Bezpečnostní střípky za 47. týden

28. 11. 2005
Doba čtení: 10 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu: obecná a firemní bezpečnost IT, software, hardware, viry, hackeři, malware, Sony DRM rootkit, rootkity ve Windows, autentizace, elektronický podpis, kryptografie a nové knihy.

Obecná a firemní bezpečnost IT

Bruce Byfield se v článku Nine principles of security architecture zabývá pojmem architektura bezpečnosti. Antiviry, firewally, resp. detekce průniků – to jsou prostředky, které mají za úkol spíše odpovídat na hrozby, které jsou již aktivní. Netýkají se tedy bezprostředně prevence, resp. koncepce architektury, která se váže k bezpečnosti. Autor abstrahuje od konkrétních konfigurací a tak touto cestou formuluje devět dle něho základních principů, kterými se řídí architekti bezpečnosti. Jsou následující:

  • Definuj bezpečnostní politiku svého systému a buď s ní detailně seznámen.
  • Jednotlivé akce musí být ověřitelné.
  • Použij vždy princip nejmenšího privilegia.
  • Obranu systému koncipuj do hloubky (nestačí hesla a firewall).
  • Zajisti audity systému, uchovávej a reviduj systémové logy.
  • Buduj v systému omezení (cíl – minimalizovat dopady potenciálních průniků)
  • Celý systém je tak odolný, jak je odolná jeho nejslabší část.
  • Opatření ex post nemusí být efektivní.
  • Pokud již došlo k (úspěšnému) útoku, je třeba, aby uživatelé byli plně informováni.

V článku (Making your security fit) se Antony Adshead zabývá problémy souvisejícími se zabezpečením firemní sítě z hlediska ověřování bezpečnosti, testovacích postupů. Srovnává automatizované a manuální procedury a konstatuje, že oba postupy mají svá místa. Optimální volbou je kompromis volený s ohledem na konkrétní podmínky.

Pokračováním článku Gregory Ihana (viz Crypto-World) je – ISO 17799: Asset Management. Zabývá se správou aktiv – tedy z pohledu ISO 17799. Diskutuje takové pojmy jako odpovědnost za aktiva, inventarizace aktiv, vlastnictví aktiv, vhodná využití aktiv, klasifikace informací atd. (Aktiva = vše co má nějakou hodnotu pro danou organizaci.)

O současné situaci v IT bezpečnosti hovoří Tom Espiner v interview s Bruce Schneierem – Schneier on security. Položené otázky se týkají např. kyberterorizmu obecně, finanční motivace hackerů, úlohy biometrie, ID karet atd. Schneier mimo jiné zpochybňuje současnou politiku boje s terorizmem.

Software

Definice v normativních dokumentech pro IPsec jsou nedostatečné – Cryptography in Theory and Practice: The Case of Encryption in IPsec. Svoboda v jejich implementaci může vést k návrhu takové konfigurace IPsec, že výsledkem je zranitelný systém. A to přesto, že požadavky z norem jsou naplněny. Autoři doporučují doplnění normativních dokumentů tak, aby bylo těmto situacím zabráněno.

Je připravována nová verze skeneru zranitelností Nessus (Nessus). Verze 3 bude dána volně k použití (nikoliv však open-source), říká autor skeneru Ron Gula v rozhovoru na SecurityFocus – Tenable discusses the Nessus 3 release.

Vyšla osmá část seriálu – Cracking a ochrana pred ním, 8. časť: Pokročilé využitie SEHu – púšťame program pospiatky. Z abstraktu: V minulej časti sme si ukázali, ako využiť štruktúrovanú obsluhu výnimiek (SEH) na odstránenie hardvérových breakpointov. SEH nám však ponúka oveľa viac možností a jeho rafinované použitie môže crackerovi značne znepríjemniť debugovanie aplikácie.

K rizikům VoIP se vyjadřuje Andrew R. Hickey ve svém článku – Don't believe the VoIP security hype. Podle něho největší aktuální hrozbou jsou útoky DOS (Denial of Service).Autor doporučuje nepřeceňovat různá nebezpečí, o kterých se různě diskutuje. Je ovšem otázkou, nakolik jsou všechna rizika dostatečně dobře zmapována. V této souvislosti stačí se odkázat na problémy Skype. Spíše by situaci charakterizoval následující výrok – nástroje k hodnocení takovýchto produktů se teprve rodí a zdaleka ještě nejsou dostatečně formalizovány.

Tvůrci čtyř nejvíce používaných prohlížečů se sešli (Web rivals team up on security), aby se dohodli na společné strategii boje proti takovým bezpečnostním rizikům, jako je např. rhybaření, aby se dohodli na používání silné kryptografie a praxi SSL certifikátů. V komentáři Browser Manufacturers share anti-phishing tricks – Farce, Soap, and 3 great things lze nalézt (na obrázcích) i navrhovaný způsob rozlišení webovských stránek (ve smyslu důvěryhodnosti) v barevném URL. Zvítězil návrh Microsoftu – bílá barva neznamená nic, žlutá barva je podezření, zelená znamená vysoký stupeň důvěry a červená značí zjištěnou stránku provozující phishing (rhybaření). Na posledně uvedené stránce je také užitečné projít si připojenou diskusi.

Hardware

Určitě zaujme následující informace – Cracking safes with thermal imaging – termální otisky na klávesách a tlačítkách lze sejmout až pět minut po stisknutí a tak získat informace o heslech, bezpečnostních kódech, PINech atd. Velice zajímavé využití postranních kanálů.

Viry

Kaspersky hovoří o současné situaci v antivirovém průmyslu a jeho problémech – The contemporary antivirus industry and its problems. Článek je zajímavým shrnutím a stojí za to se nad ním na chvilku zastavit. Autor se nejprve zabývá kriminalitou na Internetu obecně, hovoří o existenci desítek až stovek hackerských skupin (a řádově tisícovkách hackerů). Vymezuje existující cíle útoků:

  • krádeže údajů obsažených v osobních a firemních bankovních účtech
  • krádeže čísel kreditních karet
  • provádění útoků DDoS a následné finanční požadavky za zastavení útoků – vyděračství
  • vytváření sítí proxy serverů s trojany (s cílem zasílat spam, komerční zisk)
  • vytváření sítě botů (zombie počítačů), které lze pak využívat řadou cest
  • vytváření programů, které stáhnou a instalují adware na počítači oběti
  • instalace trojanských dialerů, které opakovaně volají na placené služby
  • a další

Kaspersky odhaduje celkový roční „obrat“ hackerských grup na miliardy dolarů. Ale škoda, kterou světové ekonomice způsobily např. v roce 2004, je odhadována již na 18 miliard dolarů a tyto škody přitom rychle narůstají (30–40 procent ročně). Dále jsou pak ukázána čísla charakterizující dnešní antivirový průmysl – obrat takových gigantů jako jsou Symantec (dnes již asi jeden a půl miliardy dolarů, McAfee a Trend Micro (přes půl miliardy dolarů). Následuje druhá skupina společností (Sophos, Panda Software, Computer Associates, F-Secure, Norman, AhnLab, KapserskyLab), kde roční obrat je v desítkách miliónů dolarů. V třetí skupině (s odhadovaným obratem menším než deset miliónů dolarů) lze nalézt i české a slovenské firmy – Alwil, Grisoft, ESET a dále jsou zde uvedeny – Arcabit, Doctor Web, Frisk Software, H+BEDV, Hauri, SoftWIn, VirusBuster. V další části svého článku se Kaspersky zabývá současnými problémy antivirového průmyslu. Je jich zde zformulováno pět hlavních:

  • 1. Roste počet a různorodost malware.
  • 2. Dnešní rychlá propagace malware, antivirové firmy nestíhají.
  • 3. Odstraňování škodlivých kódů z počítačů uživatelů.
  • 4. Rychlost a metody skenování.
  • 5. Vzájemná nekompatibilita antivirových řešení.

Chimérou je hledání univerzálního řešení, říká dále Kaspersky. Každé řešení je efektivní jen proti těm hrozbám, které fungují dle konstantních a definovaných pravidel. V poslední části svého článku se pak autor zabývá přístupem uživatele, zákazníka, k antivirovým programům. Jak si má zákazník vybrat antivirový software, který nejlépe vyhovuje jeho požadavkům. Uvádí dva současné zkušené testery antivirových produktů (Andreas Marx – Německo a Andreas Clementi – Rakousko). Přes jejich zkušenost však (jak uvádí Kaspersky) jejich testy mohou postihnout jen část reálných problémů při nasazování antivirů v praxi. Kapersky kritizuje testy, které provádí VirusBulletin, jako značně nedokonalé.

Hackeři, malware

Hacker a jeho důležitost v dnešním E-světě – Importance of Hackers in the E-World, to je téma zajímavého článku. Autoři říkají – v obecném povědomí jsou hackeři démonizováni. Značně podceňována je však role, kterou sehrávají při vzniku nových myšlenek ve vývoji softwaru (a to nejen v bezprostředním pojetí při odstraňování bezpečnostních děr).

Byla uvolněna nová verze Microsoft AntiSpyware – Živě. Tato verze (stále beta) bude funkční až do 31.7.2006.

IM (Instant Messaging) systémy jsou podle IMlogic Threat Center (Plague of mutant worms targets IM systems) stále častěji předmětem útoků mutujících červů. Příkladem je červ Kelvir (123 mutací za posledních 11 měsíců).

SANS vydal tento týden novou verzi svého seznamu – The Twenty Most Critical Internet Security Vulnerabilitie. Seznam je vytvořen na základě údajů amerických a britských organizací a jak již název napovídá, obsahuje seznam dvaceti nejvíce kritických zranitelností, kterým tyto organizace musely čelit. Komentář k seznamu najdete zde – SANS compiles Top 20 security vulns list a zde SANS Warns of Attack Shift to Apps, Network Devices. Minulé vydání seznamu pak zde – SANS revises Top 20 security vulns list (3 May 2005) . Z informací v seznamu zveřejněných mj. vyplývá, že se současní hackeři zaměřují na síťová zařízení, zálohovací služby, webovské a e-mailové servery atd. (Hackeři pro útoky na internet mění taktiku ).

Sony DRM rootkit, rootkity ve Windows

Nejprve jedna informace, která vzbudila i trochu veselí (a posměchu vůči SONY BMG). Byla nalezena jednoduchá cesta, jak obejít ochranu Sony (DRM rootkit) – stačí CD přelepit kouskem pásky! (Gaffer tape defeats Sony DRM rootkit). Gartner říká – kousek pásky na vnější okraj disku stačí a CD lze i zkopírovat, jako by tam ochrana vůbec nebyla.......

Pokračování Schneierova komentáře k Sony DRM Rootkit najdete v jeho blogu. Shrnuje celou řadu dalších odkazů.

Hezkým přehledem je seznam otázek -Sony fiasco: More questions than answers.

A ještě jedna informace – NOD32 ochrání proti rootkitu od Sony BMG . Podle zpráv z tisku takovéto řešení není jednoduché (samotná SONY musela k svému řešení vydat záplatu), firma Eset tedy zabodovala. Snad jen poznámka (pro vylekané) – postižená CD firmy Sony v Evropě prodávána být neměla.

Tony Bradley má na svých stránkách (What Is A Rootkit?) několik úvodních informací k pojmu rootkit (co to je, jak ho detekovat a jak se chránit).

Autentizace, elektronický podpis

Komentář Franka Heckera k problematice certifikačních autorit (The business of CAs) obsahuje celou řadu zajímavých postřehů (viz také Frank Hecker goes to the Mountain – mapping the structure of the Certificate Authority).

Normy a normativní dokumenty

Draft Internet X.509 Public Key Infrastructure Repository Locator Service (čtvrtá verze) definuje službu „PKI repository locator“. Tato služba umožňuje systémům, které se opírají o použití certifikátů, alokovat úložiště PKI.

Kryptografie

Eliptické křivky a techniky ochran proti útokům z postranních kanálů – to je předmětem studie autorů Douglase Stebila a Nicolase Thériaulta (Unified Point Addition Formulae and Side-Channel Attacks). V této práci jsou analyzovány situace, kdy jsou rozpracovávány algoritmy vycházející z použití projektivních souřadnic.

K posledním výsledkům v problematice hashovacích funkcí najdete komentáře Vlastimila Klímy na stránkách Crypto-Worldu – Stach a Liu realizovali moji metodu hledání kolizí MD5 a Liang-Lai urychlují kolizi MD5 do cca 4 hodin na 1.7 GHz PC, zefektivňují moji metodu a opravují podmínky Wangové ( k článku Improved Collision Attack on Hash Function MD5).

Bruce Schneier (Twofish Cryptanalysis Rumors) komentuje výsledky článku Cryptanalysis of Twofish (II) čínských kryptologů Shiho Morai a Yiqun Lisa Yin (poslední jméno je zcela jistě známé těm, kdo se zajímají o hashovací funkce a poslední výsledky v tomto směru) a vyvrací pověsti o rozbití algoritmu Twofish.

Nové knihy

Webovská stránka The Database Hacker's Handbook. Defending Database Servers obsahuje recenzi (jejím autorem je Tony Bradley) knihy The Database Hacker's Handbook. Autorem knihy je tým z Next Generation Security Software, který vedl David Litchfield. Recenzent zdůrazňuje důležitost ochrany databází a tím i význam knihy.

Volně si můžete stáhnout jednu kapitolu knihy Cryptography in the Database: The Last Line of Defense. Obsah kapitoly je následující:

  • 1. A Brief Database Refresher
  • 2. What Is Cryptography?
  • 3. Applying Cryptography
  • 4. Cryptographic Risks
  • 5. Cryptographic Attacks
  • 6. Obfuscation
  • 7. Transparent Encryption
  • 8. Summary

Recenzi knihy The .NET Developer s Guide to Windows Security najdete na Developing Securely In Windows.
Z obsahu knihy:

  • Kerberos authentication
  • Access control
  • Impersonation
  • Network security
  • Constrained delegation
  • Protocol transition
  • Securing enterprise services
  • Securing remoting
  • How to run as a normal user and live a happy life
  • Programming Security Support Provider Interface (SSPI) in Visual Studio.NET 2005

A ještě jedna zajímavá kniha, tentokrát dokonce v češtině. Kniha Keitha Devlina Problémy pro třetí tisíciletí. s podtitulem Sedm největších nevyřešených otázek matematiky je věnována známé aktivitě Clayova matematického ústavu (Clay Mathematics Institute), kdy v roce 2000 byla vypsána odměna ve výši jednoho miliónu amerických dolarů za vyřešení každého ze sedmi významných matematických problémů (dosud otevřených) popsaných v podmínkách výzvy. Na uvedené adrese si můžete stáhnout i ukázky – Obsah, Úvod a Kapitola 0 + Začátek 7. kapitoly.

bitcoin_skoleni

Různé

Vyšlo nové číslo IEEE Cipher. Z obsahu:

  • Bob Bruen's review of Real Digital Forensics. Computer Security and Incident Response by Jones, Keith, Richard Bejtlich and Curtis Rose
  • Bob Bruen's review of Security and Usability. Designing Secure Systems That People Can Use. by Cranor, Laurie Faith and Simson Garfinkel
  • Sven Dietrich's review of Secure Coding in C and C++ by Robert C. Seacord
  • IETF Revises Transport Layer Security by Eric Resorla and Russ Housley
  • Elisa Bertino Receives Computer Society's Tsutomu Kanai Award
  • Virgil Gligor to Receive NIST/NSA Security Award
  • Homeland Security's ARPA Stretches Budget, article from Information Week by J. Nicolas Hoover
  • ThePrivacyPla­ce.Org, 2005 Privacy Survey is Underway, by Annie Anton
  • NIST Hash Workshop, October 31, 2005 – November 1, 2005
  • Conference and Workshop Announcements

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku