Přehledy
Zprávu (přehled) společnosti Webroot (byla zmíněna již v minulých Bezpečnostních střípcích) si lze stáhnout na následující adrese – State of Spyware. Komentář ke zprávě (další) pak najdete na IT Observer. Jak již název zprávy říká, je jejím obsahem zhodnocení současné situace ve vztahu k spyware. Objevují se nové trendy, nové techniky. Například spyware s cílem zabránit detekci provádí své automatické aktualizace. Některé typy spyware umí zablokovat antivirový software. Zpráva upozorňuje na rhybařící trojany (phishing Trojans), kteří se objevují zejména v posledních šesti měsících. Množství různých konkrétních kódů těchto trojanů a jejich častá aktualizace vede k problémům s jejich detekcí. Cílem těchto trojanů jsou samozřejmě finanční zisky, tj. sledují finanční aktivity uživatele, čísla účtů, karet, čísla sociálního pojištění atd. Obdobně zpráva upozorňuje na rostoucí agresivitu keyloggerů (již nejen sledují běžící procesy, ale pokouší se je i blokovat). Ve zprávě samotné je dále uvedeno několik statistik a grafů charakterizujících vývoj spyware.
Obecná a firemní bezpečnost IT
Úryvek z knihy Cryptography for Dummies lze nalézt na stránce Cryptography Do's and Don'ts. Hovoří se zde o tom, jakým chybám se vyhnout při šifrování dat. Např.:
- Ujistěte se, že po zašifrování dokumentu jste zničili příslušný otevřený text.
- Chraňte nejlepším možným způsobem svou databázi klíčů.
- Neukládejte své soukromé klíče na pevný disk svého počítače.
- Proškolte své uživatele ve vztahu k sociálnímu inženýrství
- Prověřte svůj šifrovací software – korektnost šifrování, nebo např. jakou cestou jsou generovány inicializační vektory, atd.
- Neinstalujte program pro šifrování dat, pokud přesně nevíte, co vlastně děláte.
- Nepoužívejte neznámé neotestované algoritmy.
V osmistránkovém článku The Changing Face Of Network Security Threats diskutuje Brian Floyd současná rizika související s hrozbami v síti a informuje o nových zařízeních, která poskytují lepší ochranu. Autor zmiňuje příklady konfigurace routerů Cisco.
Google hacking, Google Earth (satelitní snímky), Google Deskop, nyní Google notebook a co nás ještě čeká? V článku Ways Google is shaking the security world se Sarah D. Scalet zamýšlí nad tím, jak s využíváním těchto prostředků, které nám Google nabízí, jsou ovlivňovány různé aspekty bezpečnosti. Google nám nastavuje zrcadlo, říká v závěru autorka, co vše dáváme napospas online. A v budoucnu lze předpokládat pouze ještě větší agresivitu vyhledávacích technologií. Nestojí to za zamyšlení nad postupy nás samotných? Jak si chráníme svá data, své informace, které se mohou stát v určitých situacích zranitelnými?
Tony Bradley uvádí čtenáře do problematiky zabezpečení vzdáleného přístupu do sítě – Securing Remote Network Access.
Problém fyzické bezpečnosti se v poslední době začíná stále více dostávat do popředí otázek souvisejících s bezpečností IT – Physical Security Goes High Tech. Tanya Candia zdůrazňuje vzájemnou provázanost informační a fyzické bezpečnosti. Zmiňuje některé problémy související např. s monitoringem pomocí kamer a poukazuje na výhody inteligentních monitorovacích systémů.
O tom, že mobilní telefony mohou sloužit jako nástroj k vašemu sledování pravděpodobně většina čtenářů ví. Jak to vlastně funguje a proč třeba nepomůže ani výměna SIM karty, co je to IMEI, se lze dozvědět v článku Tracking you, tracking me, tracking everyone. Možným trikem je také zaslání prázdné SMS (nulové délky), odpověď – automatická – se ukáže v záznamech operátora i spolu s dalšími údaji.
Software
Autor článku Ballmer talks up bullet-proof Vista security z veřejného vystoupení Steva Ballmera vyvodil konec tradičních útoků virů a červů. Místo toho však nastoupí jiné problémy – např. rhybaření, trojané. Takovéto útoky budou směrovány především na to, jak ukrást peníze a ID. Viz také Is a secure Windows worth having?
V rozhovoru s Johnem Thompsonem (Symantec CEO) najdete jeho varování před monokulturou Microsoftu. Obdobným tématem v rozsáhlejší formě se zabývá David Haskin v článku Kicking The Microsoft Habit. Aktivity Microsoftu, který chce rozšířit záběr svých produktů, budí zjevně nepříznivé reakce.
V systému pro elektronické volby – Diebold Election Systems – byla nalezena kritická chyba – Diebold voting systems critically flawed . Libovolná osoba s přístupem k hlasovacímu terminálu může měnit vnitřní soubory – článek Roberta Lemose na SecurityFocus.
Viry
Nově se objevil bezplatný antivirový program – od společnosti Comodo – Free Anti-Virus solution from Comodo. Podrobnější popis najdete na firemní stránce – Free Antivirus Software Online Antivirus Scan From Comodo.
Malware, hackeři
Byla publikována druhá část článku Malicious cryptography, part two. V této části (první část najdete zde – Malicious cryptography, part one) se autor Frederic Raynal věnuje dále „ozbrojeným“ virům, tzv. Bradleyho červu (používá kryptografii) a ukazuje, jak lze zneužít Skype – k obejití firewallu a následné záměrné infekci (virem, červem,…).
Zajímavý článek zabývající se prevenci útoků DDoS (ve vztahu k linuxovým serverům) napsali Blessen Cherian a Ben Okopnik – Preventing DDoS attacks. Kromě základních informací o tom, co to je útok DDoS a jak probíhá, dávají autoři sérii doporučení – co dělat, pokud je na nás směrován tento útok a také doporučení ve smyslu prevence a obrany před těmito útoky.
Stručnou informaci o zveřejnění hacku firmwaru pro XBox 360 najdete v zprávě Hacked Xbox 360 firmware, now for everyone.
RFID
Bruce Schneier popisuje útok Man-in-the-Middle ve vztahu ke kartám RFID v článku RFID Cards and Man-in-the-Middle Attacks. Čip samotný komunikuje (může být přečten) až na vzdálenost 25 stop a to umožnuje provedení popisovaného útoku.
Nedostatečná transparentnost technologií RFID je předmětem diskusí v orgánech EU – Transparency ‚crucial‘ for RFID systems. Spotřebitelé by měli být informováni o tom, jaké druhy informací jsou prostřednictvím RFID získávány a jak jsou tyto informace dále používány.
VoIP
David Piscitello dává některá doporučení, jak chránit vaši VoIP síť – How to protect your VoIP network. VoIP se již stalo „mainstreamovou“ aplikací a autoři ukazují na množství existujících hrozeb, které se týkají jak uživatelů, tak i poskytovatelů těchto služeb. Popisují pak některé nástroje, které lze k zvýšené ochraně VoIP sítí použít.
VoIP Security: Q&A with Matthew Rosen, CEO Fusion – v interview s Matthew Rosenem (Chief Executive Officer and Director of Fusion, a VoIP solution company) jsou diskutovány tato otázky:
- Jaké jsou dnes největší hrozby pro VoIP?
- Jak jsou tyto hrozby reálné a jaký mají dopad na společnosti, které již VoIP používají?
- Které existující normy mohou dnes používat dodavatelé a vývojáři (VoIP)?
- Jaká opatření proti bezpečnostním hrozbám vůči VoIP by měla být vzata do úvahy?
- Jaké typy bezpečnostních řešení pro VoIP můžeme očekávat v blízké budoucnosti?
Bezdrát
Autoři článku – Wireless Security: Attacks and Defenses – (Bradley Morgan, Joshua Burke, Brad Hartselle, Brad Kneuven) podrobněji diskutují možná nebezpečí i prostředky ochran pro 802.11 WLANS (lokální bezdrátové sítě).
Pokud máte nechráněný bezdrát – co potom vidí útočník? A tedy čeho je třeba se vyvarovat? Na tyto otázky odpovídá Eric Geyer v článku An Eye on Wi-Fi Security.
Autentizace, hesla, krádeže ID
O rostoucí „popularitě“ keyloggerů bohužel netřeba pochybovat. Tento typ spyware se objevuje stále častěji. Podle zprávy specialistů společnosti Websense vzrostl počet firem, které hlásí tento typ infekce, oproti loňskému roku o 50 procent – Corporate keylogger infections up 50 percent. Viz také Keylogging attacks on the increase. Téměř jedna pětina organizací byla v tomto roce postihnuta útokem hackerů nebo keyloggerů.
Pokud vám ukradli ID, tak zde – How to: Get Through Having Your Identity Stolen – najdete návod, jak potom máte postupovat. Návod napsala jedna z obětí. Viz také diskusi na Schneierově blogu.
S jakými protiopatřeními ve vztahu k rhybářským technikám přichází banky? Touto otázkou se zabývá Robin Arnfield v Banks Get Wise to Phishing Fraud. Některá opatření resp. bezpečnostní technologie začínají být v tomto směru uplatňovány. Odborníci však říkají – vždy bude důležité uplatňovat prostý selský rozum. Jestliže třeba někdo přes internet bude vyžadovat mé důvěrné údaje – tak mu je ochotně sdělím?
Správa hesel a lidské chyby – Password Hell: The IT chief's nightmare – Will Sturgeon se zamýšlí nad současnou situací problematiky.
Normy a normativní dokumenty
Vyšlá rfc:
- rfc.4492 – Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS). Dokument popisuje algoritmy pro výměnu klíčů opírající se o eliptickou kryptografii pro potřeby protokolu TLS.
- rfc.4503 – A Description of the Rabbit Stream Cipher Algorithm. Popisovaný šifrovací algoritmus je proudová šifra (128-bitový klíč, 64-bitový inicializační vektor). Její vysoká efektivnost umožňuje její potenciální využití v systémech, kde jsou zpracovávány veliká množství dat.
- rfc.4507 – Transport Layer Security (TLS) Session Resumption without Server-Side State. V rfc je popisován mechanizmus pro TLS servery při zpracování jednotlivých relací.
Dále byly vydány dva drafty skupiny pkix:
- pkix – Certificate Management over CMS (CMC) Transport Protocols. Popisované transportní mechanizmy jsou HTTP, file, mail a TCP.
- Lightweight OCSP Profile for High Volume Environments (další verze)
NIST vydal SP 800–81 Secure Domain Name System (DNS) Deployment Guide. Příručka má napomoci organizacím při využívání služeb DNS. Diskutuje hrozby, bezpečnostní cíle a odpovídající bezpečnostní přístupy. Dále – obsahuje doporučení pro bezpečné konfigurace DNS a souvisejících mechanismů.
Kryptografie
Cílem autorů článku Pairings for Cryptographers je zpřístupnit využívání tohoto relativně nového pojmu objevujícího se v současné kryptografii širšímu okruhu zájemců. Pokud vás problematika zajímá, přečtěte si také On Computing Products of Pairings. Článek je věnován některým souvisejícím výpočetním aspektům. Další informace lze nalézt v odkazech z přiložených seznamů literatury (v obou článcích).
Generátor náhodných čísel, který je obsažen v jádře Linuxu, byl podroben analýze – Analysis of the Linux Random Number Generator a výsledky nejsou přívětivé. Špatně zdokumentovaný, mnohokrát záplatovaný a bohužel i obsahující bezpečnostní slabiny – to je charakteristika autorů. Viz také Holes in the Linux Random Number Generator a Vl. Klíma.
A jedno ohlédnutí do historie kryptografie – How I Broke The Confederate Code (137 Years Too Late). Zprávu z dob občanské války (USA) 137 let starou nedávno rozluštil bývalý kryptolog NSA. Komentáře najdete na digg.com
Autoři Alternativa to the Karatsuba Algorithm… popisují svůj novátorský přístup (v předchozí jejich práci byl použit pro HW) k algoritmům pro násobení v binárních tělesech – tentokráte pro SW aplikace. Podle jejich vyjádření je popisovaný postup lepší alternativou známého a používaného Karatsubova algoritmu.
Různé
Legislativa UK – vláda bude moci vyžadovat vydání klíčů použitých k šifrování – Government to force handover of encryption keys .
Akvizice Geotrustu Verisignem – Verisign To Acquire GeoTrust – nepochybně zpráva významná pro celé odvětví elektronického podpisu. Viz také komentář na CA market consolidates – Verisign to buy Geotrust.
Šifra mistra Leonarda přichází do kin. Informací na webu je spousta, tak alespoň jedno připomenutí – The soul of ‚Da Vinci‘ – s hromadou dalších odkazů..
Mikulášská kryptobesídka, český a slovenský workshop, se koná letos pošesté … Workshop se skládá z (a) dne prezentací příspěvků, diskusí a neformálního setkání ve čtvrtek 7. prosince 2006 a (b) půldne prezentací příspěvků a diskusí v pátek 8. prosince 2006. Součástí workshopu budou opět zvané přednášky. Předběžně jsou domluveni následující řečníci:
- Alex Biryukov (University of Luxembourg)
- Riccard Focardi (Universitá Ca Foscari di Venezia)
Podrobné informace, včetně pokynů k registraci, se budou průběžně objevovat na www stránkách workshopu: Mikulášská kryptobesídka 2006. Důležité termíny:
- 2.října 2006 : podání návrhů příspěvků
- 23.října 2006 : oznámení o přijetí/odmítnutí
- 20. listopadu 2006 : příspěvky pro sborník
- 7.–8. prosince 2006 : konání MKB 2005
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
