Obecná a firemní bezpečnost IT
Jak jsou v organizacích rozloženy náklady na bezpečnost IT, kolik padne na nákup bezpečnostních produktů, kolik stojí personál a další položky? Tom Espiner v No consensus on cost of security udává následující čísla – podle (ISC)^2 Global Information Security Workforce Study. Organizace z celkového rozpočtu na bezpečnost IT dávají na nákup bezpečnostních produktů a služeb 57 procent a zbývajících 43 procent tvoří náklady na personál, výchovu a školení. Neexistuje přitom jednota názorů na tento poměr, jedni říkají, že 43 procent na personál je málo, jiní, že to postačuje.
Otázku, jakým způsobem by měl komunikovat bezpečnostní manažer, si položil Steve Purser v 10 Communications Tips For Security Managers a dává následující doporučení:
- 1. Připrav se předem na jednání, předvídej možné otázky a také pozici druhé strany.
- 2. Místo e-mailu používej raději osobní jednání.
- 3. Nejprve naslouchej, pak teprve hovoř.
- 4. Používej správnou řeč (srozumitelnou druhé straně).
- 5. Buď připraven na kompromisy.
- 6. Povzbuzuj i ostatní, aby se podíleli na přípravě řešení.
- 7. Udržuj pravidelnou zpětnou vazbu tak, aby potřebný dialog probíhal i v dalším.
- 8. Využij i potenciál pracovní skupiny (např. k izolaci nekonformního jedince).
- 9. Slovní dohody pojisti písemným potvrzením.
- 10. Neber věci osobně!
Již třetí v pořadí zpracovaný přehled, ve kterém více než 1500 čtenářů odpovídá na otázky, které se vztahují k jejich bezpečnostní situaci najdete na stránce Third Annual Strategic Deployment Survey Results. Rozsáhlý komentář pak zde – Third Annual Strategic Deployment Survey.
Tony Bradley na svých stránkách dává následující doporučení na předvánoční nákupy:
- Computer and Network Security Books
- Anti-Spyware Software
- Security Certification Prep Books
- Personal Firewall Software
- Wireless Network Security Books
Nebezpečí internetu
Současnou situaci v on-line bankovnictví a existující rizika popisuje australský autor Peter Weekes v článku Thieves in the site. Nakonec dává následující doporučení:
- Pravidelně měň hesla, nepoužívej hesla snadno uhodnutelná (např. datum narození).
- Pro každou webovskou stránku používej různé heslo.
- Nikdy neodpovídej na e-maily, které požadují tvé údaje a hesla, neotvírej v tomto e-mailu odkazované stránky.
- Vždy vlož příslušnou webovskou adresu do internetového prohlížeče – pokud vstupuješ na stránky své banky. Ověř bezpečnostní certifikát na stránce.
- Zajisti, aby operační systém na tvém počítači (např. Windows), e-mailový program a prohlížeč obsahovaly poslední záplaty a updaty.
- Měj nainstalovaný antivir, antispyware a firewall.
- Nepoužívej k účelům online bankovnictví počítače na veřejných místech (internetové kavárny).
- Nedávej údaje, které se týkají tvého účtu (PIN, přístupové kódy) nikomu jinému, a to včetně rodinných příslušníků.
- Nepoužívej opci „save password“.
- Odloguj se co nejdříve po ukončení transakce a uzavři prohlížeč.
- Pravidelně ověřuj podmínky účtu a informuj banku okamžitě, jakmile máš podezření na kompromitaci hesla nebo na neoprávněnou transakci.
Českou zkušenost s phishingem popisuje v zajímavém článku Petr Bokr (jeden ze správců geologického webu) na Lupě – Web, který se neubránil phishingu.
Pokud firma přijde o údaje o svých zákaznících, vždy to má pro ni nepříjemné dopady. Píše o tom Ellen Messmer – The high costs of fumbling the ball on customer data na základě závěrů studií Ponemon Institute. Viz také komentář How much will it cost you to lose your customer's data?.
Malé americké banky jsou předmětem nových útoků – New attacks target small U.S. banks – rhybaření (phishing) je zkrátka v módě.
Ve Velké Británii je předmětem vyšetřování pokus o rozsáhlý podvod (jedná se o 30 miliónů liber) – ID thieves try to steal millions from U.K. taxman. Ukradeno bylo ID 1500 státních zaměstnanců.
Daniel Behrense a Michal Bareš v článku Internetové podvody. Jak se bránit proti nejrůznějším podlým trikům na internetu rozebírají různé typy internetových podvodů.
APWG (Anti-phishing Working Group) vydala skoro 60ti stránkovou studii (autor – Aaron Emigh), která podrobně analyzuje problematiku krádeží on-line, rhybaření atd. Najdete ji na Online Identity Theft: Phishing Technology, Chokepoints and Countermeasures. Studie je napsána přehledně, čtivým způsobem a pokud se o problematiku zajímáte, lze ji jen doporučit.
Kulatý stůl – zaznamenanou diskusi na téma kyberterorizmu (experti na konferenci Black Hat, červenec 2005) najdete na stránce Roundtable: Is the Cyberterror Threat Credible?
Jak je na tom váš počítač?
Z přehledu, který zpracovaly America Online a National Cyber Security Alliance (AOL/NCSA Online Safety Study) vyplývá, že většina domácích počítačů není správně zabezpečena. Celkem se to týká 81 procent počítačů (z přehledu). Z toho:
- 56 procent nemá antivir,
- 44 procent nemá správně nakonfigurovaný firewall a
- 38 procent nepoužívá ochranu proti spyware.
Přitom 74 procent uživatelů používá svůj počítač k citlivým transakcím (online bankovnictví, online nákupy, zdravotní informace (Phishing Scams Dupe 70% of Targets).Další komentáře k výsledkům studie najdete v článcích One in Four Computer Users Hit by Phishing Attempts Each Month, According to Major In-Home Computer Safety Study a Survey: Most home PC users lack security. Spotřebitelé zlepšili svůj vztah k bezpečnosti, je to však stále nedostatečné, říká v dalším komentáři Robert Lemos (SecurityFocus) – Consumers improving security, but gaps remain
Nepracuje váš počítač na drogovou mafii? Robert Vamosi ve svém článku (Is your PC a drug mule?) konstatuje, že počítačová kriminalita vynáší dnes více než drogy (podle konzultanta U.S. Treasury).
Software
Jakmile začínáme používat software, který je zpracován někým jiným (a to je vlastně problém každého z nás), musíme tomuto softwaru nějakým způsobem důvěřovat, věřit tomu, že provádí ty činnosti, které od něj očekáváme – Trusting software. Jason Miller zde poukazuje na to, jak v digitálním světě nabývá otázka důvěry na významu (mj. na příkladu nedávného debaklu firmy Sony, ale takovýchto příkladů lze samozřejmě nalézt nepřeberné množství).
Abishek Singh (CISSP)- popisuje základy IPSec ve vztahu k VPN v článku Demystifying IPSec VPN´s. Článek je určen čtenářům, kteří mají potřebu se rychle v dané problematice zorientovat.
Byla nalezena bezpečnostní chyba v Google´s desktop search – IE flaw lets intruders into Google Desktop. Chyba (vzniklá díky neopravené zranitelnosti IE) umožňuje útočníkovi získávat osobní data uživatele anebo jeho jménem provádět operace. Firefox a Opera tento problém nemají.
Dvacet tipů vztahujících se k bezpečné konfiguraci Apache najdete v článku 20 ways to Secure your Apache Configuration. Autor také doporučuje knihu Apache Security
O existujících rizicích, souvisejících s využíváním RSS hovoří Alex Willimas v RSS Hijacking…Podjacking?.
Zlepšení bezpečnostních vlastností Windows XP prostřednictvím nastavení registrů – to je cílem deseti doporučení Debory Shinder v článku 10 registry hacks for hardening Windows XP security. Avšak v Security by Obscurity ALONE is NOT Enough: How 10 registry settings will NOT Harden your Windows XP box autor (pod značkou SilverStr) přístup Shinderové analyzuje (hodnotí ho jako nedostatečný) a její doporučení kritizuje.
O problémech s neochotou připravit bezpečnější DNS hovoří článek Secure DNS faces resistance. Bezpečnost vždy stojí peníze, to je pochopitelné. Bezpečnostní rizika by však neměl nést koncový zákazník, jinak (zase pochopitelně z jeho strany) se budeme setkávat s rostoucí nedůvěrou k on-line transakcím.
Potřebujete zašifrovat celý disk? O tom, jak byl vybírán k tomu vhodný nástroj (software) hovoří Mathias Thurman – Deciphering laptop encryption. Vybíráno bylo ze tří kandidátů: Microsoft’s Encryption File System (EFS), PGP’s Whole Disk nebo Pointsec Mobile Technologies' Pointsec for PC…
Hardware
I digitální kamera může být nástrojem pro krádež počítačových dat – zasuneme do USB portu a je vystaráno (Hackers Steal Sensitive Data using Digital Cameras). Problém je podle autora článku v tom, že řada firem používá digitální kamery jako běžný pracovní nástroj. Je pak obtížné navrhnout vhodnou politiku pro práci s USB zařízeními a nejde jednoduše blokovat USB port.
Rootkity
Matthew Williamson v Computerworldu The secret life of a rootkit rozebírá technologii rootkitů a její možnosti ve vztahu k malware a následně pak diskutuje existující dvě možnosti, jak rootkit detekovat – skenováním či monitoringem událostí.
Co nás čeká v budoucnosti ve vztahu k rootkitům se snaží poodkrýt článek Rootkitters Lay in Wait for Vista 2006. A ohledně Windows Vista, podle autora článku se tvůrci rootkitů snad na nový operační systém dokonce těší (!).
Intel pracuje na technikách k detekci rootkitů – Intel Working on Rootkit Detection Techniques. Jednou z možností je přítomnost malého čipu na motherboardu – sloužil by k monitoringu programů.
A ještě nekolik odkazů k Sony DRM:
- Hidden Feature in Sony DRM Uses Open Source Code to Add Apple DRM – J. Alex Halderman – analýza ke krádeži kódu open source
- EFF lifts curtain on new act of Sony DRM farce – nalezeny další bezpečnostní problémy CD od SOny BMG (týká se to teď jiné skupiny hudebních titulů)
- Sony fixes security hole in CDs, again – první záplata se nepovedla (opět)
Hackeři, malware
Konkrétní příklad, na kterém je rozebíráno myšlení hackera, uvádí Hugo Vazquez Carames – Cisco IOS HTTP Server code injection vulnerability. Technický článek, ale pro zasvěcence jistě zajímavý. Autor postupně rozkrývá postup, jak využít zranitelnost Cisca.
Forenzní analýzu malware – krok za krokem – najdeme v článku Forensic Analysis of Malcode – Step by Step. Opět trochu více technický článek – pro zájemce (je z června 2005).
7,800 linked to USD told of network security breach – univerzita San Diego oznámila kompromitaci osobních dat 7800 osob (adresy, čísla sociálního pojištění,…).
Tvůrce Sobera je nacista – Sober Worm designed by Nazis. A ještě čerstvá zpráva – firma F-Secure zaznamenala úspěch – Sober code cracked.
Velká Británie – hacker znectil vládní webovské stránky – Hacker posts image on Foreign Office website. Z komentáře – toto se stávalo tak před třemi roky, ale dnes by už zabezpečení webu mělo být dostatečné…
IM.Myspace04.AIM – červ v Instant Messengeru – Security firm detects IM bot that chats with you – bot, který s vámi chatuje (IM worms step up a gear).
Autentizace, elektronický podpis
Krátkou diskusi nad pojmy identifikace, autentizace a využití pseudonymů najdete na blogu RSA – Authentication is bigger than Identification.
Nebezpečí hesel (passwords), která neexpirují, popisuje Calum MacLeod v The Unspoken Taboo – The Never Expiring Password. Mj. lze zmínit např. hesla implicitně nastavená výrobcem.
Na České poště implementovala elektronický podpis firma Cybertrust – Czech Post Electronic Signature Services Go Live Using Cybertrust Application as Foundation. Jedná se o software Cybertrust's UniCERT® public key infrastructure (PKI).
Prevencí útoků na PKIX certifikáty – útoků, které vychází ze současných slabin hashovacích funkcí se zabývá článek Potential collision-reduction attacks on PKIX certificates. Autor analyzuje tři dosud navržené cesty, které by měly sloužit jako prevence podobných útoků:
- Přidat k sériovému číslu certifikátu nepredikovatelné číslo.
- Pro podpis použít silnější hashovací funkci
- Povolit paralelní podpis se silnější hashovací funkcí.
Normy a normativní dokumenty
Rfc.4270 – Attacks on Cryptographic Hashes in Internet Protocols. Z abstraktu – dokument sumarizuje současný stav problematiky hashovacích algoritmů a internetových protokolů, které je využívají. Dává také doporučení, jak se vyhnout známým problémům algoritmů MD5 a SHA-1, popřípadě co podniknout, až útoky, které jsou zatím jen předvídány, se stanou realitou.
Byla vydána nová verze draftu IETF-LTANS – Evidence Record Syntax (ERS). Cílem dokumentu je popis syntaxe a zpracování tzv. průkazního záznamu, který slouží k dlouhodobé nepopiratelnosti elektronicky podepsaných dat.
Obdobně další dokument, nový draft – IETF S/MIME – CMS Advanced Electronic Signatures popisuje nezbytné vlastnosti elektronického podpisu s dlouhodobou platností. Jeho obsahem je vlastně převod dokumentu ETSI TS 101 733 V.1.6.3 ve vztahu k CMS (Cryptographic Message Syntax – rfc.3852).
Kryptografie
Byla vydána nová verze dokumentu P1361 – Techniques Based on Hard Problems over Lattices (P1363.1 – nutná registrace). Jedná se zde především o popis kryptosystému s veřejným klíčem NTRU a popis související matematiky. NTRU nemá mnoho výhodných vlastností, ale je to v podstatě jediný hlouběji zkoumaný kryptosystém s veřejným klíčem, jehož bezpečnost je založena na NP-úplném problému. Tedy ani kvantové počítače by si neměly škrtnout…
O tom, co by seriózní kryptografický časopis nikdy neopublikoval, hovoří na svém blogu Bruce Schneier – Snake-Oil Research in Nature. (bohužel samotný článek v Nature je jen za peníze). Autoři článku v Nature se podrobně zabývají možností využít chaos v elektronicko-optických systémech k ochraně zpráv. Bohužel nějak zapomněli, že již existuje kryptografie, že se opírá o pojem klíče atd. Schneierův komentář lze jen doporučit – přečtěte si.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
