Přehledy
Přehled Cyber Security Industry Alliance je věnovaný otázce: Důvěra spotřebitelů a bezpečnost online. Další informace k přehledu (grafy, prezentace) lze nalézt na jejich webu csialliance.org a komentář k přehledu pak v SC Magazine. Přehled byl zpracován na základě odpovědí 1150 dospělých respondentů. Pouze 18 procent z nich soudí, že současná legislativa chrání spotřebitele dostatečným způsobem. Podle materiálu lze dnes uživatele internetu rozdělit na dvě přibližně stejně velké skupiny (cca 50 procent). Jedna polovina uživatelů internetu se bojí, že jejich data (vztahující se k financím) budou ukradena, resp. zneužita, druhá polovina internetu důvěřuje. Z té první části uživatelů polovina nenakupuje na internetu vůbec. Z druhé části uživatelů jich na internetu provádí online nákupy 91 procent. Tito uživatelé průměrně utratí na internetu měsíčně 116 dolarů. Autoři přehledu pak na základě těchto údajů vyčíslují ekonomické dopady nedůvěry uživatelů. Obdobně jako v ekonomice ale nedůvěrou uživatelů je poškozeno i odvětví bankovnictví. V tiskové zprávě je pak na základě těchto výsledků vyzýván americký Kongres k přijetí zákonů, které by lépe chránily spotřebitele.
Obecná a firemní bezpečnost IT
Odpovědi 5 bezpečnostních profesionálů na 5 otázek k současné situaci v bezpečnosti IT obsahuje článek 5 Computer Security Experts' Latest Tips and Techniques. Mezi odpovídajícími najdeme také Bruce Schneiera a dále to jsou – Matthew M. Speare, Bruce Forman, Gary McGraw a Scott K. Davis. Například v odpovědi na otázku, zda dnes společnosti vynakládají dostatečně peněz na ochranu svého počítačového prostředí, říká Bruce Schneier, že je to otázka správy rizik. Ne vždy jsou vynaložené peníze správně rozloženy. Je mnoho organizací, které vynakládají na bezpečnost adekvátní sumy peněz, ale utratí je nevhodně, nepokryjí ta správná místa. Vůbec otázka správného pochopení existujících rizik je klíčová, to zaznělo i v odpovědích dalších bezpečnostních profesionálů.
Server cyber crime law obsahuje celou řadu užitečných informací vztahujících se k právním otázkám souvisejícím s počítačovou kriminalitou. Diskutovaná legislativa je samozřejmě vztažená většinou k situaci v USA, ale nalézt lze zde i odkazy na EU a pod. Jednotlivé informace jsou roztříděny do následujících kategorií:
- Authentication
- Copyright
- Cyber Scams
- Cybersquatting
- Digital Investigations
- Hacking
- Identity Theft
- Law & Policy
- Obscenity
- Pharming
- Phishing
- Privacy
- Spam
- Spyware
- Vulnerabilities
Počítačová kriminalita se stává výnosnou činností – to je název rozhovoru se Stanislavem Bížou (IBM) – Computerworld. Zaujme v rozhovoru uváděné rozvržení finančních prostředků na IT bezpečnost u tuzemských podniků. Nejvíce prostředků je věnováno na detekci/reakci – ve vztahu k bezpečnostním incidentům, druhou prioritou je šifrování dat. Jaké prostředky jsou věnovány celkové analýze rizik (a zda jsou odpovídající) zde bohužel zmíněno není.
Následujícím třem nástrojům informační bezpečnosti:
- 1. Security Information Management
- 2. End-Point Security
- 3. Intrusion Prevention Systems
je věnován popis Todda Spanglera v článku 3 Key Computer Security Tools for 2006. Autor tyto tři nástroje považuje za klíčové bezpečnostní technologie pro rok 2006.
An Easy Guide For The IT Professional – to je recenze knihy The Little Black Book of Computer Security. Kniha je vlastně příručkou pro postupy v praktické akci a může být užitečným nástrojem pro rychlé ověření stavu bezpečnosti IT.
Software
Pět chyb, které se vyskytují v aplikacích opírajících se o využití SSL, popisuje článek Five Ways to Screw Up SSL:
- 1. Důvěřujete příliš mnoha certifikačním autoritám. Tento bod má význam v aplikacích, které potřebují ověřit certifikát (neovlivní to funkce většiny SSL serverů). Je třeba si uvědomit, že například Verisign má několik set tisíc zákazníků. V řadě aplikací můžeme těmto zákazníkům důvěřovat (platí Verisignu). Avšak pro aplikace, které vyžadují přísnější přístup k otázkám bezpečnosti, není akceptace každého certifikátu vydaného takovouto velkou CA dobrým nápadem.
- 2. Předpokládáte, že podepsaný certifikát je automaticky i patřičný certifikát. Tady – nelze směšovat autentizaci s autorizací. Jen z toho titulu, že někdo má platný certifikát, to neznamená, že je dotyčný oprávněn používat naši aplikaci.
- 3. Návrat zpět k TCP. Řada klientských aplikací funguje tak, že pokud se nepodaří uskutečnit SSL spojení, vrátí se zpět k TCP (spojení nezabezpečenému) se vším, co z toho vyplývá.
- 4. Používání v SSL nedostatečně bezpečných šifrovacích algoritmů (bohužel ještě stále natrefíme na algoritmy s nedostatečnou délkou klíče).
- 5. Přílišná důvěra v SSL (SSL is magic). Pokud jsme vše provedli patřičným způsobem, zajistili, že nenastala žádná z chyb popsaných v předešlých čtyřech bodech, pak SSL poskytuje autentizaci a utajení (ochranu dat). Všechno toto ovšem ještě neznamená, že naše aplikace je bezpečná. SSL je jeden z nástrojů, který pomáhá vytvářet bezpečné aplikace, není to však všelék.
V článku je doporučeno ověření těchto bodů každému vývojáři aplikací, systémovému administrátorovi popř. i penetračnímu testerovi.
Bitlocker tato nová technologie pro šifrování použitá ve Windows Vista bude implementována i v chystané verzi Windows Longhorn serveru – Microsoft promises disk encryption for Longhorn servers.
How Do You Know Your Data Encryption is Really Secure – Darren Miller na IT Observer diskutuje šifrování souborů na PC (viz také komentář Vl. Klímy).
DNS potřebuje každý, kdo chce využívat Active Directory. V kapitole knihy Learning Windows Server 2003, Second Edition, 2006 (Jonathan Hassell), kterou si můžete stáhnout zde – To know DNS is to know that heart of Active Directory in Windows Server 2003, zde se lze seznámit se základy DNS, jeho strukturou, resp. jaké různé typy dat podporuje a vyžaduje.
Autor článku (Jeremiah Grossman) Understanding Technical vs. Logical Vulnerabilities srovnává složitost algoritmů šachových programů se složitostí úlohy rozhodnout, zda daná webovská aplikace je bezpečná. Argumentuje, že tato úloha (bezpečnost web. aplikace) je tzv. nerozhodnutelný problém (undecidable problem). No – možná je takto problém definován příliš obecně, pak samozřejmě hledaná složitost řešení odpovídá složitosti řešení nejtěžších úloh z dané třídy. Konkrétní praktické úlohy však nemusí patřit k těmto nejobtížnějším. Mj. sám autor poznamenává, že polovinu možných otázek bezpečnostního charakteru lze řešit plně automatizovanou cestou.
Hackeři, malware, rootkity
Bylo vydáno soudní rozhodnutí ve věci Sony DRM rootkit – Court orders Sony to pay rootkit victims. Sony musí zaplatit obětem rootkitu.
Google hacking – ‘Google hacking’ attacks rising – počty útoků rostou. Analytici (Massey University – Nový Zéland) tři měsíce zkoumali stránky v několika zemích – Nový Zéland, Austrálie, USA a Česká republika. Podle výsledků se dají citlivá data najít snadněji než dříve. Nejhůře dopadl Nový Zéland a nejlépe – kupodivu – Česká republika.
A ještě jednou k protinožcům. Z výsledků australského přehledu vyplývá, že v jedné pětině podniků byl v jejich firemní síti nalezen rootkit – Rootkits wreak havoc on Australian companies. V odkazu najdete komentář k přehledu, samotná zpráva je zde Results of the 2006 Australian Computer Crime and Security Survey.
Pozornost minulý týden vzbudila tato zpráva – zranitelnost ve Wordu umožňuje instalaci trojana – Update: McAfee warns of Trojan targeting Word.‚Zero day‘ could last until June 13. . Některé další informace a komentáře:
- Targeted attack: Word exploit – Update
- Zero-day Word flaw used in attack
- Microsoft advises ‚safe mode‘ for Word
- Kritická chyba vo Worde sa zákerne zneužíva, ako ju eliminovať?
Spam
Rozsáhlejší článek k současnému stavu problematiky boje se spamem se objevil v New York Times (registrace) – The Fight Against V1@gra (and Other Spam) . Některé země jsou ve své legislativě vůči spamu stále laxní (v články jsou citovány následující země – Rusko, východní Evropa, Čína, Nigerie). A spammeři? Autor jmenuje dva – Mr.Kuvajev (Rusko) a Alex Blood (Ukrajina). Těmto dvěma rekordmanům se „daří“ zahltit světový e-mailový systém pěti milióny zpráv za hodinu (!).
O praktickém boji se spamem (určeno zejména pro systémové administrátory) si lze více přečíst v kapitole knihy Slamming Spam: A Guide for System Administrators. Kapitola se věnuje praktickým postupům (SpamAssassin) a lze ji stáhnout zde – Fight Spam with SpamAssassin.
VoIP
Zfone Public Beta pro Windows XP je na světě (Philip Zimmermann). Pro stáhnutí je vyžadována registrace (funkční e-mailová adresa).
Z-fone je založen na novém protokolu s názvem ZRTP, tento protokol se neopírá o postupy PKI (certif.autority,…). Jak dojde k dohodě na klíči? Podle skoupých informací na webu: „It performs its key agreements and key management in a purely peer-to-peer manner over the RTP packet stream.“
Z-fone byl testován s následujícími VoIP klienty – X-Lite, Gizmo a SJphone.
Viz také komentáře na Voice Encryption May Draw U.S. Scrutiny a A first look at Zfone (starší komentář, tehdy byly k dispozici jen verze pro Mac a Linux).
Biometrie
Byla zveřejněna rozsáhlá studie (LogicaCMG) – přehled, věnovaný problémům vznikajícím při praktickém zavádění biometrických postupů – Public Attitudes Toward the Uses of Biometric Identification Technologies by Government and The Private Sector, ORC International. Vychází ze starších dat, ale podle Registru byla publikována minulý týden. Je zajímavá především šířkou svého záběru (133 stran). Další komentář je zde – European consumers plug into biometrics.
Poznámka: Podle výsledků zde citovaných mají z EU nejvíce negativní vztah k používání biometrických postupů respondenti z České republiky.
Autentizace, krádeže ID
Autoři článku Protecting Our Keystrokes (Avmer Rosenan a ZVI Gutterman) rozebírají oba typy keyloggerů (HW a SW) a dávají některá doporučení.
Krize elektronického obchodu aneb proč SSL nestačí, to je téma článku E-Commerce in Crisis: When SSL Isn't Safe . Není to však problém autentizace, ale problém autorizace transakce (Bruce Schneier). Hrozbu představuje speciální typ trojanů (autor je nazývá SSL-evading Trojans), kteří obejdou SSL a představují tak útoky typu man-in-the-end-point.
Pět doporučení pro ochranu před krádežemi ID a jak může pomoci CSO (chief security officer – bezpečnostní ředitel)? Těmito otázkami se zabývá Sarah D.Scalet v článku Five Ways to Fight ID Theft .
Normy a normativní dokumenty
Byla vydána následující rfc:
- rfc.4490 – Using the GOST 28147–89, GOST R 34.11–94, GOST R 34.10–94, and GOST R 34.10–2001 Algorithms with Cryptographic Message Syntax (CMS)
- rfc.4491 – Using the GOST R 34.10–94, GOST R 34.10–2001, and GOST R 34.11–94 Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile
- rfc.4353 – The Use of Galois Message Authentication Code (GMAC) in IPsec ESP and AH
První dvě rfc jsou věnována využitím ruských šifrovacích algoritmů (z ruských norem GOST) pro práci s CMS, resp. pro práci s certifikáty a CRL. Třetí rfc popisuje Galoisův autentizační mód (AES) při použití v rámci IPSec (ESP a AH).
Drafty skupiny IETF pkix:
- Certificate and Certificate Revocation List (CRL) Profile (navrhovaná náhrada za rfc.3280 a rfc.4325)
- Server-based Certificate Validation Protocol (SCVP) (další verze)
NIST vydal draft Special Publication 800–96, PIV Card / Reader Interoperability Guidelines. Je to příručka, která popisuje interakce mezi kartou a čtečkou (libovolnými) v rámci systému PIV.
Kryptografie
Na stránkách washingtonského univerzity najdete online aktuální kurz kryptografie – Practical Aspects of Modern Cryptography, Winter 2006 (Josh Benaloh, Brian LaMacchia, John Manferdelli). Odkaz je k celému kurzu (mj. na webu zde najdete i studentské práce), přednášky samotné najdete na adrese Lecture Slides.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.