Bezpečnostní střípky za 5. týden roku 2006

Konference

Za prvé – objevily se ještě další podrobnosti ke konferencím Shmoocon a Black Hat Federal (informace k nim byla obsažena v minulých Bezpečnostních střípcích). Nejprve tedy ke konferenci Shmoocon – komentáře k některým vystoupením:

• Shmoocon 2006: The Church of Wi-Fi presents: An evil bastard, a rainbow and a great dane! 
• RC paintball tank built from printer parts
• Shmoocon 2006: Wi-Fi Trickery or How to Secure, Break and Have Fun with Wi-Fi
• How-to: PSP 2.00–2.60 homebrew with eLoader
• Shmoocon 2006: A Young Gentleman’s Primer on the Reading and Emulation of Magnetic Cards

První část rozsáhlejšího komentáře k průběhu konference Black Hat Federal 2006 najdete na TaoSecurity Blog, Part 1. Další části jsou pak: Part 2., Part 3., Part 4. a Part 5..

Ve dnech 25–27. dubna 2006 v Londýně se bude konat tradiční konference Infosecurity Europe 2006. Na uvedeném odkazu najdete informace z tiskové konference, kde byla mj. oznámena stěžejní témata letošní konference (e-kriminalita, krádeže totožnosti, rhybaření, spyware, detekce a prevence průniků, bezpečnost bezdrátu,tele­working, bezpečnost VoIP, správa rizik a outsourcing).

Konference DATAKON 2006 se bude konat ve dnech 14.- 17.října 2006 v hotelu Santon v Brně. Z oznámení ke konferenci: DATAKON je prestižní česká a slovenská konference s mezinárodní účasti zaměřená na teoretické a technické základy, nejlepší postupy a vývojové trendy v oblasti využití informačních technologií při budování informačních systémů včetně výsledků jejich aplikace v praxi. DATAKON představuje ideálni platformu pro výměnu zkušeností mezi českými i zahraničními odborníky z řad dodavatelů informačních technologií, jejich zákazníků a akademického světa.

Obecná a firemní bezpečnost IT

Joanne VanAuken říká ve svém článku Feature: The Top 10 Infosec Myths – raději než zmiňovaným mýtům informační bezpečnosti věřte tomu, že vaše data jsou ohrožena. Uvádí následujících deset mýtů (z problematiky informační bezpečnosti), se kterými se můžeme v praxi organizací setkat:

• M01. Organizace jsou nyní bezpečnější, než byly před rokem. Ano – organizace se vybavily lépe bezpečnostními technologiemi atd. Ale mezitím se objevily nové hrozby a nové technologie a to znova mění obraz situace.
• M02. Existence či neexistence regulací má velký dopad na ochranu osobních dat či dat zákazníků. Organizace však musí chránit citlivé informace v obou případech. Ztráta osobních dat vede ke ztrátě důvěry zákazníků (a tedy k menším ziskům). I pokud je organizace ve shodě s legislativou, neznamená to automaticky nulové riziko.
• M03. Externí konzultanti toho vědí o informační bezpečnosti více než personál vlastní organizace. Ne vždy to musí být pravda. Nepodceňujte vlastní lidi (např. síťové a systémové administrátory), školte je. Externí konzultant by měl fungovat jako doplněk vašich vlastních sil a zkušeností.
• M04. K tomu, aby informační bezpečností byla efektivní, by se jí měla zabývat separátní organizační jednotka. Pokud své specialisty na informační bezpečnost budete mít v rámci výlučné skupiny, riskujete nepřipravenost ostatních skupin. Vrcholné řízení musí chápat, že informační bezpečnost je součástí všech aspektů organizace. Není to jen čistě otázka odpovědnosti, ale jde spíše o funkci organizace. A všechny jednotky organizace musí zajistit organizaci její potřeby, starosti a cíle.
• M05. Složitá, často měněná hesla zajistí bezpečnost organizace. Hesla s 12–16 znaky, střídající malá a velká písmena, číslice a speciální znaky – ano lze je jen těžko uhodnout. Na druhou stranu – kdo si to má pamatovat. A zvláště pokud – a to je dnes obvyklá situace – pracuji s větším množstvím takovýchto hesel. Je lepší povolit delší hesla a uživatelé ať využívají dlouhé, ale zapamatovatelné fráze (passphrase). Hesla nalepená na obrazovku či uložená někde v počítači v otevřeném tvaru jsou větším rizikem než třeba některé existující algoritmy pro crackování hesel.
• M06. Ikona zámku, která se objevuje během SSL spojení, znamená, že moje data jsou v bezpečí. Není to pravda. Např. vůbec to neznamená, že webovská stránka, se kterou takto komunikuji, je sama bezpečná. Zkoumáte např. kdo vydal příslušný SSL certifikát?
• M07. Pokud namísto Internet Exploreru bude v organizaci používán Firefox, organizace bude chráněná. Zranitelnosti se však nevyhýbají žádnému z prohlížečů.
• M08. Větší náklady na bezpečnost vedou k větší bezpečnosti organizace. Často právě vynaložené peníze na bezpečnost jsou pro některé organizace mírou jejich zabezpečení. Správa rizik organizace by ale měla pomoci správnému a efektivnímu vynaložení prostředků na informační bezpečnost. A nemůže se jednat jen o prostředky vynaložené na SW a HW. Bezpečnost je především otázka povědomí lidí, školte své uživatele a zákazníky.
• M09. Bezdrátové sítě nejsou bezpečné. Je to jedna z novějších technologií, ale přesto dnes je již dostatečně vybavena technologickými normami (802.11i, resp. autentizace – 802.1×). Pokud ji spravuje kvalifikovaný IT profesionál, měl by dokázat zajistit dostatečnou bezpečnost.
• M10. Výměna Windows za Linux povede ke zvýšení bezpečnosti. Nikoliv, pokud vše vhodně naplánujete, můžete dostatečně bezpečně používat jak Windows tak i Linux. Linux má tu výhodu, že je to platforma typu open source s rozsáhlou mezinárodní podporou. Chybám se však nevyhne žádný operační systém.

Autorka článku dále uvádí pět nejčastějších mýtů, kterým podléhají zákazníci:

• 1. Potřeba firewallu pro zákazníkův desktop. Nikoliv, pokud mám Windows XP s SP2, pak firewall je zde zapínán automaticky. Většina zákazníků však neví, jak ho nakonfigurovat (viz BS 04/2006, odstavec Firewally). Autorka zde domácím uživatelům doporučuje používání NAT routeru.
• 2. Online transakce nejsou bezpečné. Nikoliv, e-obchod je stejně bezpečný jako kamenný obchod. Je velice málo pravděpodobné, že větší množství spotřebitelů bude cílem individuálních ú­toků.
• 3. Poskytovatelé internetu nás ochrání před krádeží identity. Stoprocentní ochrana neexistuje, každý se musí chránit sám.
• 4. Pokud je na počítači nainstalován antivir, pak je počítač chráněný. Nikoliv, řada uživatelů totiž nedbá na nutnost aktualizací antiviru nebo nechá předplacenou službu vypršet. Antivir také obvykle nedetekuje spyware.
• 5. Záplaty dodavatelů softwaru odstraní bezpečnostní díry. Řada uživatelů však dokonce ani nezáplatuje, nebo si díky jedné záplatě myslí, že už je navždy vše v pořádku. Bohužel i samotné záplaty mohou vést ke vzniku nových zranitelností, jsou také nedokumentované zranitelnosti atd.

Zákazníci musí k otázkám své bezpečnosti přistupovat stejně ofenzivně jako organizace. V závěru článku dává autorka ještě některá doporučení k zajištění bezpečnosti prováděných online transakcí – Keeping Online Transactions Safe.

Deset hrozeb, se kterými jste pravděpodobně nepočítali (Ten Threats…), autorem článku je Andrew Bycroft (CISSP). V úvodu říká, že prezentované hrozby netvoří hlavní jádro možných ohrožení, ale i tak 98 procent bezpečnosti je více než 97 procent. Jsou to tyto hrozby:

• sledování (možná česky lépe – šmírování) přes rameno
• pozorování – to se děje na rozdíl od předešlého bodu z větší vzdálenosti – ale i tak, v některých situacích i informace typu umístění konkrétního serveru, konkrétního média může útočníkovi v následujících útocích pomoci.
• odposlechy
• obsahy odpadkových košů
• ztracená mobilní zařízení (mobilní telefony – např. někteří si do nich ukládají hesla). Ochrana těchto informací heslem je samozřejmě na místě.
• informace ve veřejných sdělovacích prostředcích, také takto někdy může uniknout citlivá informace (ve snaze o publicitu)
• online fóra (hledám radu k problému, který neumím vyřešit, sdělím úplnou konfiguraci, zde je jako příklad uveden Cisco router)
• webové stránky organizace, nepředvídaně se zde objeví informace z interní sítě (hesla, finanční záznamy,…). A útočníkovi napomůže – Google Hacking. Hledá specifické řetězce znaků tak, aby nalezl citlivé informace, které se týkají dané organizace.
• online nástroje, zjišťování, kdo je za jakou IP adresou, jako první kroky k dalším útokům
• sociální inženýrství. Lidské slabosti jsou neomezeným zdrojem problémů a někdy vhodně položená otázka (v osobním styku, e-mailem, telefonem či pomocí jiného komunikačního prostředku) přivede odpovídajícího do situace, kdy nechtěně vyzradí citlivou informaci.

Deb Shinderová v 10 ways to monitor what your users are doing with company computers předkládá seznam možných cest pro monitoring aktivity vnitřních uživatelů, mj.:

• analýza webovských souborů v cashi
• monitorování webovských přístupů na firewallu (využití v něm vestavěných funkcí pro podávání zpráv)
• monitoring IM (např. programem Akonix)
• filtrování webovských přístupů s pomocí klíčových slov.

Bezpečnostní šéf Microsoftu (Microsoft security chief attacks government) říká, že je nedostatek kanálů, jejíchž prostřednictvím by byla oznamována počítačová kriminalita. A nejspíš to neplatí jen v USA.

Podle analýzy firmy Symantec obsahuje průměrný notebook data v hodnotě jednoho milionu dolarů (Could your laptop be worth millions?). Přitom padesát procent organizací hlásí, že jim byl ukraden notebook nebo jiné mobilní zařízení (USA).

Polák Michael Zalewski diskutuje 3 problémy, které by mohly vzniknout při práci s cookies a vést k potenciálnímu jejich zneužití – Browsers face triple security threat.

Několik doporučení pro začínající webmastery najdete v Practical Web Security for Beginner Web Masters.

A na otázku „je váš server bezpečný?“ se můžete pokusit odpovědět na základě materiálu (je zpracován formou přehledu) – Are your servers secure?.

Software

Roger A. Grimes (Vista's new security features) popisuje, s čím se setkáme v novém operačním systému Windows Vista – ve vztahu k bezpečnostním vlastnostem. Bylo oznámeno (MS to omit anti-virus from Vista), že ve Windows Vista antivir obsažen nebude. MS jej bude dodávat zvlášť jako součást služby OneCare.

Tom Sanders upozornuje na chybu v Microsoft OneCare – Microsoft's O­neCare offers malware loophole.

Problematikou kontroly přístupu ve Windows a jak s ní pracují některé aplikace se zabývá článek Windows Access Control Demystified.

Philip Zimmermann hovoří o svých dalších plánech – Voice-over-IP encryption – Philip Zimmermann on What's Next after PGP. zFone – tak se jmenuje jeho budoucí produkt pro šifrování internetové telefonie.

Malware, hackeři

Dvoudílný článek (Malicious Malware: attacking the attackers – Part 1. a Part 2.) se zabývá otázkou ofenzivního pojetí boje s malware. Obsahuje i některé technické detaily.

WMF zranitelnost prý byla prodána za 4000 dolarů – Was the WMF vulnerability purchased for $4000?!. Že by trh se zranitelnostmi již fungoval?

Techniky pro detekování útoků DoS (Denial of Service) jsou obsaženy v rozboru a doporučeních (Denial-of-Service Attack-Detection Techniques) pánů Glenn Carl and George Kesidis (Pennsylvania State University), Richard R. Brooks (Clemson Universit a Suresh Rai (Louisiana State University). Zainteresovaným lze jen doporučit.

Kevin Mitnick v interview říká (OSS is an easier hack: Mitnick): „open source je jednodušší hacknout. Je s tím méně práce, pokud máte zdrojový kód k dispozici.“

Počítačová kriminalita pochází nejen z ruských zdrojů (Cybercrime does pay; here's how) – Robert Vamosi reaguje na vystoupení Kasperského z minulého týdne.

Přehled existujících crackovacích utilit a podobných nástrojů najdete na Key Recovery Tools (viz také homepage autora D.O.E. SysWorks).

Rootkity

Na Computerworldu vyšel celý seriál článků věnovaný rootkitům:

• Sidebar: More Rootkit Resources on the Web
• Sidebar: Tools for Countering Rootkits
• QuickStudy: Rootkits
• Sidebar: Sony and the Newest Rootkit
• Sidebar: A Simple Rootkit Example

Bezdrátové sítě

Několik užitečných doporučení k bezpečnosti domácího používání bezdrátu dává Bobby Malik v článku 5 Steps to Home Wireless Security.

• 1. Změňte defaultní heslo administrátora routeru.
• 2. Změňte defaultní SSID a zrušte přenosy SSID
• 3. Změňte nastavení IP adresy
• 4. Nastavte v routeru šifrování
• 5. Používejte filtr pro MAC adresy

Hardware

Zajímavé povídání (postupně na čtyřech webovských stránkách) o „léčitelích“ pevných disků najdete na Hard Drive Healers. Lze např. zachránit něco z pevného disku po požáru?

Autentizace

První certifikační autorita začala vydávat kvalifikovaná časová razítka pro (I.CA) elektronické dokumenty – Pravost smluv bude hlídat časové razítko.

Biometrie cév – další firma pracuje na vývoji v této oblasti – Mapping veins as a human ‚bar code‘. Po japonské Fujitsu je to malá americká firma Luminetx.

Rhybaření a S/MIME, to je tématem článku Signed and Sealed? Might Get Delivered! (a obsahem doporučení autora – Simson Garfinkel). Viz také View, Reactions and Impact of Digitally Signed Mail in e-Commerce.

Holandský biometrický pas je cracknut (Face and fingerprints swiped in Dutch biometric passport crack) Útok, který stačí provést ze vzdálenosti asi deset metrů, rozkryje osobní data majitele čipu z pasu – data narození, otisk prstu a obličeje. Útok byl publikován již v červnu loňského roku (Bart Jacobs – presentation), nyní se hledají protiopatření.

Na webu ETSI se objevily nově následující dokumenty k problematice elektronického podpisu (je zapotřebí registrace):

• Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms
• Algorithms and Parameters for Secure Electronic Signatures; Part 2: Secure channel protocols and algorithms for signature creation devices
• CMS Advanced Electronic Signatures (CAdES).

O PKI v americké armádě a využití Tumbleweed Validation Authority™ (VA) se dozvíte v článku US Army Standardizing on Tumbleweed PKI Validation.

Normy a normativní dokumenty

NIST tento týden vydal dva dokumenty:

• Special Publication 800–76, Biometric Data Specification for Personal Identity
• draft Special Publication 800–88 : Guidelines for Media Sanitization – zajímavý dokument, jeho cílem je napomoci organizacím v procesech „očišťování“ datových médií.

Vyšla následující rfc:

• RFC 4357 – Additional Cryptographic Algorithms for Use with GOST 28147–89 GOST R 34 10–94 GOST R 34 10–2001 and GOST R 34 11–94 Algorithms
• RFC 4334 – Network Working Group – Certificate Extensions and Attributes (PPP + WLAN)
• RFC 4367 – Network Working Group – What's in a Name: False Assumptions about DNS Names
• RFC 4387 – IETF PKIX – Operational Protocols: Certificate Store Access via HTTP
• RFC 4686 – IETF PKIX – Repository Locator Service

Kryptografie

Bruce Schneier (Handwritten Real-World Cryptogram) předkládá kryptografickou hádanku z reality. Troufne si někdo ze čtenářů? Dva lidé byli zavražděni. Vrah, který se oběsil, zanechal po sobě kousek papíru se zašifrovaným textem. V diskusi najdete řadu vyjádření…

Různé

O IT bezpečnosti ve formátu avi pro ty, kdož mají klienta pro Bit Torrent nainstalován – Chaos Computer Club. Jinak k BT viz hezký článek tady na Rootu BitTorrent – Technologie, nebo čerstvý článek na Živě µTorrent: nabouraná představa o velikosti, a také Legální BitTorrent? Nevěřím.

Informace k současným postupům NSA ve vztahu k odposlechům najdete na Eavesdropping 101: What Can The NSA Do?.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.