Obecná a firemní bezpečnost IT
Marcia J. Wilson popisuje své zkušenosti (How to become an information security professional) na cestě k povolání IT bezpečnostního profesionála. Existuje několik druhů certifikace odborníků v IT bezpečnosti, v posledních letech nejznámější je CISSP (Certified Information Systems Security Professional). Říká mimo jiné, že dnes (oproti situaci před několika lety) není problém nalézt zaměstnání v informační bezpečnosti.
Office systems undergoing big changes – častým cílem útoků, a to jak uvnitř podnikové sítě, tak i mimo její perimetr, se stávají výstupní zařízení (zapojená jako síťová zařízení) – tiskárny, kopírky a podobně. Některá (zejména multifunkční) zařízení mají svůj vlastní operační systém, a ten může obsahovat různorodé bezpečnostní zranitelnosti. Důležité však není pouze používání zabezpečených technologií, ale vytvoření komplexního systému správy dokumentů – tj. včetně souvisejících organizačních opatření. Tato opatření nabývají zásadního významu zejména v těch firmách a organizacích, kde práce s dokumenty tvoří významnou součást jejich aktivit.
Několik doporučení pro bezpečnou práci s vaším notebookem najdete v článku My security. My notebook. I když je článek orientován především na notebooky Fujitsu, některá doporučení mají obecnou platnost.
Chris Miller – Making Email Secure and Available – se zamýšlí nad dvěma protiřečícími si požadavky na práci s e-mailovou poštou – její bezpečností na straně jedné a snadnou dostupností na straně druhé.
Pokud firmy vyvozují svou bezpečnostní strategii především a hlavně na základě shody s legislativou a dalšími regulačními ustanoveními, mohou se dostat (z dlouhodobého hlediska) naopak do polohy, kdy bezpečnost IT bude oslabena – CSI: Corporate focus on compliance could undermine security Meeting regulatory requirements is only part of a broader security strategy, experts say. Shoda s regulacemi je totiž pouze částí celkového pohledu na bezpečnost.
Výňatek z knihy The Black Book on Corporate Security (ze druhé kapitoly – The Information Security Officer: A New Role for a New Threat) najdete zde. Autor (Joyce Brocaglia) tady popisuje vlastnosti podstatné pro efektivní práci bezpečnostního správce. Kniha samotná (vyšla v říjnu 2005) se v jednotlivých kapitolách zabývá různými aspekty firemní bezpečnosti.
Software
Víte, co na vás všechno může prozradit dokument MS Office (Word, Excel)? Problémem metadat v MS office se zabývá na svém blogu Bruce Schneier (viz také připojené komentáře).
Na Lupě vyšel článek Ondřeje Bitta k bezpečnosti ICQ – Jak ukrást ICQ informace?.
Hackeři, malware
Malware na botech bude šifrovaný, předpovídá v Bots may get cloak of encryption Joris Evers. Technologie k tomu jsou dostupné – SSH, SSL (Secure Sockets Layer), ROT-13 nebo jiné, např. proprietární postupy.
Stále frekventovanější jsou keyloggery – Update: Keystroke logging on the rise, says security firm. Tento rok je očekáváno celkem 6000 programů tohoto typu, to je nárůst o 65 procent proti předešlému roku. Pro hackery je to přitom bohužel poměrně nenáročná cesta k penězům – prostřednictvím citlivých dat obětí.
Možná, že se přeci jen něco povede udělat s viagra spamem – Pfizer takes on Viagra spam in Holland? V článku se mj. konstatuje, že až 97 procent nabízených pilulek jsou podvodem.
V čtvrtletním přehledu firmy Webroot software – The Ten Most Significant Emerging Spyware And Adware Threats – najdete deset nejvýznamnějších hrozeb typu spyware a adware:
- AbetterInternet
- CoolWebSearch (CWS)
- EliteBar
- ISTbar
- Look2Me
- ShopAtHomeSelect
- SurfSideKick
- Virtumonde
- Web Search Toolbar
- 180search Assistant
Další podrobnosti lze nalézt ve zprávě State of Spyware Report (nutná registrace).
Malware, který se objevuje na mobilních telefonech, diskutuje článek na stránce weblog f-secure. Graf obsažený v článku ukazuje vývoj v posledních dvou letech. Dnes už je známo okolo stovky variant. Postižen je zejména operační systém Symbian Series 60 (98 variant z celkového počtu 103). Nejčastější malware je Cabir (27 variant), potom Skulls (21 variant). Většina variant je zatím poměrně primitivní, poslední však ukazují na tendenci k sofistikovanějším modelům. V současnosti existují čtyři způsoby, kterými mobilní telefon může být infikován:
- prostřednictvím Bluetooth
- prostřednictvím MMS
- prostřednictvím downloadu přes web
- prostřednictvím paměťových karet
Zajímavá iniciativa – TRUSTe – Industry body to certify adware – vznikla díky skupině sponzorů (např. Yahoo!, AOL, Computer Associates, CNET Networks, Verizon) a má za cíl připravit certifikaci programů s ohledem na obsažený adware. Má být vytvořen seznam softwaru, tzv. Trusted Downloads Programs, který bude obsahovat pouze programy splňující určitá kritéria.
VoIP
Ross Armstrong z Info-Tech Research Group uvádí pět důvodů, proč by podniky měly zakázat Skype – Ban corporate Skype usage immediately:
- Skype software nepracuje ve shodě s normami, umožňuje mj. průniky přes firemní firewall.
- Šifrování ve Skype je proprietární a zranitelné prostřednictvím útoku man-in-the-middle.
- Podniky, které používají Skype, riskují vznik komunikační bariéry se zeměmi a institucemi, kde je tato služba zakázána.
- Používání Skype může organizace vést k problémům při auditech, při prokazování shody s regulačními ustanoveními.
- Otázka, zda VoIP lze používat v obchodním styku, je sporná.
Zajímavou analýzu k Skype lze také nalézt v textu – Sky uncovered. Komentář Winna Schwartaua – With VoIP, it's déja vu all over again – autor zde v podstatě konstatuje, že bezpečnost VoIP se stává noční můrou.
Sony DRM rootkit, rootkity ve Windows
Popis aktuálního dění s mnoha dalšími odkazy najdete na blogu Bruce Schneiera.
Nově se objevily útoky využívající nástroj, který Sony vydala k odinstalaci svého rootkitu(!): Attack targets Sony ‚rootkit‘ fix.
A pokud vás téma ještě zajímá, jsou tu další odkazy:
- Will Sony's DRM nightmare affect future policies?
- http://www.eweek.com/article2/0,1759,1886122,00.asp
- Muzzy's research about Sony's XCP DRM system – odkaz obsahuje i řadu technických podrobností
- Spyware Sony seems to breach copyright
- Sony's legal issues
- DVD Jon's Code In Sony Rootkit?
- Sony rootkit remover on the rocks
Filip Hanker na Živě doporučuje v Ako odhaliť rootkity v operačnom systéme dvojici užitečných programů – RootkitRevealer 1.56 a F-Secure BlackLight 2.2.1007 Beta.
Pokud se chcete dozvědět něco více o rootkitech ve Windows, podívejte se na zatím dvoudílný seriál Jamese Butlera (celkem budou díly tři):
A také se můžete podívat na tyto stránky – Hacker Defender by Holy Father.
Autentizace, elektronický podpis
Uživatelé přestávají důvěřovat webovským stránkám, kde jsou vyžadovány osobní informace – vyplývá to z přehledu firmy SMSR Ltd. – Users don't trust websites with personal info.
Burt Kaliski (RSA Security) pokračuje v diskusi, kterou zahájil Bruce Schneier – k problémům dvoufaktorové autentizace – Man-in-the-Middle Attacks: Protection Through Best Practice. Kaliski zde diskutuje nebezpečí útoků typu man-in-the-middle. Konstatuje důležitost hledání nových cest při vytváření rozhraní pro autentizaci uživatele s cílem zajistit větší důvěryhodnost tohoto rozhraní.
Byla nalezena chyba ve Schneierově programu pro práci s hesly – PasswordSafe – Schneier's PasswordSafe password validation flaw . Usnadňuje útok hrubou silou, resp. slovníkový útok.
Slovenský Národní bezpečnostní úřad (NBÚ) zveřejnil aktualizované dokumenty, které upravují použití zaručeného elektronického podpisu:
- Schválené formáty (kvalifikovaných certifikátů, zaručených elektronických podpisů, seznamu zneplatněných certifikátů) http://www.nbusr.sk/NBU_SEP/9.php
- Podpisové politiky http://www.nbusr.sk/NBU_SEP/10.php
- Kontrola certifikační cesty http://www.nbusr.sk/NBU_SEP/10.php
Normy a normativní dokumenty
Amrický NIST na svých stránkách (Computer Security Resource Center – CSRC) zveřejnil tento týden následující čtyři dokumenty:
- SP 800–68 – Guidance for Securing Microsoft Windows XP Systems for IT Professionals: A NIST Security Configuration Checklist. Tento dokument je příručkou pro bezpečnostní nastavení Windows (není však politikou).
- SP 800–40 (version 2), Creating a Patch and Vulnerability Program. Materiál obsahuje metodologii, kterou mohou organizace využít při plánování politik pro záplatování a odstraňování zranitelností.
- SP 800–83 – Guide to Malware Incident Prevention and Handling. Publikace obsahuje doporučení vztahující se k preventivním opatřením v organizacích vůči malware.
- NIST – IR 7250 – Cell Phone Forensic Tools: An Overview and Analysis. Zpráva dává přehled o současném forenzním softwaru pro účely analýzy telefonních zařízení.
Kryptografie
Týden byl bohatý na dění vztahující se k hashovacím funkcím. Novinky komentuje Vlastimil Klíma na stránkách Crypto-Worldu:
- Kolizi SHA-1 lze dnes nalézt se 160 tisíci $ za 127 dní nebo s 10 miliony $ za dva dny k článku (Hardware Architecture and Cost Estimates for Breaking SHA-1)
- Útok na MD5 urychlen více než stokrát, čtvrtý tým na světě generuje kolize MD5 k článku (Improved Collision Attack on MD5)
- Zdrojové kódy pro kolizi MD5 za 45 minut a MD4 za pět sekund k článku (MD4 and MD5 Collision Generators)
Zbývá znovu zkonstatovat, že síla útoků se v čase vždy jen vylepšuje.
Různé
Konfererence IT SECURITY GigaCon Bezpečnost a spolehlivost informačních systémů se bude konat dne 23. listopadu 2005 v hotelu Step v Praze. Konference se zabývá různými aspekty informační bezpečnosti – od kryptologie, přes e-komunikaci až po řešení a technologie, které zajišťují spolehlivost a bezpečnost informačních systémů. Na konferenci je vstup zdarma, podmínkou účasti je pouze registrace.
Na účastníky konference dále čekají (mimo zajímavých přednášek a materiálů konference) i další překvapení. Můžete se např. zúčastnit soutěže o tři libovolná linuxová školení z nabídky společnosti EIITE. Dále deset z vylosovaných účastníků získá knižní odměnu od vydavatelství Zoner Press (bestseller spisovatele Iona Ericksona – Hacking – umění exploitace).Oficiální stránka konference.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
ČLÁNKY DO MAILU