Konference, přehledy
Letošní konference Black Hat USA 2006 začala cyklem školení (training) ve dnech 29. července až 1. srpna. Vlastní konferenční vystoupení probíhala ve dnech 1.-3. srpna (program). Na adrese http://164.106.251.250/docs/bh2006/ si můžete stáhnout jednotlivé prezentace ve formátu pdf. Komentáře k průběhu konference jsou např. zde – BlackHat Day #1, Day one at Black Hat, Day two at Black Hat, Black Hat ends, DEFCON begins. Potom také na serveru SecurityFocus – Attackers pass on OS, aim for drivers and apps – Researchers warn over Web worms. Některá jednotlivá vystoupení budou zmíněna postupně v dalších odstavcích tohoto článku.
Program konference Black Hat ve vztahu k chystaným Windows Vista komentuje Joris Evers v Black Hat with a Vista twist. Další takové komentáře lze nalézt na odkazech Black Hat and Defcon 2006: Security Fix Heads to Vegas a Hackers and G-men to descend on Las Vegas.
Také off-line počítače mohou být hacknuty – na konferenci to demonstrovali David Maynor a Johnny Ellch na příkladu notebooku MacBook. Výsledky ale platí i pro počítače jiných OS (MS Windows, Linux). Vztahuje se to na počítače, které mají možnost bezdrátového připojení (Even offline computers can be hacked, researchers say a dále viz také komentář v článku Hijacking a Macbook in 60 Seconds or Less ).
V úvodu konference vystoupili zástupci FBI – New industry-FBI initiative targets identity theft. Komentovali svůj nový projekt – Operation Identity Shield – dnes je to již probíhající iniciativa FBI proti krádežím ID, podrobnosti k ní však budou teprve zveřejněny v nejbližších měsících.
Organizace nechtějí informovat o svých existujících bezpečnostních incidentech – to je jedna z hlavních příčin toho, proč závěry posledního přehledu CSI/FBI nevzbuzují důvěru – uvádí Luc Hatlestad v Survey: Hacks Decline, Worries Don't.
Obecná a firemní bezpečnost IT
Sociální inženýrství – Social Engineering defence for Small Businesses – autor článku Russell Morgan popisuje prostředky obrany proti útokům tohoto typu v malých firmách, podává přehled možných nebezpečí i doporučovaných strategií.
Na světě je první česká PARANOIA – tuto informaci najdete na Telnetu. Z abstraktu: „IT profesionálové mohou zajásat. Před několika dny byl spuštěn první internetový portál PARANOIA prověřující bezpečnost. Portál poskytuje monitoring úrovně bezpečnosti internetových zařízení, disponující více jak 12 000 vzorky chyb systémů a aplikací. Tyto vzorky jsou několikrát denně aktualizovány a doplňovány podobným mechanismem, jako je tomu u antivirových programů.“ Můžete zdarma vyzkoušet (http://www.paranoia.cz/) – v orientační jednorázové verzi.
Human Factors in Managing IT Security – Kerry Thompson (CISSP) se vyslovuje k roli lidského faktoru při správě IT bezpečnosti. Např. jaké mohou být příčiny chyb systémových administrátorů?
Jaká je budoucnost podnikové bezpečnosti (The Future of Enterprise Security)? Jack M. Germain ve svém zamyšlení rozebírá současné probíhající změny v tomto směru a také rozebírá jaké bude mít úkoly nový arzenál bezpečnostních produktů. Situace v konkrétních podnicích závisí také značným způsobem na znalostech uživatelů (ve vztahu k bezpečnosti IT).
The challenge in selling security, Making corporate security second nature – to jsou první dvě části plánovaného čtyřdílného seriálu. Seriál je věnovaný otázce, jak aktuální bezpečnostní otázky ovlivňuji aktivity podniků. Ellen Messmer a Denise Dubie poukazují na nezbytnost organického včlenění bezpečnostních otázek do podnikové kultury a také na nezbytnost prezentace bezpečnostních problémů (otázek) v široce srozumitelné podobě (tj. dostupné i managementu :-)).
Devět cest k zastavení průmyslové špionáže definuje Calum Macleod (European Director of Cyber-Ark) v článku Nine Ways to Stop Industrial Espionage:
- Nevystavujte zbytečným nebezpečím interní síť
- Ujistěte se, že průběžně ukládaná data jsou zabezpečena
- Ujistěte se, že data, se kterými se momentálně nepracuje, jsou ochráněna
- Ochrany před výmazem dat, jejich ztrátou
- Ochrany před pozměňováním dat
- Zevrubný audit a monitoring
- Ochrana sítě v podobě end-to-end
- Audit podrobných logů k zjištění a vyhodnocení úplné historie jednotlivých aktivit
- Celistvost (integrita) procesů
Problém monitoringu e-mailové pošty zaměstnanců (USA) diskutuje článek E-mail privacy in the workplace . Nejsou to jednoduché otázky, Mark Rasch je posuzuje z legislativního hlediska (pohled různých států).
Looking at IR Tools – zajímavý přehled věnovaný nástrojům „incident response“. V článku najdete odkazy na celou řadu nástrojů takovéhoto typu (sloužících pro vytváření reakcí na incidenty, popř. i jako forenzní nástroje).
Software
Z hlediska bezpečnosti (tedy z pohledu na vztah zranitelností a záplatování.) se na různé distribuce Linuxu dívá autor článku Linux patch problems: Your distro may vary.
Kapitolu 7 – Security Essentials – knihy Microsoft Windows XP Inside Out Deluxe, Second Edition si můžete stáhnout zde – Protect your Windows system from malicious attack with these three essential steps.
Symantec vystoupil s analýzou bezpečnostního modelu Windows Vista – Analysis of the Windows Vista Security Model. Analýza je orientována zejména na otázky související s koncepty User Account Protection a User Interface Privilege Isolation. Je poukázáno na některé existující nedostatky a rozebíráno jak tyto nedostatky je možné využít k útokům s jejichž pomocí lze získat úplnou kontrolu nadpočítačem.
Chcete mít již dnes bezpečnostní vlastnosti, které budou mít Windows Vista ? Gregg Keizer v Five ways to get Vista's security now diskutuje následujících pět možností:
- Option 1: Change to Limited User
- Option 2: Run As
- Option 3: Processor Explorer
- Option 4: DropMyRights
- Option 5: Get A Mac
Stále lze odinstalovat nástroj Microsoftu Windows Genuine Advantage (WGA) a bránit se před jeho reinstalací – Windows Genuine Advantage: What it is, how to ditch it – i když to není jednoduché. Viz také Remove WGA.
Service Oriented Architectures (SOA) a bezpečná komunikace s webovskou službou (Creating Secure Web Service Sessions) – Kevin Smith popisuje architekturu SOA opírající se o využití SSL.
Hackeři, malware
Multifunkční tiskárny jsou počítače, které lze hacknout – Printers a weak link in network security. Brendan O'Connor na konferenci Black Hat ukázal, jak dokáže kontrolovat tiskárnu Xerox a způsobit tak škody všemožných typů. Přestaňte tyto zařízení považovat za „hloupé“ tiskárny, jednejte s nimi jako se servery či pracovními stanicemi, říká.
Na konferenci Black Hat byly Windows Vista hacknuty. Tímto titulkem (Vista hacked at Black Hat ) uvádí Joris Evers svůj článek věnovaný prezentaci Joanny Rutkowske. Blue Pill, jak demonstrovaný software Rutkowska nazvala, dokáže nedetekovatelnou cestou (dnešními postupy) obejít existující ochranné prostředky. Aby byl útok úspěšný, musí Vista běžet v administrátorském módu. Blue Pill tak může fungovat jako zadní vrátka pro malware. I když byl vyvinut pro Vista (a technologii AMD), principiálně lze využít i pro jiné operační systémy a HW platformy. Další komentář k vystoupení Rutkowské obsahuje článek Larryho Greenemeiera Black Hat: Vista Vulnerable To Stealthy Malware.
Microsoft přitom chtěl využít fórum konference Black Hat k argumentaci, že Windows Vista jsou bezpečným operačním systémem – Black Hat: Users still wary of Vista security. Windows Vista jsou prvním operačním systémem Microsoftu, který byl vytvořen s pomocí strategie SDL (Security Development Lifecycle).
Vše, co potřebujete vědět o útoku SQL injection – Everything you wanted to know about SQL injection. V článku najdete přehled některých variant útoků SQL injection a v kterých situacích se s nimi můžete setkat. Následují doporučení pro vývojáře webovských aplikací a pro koncové uživatele.
Jaká na vás mohou číhat nebezpečí při čtení blogů? Caleb Sima (SPI Dynamics Inc) říká – skryté javovské skripty mohou nainstalovat spyware, krást hesla či vyhledávat slabiny sítě (Blog readers vulnerable to embedded malware, konference Black Hat).
A totéž téma rozvíjí i autor článku Researchers warn over Web worms – webové červy a viry se stanou pravděpodobně největším nebezpečím při brouzdání po netu.
K nástroji Net neutrality test a jeho vlastnostem hovořil na téže konferenci Dan Kaminsky (Researcher creates Net neutrality test). Je možné, že nástroj bude poskytován volně (free).
Feed Injection in Web 2.0 – Robert Auger (SPI Dynamics) zde diskutuje různé podoby útoků typu feed injection sloužící k hackování RSS a obdobných přívodů (feeds – Atom, XML).
K čemu všemu můžete použít Honeypot? Fun Things To Do With Your Honeypot – Alberto Gonzales popisuje potenciál honeypotů, který můžete využít pro celou řadu účelů (simulace provozu, simulace cílů, …)
Today's malware technology – Fernando de la Cuadra (Panda Software) komentuje současnou situaci ve vztahu k vyskytujícímu se malware a jeho vlastnostem.
Bluetooth, bezdrát
Stručný přehled (10tistránková studie) problematiky bezpečnosti Bluetooth napsal Collen Rhodes (graduate student) – Bluetooth Security.
Fotoaparát Nikon Coolpix P1 a nebezpečí bezdrátových datových přenosů, touto otázkou se zabývá článek Abusing the Nikon Coolpix P1 Picture Transfer Service/Protocol a jeho pokračování Wireless Gadget Vulnerabilities: The Nikon Coolpix P1.
Šest nejhloupějších nápadů, jak zabezpečit bezdrátovou LAN – The six dumbest ways to secure a wireless LAN – není to pouhý humor. Zmíněné „nápady“ se týkají následujícího – filtrování MAC, skrývání SSID, autentizace LEAP (Cisco), nepoužívání (disable) DHCP, umístění antény (tzv.spolehlivé), použití samotné 802.11 či Bluetooth (bez příslušných bezpečnostních mechanizmů). Autor v závěru poukazuje na slabost WEP – samozřejmě.
Když si někdo ze zloděje internetového připojení bezdrátem dělá legraci (Upside-Down-Ternet), je to správné nebo ne? Diskusi na toto téma najdete na Schneierově blogu.
VoIP
Na konferenci Black Hat byly prezentovány nové nástroje (celkem 13) k testování bezpečnosti VoIP – New tools test VoIP security. Viz odkaz Hacking VoIP exposed, kde tyto nástroje najdete setříděné podle kapitol stejnojmenné knihy (autorů David Endler a Mark Collier).
Bankomatové a kreditní karty
Cyber-Thieves Steal $700K Via ATM Hacking – ve Spojených Státech (Kalifornie a Oregon) se „podařilo“ odlehčit konta zákazníků řetězce Dollar Tree (maloobchod, hračky) o 700 000 dolarů. Zákazníci zde používali k platbám bankomatové karty (ATM cards). Jak a kde došlo ke kompromitaci kritických informací není jasné. Diskutuje se o tom, že přenášená data jsou sice šifrována, ale existuje jejich (nešifrovaná) záloha v místě prodeje.
Turisté z Austrálie a Nového Zélandu se zase stali obětí organizovaného podvodu s kreditními kartami v Thajsku – Thai police crack credit card wiretap scam. Podle místních zpráv z vyšetřování byly citlivá kritická data odchycena při přenosech mezi obchodníky a bankami. Data byla odeslána do sousední Malajsie a tam byly vyrobeny klony kreditních karet, která pak zpátky v Thajsku byly zneužity k podvodům.
Autentizace, biometrie, rhybaření
Hackeři klonují nové elektronické pasy – Hackers Clone E-Passports – to je komentář k vystoupení německého bezpečnostního konzultanta (Lukas Grunwald, DN-Systems) na konferenci Black Hat. Téma samozřejmě vzbudilo velkou pozornost a našlo širokou odezvu v médiích:
- e-passport cloning risks exposed
- How to clone the copy-friendly biometric passport
- Biometric passport cracked and cloned
- RFID Passport Shield Failure Demo – Flexilis (demo)
Viz také Bruce Schneier a diskuse na jeho blogu
Téměř tři tucty rhybářských webů (Phishers Beat Citibank's Two-Factor Authentication) zaútočily na systém používaný Citybank a to schématem, které obchází dvoufaktorovou autentizaci. Útok sice nebyl plně úspěšný a banka říká, že žádný zákazník neohlásil potíže s ním související, ale banka přiznává jeho nebezpečnost. A to především proto, že je narušena důvěryhodnost bankovních postupů.
O jiném útoku rhybářů, tentokrát na rumunskou banku, hovoří článek mania: Phishing Attempt on Card Owners Uncovered.
A také se tématu týká následující článek- two factor risks highlighted. E-gold attacks highlight two factor fears – další dvoufaktorová autentizace rozbita. Pro banky je to varováním.
Studie tří autorů (Ian Fette, Norman Sadeh a Anthony Tomasic) diskutuje novou metodu k odfiltrování rhybářských e-mailů – Learning to Detect Phishing Emails. Komentář autorů k této studii (jejímž jádrem je popis učícího se algoritmu, který autoři nazvali PILFER) obsahuje článek Learning to Detect Phishing Emails.
Normy a normativní dokumenty
NIST vydal tento týden následující dva dokumenty:
- draft Special Publication 800–69, Guidance for Securing Microsoft Windows XP Home Edition: A NIST Security Configuration Checklist
- draft SP 800–96, PIV Card / Reader Interoperability Guidelines (materiál se zabývá interakcí mezi libovolnou kartou a libovolnou čtečkou v systému PIV)
Pracovní skupina IETF pkix vydala rfc.4634 – US Secure Hash Algorithms (SHA and HMAC-SHA). Hlavním cílem dokumentu je zpřístupnit veřejnosti zdrojové kódy pro tyto hashovací funkce.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.