Bezpečnostní střípky za 3. týden roku 2006

Obecná a firemní bezpečnost IT

Bezpečnost koncového uživatele, to je téma, které se v článcích v poslední době objevuje stále častěji. Vybral si ho také Tom Olzak ve své analýze End User Device Security. Samotný článek je sice z března loňského roku, poskytuje však přehledný model jednotlivých vrstev, o které by se bezpečnost koncového uživatele měla opírat:

• Podpora managementu
• Bezpečnostní politika (program) organizace. Ta by měla sestávat z těchto tří prvků:
  1. Cíle – a to zřetelně označené.
  2. Rozsah působnosti – které všechny podnikové technologie a aktivity politika pokrývá.
  3. Shoda – zde jsou definovány důsledky nedodržení politiky.
• Informovanost uživatelů
• Kontroly fyzického přístupu
• Kontroly logického přístupu
• Osobní firewall
• Antivirový software
• Systém ochrany před průniky
• Správa záplat
• Konfigurace jednotlivých zařízení
• Vše spolu – výsledek založený na analýze rizik.

Fred Langa (5 Essential Steps To PC Security) doporučuje následujících pět podstatných kroků pro bezpečnost PC:

• 1. Záplatujte díry, zranitelnosti, chyby
• 2. Blokujte vetřelce
• 3. Zastavte infekce (doporučuje NOD32)
• 4. Ochrana před dalšími typy malware
• 5. Nevěř – testuj

V rámci jednotlivých doporučení dává pak autor odkazy na některé nástroje, resp. weby, které se problematikou zabývají. Doporučuje také stránku Microsoft security meta-site – obsahuje některé další články a informace vztahující se k bezpečnostní problematice.

Calum Macleod (European Director – Cyber-Ark) dává doporučení pro letošní rok – Tips For Staying Secure in 2006:

• 1. Postavte a udržujte bezpečnou síť (mj. správná konfigurace firewallu, nepoužívat implicitní hesla daná výrobci atd.)
• 2. Ochrana dat (uložených, přenášených)
• 3. Mějte a používejte politiku pro správu zranitelností.
• 4. Nasaďte prostředky pro „silnou“ kontrolu přístupů (přístup k datům na bázi principu – uživatel je potřebuje znát).
• 5. Pravidelně monitorujte a testujte sítě.
• 6. Mějte a používejte politiku informační bezpečnosti.

Článek Ondřeje Bitta na Lupě Jak jsou na tom s bezpečností organizace v ČR? shrnuje výsledky nedávné průzkumu (v ČR). Z abstraktu: „Společnost Ernst & Young, časopis DSM (Data Security Management) a Národní bezpečnostní úřad provedly jednotnou rukou průzkum týkající se bezpečnostních problémů, jejich řešení a souvisejících politik v necelých čtyřech stovkách organizací České republiky.“ Viz také V oblasti informační bezpečnosti hrozí českým firmám největší nebezpečí z internetu a od vlastních zaměstnanců.

Ira Winkler (Internet Security Advisors) popisuje (téměř jako v detektivce) své zkušenosti s předběžným auditem IT bezpečnosti u jedné větší společnosti – Anatomy Of A Break-In.

Nástroj k vystopování útočníků – Sebek – součást technologií Honeynet existuje již v třetí verzi. Raul Siles v článku Sebek 3: tracking the attackers (první část) popisuje základní vlastnosti tohoto nástroje a vysvětluje, proč je vlastně zajímavý. Nová, již třetí generace technologií pro honeynet spatřila světlo světa v květnu 2005.

Objevil se ještě komentář ke vzniku Institute of Information Security Professionals (IISP) (informace k tomu proběhla již v minulých Bezpečnostních střípcích).

Shrnutí závěrů analýzy (Global Switch), která byla prováděna u evropských bank a týkala se fyzické bezpečnosti IT infrastruktury v bankovnictví, najdete v článku Banking Industry Leads on Physical Security

Koncem minulého roku v nakladatelství Computer Press vyšel český překlad knihy Andrewa Lockharta Bezpečnost sítí na maximum (najdete zde i stručnou recenzi).

Software

Na stránkách Microsoftu se tento týden objevil materiál Applying the Principle of Least Privilege to User Accounts on Windows XP. Jeho cílem je ukázat, jak aplikovat princip nejmenších práv na uživatelské účty ve Windows XP. Z obsahu:

• Risks Associated with Administrative Privileges
• Definition of the Principle of Least Privilege
• Definition of the LUA (Least-Privileged User Account) Approach
• Benefits of the LUA Approach
• Risk, Security, Usability, and Cost Tradeoffs
• Implementing the LUA Approach

Pokud se chcete více dozvědět od svého firewallu ve Windows – zapněte logy – How to get more out of your Windows Firewall.

Na svém blogu – DHS Funding Open Source Security – Bruce Schneier komentuje plány na financování bezpečnostních analýz open source programů. Podle některých pramenů se financování bude týkat mj.:

• Linux, Apache, MySQL and Sendmail
• FreeBSD, Mozilla, PostgreSQL, GTK (GIMP Tool Kit) library
• (podle ZDNet):Apache, BIND, Ethereal, KDE, Linux, Firefox, FreeBSD, OpenBSD, OpenSSL and MySQL, Coverity

Viz také diskuse v Schneierově blogu.

Podle Georga Ou – Skype 2.0 looks like a virus se Skype 2.0 se chová jako vir. Spustí DEP (Data Execution Prevention), což je novější ochranný mechanismus ve Windows XP SP2.

Kriticky k reakci OpenBSD na nalezenou slabinu v BSD se vyjadřuje Jason Miller v How not to respond to a security advisory.

Malware

První počítačový vir se objevil právě před dvaceti lety – PC virus celebrates 20th birthday,

A jaké funkce by měl mít antivirový software? To popisuje Tony Bradley ve svém stručném přehledu – Features and Functions Your AV Software Should Have:

• Realtime Scanner
• On-access Scanner
• On-Demand Scanner
• Heuristic Scanner
• Compressed File Scanner
• Scheduled Scans
• Script Blocking
• POP3 Email Scanning
• Webmail Protection
• Instant Messaging Protection
• Automatic Virus Updates
• Automatic Program Updates

Ve vztahu k spyware – v současnosti se jako sílící trend objevují útoky proti organizacím – Spyware Makers Aiming For Enterprises. Autor článku mj. popisuje, jaké nástroje k tomu hackeři využívají.

Rozsáhleji se spyware zabývá Dave Methvin v dvoudílném článku. V první části – Anti-Spyware Strategies, Part 1: Clean Out Your System popisuje, jak nevítaný software odstranit. Pokud sami nenajdete vhodný způsob, jak se nevítaných hostů ve vašem PC zbavit, pak autor doporučuje i následující dvě internetová fóra – Spyware Warrior a PC Pitstop.Druhá část článku, Spyware Prevention Strategies, Part 2: Offense And Defense, pak dává čtenáři představu o možných preventivních krocích.

A co takhle myware? – Spy on yourself online – aneb sledujte sám sebe.

Rootkity

Po nedávném problému Symantecu ( Symantec flaw can hide hacker activity) chtějí dodavatelé bezpečnostního software přesnou definici pojmu rootkit – Security vendors looking to define ‚rootkit‘.

Sony BMG Rootkit je stále obsažen v tisících počítačů, a to včetně počítačů vládních a vojenských sítí – Researcher: Sony BMG rootkit still widespread (také v Sony rootkit victims ‚in every US state‘).

Holy_father Delivers Rootkits To The Masses – aneb kde je zlo a kde je dobro? Americký autor popisuje kontakt s tvůrcem stránek Hacker Defender.

Hackeři

Alex Tew získal cca milion dolarů vytvořením webovské stránky obsahující mikroinzerci (The Million Dollar Homepage). Hacker (z Ruska?) ji shodil a požaduje výkupné za obnovu stránky – Hackeři „shodili” stránku za milion dolarů, vydírají autora.

Rhybáři nezahálí – počty útoků rostou – Phishing attacks soar as more brands are targeted. V listopadu 2005 jich bylo 16,882; dvakrát více než v listopadu 2004 – tehdy jich bylo 8975.

Jeremy Kirk (IDG News Service) v Hacker PC networks getting harder to find popisuje vážný problém současnosti – jak vystopovat napadené počítače, počítače, které jsou součástí tzv. botnetů.

A co takhle najmout si talentovaného hackera? Historii Sebastiana Schreibera popisuje v Hackers: If You Can't Beat 'em, Recruit 'em Barbara Gruber. Bezpečnostní firmy mají o takové hackery zájem – pokud ovšem mají čistý trestní rejstřík.

Hardware

Na Computerworldu se objevil seriál článků věnovaný elektronickým zámkům:

• The Search for the Perfect Electronic Key
• Testing the Card Keys
• Spraying for Data
• What's not on your hotel card key
• Swipe here to steal ID(starší, ale související článek).

Populární magnetické karty používané v hotelích jsou zde popisovány jako relativně levný, ale přitom z bezpečnostního hlediska dostatečně efektivní prostředek. Obsah dat uložených na kartách byl podroben poměrně rozsáhlým testům. Nepotvrdila se podezření, že karty obsahují citlivá osobní data (jako např. čísla kreditních karet hosta atd.) – viz It's Just the Key to Your Room .

A když už jsme u těch zámků a téma vás zajímá, pak na Introduction to Lockpicking & Physical Security najdete zajímavou prezentaci a doufejme, že poučná je nejen pro zloděje.

Chraňte své soukromí a vyrobte si peněženku blokující RFID – New RFID Blocking Wallet.

K problému bezpečnost versus přenosná úložná media se vrací Mario Apicella v Portable storage devices pose security threat. Objevují se informace o krádežích rozsáhlých souborů personálních dat. Nemáme viníka přímo před očima?

Nalezená chyba ve Windows signalizuje nebezpečí pro notebooky s bezdrátovým připojením – Nomad Mobile Research Centre Advisory. Útočník díky ní může získat přístup k notebooku oběti. Viz komentáře – Windows Wireless Flaw a Danger to Laptops a Bezdrátově se dostat do libovolného notebooku? Jde to snáze, než se zdá!.

Autentizace

Na blogu RSA – Top 10 (or more?) Blogs Covering Identity and Data Protection – byl zveřejněn seznam deseti adres, kde je diskutována otázka ochrany ID (nechybí tam samozřejmě Schneierův blog).

Chcete ve Windows používat grafická hesla – Graphical passwords for Windows? Počet možných kombinací má prý být dostatečný a schéma tedy bezpečné.

Normy a normativní dokumenty

Draft standard chosen for faster Wi-Fi – informace o pracích na nové normě pro rychlejší Wi-Fi (s označením IEEE 802.11n).

NIST vydal dokument Personal Identity Verification Card Management Report. Dokument poskytuje přehled o systémech pro správu karet PIV (Personal Identity Verification Card), identifikuje příslušné požadavky atd.

Byla vydána The Web Application Firewall Evaluation Criteria v1. Na praktické zkušenosti je však asi ještě brzy.

Pracovní skupina IETF PKIX vydala tento týden tři nové drafty:

• Lightweight OCSP Profile for High Volume Environments. Specifikace popisuje profil protokolu OCSP (Online Certificate Status Protocol) v rozsáhlých systémech PKI.
• Subject Alternative Name for expression of service name.
• Certificate and Certificate Revocation List (CRL) Profile. Jak již název napovídá, cílem těchto prací je příprava nového rfc, který nahradí rfc.3280 (Certificate and Certificate Revocation List (CRL) Profile) z dubna 2002.

Kryptografie

Hledání kolizí pro SHA-0 urychluje popis v článku japonských odborníků Message Modification for Step 21–23 on SHA-0 (Viz: Další urychlení kolizí u hašovací funkce SHA-0).

Jak eliptická kryptografie postupuje od teoretických počátků k praktickým aplikacím, popisuje Rob Lambert (Certicom) v článku Understanding elliptic-curve cryptography. Mimo jiné poukazuje na využití ECC pro digitální poštovní známky.

Různé

Přísně tajný dokument britského námořnictva nalezen na stole v hospodě – Top secret navy file found in pub. Dokument mj. popisuje plánované pohyby fregaty St.Albans až do roku 2007.

Vyšlo nové číslo IEEE Cipher (leden 2006) – Cipher – Electronic Newsletter of the Technical Committe on Security & Privacy A Technical Committee of the Computer Society of the IEEE. Z obsahu:

• Robert Bruen's review of File System Forensic Analysis by Brian Carrier
• Robert Bruen's review of Software Security. Building Security In by Gary McGraw
• Conference Reports and Commentary from past Cipher issues
• Listing of academic positions available by Cynthia Irvine
• Conference and Workshop Announcements

Americká vláda hledá soudní cestou přístup k databázím vyhledávače Google – Feds after Google data. Možná ani netušíme, co vše lze z těchto databází získat.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.