomatovými podvody)
• Maskování citlivých dat
• Objeví se více trojanů typu „URLZone“

Současným bankovním trojanům se v článku New Banking Trojan Horses Gain Polish věnuje Robert Vamosi. Popisuje vlastnosti těchto typů malware a uvádí jejich příklady – URLzone, Silentbanker, Zeus a Clampi.

Používejte pro online finanční transakce PC, které je určeno jen k těmto účelům – Take a tip from the Feds. FBI advice to use a dedicated PC for online transactions is both practical and low cost. Martin Courtney komentuje doporučení, které pochází od FBI. I domácí uživatelé mohou někde v garáži vyhrabat staré zaprášené PC, stačí vlastně, aby na něm fungoval prohlížeč.

ENISA zpracovala dokument k online bankovnictví prostřednictvím evropských eID karet  – Privacy and Security Risks when Authenticating on the Internet with European eID Cards. Celý název materiálu (41 stran) je Privacy and Security Risks when Authenticating on the Internet with European eID Cards. Komentář k němu je na stránce Online banking security risks through European eID cards.

Pět doporučení pro zabezpečení komunikace se zákazníky zpracoval Chad Perrin – Five guidelines for secure customer communication. Ideální politika by měla obsahovat pětici charakteristik, které jsou dále popsány, týkají se kryptografických digitálních podpisů, používání standardních šifrovacích protokolů, využívání prostředků pro verifikaci digitálních podpisů, používání zabezpečených webových stránek s přístupem TLS a konstatování, že je třeba nevyhovět těm zákazníkům, kteří (z důvodů vlastní pohodlnosti) nejsou ochotni podřídit se zaužívaným bezpečnostním postupům.

Elektronický podpis

Do datových schránek se dá vloupat, tvrdí odborníci, z úvodu: Datové schránky nejsou bezpečné, pohodlně se do nich dostanou tisíce poskytovatelů internetového připojení, tvrdí odborníci z bezpečnostní firmy 4 Safety. Na důkaz v úterý pod dohledem novinářů vnikli do čerstvě zaregistrované datové schránky.

Co je nedostatečně bezpečné? Datové schránky nebo osvěta?, Jiří Peterka na Lupě: Podcenění základních principů bezpečnosti, stejně jako podcenění potřeby kvalifikované osvěty, se autorům a provozovatelům datových schránek nyní vrací jako bumerang zpět na jejich hlavu. Společnost 4Safety v úterý názorně předvedla novinářům, k čemu toto podcenění může vést. Aneb: jak se nechat oblafnout, i když přesně dodržíte to, co vám stát (bohužel nesprávně) radí.

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu dokument:

• draft NIST IR 7657 – Privilege Management

Kryptografie

Rozbitá tajná šifra Al-Kajdy – Bruce Schneier přichází se zajímavým námětem pro diskuzi na svém blogu – Al Qaeda Secret Code Broken.

Na stránkách Cryptology ePrint Archive se objevily tyto zajímavé odborné studie věnované problematice kryptografického párování:

• Optimal pairing revisited
• Constructing Tower Extensions for the implementation of Pairing-Based Cryptography
• Converting Pairing-Based Cryptosystems from Composite-Order Groups to Prime-Order Groups

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.