Bezpečnostní střípky za 24. týden roku 2006

19. 6. 2006
Doba čtení: 10 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Obecná a firemní bezpečnost IT, software, viry, malware, mobily, bezpečný e-mail, IM, hesla, autentizace, rhybaření, normy a normativní dokumenty, kryptografie.

Obecná a firemní bezpečnost IT

Evropa je méně postižena bezpečnostními průniky než USA. Alespoň podle některých výsledků z přehledu Ponemon Institute LLC a právní firmy White & Case LLP (komentář – Why isn't Europe suffering a wave of security breaches?). Z výsledků vyplývá, že USA jsou sice na tom lépe z hlediska používání bezpečnostních prostředků (šifrování, detekce průniků, ale i školení personálu atd.), avšak podle počtu zveřejněných incidentů je na tom zase podstatně lépe Evropa. Například – 52 procent amerických firem má ustaveného šéfa bezpečnosti – u evropských firem to platí jen pro 35 procent. V USA také šéfové bezpečnosti jsou na vyšších pozicích než jejich evropské protějšky. Pokud se týká školení zaměstnanců ve vztahu k bezpečnosti IT, platí zde obdobný poměr – 54 procent amerických firem školí své zaměstnance (v tomto směru), zatímco jen 32 procent evropských firem toto naplňuje. Podle odpovědí odborníků příčiny mohou být několikeré – jednou z nich může být to, že evropské incidenty nejsou vždy zveřejňovány (v USA existuje k tomu zákonná povinnost), evropské společnosti jsou v některých ohledech (identifikace, ID) přece jen na tom lépe a za třetí americké společnosti jsou lepším cílem pro potenciální útočníky. Autor článku (Jay Cline, Minneapolis, USA) pak shrnuje:Pokud evropské firmy nepůjdou na minimálně stejnou úroveň používání bezpečnostních prostředků (jako dnešní Amerika), pak budou v budoucnu muset čelit dokonce horším útokům, než kterým čelí dnešní americké firmy. Na druhou stranu by americké firmy měly převzít některé typy kontrol, které používá Evropa. Týká se to především důvěry v elektronický obchod, kde u amerických zákazníků v současnosti svým způsobem prochází tato důvěra krizí.

Mike Rothman (Security Incite + Meta Group Inc.) předkládá několik doporučení typu „pragmatická bezpečnost na síti“ (10 ways to protect yourself with'pragmatic network security) a rozděluje je do různých úrovní. První z nich je infrastruktura sítě, což je tradiční doména bezpečnosti perimetru a fyzické bezpečnosti. Druhou úrovní je bezpečnost samotných dat a ta dle autora zahrnuje:

  • 1. Stanovení různých bezpečnostních úrovní pro různé typy dat.
  • 2. Bezpečnostní politiku, která definuje, kdo má přístup k jakým informacím v podnikové síti.
  • 3. Shodu s regulačními a legislativními ustanoveními (to je různé v různých zemích a pokud firma operuje ve více zemích, musí se vypořádat se všemi)
  • 4. Snadnost použití – pokud stanovená bezpečnostní pravidla mají u zaměstnanců špatnou pověst, logicky častěji dochází k jejich narušení (uveden příklad – 50 znakové heslo, které je třeba měnit každý měsíc)
  • 5. Bezpečnost je vázána na role zaměstnanců, v některých případech je vyžadována i přímá vazba na konkrétní osobu.
  • 6. Bezpečnost nekončí u perimetru organizace, ale týká se i těch obchodních partnerů, subdodavatelů, kde to logika problematiky vyžaduje.
  • 7. Kontrolu přístupů na síti. Nabývá na významu zejména s rostoucím počtem mobilních a vyjímatelných zařízení.
  • 8. Správu provozu v síti, fungující systém oprávnění.
  • 9. Ukončování práv (bývalí zaměstnanci, bývalí obchodní partneři,…)
  • 10. Pokud už dojde ke kompromitacím, je třeba o tom informovat správná místa.

Společnosti vidí rizika vyjímatelných zařízení (Companies See Risk of Removable Media, but…), ale nepřijímají odpovídající opatření. Z výsledku přehledu (Pointsec – Removable Media in the Workplace, odpovědi 248 IT profesionálů na Infosecurity Europe 2006):

  • Dvanáct procent organizací zakazuje používání vyjímatelných zařízení na pracovišti.
  • V průměru celkem 56 procent zaměstnanců si nahrává firemní informace na své přenosné paměťové moduly.
  • Pouze 21 procent vyjímatelných zařízení na pracovišti je zabezpečeno heslem.
  • Celkem 65 procent dotázaných se obává nebezpečí plynoucích z používaných vyjímatelných zařízení.
  • 4 procenta IT profesionálů se domnívá, že nejlepší ochranou proti ztrátě nebo krádeži svého přenosného zařízení je mít ho v kapse. Jeden dotázaný dokonce tvrdil, že s USB flash diskem spí a pro jistotu ho má mezi koleny :-).

V závěru článku jsou pak zformulována některá doporučení Pointsecu (zavedení odpovídajích politik, užití šifrování atd.).

Creating a Culture of Security, to není článek, který by obsahoval hlubší odborné informace, ale dotýká se téhož problému. Musíme se naučit zavádět to, co autorka nazývá bezpečnostní kulturou.

Online lze nalézt informace ke kurzu počítačové bezpečnosti, který proběhl v letošním zimním semestru (Brigham Young University, Computer Security, Winter 2006). Zde jsou pak přednášky – Lectures. Informace, které zde naleznete, jsou ovšem spíše úvodního charakteru.

Vyšlo druhé vydání knihy Computer Security Basics, 2nd Edition, jejímž autorem je Rick Lehtinen. Na odkazu najdete i stručný popis obsahu knihy – „znalosti z bezpečnosti IT, které by měl ovládat každý, kdo se s touto problematikou setkává“.

Software

Volně dostupný firewall získal vysoké ocenění PC Magazine – Comodo Personal Firewall 2.0 review by PC Magazine. Jedná se o Personal Firewall 2.0 společnosti Comodo (tisková zpráva). Lze ho stáhnout na adrese Personal Firewall Software for Free from Comodo.

Studie předních odborníků – Security Implications of Applying Communications Assistance to Law Enforcement Act to Voice over IP  – varuje před důsledky možností odposlechu VoIP. Obsahuje kromě toho i řadu dalších zajímavých informací.

Microsoft vydal příručku The .NET Developer's Guide to Identity. Je určena vývojářům a softwarovým architektům, jejichž cílem je postavení aplikace (na platformě MS Windows), která pracuje se správou identit. Příručka se zabývá jak problematikou autentizace a autorizace, tak i dalšími hlubšími otázkami s tím souvisejícími (Active Directory, .NET aplikace atd.).

Viry, malware

Eugen Kaspersky v článku Changes in the antivirus industry charakterizuje dnešní proměny antivirového průmyslu. Jako hlavní faktory, které v současné době mají vliv na antivirový průmysl, uvádí:

  • 1. Pokračující kriminalizaci Internetu
  • 2. Rostoucí různorodost malware a metod útoků
  • 3. Microsoft a jeho plány v tomto směru

Objevil se „vynalézavý“ typ malware pojmenovaný jako Antinny (Japanese virus shares private info). Vyhledá náhodné soubory uživatele PC a zpřístupní je v síti pro sdílení souborů. Potřebuje k tomu přítomnost programu Winny určeného pro sdílení souborů (rozšířeného hlavně v Japonsku).

Dramatický růst spyware v roce 2005 konstatuje studie společnosti Aladdin Knowledge Systems (komentář – Study Indicates Attacks Tripled in 2005 – Spyware Sneaks up on Enterprises). Na stránce jsou některé souhrnné výsledky (kopii studie získáte na vyžádání na mailové adrese matthew.zintel@zintelpr.com):

  • Počet hrozeb, které byly společností Aladdin CSRT klasifikovány jako spyware, vzrostl v roce 2005 více než o 213 procent.
  • Obdobně počet hrozeb označených jako trojané vzrostl o 142 procent.
  • Co se týká ostatních hrozeb typu malware, pak jejich počet vzrostl z 6222 v roce 2004 na 9713 v roce 2005, tj. o 56 procent.

Na druhou stranu, abychom jen nestrašili (a dělali reklamu bezpečnostním firmám a jejich antivirovým a antispywareovým produktům), v současné době se objevují informace trochu opačného charakteru – Cybercrime losses on the slide. Finanční ztráty firem z útoků hackerů a internetových podvodů klesly (podle citovaného přehledu FBI a CSI o 68 procent). Je však třeba mít i na zřeteli měnící se charakter útoků. Krádeže ID a dalších citlivých informací (jednotlivých uživatelů internetu, nikoliv firem) – informace o nich se v zprávách objevují téměř každý den. Zmíněný přehled se také netýká dopadu na jednotlivé spotřebitele (viz závěr zmíněného článku).

Microsoft: Zombies most prevalent Windows threat – hlavní hrozbou současnosti jsou zombie počítače, konstatuje Microsoft na základě výsledků skenů kompromitovaných PC prostřednictvím nástroje Windows Malicious Software Removal Tool. Pět hlavních hrozeb identifikovaných tímto nástrojem Microsoftu tvoří Rbot, Sdbot, Parite, Gaobot a FURootkit.

Mobily

K operačnímu systému Symbian pro mobilní telefony a souvisejícím otázkám bezpečnostního charakteru se věnuje David Wood v článku Symbian OS – The keystone of security. Autor se nekloní k názoru, který se někdy (v souvislosti například s výskytem virů pro mobily) objevuje – nebezpečnost mobilů, jejich označení jako Achillova pata bezpečnosti atd. Říká, že pokud se lidé budou řídit několika základními pravidly, netvoří mobilní telefony žádnou hrozbu a mohou být naopak jedním ze základních kamenů bezpečnosti. Poukazuje na zlepšení ve verzi 9 OS Symbian – tzv. Platform security, kdy nově nahrávaný software je nejprve ověřován a teprve potom může být používán.

RFID

Helena Handschuh (Gemplus) je autorkou článku Smartcard Security, který se týká bezpečnosti RFID (bezkontaktních čipových karet). Ukazuje, že v zásadě bezpečnost těchto karet není na tom hůře než je bezpečnost kontaktních karet. Některé typy útoků jsou zde však snadnější a je třeba je zvažovat jak vydavateli karet, tak jejich uživateli a rovněž tak je třeba brát je do úvahy při budování systémů, které se o používání těchto karet opírají. Diskusi k článku (a další odkazy) lze nalézt na Schneierově blogu

Bezpečný e-mail, IM

Vše o hlavičkách e-mailu – Reading Email Headers. All about Email Headers – užitečné shrnutí (jak stanovit skutečný zdroj zpráv,…), které bude zajímat určitě oběti spamu (a kdo s ním nepřišel do styku).

Craig Carpenter si na serveru IT Observer (IM Security: A Threat or Just Marketing Hype?) položil následující otázku. Bezpečnost IM (instant messaging) – je hrozbou anebo je to jen marketingový trik? Jestliže se obrátíme k statistikám – pak např. podle FaceTime Security Labs narostl počet bezpečnostních incidentů o 2200 procent (roky 2004 a 2005). Jde také o to, že zatímco například bezpečnost e-mailu je více méně již tradiční záležitost, bezpečností IM se zabývala významněji zatím málokterá firma. Jakou úroveň ochran zvolit? Na to by si měly firmy odpovědět nejprve. Pokud např. k pracovnímu výkonu není IM zapotřebí, lze ho jednoduše zakázat. Je však otázkou, má-li toto řešení dlouhodobou perspektivu. Některé novější bezpečnostní produkty již s hrozbami pro IM počítají.

PGP & GPG. Email For The Practical Paranoid – to je recenze stejnojmenné knihy. Recenzi napsal Tony Bradley a knihu najdete např. na Amazonu. Kniha vyšla v dubnu 2006 a má 216 stran.

Hesla, autentizace, rhybaření

Survey on inadequate storage of administrative passwords  – to jsou výsledky přehledu odpovídajícího na otázku, jak uchovávají administrátoři hesla. Přehled zpracovala společnost Cyber-Ark (odpovědi 200 IT profesionálů na Infosecurity Europe). Např.:

  • 28 procent respondentů uchovává hesla ve své paměti – v hlavě, 38 procent si hesla píše na papír. Méně než 32 procent odpovídajících uchovává svá hesla digitálně. Zbytek používá různé komplikované procesy, např. uložení záznamů na papíru v různých schránkách (od zamčeného stolku po trezor).
  • Jen 40 procent bezpečnostních profesionálů mění svá hesla jednou za měsíc či častěji, 30 procent mění hesla čtvrtletně a 15 procent nikdy neměnilo administrátor­ská hesla.
  • 33 procent odpovídajících připouští, že nemění svá kritická hesla tak často, jak by vyžadovala jejich bezpečnostní politika.

Na slovenském serveru Živé najdete článek Vladimíra Načiniaka (k nástroji JAP) – Anonymita na internete – je to vôbec možné? Z abstraktu: Anonymita je pojem, ktorý sa až príliš často spája s najväčšou svetovou sieťou. V skutočnosti však ide iba o slovný obrat, ktorý vyjadruje mylnú mienku mnohých užívateľov. Internet je anonymný asi tak, ako zviera s implantovaným vysielačom, pohybujúce sa v stáde. Pre bežného pozorovateľa nerozoznateľné od ostatných, no pre lovca s prijímačom ide o jasný a nezameniteľný cieľ. Existujú však spôsoby, ako ostať anonymnou súčasťou stáda.

O krádežích ID se dozvídáme v poslední době hodně často. Jak se mohou chránit jednotliví uživatelé? Několik doporučení v tomto směru obsahuje článek How to Foil Identity Thieves. I když některá z nich souvisí s podmínkami Spojených Států, přesto to nejsou neužitečné informace. Viz také neziskové stránky Identity Theft Resource Center .

VoIP a rhybaření ( Phone phishing: The role of VoIP in phishing attacks ) aneb sociální inženýrství v praxi. O nejen svých zkušenostech vypovídá Ed Skoutis.

Normy a normativní dokumenty

NIST vydalo

Dokument specifikuje čtyři typy deterministických generátorů náhodných čísel (DRBG), diskutuje možné zdroje entropie a postupy pro vytváření generátoru náhodných čísel z ověřeného DRBG a zdroje entropie.

Silné kritice vystavil čerstvou normu ISO 21188:2006 (Public Key Infrastructure for financial services – practices and policy framework) autor článků (4 pokračování) na Financial Cryptography. Podle této kritiky používání normy povede ke zranitelnostem v transakcích:

Kryptografie

Informaci k 2 patentům NSA pro kryptografii eliptických křivek (digitální podpis a dohoda na klíči, Jerome A. Solinas) přinesl server Cryptome:

Různé

Vyšlo nové číslo (červen 2006) online magazínu – Uninformed Journal. Z obsahu např.: reverzní inženýrství, technologie rootkitů, technologie exploitů, zneužití jádra, exploity antivirů,… .

bitcoin školení listopad 24

Některá doporučení jak zastavit nechtěná pop-up okénka přináší Tony Bradley v Stop Pop-Ups. Jmenuje třeba bezplatný Pop-Up Stopper Free Edition.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku