Bezpečnostní střípky za 30. týden

Konference Black Hat

Ve dnech 23. – 28. července 2005 se v Las Vegas konala konference Black Hat USA 2005. Aktivitu Black Hat založil Jeff Moss v roce 1997 s cílem poskytnout pokročilou výchovu bezpečnostním profesionálům společností a federálních institucí. Chtěl vlastně dát dohromady nejlepší lidi z počítačového undergroundu a nejlepší bezpečnostní profesionály. Jako výsledek vznikla unikátní konference, která se brzy stala známou díky výsledkům nového a často exkluzivního výzkumu vedoucích světových specialistů. Zde se můžete seznámit s programem konference – Schedule. A zde v Archives najdete prezentace jednotlivých vystoupení. Některé z aktuálních tématických okruhů:

• Google Hacking
• The Laws of Vulnerabilities
• RFID Security
• Bluesnarfing
• Zero Day Vulnerabilities
• Hardware Hacking

Pozornost vzbudilo vystoupení Cisco IOS Security Architecture Michaela Lynna, jinak bývalého zaměstnance firma Cisco. Následná diskuse se týkala jak odhalených zranitelností, resp. chyb, tak i postupů, které zvolil Michael Lynn. Jeho prezentace byla původně umístěná zde – Cisco IOS Shellcode And Exploitation Techniques, ale už ji tam nenajdete, došlo k dohodě – Text of the Cisco-ISS-Lynn-Black Hat Agreement. Cisco stahuje žalobu a Lynnova prezentace nebude publikována. Viz také Cease and Desist Replaces Lynn Presentation on Info Warrior site. Komentář najdete na Mike Lynn Settles . Starší články – Black Hat: The Latest on Lynn and Cisco a Cisco hits back at flaw researcher.

Obdobný charakter (vystoupení bývalého zaměstnance) má příspěvek Alexandra Kornbrusta Circumvent Oracle's Database Encryption and Reverse Engineering of Oracle Key Management Algorithms. Týká se chyb při implementaci šifrovacích algoritmů v databázi Oracle. Podle autora lze šifrování v Oracle lze rozbít. Použité šifrovací klíče jsou totiž chráněny nedostatečným způsobem.

Existující zranitelnosti antivirových řešení vůči útokům hackerů (včetně řešení takových firem jako F-Secure, Symantec a Trend Micro) diskutovali Neel Mehata a Alex Wheeler v Owning Anti-Virus: Weaknesses in a Critical Security Component.

Konference Black Hat se koná každým rokem na několika místech. V březnu letošního roku byla v Amsterdamu – Black Hat Europe 2005. V dubnu pak v Singapuru – Black Hat Asia 2005 – a v říjnu tohoto roku bude v Tokiu – Black Hat Japan 2005.

Zároveň s konferencí Black Hat je vhodné se také zmínit o další obdobné události – konferenci What the Hack. Konala se ve dnech 28. - 31. července 2005 v holandském kempu (!). Program konference Lectures and workshops obsahuje rozsáhlou řadu zajímavých témat (od biometrie přes webovské aplikace, bezpečnost Bluetooth atd. až např. po cenzorské technologie v Číně). Lze mimo jiné upozornit na vystoupení Ruedigera Weise Hashing the Longhorn), který varuje před použitím hashovací funkce SHA-1 ve specifikacích Microsoftu pro TCG/Longhorn (TCG = Trusted Computing Group). Není vhodné budovat bezpečnou infrastrukturu na „rozbitém“ algoritmu, říká autor.

Hackeři

Vzniká trh s bezpečnostními zranitelnostmi? Takovouto otázku si klade Joris Evers v článku Bidding for bugs? Vychází z posledních aktivit firem iDefense a především firmy TippingPoint Offering a bounty for security bugs, která nabízí hackerům výměnu informací o zranitelnostech za peníze. Platby jsou nabízeny v rámci tzv. Zero Day Iniciative, která byla oficiálně vyhlášena na konferenci Black Hat. Nebylo zatím oznámeno, o jaké sumy peněz se bude jednat.

Barry Cribb (ředitel v IS Digital Networks) informuje v Hacking becomes organised crime o novém trendu v kriminalitě. Firmy jsou vydírány – jejich online systémy budou narušeny, pokud nezaplatí požadovanou sumu peněz. Upozorňuje mimo jiné na jiný k zamyšlení vhodný trend – roste počet webovských stránek, které jsou určeny přímo k výchově hackerů (jako „how2hack“, „hellboundhackers“ a „hack4u“).

A že těch zranitelností na webu máme, o tom mj. svědčí následující doporučení (Cenobyte) – Forget your password? Be google!. Pokud jste zapoměli heslo na webovskou stránku, nebo ho nemáte vůbec – nevadí! Existuje jednoduchá cesta – tvařte se, že jste Google (search)Bot…

Diskutabilní je kniha autora Johny Long – Google Hacking for Penetration Testers – alespoň podle autora recenze Jose Nazario. Téma knihy zasloužilo lepší organizaci, kniha obsahuje zbytečné množství celých screenshotů (často pro ilustraci problému stačila jen část obrazovky), informace jsou dány nepřehledně. Na druhou stranu však kniha obsahuje řadu užitečných příkladů ke „googlování“.

Existují sítě, kde jsou koncové body delší dobu odpojeny od vnitřní komunikace v síti (např. PDA). Jsou zde samozřejmě i některá odlišná bezpečnostní specifika. Touto problematikou se zabývají Aaditeshwar Seth a Srinivasan Keshav v Practical Security for Disconnected Nodes.

Terorismus

Bezpečnost Internetu a informací zde obsažených se nemůže netýkat i takových témat, jako jsou útoky teroristů ve Velké Británii (a jinde). V souvislosti s nimi se např. objevil požadavek britské policie na přístup k šifrovacím klíčům (Police ask for tough new powers). Přesněji – pokud podezřelá osoba odmítne rozkrýt své šifrovací klíče, bude trestně postižitelná (nejedná se tedy o návrat ke koncepci key escrow). Určitě je ale otázkou, jak tento postup může fungovat např. v případech, kdy ona osoba bude tvrdit, že již přístup k danému klíči nemá (byl např. zničen, bylo zapomenuto přístupové heslo atd.). Britská policie dokonce zvažuje získat možnost legálních útoků (hackerského typu) proti webovským stránkám, které patří teroristům (nebo terorismus propagují (Police ask for more Internet powers).

Neil Doyle, expert na teroristy (ve vztahu k jimi využívanému Internetu) a autor knihy Terror Tracker v článku Hackers fight terrorists říká, že patriotičtí hackeři by měli pomáhat boji proti terorismu. Dále říká, že Al-Qaeda disponuje velkým počtem počítačových odborníků. Je také známo, že skupiny teroristů jsou zapleteny do krádeží bankovních dat. Ještě jedna zajímavá poznámka z tohoto článku: je ironií, že Spojené státy jsou zemí, kde hostuje většina těchto („teroristických“) stránek.

Software

Paul Myer v článku Spyware, adware and unaware – SC Magazine říká, že spyware je veřejný nepřítel číslo jedna. Je fakt, že řada obchodně zaměřených společností nemá zájem na legislativě, která by potlačovala tento způsob „komunikace“. Ale ať je to spyware, adware, či malware (autor se tyto pojmy pokouší rozlišit), všechny se stávají rostoucí hrozbou – roste jejich počet, složitost a i náklady, které to pak denně stojí postiženou firmu.

Speciálně naprogramované USB zařízení může napomoci převzít kontrolu nad PC (USB Devices Can Crack Windows). Chyba je však v normách pro USB (vyvíjí je nezisková organizace USB Implementers Forum Inc.), které nezvažují otázky bezpečnosti.

Banks warned over m-commerce security peril, říká John Leyden ve svém článku. Zákazníci se mohou stát předmětem útoku hackerů – m-commerce používající službu MobileATM není dostatečně bezpečná.

Zajímavou službou Home PC Network Set Up, Management, Security, Support… je nastavení domácí sítě (ve spojení s předplaceným online servisem), a to včetně bezpečnosti (firewally, antispyware, antiviry…). Firma zde také (logicky) uplatňuje své vlastní produkty. Je objevena nová příležitost pro obchod? Ne každý má takový potenciál, aby se vedle své hlavní pracovní činnosti mohl věnovat (z bezpečnostního hlediska určitě stále náročnějším) problémům údržby domácí sítě.

Phil Zimmermann (PGP) chystá nový projekt. Chce šifrovat VOIP (voice over internet protocol). Zimmermann doufá, že šifrovaná internetová telefonie bude veřejností dobře přijata (Privacy Guru Locks Down VOIP). Viz také oznámení na konferenci Black Hat – The Unveiling of My Next Big Project.

V dubnu 2005 opublikovali Curphey a David Raphael první část zajímavého článku Software Security Code Review: Getting it Right Before You Release, nyní vyšla jeho druhá část Software Security Code Review: Code Inspection Finds Problems. První část se zabývala koncepty a metodikou pro modelování hrozeb (ve vztahu k softwarovým aplikacím). Potřebné aktivity autoři popisují následovně:

• Popis systému
• Seznam aktiv (Tag Assets)
• Definice omezení pro systém a záruky
• Seznam a uspořádání hrozeb
• Seznam protiopatření

Ve druhé části pak autoři popisují cesty k inspekci kódu. Jsou identifikovány následující čtyři typy objektů.

• Bezpečnostní defekty (Flaws)
• Bezpečnostní skryté chyby (Bugs)
• Pochvaly (Commendations)
• Doporučení (Recommendations)

Každý úsek kódu pak má být dle autorů analyzován z hlediska zranitelností a hrozeb podle následujících kategorií:

• Správa konfigurace
• Kryptografie
• Autentizace
• Autorizace
• Správa jednotlivých připojení uživatelů
• Ověření dat
• Správa výjimečných situací
• Audit a logy

Antiviry

Studie (Zero-Hour Virus Protection: Defending Against the Unknown) společnosti Osterman Research se zabývá aktuální otázkou – jak se antivirová řešení dokáží vypořádat s viry bezprostředně po jejich prvním rozšíření. Autoři tento problém nazývají Zero-Hour Virus Protection. Viz také komentář Anti-Virus Providers Fail to Deliver Complete Protection. Přehled mimo jiné konstatuje, že přes nainstalovanou antivirovou ochranu bylo 93 procent společností infiltrováno nějakým typem malware.

Autentizace

Ondřej Bitto na Lupě podal řadu zajímavých informací k Lámání hesel v praxi. Čtyřdílný seriál (výše uvedený odkaz je na jeho poslední díl) zachycuje pohled na problematiku lámání hesel, kde paradoxně existuje celá bohatá škála možných útoků.

Britské pasy (UK overseas passports go biometric from 2006) nebudou obsahovat otisky prstů, ale bude využita biometrie obličeje (pro zámoří – od ledna 2006).

Normy a normativní dokumenty

NIST vydala SP 800–79 Guidelines for the Certification and Accreditation of PIV Card Issuing Organizations – v návaznosti na podmínky stanovené ve FIPS 201 – Personal Identity Verification of Federal Employees and Contractors.

Vyšlo rfc.4134 – Examples of S/MIME Messages, obsahuje příklady těl zpráv ve formátu S/MIME a speciálně příklady objektů ve formátu CMS (Cryptographic Message Syntax). Cílem dokumentu je napomoci interoperabilitě různých existujících řešení, která využívají CMS (S/MIME).

Různé

Následující zpráva logicky vzbudila poměrně velkou pozornost médií. Ve svém bytě byl utlučen k smrti nejznámější ruský spammer Vardan Kushnir – Russian spammer murdered + odkaz na stránku v ruštině. Někdy je zajímavé přečíst si doprovodné komentáře čtenářů …

Dne 31. července vyšel nový Crypto-World 7+8/2005.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.