Bezpečnostní střípky za 34. týden roku 2006

28. 8. 2006
Doba čtení: 7 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: Obecná a firemní bezpečnost IT, software, viry, malware, hackeři, autentizace, hesla, elektronický podpis, normy a normativní dokumenty, kryptografie.

Obecná a firemní bezpečnost IT

Zajímavý žebříček se objevil na stránkách wired.com – Privacy Debacle Hall of Fame. Annalee Newitz zde vytřídila (ze svého pohledu) deset největších „průšvihů“, které učinily náš svět méně bezpečným. Autorka je seřadila od desátého místa k prvnímu a v přehlídce zvítězila – myšlenka vedoucí ke vzniku čísla sociálního pojištění (1936).

K plánům obnovy v tradičním pojetí se vrací Paul Murphy v článcích The (traditional) disaster recovery plan a Disaster avoidance and recovery (pokračování). Poukazuje na dvě příčiny častých rozporů mezi těmito plány a realitou.

  • 1. Organizace má perfektní plány připravené profesionálními konzultanty. Když však dojde k oné nešťastné události, zjistí, že plány byly zničeny spolu s dalšími aktivy nebo jsou zašifrovány klíči, ke kterým již není přístup atd.
  • 2. Řešení obnovy postupující podle schváleného plánu je neproveditelné v důsledku nedotažení nějakých organizačních závislostí.

Také Linda Cerni v Building a Comprehensive Disaster Recovery Plan se obrací k problematice plánů obnovy, a sice tak, že prostřednictvím formulace několika (z jejího pohledu) stěžejních otázek se obrací k manažerům a chce jim takto pomoci lépe pochopit potřeby efektivního havarijního plánu a plánu obnovy. Celou řadu souvisejících informací lze nalézt na stránce TechRepublic a to včetně přehledu Trends in Business Continuity and Risk Management (nezbytná bezplatná registrace).

Váš e-mail – pět cest vedoucích k ochraně před zde číhajícími nebezpečími – E-mail Lockdown. Here are five ways to lock up e-mail – to je několik doporučení, která by měla napomoci ochránit čtenáře před možnými hrozbami číhajícími v e-mailové poště. Gregg Keizer například upozorňuje, že některým škodlivým zprávám stačí, aby byly prohlíženy v preview panelu e-mailového klienta.

Bráníme se odposlechu: obrana na switchi – závěrečný (čtvrtý) díl seriálu Martina Hallera na Lupě.

Ondřej Bitto (také na Lupě – Bezpečná ochrana dat nejen v číslech) podrobně seznamuje čtenáře s výsledky přehledu Confidential Data at Risk Ponemon Institute. Tento přehled byl publikován 15. srpna 2006.

Software

Network access control Learning Guide – to je rozsáhlá příručka věnována problematice přístupů v počítačové síti. Na stránce SearchSecurity­.com najdete tutéž příručku rozdělenou podle jednotlivých dokumentů, jejichž kompletací následně vznikla. Zabývá se následujícími problematikami:

  • Zabezpečení vzdálených bodů přístupu
  • Bezpečnostní taktika koncových bodů
  • Kontroly síťové architektury
  • Firewall
  • VPN
  • Kontroly specifické pro sítě Windows
  • Politiky pro kontroly přístupu v síti
  • Další informační zdroje

Firewallům na domácích počítačích a jejich slabinám se věnuje článek Why home firewall software is a leaky dike. Dirk Averesch kritizuje jejich komplikovanost a říká, že nastavit jejich správnou konfiguraci je pro běžného uživatele nereálné.

10 steps to fortify the security of your MySQL installation , to je deset stručných doporučení pro zvýšení bezpečnosti vaší instalace MySQL.

Článek Microsoft Office security, part one diskutuje architekturu OLE Structured Storage v Microsoft Office a v návaznosti na to se obrací k podstatě některých zde existujících nedávných exploitů.

Server Ubuntu Linux a bezpečnost – touto problematikou se zabývá článek Tips on keeping your Ubuntu Linux server secure. Článek je výňatkem z knihy The Official Ubuntu Book (jejími autory jsou Benjamin Mako Hill, Jono Bacon, Corey Burger, Jonathan Jesse a Ivan Krstic) a je věnován pohledu systémového administrátora na některé typické problémy, jako jsou administrace uživatelských účtů, bezpečnost systému souborů, omezení systémových zdrojů, soubory obsahující systémové logy a pár poznámek k síťové a celkové bezpečnosti.

Skype není anonymní, účastníka lze vysledovat, konstatuje Bruce Schneier na svém blogu. Koncepce Skype anonymitu nepředpokládá, ovšem někteří mohli tímto směrem uvažovat. Např. jakýsi Kobi Alexander měl smůlu…

SSH Tunnels: Bypass (Almost) Any Firewall – Lukasz Usowicz zde dle svého vyjádření prezentuje několik efektivních metod k překonání cest v podnikových sítích s restrikcemi. Používá k tomu SSH tunneling a ukazuje, jak s jeho pomocí obejít pravidla pro firewall, která použil systémový administrátor. Autor se také odkazuje na předchozí článek – SSH tricks, kde, jak název napovídá, jsou popisovány některé triky pro SSH (Borys Musielak).

V druhé verzi vychází materiál Johannese Ullricha – Tip of the Day – PHP Security  – věnovaný bezpečnosti php. Najdete zde několik konfiguračních tipů, které by měly vést k zvýšení bezpečnosti výsledného kódu.

Viry

Pět důvodů, proč potřebujete nový přístup k otázkám antivirové bezpečnosti – Five reasons you need a new approach to antivirus security:

  • 1. Útoky malware jsou koncentrovanější.
  • 2. Malware neustále mění podobu svého kódu.
  • 3. Je to vše o penězích.
  • 4. Některý tzv. antispyware je ve skutečnosti malware.
  • 5. Běžnné antivirové programy jsou často neefektivní.

Autor článku (Jason Bradley, Oxford – USA) říká, že ve vztahu k virům vzniká nyní potřeba najít nové přístupy a tyto vidí třeba v produktech společnosti Prevx.

Jak je to se smlouvou vztahující se k licenci pro bezplatný antivir od AOL? Active Virus Shield – nový bezplatný antivir nalákal samozřejmě množství klientů. Avšak end-user license agreement (EULA) obsahuje některá ustanovení, která se ne všem musí líbit – do budoucna – týkají se možného spamu, adware… (AOL antivirus software slammed by consumer advocates).

Malware, hackeři

Cade A. Fassett v článku Real life: My battle with spyware hovoří o svých vlastních praktických zkušenostech z boje proti spyware. Netradičně pojatý článek přináší konkrétní informace z reálné praxe.

Zvi Gutterman a Dahlia Malkhi popisují v Hold Your Sessions: An Attack on java Session-Id Generation kryptoanalytický útok na Java servlet A28-bit session-id umožňující útočníkovi se vydávat za legitimního klienta.

Trojan Mocbot a boti, na toto téma se objevilo (v návaznosti na zranitelnost MS06–040, zveřejněnou nedávno Microsoftem) několik článků:

Review: ‚Hacker-In-A-Box‘ Tool Tests Attack Scenarios – je to recenze souboru nástrojů (Hacker in the Box). Samotný toolbox najdete na Cenzic Hailstorm® – bezplatná je verze Hailstorm Starter, verzi Hailstorm Core si můžete vyzkoušet na 7 dní.

K problému jak se vypořádat s rootkity provádí Ellen Messmer přehled současných doporučení a možností – Experts divided over rootkit detection and removal.

Autentizace, hesla

Dvoufaktorová autentizace – jak ji vidí RSA Security – takovýto popis najdete v článku The Power behind RSA SecurID Two-factor User Authentication: RSA Authentication Manager (tzv. white paper – nezbytná je bezplatná registrace). Je zde popsána činnost příslušného softwaru (RSA Authentication Manager), který je součástí řešení RSA SecurID a jsou zde také popsány související bezpečnostní vlastnosti tohoto řešení.

Zajímavou diskusi k otázkám anonymity a konceptům digitálního ID obsahuje materiál na Joho the Blog – Anonymity as the default, and why digital ID should be a solution, not a platform. Najdete zde i celou řadu dalších odkazů a komentářů. K této problematice se obrací také autor článku Identity v. anonymity – that is not the question.

Problematika autentizace v smíšeném prostředí (Linux/Windows) je zase diskutována v článku Allowing Linux to Authenticate to a Windows 2003 AD Domain (podtitul – Active Directory Integrating LINUX servers with group-based restrictions for logins using CENTOS). Integrace těchto dvou platforem pro účely autentizace, to je jeden z hlavních problémů vzniklého prostředí a pokud je autentizace řešena separátně v každém z nich (Windows + Unix), jednak vzniká málo efektivní konfigurace (z pohledu systémového administrátora) a jednak se zde i z hlediska bezpečnosti objevují další rizika.

Komentář k produktu ElcomSoftu (cracker hesel ve Wordu a PDF) najdete v článku Need to Crack a Password-Protected PDF? Ask ElcomSoft. Vzpomínáte na Skljarova?

Elektronický podpis

Byla vydána nová vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb – najdete ji na stránkách Ministerstva informatiky. Zveřejněna byla ve Sbírce zákonů 2. srpna 2006.
Z popisu:

První část vyhlášky je určena poskytovatelům certifikačních služeb a obsahuje požadavky na jejich postupy při vydávání kvalifikovaných certifikátů, kvalifikovaných systémových certifikátů a kvalifikovaných časových razítek.

Druhá část se vztahuje na označující osoby, zejména na orgány veřejné moci – obsahuje požadavky na ochranu soukromých klíčů, které se používají při vytváření elektronických značek.

První část vyhlášky nabývá účinnosti 17.8.2006, druhá část nabývá účinnosti 1.11.2006.

Normy a normativní dokumenty

Draft

jehož autorem je D. McGrew (Cisco Systems, Inc.) – popisuje algoritmy pro autentizované šifrování (je jich celkem šest – AEAD_AES128_GCM, AEAD_AES256_GCM, AEAD_AES128_CCM, AEAD_AES256_CCM,A­EAD_AES128_HMAC_S­HA1, EAD_AES256_HMAC_S­HA1 ).

Kryptografie

Několik příkladů demonstrujících kolize pro hashovací funkci MD5 najdete na stránce MD5 Collision Demo.

Náhodnost a její vztah k otázkám ochrany informací – to je tématem zajímavého článku Does Privacy Require True Randomness? (Carl Bosley a Yevgeniy Dodis). Intuitivně zřejmé téma převádí autoři do roviny informačně-teoretických konstrukcí.

V minulém týdnu (20.srpna – 24.srpna) proběhla v Kalifornii (Santa Barbara) konference Crypto 2006 – ústřední konference IACR (International Association for Cryptologic Research). Některé význačnější odkazy:

Zmiňme alespoň některá vystoupení. Cenu za nejlepší článek (Best Paper Award) obdrželi Iftach Haitner, Danny Harnik a Omer Reingold za práci On the Power of the Randomized Iterate (na internetu lze nalézt jeho úplnou verzi – Post Script a také příslušnou prezentaci v Powerpointu. Zvanou byla přednáška Oded Regeva Lattice-based Cryptography. Autor v ní popsal některé poslední výsledky problematiky „mřížové“ kryptografie.

V návaznosti na tuto konferenci probíhal NISTem pořádaný workshop k hashovacím funkcím (Santa Barbara, 24.srpna – 25.srpna 2006):

bitcoin školení listopad 24

Také proběhlo jednání normativní skupiny IEEE P1363 (kryptografie veřejného klíče) – s programem jednání se seznámíte na stránce Agenda. Jednotlivé prezentace jsou na – Presentations and Documents for the August 2006 Working Group Meeting.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku