Security World

Aplikace pro Android s malwarem? Google už nabízí automatické skenování

Mon, 06 Feb 2012 09:08:12 GMT

Automatizovaný systém, který skenuje aplikace pro Android, představil Google. Hledá potenciální škodlivý kód či neautorizované chování softwaru.

„Nová služba nese kódové označení Bouncer a v provozu je již několik měsíců,“ říká Hiroshi Lockheimer, vicepresident pro engineering Androidu. "Přínosné je to, že nikdo není touto službou oběžován – jak koncový uživatel, tak samotní vývojáři. Nemusí na to vlastně vůbec myslet.“

Pokud je software pro Android nahrán na stránky Googlu (ale ještě před tím, než je uveřejněn na Android Market, Bouncer skenuje odeslaný kód ohledně známého malwaru včetně spywaru či trojských koní, a také zkoumá chování aplikace, zda nepřekračuje určité limity, které Google považuje už za nepřijatelné.

„Některé programy, které Bouncer označí za rizikové, jsou okamžitě staženy a není jim povolen vstup do Android Marketu,“ říká Lockheimer. „ Další jsou podrobeny lidské analýze, aby bylo zaručeno, že fungují korektně a bezpečně.“

Bouncer rovněž zahrnuje simulátor, který dovoluje provozovat každou aplikaci, jako by byla umístěna ve smartphonu. "Tak můžeme prozkoumat aplikaci pro takzvané skryté chování a pokud jsou tam nějaké otazníky, je označena jako případně riziková,“ dodává Lockheimer.

Google rovněž umožnňuje provést analýzu i u už uveřejněných programů pro Android. „Jak rostou naše schopnosti kontrolovat aplikace, můžeme skenovat stále více softwaru,“ říká Lockheimer.

Analytici jsou novinkou Google příjemně překvapeni a tento krok vesměs oceňují. „ Bouncer určitě dává smysl. Někteří uživatelé by ale mohli být překvapeni, že se to dosud nedělalo, tvrdí Chet Wisniewski, výzkumník ze společnosti Sophos.

Obsahují aplikace pro Android malware? Google už nabízí automatické skenování

Mon, 06 Feb 2012 09:08:12 GMT

Automatizovaný systém, který skenuje aplikace pro Android, představil Google. Hledá potenciální škodlivý kód či neautorizované chování softwaru.

Obsahují aplikace pro Android malware? Google konečně nabízí automatický sken

Mon, 06 Feb 2012 09:08:12 GMT

Automatizovaný systém, který skenuje aplikace pro Android, představil Google. Hledá potenciální škodlivý kód či neautorizované chování softwaru.

DNSSEC: Začínáme od píky (1)

Sun, 05 Feb 2012 06:48:00 GMT

Jak tedy systém DNS pracuje? Obecně se na něj dá pohlížet jako na decentralizovanou hierarchickou databázi, jejíž hlavní smysl je poskytovat informace nutné pro překlad jmen na IP adresy. Informace uložené v DNS se ukládají ve formě, která se nazývá resource record (dále též RR záznam).
Protože data uložená v RR záznamech jsou spíše statického charakteru, mají samotné informace i specifikaci maximální doby platnosti záznamu, tzv. TTL (Time to Live). Celá struktura jednoho RR záznamu obsahuje vlastníka (owner), třídu (class), typ (type), TTL a data (rdata – resource data).
Třídy byly v návrhu specifikovány dvě: IN – pro internet, a CH – pro Chaos. Třída Chaos byla vytvořena pro experimentální účely a v praxi se s ní můžete potkat pouze při speciálním typu dotazu na verzi DNS serveru (CH TXT version.bind.) nebo na identifikátor serveru v cloudu (CH TXT server.id.).
Mezi základní typy RR záznamu patří: A – pro IPv4 adresy, MX – pro směrování pošty, AAAA – pro IPv6 adresy a další. Tyto typy jsou registrovány u organizace IANA a jsou postupně doplňovány podle potřeby dalších protokolů, které s DNS pracují.
Např. rozšíření DNSSEC zavádí hned několik nových typů RR záznamů. V datech RR záznamu jsou pak uloženy informace, které se liší podle typu záznamu, např. již zmiňovaný A záznam v datech obsahuje IPv4 adresu. A ještě jedna technická poznámka. RR záznamy jsou sdruženy podle názvu, třídy a typu do tzv. RRsetů, které sdílejí stejné TTL. Pokud například máte více poštovních serverů, tak nelze při zadávání MX záznamů mít pro každý server jiné TTL.

Formát RR záznamu:
Název   Popis
Vlastník (Owner Name)   Doménové jméno vlastníka RR záznamu
Typ (Type)   Typ RR záznamu (2 bajty)
Třída (Class)   Třída RR záznamu (2 bajty)
TTL   Délka platnosti záznamu (4 bajty)
Délka sekce RDATA (RDLENGTH)   Délka sekce RDATA (2 bajty)
RDATA   Data RR záznamu

Programy, které s DNS pracují, můžeme rozdělit na dvě základní kategorie: klient a server. Klient je program, který umí procházet hierarchickou strukturu DNS a zjišťovat informace uložené v RR záznamech. Server je pak program, který umí odpovídat na dotazy klientů, pro konkrétní doménová jména, pro které je nakonfigurován.
Protože by implementace obecného DNS klienta do každého programu byla složitá, je v systémové knihovně implementovaný jednoduchý DNS klient (stub resolver), který se umí zeptat jenom na konkrétní jméno a očekává odpověď v jednoduché formě.
Z tohoto důvodu může být DNS klient zároveň i serverem, který poskytuje informace tomuto stub resolveru. DNS server, který se chová jako klient, budeme nazývat resolver nebo také rekurzivní DNS (rDNS). Protože rDNS má většinou (nikoli nutně) vyrovnávací paměť, do které si ukládá výsledky již provedených dotazů, lze se také setkat s označením kešující DNS.
DNS server, který odpovídá na dotazy, nazveme autoritativní DNS (aDNS). A aby to nebylo příliš jednoduché, tak DNS server může vystupovat v obou rolích zároveň. Na dotazy na doménová jména, pro které je server autoritativní, odpovídá přímo – chová se jako aDNS, ostatní dotazy přeposílá jiným autoritativním serverům, tedy se chová jako rekurzivní DNS server. Nicméně tato konfigurace není doporučována a z různých důvodů je lepší mít tyto dvě role – rekurzivní a autoritativní – odděleny.

Jak to funguje?
Pomalu jsme se propracovali přes definice k tomu, co se vlastně stane, když program potřebuje např. přeložit jmenný název na IP adresu. Překlad jména na IP adresu se provede voláním systémové funkce getaddrinfo, která vytvoří strukturu addrinfo.
Struktura addrinfo zná IPv6 i IPv4 adresy a program ji může využít dále pro vytváření IP spojení. Co se vlastně všechno stane ve chvíli, kdy dojde k volání getaddrinfo? Otevřete prohlížeč a chcete se podívat na stránky čtvrtletníku Securityworld, napíšete tedy do svého prohlížeče www.securityworld.cz. Prohlížeč zavolá funkci:

getaddrinfo("www.securityworld.cz", 80, &hints, &result).

Voláním této funkce se předá kontrola stub resolveru, který se nejprve podívá do lokálního souboru /etc/hosts (na systémech Windows je soubor uložen jako %SystemRoot%\system32\drivers\etc\hosts.txt), a pokud informaci nenalezne zde, zeptá se nakonfigurovatných rekurzivních DNS serverů.
Moderní systémy mezi tyto dvě metody zařazují navíc ještě multicast DNS (neboli také Bonjour protokol). Ale pojďme zpátky k našemu dotazu na www.securityworld.cz. Rekurzivní DNS server přijme dotaz a podívá se, zda odpověď nemá ve vyrovnávací paměti, pokud ano, vrátí rovnou tuto odpověď. V opačném případě začne hierarchicky od kořenové úrovně (jinak také root, v DNS je reprezentován nepovinnou tečkou úplně napravo v doménovém jméně) prohledávat DNS databázi.
Aby ale vůbec mohl začít, musí mít staticky nakonfigurované DNS servery pro kořenovou úroveň. Takových serverů je v současné době 13 a jejich kompletní seznam včetně rozmístění po světě můžete nalézt na stránkách www.root-servers.org. Mimochodem sdružení CZ.NIC poskytuje prostor pro umístění hned dvou serverů pro kořenovou zónu (označenými písmeny F a L).
Náš rekurzivní DNS se zeptá náhodně vybraného kořenového serveru na „www.securityworld.cz“, který ovšem tuto informaci neví (protože je systém hierarchický, distribuovaný a decentralizovaný), ale ví, že správcem domény .cz je CZ.NIC, resp. jeho DNS servery. Proto odpoví „já to nevím, ale zeptej se serverů CZ.NIC“, prakticky to pak vypadá takto:

;; QUESTION SECTION:
;www.securityworld.cz.       IN A

;; AUTHORITY SECTION:
cz.           172800 IN NS a.ns.nic.cz.
cz.           172800 IN NS b.ns.nic.cz.
cz.           172800 IN NS c.ns.nic.cz.
cz.           172800 IN NS d.ns.nic.cz.
cz.           172800 IN NS f.ns.nic.cz.

;; ADDITIONAL SECTION:
a.ns.nic.cz.       172800 IN A 194.0.12.1
b.ns.nic.cz.       172800 IN A 194.0.13.1
c.ns.nic.cz.       172800 IN A 194.0.14.1
d.ns.nic.cz.       172800 IN A 193.29.206.1
f.ns.nic.cz.       172800 IN A 193.171.255.48
a.ns.nic.cz.       172800 IN AAAA 2001:678:f::1
b.ns.nic.cz.       172800 IN AAAA 2001:678:10::1
c.ns.nic.cz.       172800 IN AAAA 2001:678:11::1
d.ns.nic.cz.       172800 IN AAAA 2001:678:1::1
f.ns.nic.cz.       172800 IN AAAA 2001:628:453:420::48

Rekurzivní DNS server si přečte, že se má zeptat serverů CZ.NICu a pošle dotaz jednomu z těchto serverů. Zde se situace opakuje a rekurzivní DNS je odkázán na servery dns1.idg.cz a dns2.idg.cz, které obsluhují doménu securityworld.cz. Výsledek vypadá takto:

; QUESTION SECTION:
;www.securityworld.cz.   IN A

;; AUTHORITY SECTION:
securityworld.cz.   18000 IN NS dns1.idg.cz.
securityworld.cz.   18000 IN NS dns2.idg.cz.

;; ADDITIONAL SECTION:
dns1.idg.cz.       18000 IN A 78.41.22.67
dns2.idg.cz.       18000 IN A 78.41.22.68

Opět je vyslán další DNS dotaz, tentokrát již na doménové servery domény securityworld.cz, tedy například na server dns2.idg.cz. Tento server již požadovanou informaci ví a našemu dotazujícímu se serveru odpoví:

; QUESTION SECTION:
;www.securityworld.cz.   IN A

;; ANSWER SECTION:
www.securityworld.cz.   43200 IN A 83.167.250.183

Nyní náš rekurzivní DNS server konečně dostal odpověď, kterou potřeboval, a na úplně původní dotaz stub resolveru může odpovědět s informací 83.167.250.183. Veškeré údaje, které při získávání IP adresy pro server www.securityworld.cz dostal, si uloží do vyrovnávací paměti včetně informace o TTL. Příště, pokud dostane stejný dotaz v časovém limitu, který je pro doménu www.securityworld.cz 43 200 sekund neboli 12 hodin, bude moci odpovědět přímo z vyrovnávací paměti.

V tuto chvíli je potřeba se ještě na chvíli zastavit u sekce ADDITIONAL. V této sekci posílá autoritativní DNS tzv. GLUE záznamy. Představme si situaci, kdy kořenové nameservery pošlou odpověď: „nedokážu ti odpovědět, co je www.securityworld.cz, ale možná to ví a.ns.nic.cz.“
Pokud by v další sekci DNS zprávy nepřišly informace o IP adrese serveru a.ns.nic.cz, musel by rekurzivní DNS zjistit IP adresu serveru a.ns.nic.cz sám. Jak by nejspíš vypadala odpověď kořenového serveru na dotaz ohledně IP adresy a.ns.nic.cz? „Nedokážu ti odpovědět, ale možná to ví a.ns.nic.cz“. V tu chvíli bychom se dostali do nekonečné smyčky, a původní dotaz by zůstal nezodpovězen.

V čem spočívá kouzlo hloubkové ochrany?

Sat, 04 Feb 2012 06:42:00 GMT

Ta umožňuje velmi přesně řídit bezpečnost a také zajistit vysokou úroveň ochrany i v případě, že některá z vrstev selže.

Hloubková ochrana je bezpečnostní strategií, která se zaměřuje na efektivní implementaci bezpečnostních opatření. Organizace používají tuto strategii k identifikaci a kategorizaci rizik a k aplikaci jednotlivých obranných opatření. Poskytuje kombinované schéma lidí, procesů a technologií aplikovaných na každou „vrstvu“ organizace a v maximálně možné míře se snaží předcházet určité hrozbě.

Rozvrstvení rizik
Tato metodologie je způsobem zmírnění rizik za užití vzájemně se překrývajících kontrolních funkcí a je prevencí proti jednotlivým útokům. Pro identifikaci a kvalifikaci rizika a pro stanovení vhodného plánu jeho minimalizace musí vzít bezpečnostní specialisté v potaz několik různých bezpečnostních vrstev.
V první řadě je to tzv. perimeter defense, tedy ochrana okolního prostředí. Jedná se o ochranu místa, kde je interní síť připojena k externím zdrojům (tedy míst, kde dochází k výměně dat mezi vnitřním a vnějším prostředím), a dalších lokalit, které IT tým organizace nespravuje.
Jde o konektivitu do internetu (ať v podobě pevných linek nebo třeba ad hoc připojení pracovníků v terénu), k obchodním partnerům (de facto propojení dvou vnitřních, leč rozdílným způsobem vybudovaných a spravovaných systémů) či virtuální privátní sítě.
Tento druh bezpečnosti musí být často přímo propojen s fyzickou bezpečností, protože kombinace fyzické prevence a ochrana perimetru chrání síť proti útočníkům nejefektivněji.
Dále je to network defense, tedy ochrana sítě. Jedná se o ochranu sítě proti síťovým útokům. Například chráněný Wi-Fi přístup, Internet Protocol Security (IPsec), síťová segmentace nebo kontrola přístupu. Kritickým zdrojem bezpečnostních útoků je právě internetové připojení. Implementace robustního bezpečnostního řešení v této oblasti je nepostradatelná.
Chráníme se jím jak před externími útoky, tak před selháním lidského faktoru. Příkladem může být šíření nějakého síťového červa, který pronikne do systému: bez segmentace či kontroly přístupu k jednotlivým prvkům by červ řádil v systému jako černá ruka.
Ochrana hostitelů
Nelze zapomenout ani na host defense, ochranu síťových hostitelů. Jde o to, že každý síťový počítač potřebuje mít určitou úroveň ochrany proti útokům, každý musí představovat (alespoň do určité míry) samostatně chráněnou jednotku.
Ochrana pomáhá ošetřit situaci, kdy útočník (ať již v podobě viru, jiného škodlivého kódu, hackera apod.) pronikne jinými bezpečnostními vrstvami, nebo situaci, kdy se tato jednotka ocitne osamocená (typicky zařízení na cestách). Počítač by měl být schopen eliminovat alespoň nejtypičtější útoky – především proto, že dnešní prostředí nebývá homogenní, ale jednotlivé komponenty jsou mobilní (notebooky, chytré telefony, PDA zařízení aj.).
Takže spoléhat se jen a jen na centralizovanou ochranu nelze. Typickými příklady jsou antivirový program, antispywarová aplikace, patch management, Network Access Control nebo osobní firewall.
Každá aplikace běžící na hostu (serveru) by měla být bezpečná. V tuto chvíli přichází ke slovu application defense, ochrana aplikací. Aplikace, které nejsou navrhovány jako odolné proti útokům, mohou být použity jako místo či dokonce prostředek napadení.
Pokud se jedná o služby, které jsou tzv. kritické, je z hlediska bezpečnosti nejdůležitější funkcí, aby systém garantoval, že bude systém uživatelům poskytovat tato kritická data. Typicky se jedná o nejrůznější bezpečnostní chyby a zranitelnosti. Z nich je totiž (podle Secunie) dálkově zneužitelných plných 84 procent.
A aby toho nebylo málo: 69 procent zranitelností se týká softwaru, který nedisponuje kvalitním záplatovacím mechanizmem. Průměrná uživatelská stanice má instalováno 66 aplikací od 22 dodavatelů. Dobrou zprávou je, že zhruba polovina z nich pochází z dílny Microsoftu, tudíž je ošetřena jedním aktualizačním mechanizmem.
Špatnou zprávou ovšem zůstává, že druhá polovina aplikací je typicky od čtrnácti výrobců. Jinými slovy: na jejich pokrytí aktualizacemi by bylo zapotřebí dalších čtrnáct mechanizmů. Která uživatelská stanice je ale takto ošetřena?

Data pod kontrolou
V neposlední řadě musíme zmínit a ošetřit otázku data defense, ochranu dat. Svým způsobem je to nejdůležitější vrstva ochrany organizace. Bezpečnostní politiky a opatření totiž musí rozlišovat mezi počítačovými systémy a daty.
Zajištění bezpečnosti informačního systému je nedostatečné, pokud data v něm nejsou bezpečná. Je vždy jednodušší nahradit hardware, aplikace a operační systém než informace kritické pro organizaci. Ostatně statistiky běžně hovoří o tom, že cena dat je typicky padesátkrát vyšší než hodnota používaného hardwaru.
Existuje řada technologií ochrany dat. Nejčastěji se jedná o autorizaci přístupu, zálohování, šifrování dat a zajištění bezpečného přístupu k informacím. Vždy si musíme zvolit kombinaci a úroveň těch nejvhodnějších podle charakteru dat nebo účelu používání systému.

Všechny vrstvy hloubkové ochrany

Sat, 04 Feb 2012 06:42:00 GMT

I anonymní data snadno a přesně odhalí vaše soukromí

Fri, 03 Feb 2012 06:59:23 GMT

Všechny tyto údaje mohou být použity k relativně přesné identifikaci toho, kdo a co na konkrétním počítači provádí. Varují před tím výzkumníci společnosti Microsoft. Na druhou stranu ale tato informace mohou hrát důležitou roli při detekci různých škodlivých aktivit a ve svém důsledku tak zvyšovat celkovou bezpečnost internetového prostředí.

Výzkumníci zjistili, ze v 62 % stačí pro označení konkrétní stanice tzv. HTTP user-agent information. Pokud je tento údaj zkombinován s prefixem IP adresy, stoupá přesnost na 79 procent. A při využití celé IP addresy kombinované s výše uvedenými agentskými daty jde už o téměř 81% jistotu.

Nejvyšší přesnosti se dosahuje, pokud je ke konkrétnímu PC přiřazeno více uživatelských účtů) například pokud jedno PC využívá více členů rodiny s vlastním ID). V takovém případě se přesnost zvyšuje na skoro 93 %.

Výsledky tohoto šetření vycházejí z dat ze srpna 2010, kdy byly prozkoumány anonymizované výsledky přístupu ke službám Hotmail a Bing stovek milionů uživatelů. Vědci z Microsoftu se podle svých slov snažili zjistit, zda jednotlivé údaje z logů mohou vést ke zjištění konkrétního počítače. Nesnažili se prý o sledování činností jednotlivých stanic.

Podle nich kroky uživatelů sledující omezení možnosti sledovat jejich PC k cíli příliš nevedou – i použití tzv. IP prefixů, pokud jsou kombinovány a dalšími zaznamenávanými uživatelskými daty například z aplikační úrovně mohou vést k vysoké pravděpodobnosti lokace tohoto PC.

Obáváte se akcí Anonymous? Máme rady, jak rizika snížit

Thu, 02 Feb 2012 09:38:56 GMT

CSIRT, který působí v rámci sdružení CZ.NIC, vydal doporučení pro správce internetových stránek. Anonymous používají nástroje, jakými jsou například HOIC, LOIC nebo SLOWLORIS a zároveň vytipovávají URL, jejichž volání server co nejvíce zatíží (formuláře, skripty s přístupem do databáze apod.); ty poté označí jako vhodný cíl útoku.

Tady je doporučení od CSIRT.CZ:
Nástroje HOIC, LOIC a SLOWLORIS generují HTTP requesty, v nichž obvykle zároveň náhodně mění HTTP hlavičky (user-agent, if-modified-since, referer, atd.). V současné době nezpůsobuje hlavní problém přehlcení internetového připojení, ale spíše zahlcení samotných serverů.
To je mimo jiné způsobené tím, že některé z výše uvedených nástrojů umožňují předem vytipovat stránky, jejichž volání server co nejvíce zatíží (formuláře, skripty s přístupem do databáze apod.) a ty poté definovat jako vhodný cíl útoku.

Ke snížení dopadu útoků může vést:
1. Proti útoku SLOWLORIS lze například použít modul pro webový server apache mod-antiloris.Tento modul omezuje počet otevřených konexí ve stavu SERVER_BUSY_READ pro jednu IP adresu; dalším podobným projektem je mod_noloris. Pokud používáte webový server nginx, ten je proti útokům pomocí slowloris odolnější.
2. Proti ostatním útokům lze použít modul TARPIT pro iptables, který zpomaluje odpovědi zasílané zpět útočníkům, čímž zdržuje posílání dalších requestů. Další možností je omezovat příchozí spojení pomocí modulů limit či hashlimit.
3. Proti útokům lze také doporučit použití některého odolnějšího webového serveru, například již zmiňovaný nginx v módu reverzní proxy se zapnutou cache.
4. Doporučujeme také zkontrolovat, zda na webové stránkách nejsou zbytečně dostupné skripty, které již nejsou potřeba, dále doporučujeme kontrolu stránek na XSS a SQL injection zranitelnosti, například pomocí nástroje Nikto2. Doporučujeme také preventivně změnit hesla k databázím.
Akcí Anonymous se neúčastní takové množství lidí, které by dokázalo účinně zahltit dnešní linky, jimiž jsou servery obvykle připojeny. Do budoucna je však potřeba počítat i s takovouto variantou. Pro tento případ bude nutné filtrování přesunout na upstream.

Osm kritických chyb řeší nejnovější Firefox, poprvé je dostupný ve firemní edici

Wed, 01 Feb 2012 08:14:29 GMT

Firefox 10 představuje už šestou variantu prohlížeče od ohlášení zrychleného vydávání aktualizací z poloviny loňského roku. Opravuje mimo jiné šest zranitelností, které jsou označeny jako kritické (mají tedy ten nejvyšší rating závažnosti), a také dvě, jejich priorita nese označení „high“.
Jedna z kritických chyb se týká možnosti hackerů provést ataky typu XSS (cross-site scripting), a to kvůli tomu, že prohlížeč nekorektně spouští bezpečnostní kontrolu při volání neověřených skriptovacích objektů, uvádí Mozilla. „Oprava dovoluje komponentě Script Security Manager (SSM) realizovat bezpečnostní kontrolu ve skriptech všech framů,“ uvádí se ve zprávě Mozilly.
Výrobce rovněž opravuje několik chyb, jež vedou k nestabilitě prohlížeče a jeho následnému pádu.
Mozilla také upravila browser tak, aby bylo možné při upgradu využívat nainstalované doplňky (takzvaná automatická kompatibilita). Dosud totiž řada z nich byla v nové verzi označena jako nekompatibilní a tudíž ji uživatel nemohl využívat.
Mozilla rovněž uveřejnila Firefox 3.6.26, bezpečnostní update pro dva roky starý prohlížeč určený pro podnikovou sféru. Novinka opravuje pět chyb, z toho čtyři kritické. Od 24. dubna však už nebude verzi 3.6 dále podporovat.
Nahradit ji má Firefox ESR (extended support release), pro který bude poskytována roční podpora ohledně bezpečnostních updatů, ale nebude se měnit grafické rozhraní ani sada funkcí. Další upgrade Firefoxu ESR bude realizována nejdříve 20. listopadu 2012.

Osm kritických chyb řeší nejnovější Firefox, poprvé je dostupný i ve firemní edici

Wed, 01 Feb 2012 08:14:29 GMT

Nejnovější malware pro Android si stáhly miliony lidí, tvrdí Symantec

Tue, 31 Jan 2012 10:27:30 GMT

Jde o kód Android.Counterclank, který se šíří prostřednictvím více aplikací na Android Marketu. Zatím prý bylo staženo 1 až 5 milionů aplikací s tímto škodlivým kódem, který se nachází ve 13 různých aplikacích. Znovu se tak podle vedení Symantecu potvrzuje, že mobilní malware je stále nebezpečnější a běžnější hrozbou.
Nová hrozba je podobná botům, může na dálku přijímat příkazy k provedení určité operace nebo ji mohou útočníci zneužít ke kradení informací z nakažených přístrojů. Například aplikace „Counter Strike Ground force“, „Heart Live Wallpaper“ a „Sexy Girls Puzzle“ využívají sociální inženýrství a snaží se uživatele přesvědčit ke stažení a nainstalování.
„Proces ověření vydavatele v Android Marketu na tomto příkladu ukazuje své slabiny. Zveřejnit aplikaci je sice jednoduché a rychlé, ale na druhou stranu může snadno obsahovat škodlivý kód. Některé z nakažených aplikací jsou ještě stále k dispozici v Marketu, většinou lákají nejen svým názvem a popisem, ale i tím, že jsou zadarmo.“
„Především uživatelé Android tabletů bez antivirové ochrany by si měli dávat pozor, co na své zařízení instalují a jaká té které aplikaci povolují práva,“ dodává Jakub Jiříček, bezpečnostní konzultant společnosti Symantec.

Máme řešení pro omezení hrozby phishingu, slibují Google, Facebook i PayPal

Tue, 31 Jan 2012 08:48:46 GMT

Základním problémem elektronické pošty je to, že je velice snadné mystifikovat příjemce o tom, kdo je odesilatelem zprávy. Průměrný uživatel tak nepozná, zda e-mail přišel skutečně z avizované domény, či nikoliv.

Technologie jako třeba DKIM (DomainKeys Identified Mail) nebo SPF (Sender Policy Framework) už vlastníkům domén dovolují zaručit se za původnost odesilatele, ale nespecifikují, co se zprávou, která takovým testem originality neprošla.

DKIM kontroluje doménové jméno, z níž byla zpráva zaslána, pomocí analýzy kryptografického podpisu zprávy, SPF zase dovoluje vlastníkům domény specifikovat, které hostitelské systémy registrované v této doméně jsou oprávněny odesílat e-maily. Obě technologie jsou využívány již řadu let, ale často bylo jejich použití poměrně problematické.

DMARC je postaven na výše zmíněných technologiích, a vlastníkům domény umožňuje požádat přijímající poštovní servery, aby falešnou zprávu, která odpovídajícími testy neprošla, vymazaly. Tak se výrazně sníží pravděpodobnost toho, že se ve schránce uživatele objeví nějaká zpráva vedoucí ke stránkám napodobujícím třeba PayPal či cokoliv jiného.

Specifikace DMARC (Domain-based Message Authentication, Reporting & Conformance) umožňuje organizacím posílat e-maily, které indikují, zda používají jednu nebo obě bezpečnostní technologie (DKIM a SPF) k tomu, aby autentizovaly odesilatele zprávy. Zahrnuje rovněž reportingové mechanizmy, kdy je odesilatel informován o tom, jak proběhl test jím poslaného e-mailu a jak bylo se zprávou naloženo.

Díky všem těmto informacím pak může vlastník domény vyladit proces přenosu e-mailů a odesílatelům jednoznačně říci o tom, že doručení jejich zprávy bylo odmítnuto, pokud nesplní příslušná pravidla.

DMARC by měl být v dohledné době odeslán ke standardizaci sdružením Internet Engineering Task Force (IETF). Bližší informace o nových specifikacích DMARC naleznete na DMARC.org.

Kromě výše zmíněných firem DMARC podporují i Bank of America, Fidelity, Microsoft, Yahoo, LinkedIn, AOL, American Greetings, Cloudmark a Agari.

Protokol DMARC omezí hrozbu phishingu, slibují Google, Facebook i PayPal

Tue, 31 Jan 2012 08:48:46 GMT

DMARC by měl být v dohledné době odeslán ke standardizaci sdružením Internet Engineering Task Force (IETF). Bližší informace o nových specifikacích DMARC naleznete na DMARC.org.

Kromě výše zmíněných firem DMARC podporují i Bank of America, Fidelity, Microsoft, Yahoo, LinkedIn, AOL, American Greetings, Cloudmark a Agari.

MS Exchange: Přistupujte odkudkoliv bezpečně (2)

Mon, 30 Jan 2012 07:34:00 GMT

Čtěte také: MS Exchange: Přistupujte odkudkoliv bezpečně (1)

Jednoznačně upřednostňovaným způsobem přístupu ke službám Exchange z veřejné sítě je obecně webový klient. Stále bohatší možnosti dynamicky generovaných webových stránek dovolují přiblížit se komfortu plné klientské aplikace, a to i v případě jiných prohlížečů, než je „nativní“ Internet Explorer z dílny Microsoftu. Takový způsob přístupu k datům pak vyžaduje odpovídající mechanizmus pro přihlášení, jenž bude co možná nejlépe stavět na webové technologii.
Zhruba před osmi lety představil Microsoft implementaci nové koncepce přihlašování na základě tzv. form-based authentication, tedy volně přeloženo, ověření na základě formuláře (a především formulářových dat). Jde o obecnější koncept, který byl Microsoftem adoptován ruku v ruce s vývojem služeb IIS a dalších produktů, jako je třeba ISA Server (dnes Threat Management Gateway).
V zásadě jde o poněkud vylepšený mechanizmus předávání dat mezi klientskou webovou stránkou a serverem, jenž data zpracovává – přináší mimo jiné možnost přihlášenou relaci po časovém limitu odhlásit či přihlašovací stránku volně upravovat. Z pohledu přihlašovacích mechanizmů zde však zůstáváme u ověřených a prošlapaných cest: stavebním kamenem je především tunel SSL, po jeho sestavení lze bez obav posílat přihlašovací údaje ve formě, která by jinak na veřejné síti neobstála.
Klíčový krok pak nastává ve chvíli, kdy takto odeslaný požadavek a formulářová data dorazí na webový server – vzpomeňme zde minulé pojednání o distribuci služeb Exchange na jednotlivé serverové role. Přijatá ověřovací data dále mohou být přeposlána jako žádost protokolu Kerberos do Active Directory, čímž vlastně provádíme přihlášení na vnitřní síti pro uživatele přistupujícího vzdáleně. Tento mechanizmus můžeme dále posílit až po nejstriktnější variantu, při které bude přijímací webový server vyžadovat od uživatele jeho přihlašovací certifikát.

Mobilní přístup
Mobilní zařízení, tedy především telefony, dnes mohou přistupovat k elektronické poště podle úrovně své „vybavenosti“ – ty chytřejší s plnou podporou webového prohlížení si mohou dovolit plnou Outlook Web App (OWA), skromněji vybaveným je pak určen především protokol ActiveSync.
Abychom nevnášeli do věci zmatek, rychle dodejme, že ActiveSync je v podstatě také webová aplikace a přístup k datům je zajištěn prostřednictvím přenosu HTTP. Možnosti ověření jsou pak dány především touto výchozí technologií – z klientské strany tedy zasíláme ověřovací data prostřednictvím přirozené metody samotného protokolu HTTP, metodou Basic, a tyto zranitelné informace chráníme tunelem SSL.
Pokud vyžadujeme striktní ověření ze strany klientu, lze si zvolit klientský certifikát jako povinný. Za zmínku jistě stojí i některé další prvky zabezpečení poštovních dat na mobilních zařízeních. Ačkoliv ActiveSync je značně odlehčeným protokolem, dnes již zahrnuje možnosti jako vynucení šifrování dat na mobilním zařízení pomocí odpovídajících politik, vzdálené vymazání dat uložených tamtéž či třeba prosazení pravidel pro udržování silného a bezpečného hesla. Veškeré možnosti však pochopitelně těsně souvisejí s vybaveností mobilního zařízení jako takového.

Webové aplikace v kurzu
Z předcházejících odstavců je jasně patrné, že kdykoliv se klient poštovních služeb ocitá mimo vnitřní síť, je jeho přístup k datům v zásadě chráněn technologií SSL, resp. TLS. A připočteme-li fakt, že i terminálová spojení a připojení pomocí VPN jsou Microsoftem posouvána k SSL/TLS, dá se říci, že tento mechanizmus stojí za vším tím vzdáleným přístupem. A je to právě prověřená schopnost bezpečně sestavit chráněný komunikační kanál, která jej předurčuje k takto všestrannému použití.
Toto shrnutí nás začíná pomalu posouvat od aplikační platformy Exchange k obecně webovým aplikacím na bázi služby Internet Information Services, s nimiž jsou spojeny jak autentizační metody společné s těmi, které jsme dnes představili, tak další zajímavé mechanizmy zabezpečení. Řada aplikací Microsoftu je v současné době koncipována jako služby webové, a tudíž nacházíme stejné pojítko – zabezpečení přenosu a ověření uživatele.
Navíc systém Windows obsahuje i jiné služby, jež užívají SSL a jeho zabezpečení k přenosu; za všechny tentokrát zmíníme Windows Remote Management, tedy službu zprostředkovávající vzdálenou správu, o níž se ještě v naší sérii zmíníme.
Shrnutí v posledních odstavcích lze však chápat také jinak: server webových služeb a jeho technologie jsou klíčovým prostředkem pro zpřístupnění aplikací uživatelům. Znalost jeho chování a správy je nezbytně nutná pro úspěšnou administraci široké škály aplikačních platforem, a to nejen v oblasti zabezpečení.

Top 10 zranitelností uvnitř sítě (2)

Sun, 29 Jan 2012 07:18:00 GMT

Bohužel všechny kříže, česnek, dřevěné kůly a stříbrné střely nemají na současná podlá kybernetická stvoření žádný vliv. Uvádíme deset nejdůležitějších způsobů, jak může být vaše síť napadena zevnitř a co můžete udělat, abyste zajistili, že nikdy nebudete na svých serverech potřebovat exorcismus.

6. Člověk jako trojský kůň: Podobně jako trojský kůň se může zachovat člověk, který přichází do firmy v nějaké formě přestrojení. Může být v obleku nebo na sobě může mít oděv legitimního opraváře (zařízení, telekomunikací, klimatizace). Je známo, že tito podvodníci pronikají do velmi zabezpečených prostředí včetně samotných serveroven.
Díky sociálním návykům máme v sobě zakořeněnu tendenci nezastavovat a neptat se odpovídajícím způsobem oblečené osoby, kterou neznáme a je v našem kancelářském prostředí. Zaměstnanec zpravidla nebude moc přemýšlet nad použitím své přístupové karty, aby umožnil uniformovanému pracovníkovi vstup do prostředí za účelem servisu. Nekontrolovaná osoba v serverové místnosti dokáže nakazit síť za méně než minutu.

Co dělat: Zaměstnanci by měli být upozorněni na potřebu autorizace třetích stran. Zjišťujte totožnost osob pomocí otázek – a nikoli na základě předpokladů.

7. Optická média: V roce 2010 byl jeden analytik zpravodajské služby uvězněn po svém propuštění ze zaměstnání kvůli odcizení důvěrných dat a jejich vyzrazení do veřejných sítí. Tento analytik realizoval krádež s využitím zástěrky pomocí hudebního disku CD se štítkem oblíbené zpěvačky. Jakmile měl přístup k pracovní stanici v síti, mohl pracovat s tajnými informacemi, ke kterým měl povolen přístup -- a data uložil na hudebním disku CD v šifrovaných souborech.
Aby navíc lépe zakryl své stopy, prozpěvoval si analytik u své pracovní stanice slova písniček údajně uložených na disku CD. Média s možností zápisu, která vypadají legitimně, mohou být a bývají používána k odnášení dat ze sítí a také k jejich přinášení. Stejně jako USB disky zmíněné výše mohou být použity jako zdroj nákazy sítě.

Co dělat: Stejně jako u tipu pro USB je důležité implementovat a vynucovat zásady a kontroly vybavení, určující, která zařízení se mohou připojit do prostředí a kdy. Poté to doplňte častým upozorňováním na zásady.

8. Po bitvě je každý generálem: Zatímco se většina rad z tohoto seznamu zaměřuje na zmírnění hrozeb využívajících digitální technologie, neměli bychom zapomínat, že lidská mysl je také velmi efektivní při ukládání informací. Kdo vás sleduje při přihlašování k desktopu? Kde jsou uloženy tištěné kopie? Jaké tajné dokumenty čtete ve svém notebooku, když jste v kavárně, v letadle atd.?

Co dělat: Nejlepší ochranou je uvědomovat si tuto hrozbu a upozornit na ni, kdykoli se pracuje s citlivými materiály – i když to znamená přestat na chvíli pracovat a prozkoumat své okolí.

9. Smartphony a další digitální zařízení: V současné době dokážou telefony mnohem více než jen zavolat komukoli ve světě odkudkoli. Jsou to plně funkční počítače s kompletní konektivitou Wi-Fi, vícevláknovými operačním systémy, vysokou kapacitou úložiště, fotoaparáty s vysokým rozlišením a obrovskou podporou aplikací. S dalšími přenosnými zařízeními, jako jsou tablety, začínají dostávat svolení pro používání ve firemních prostředích.
Tato nová zařízení mají potenciál představovat stejné hrozby, jako vidíme u notebooků a USB disků, a navíc mají potenciál vyhnout se tradičním řešením pro ochranu před únikem dat. Co zabrání uživateli ofotit si obrázek s vysokým rozlišením z obrazovky počítače a poté ho zaslat e-mailem přes mobilní síť třetí generace?

Co dělat: Použít zde stejná pravidla jako pro USB zařízení a optická média. Implementujte a vynucujte zásady a kontroly vybavení, určující, která zařízení mohou vstoupit do prostředí vaší firmy a kdy.

10. E-mail: E-mail je často používán ve firmách k zasílání a přijímání dat, ale často bývá zneužit. Zprávy s důvěrnými informacemi lze snadno přeposlat na libovolnou externí adresu. Navíc samotné zprávy elektronické pošty mohou přenášet ošklivé viry. Jeden cílený e-mail se může snažit získat phishingovým útokem přihlašovací údaje zaměstnance. Tyto ukradené přihlašovací údaje pak mohou být použity k druhé fázi útoku.

Co dělat: U zabezpečení e-mailu je klíčové identifikovat odesílatele. Zjistěte si odesílatele pomocí technologie jako PGP nebo jednoduchým seznamem otázek před zasláním citlivých informací. Mělo by být vynucováno řízení přístupu ke všeobecným poštovním adresám s aliasem. Zaměstnancům by měly být pravidelně zasílány zásady a připomenutí.

Bojíte se odposlechu? Možná už nemusíte

Sat, 28 Jan 2012 07:07:00 GMT

Software je dostupný na SD kartě pro telefony s operačním systémem Android nebo ve speciálním telefonu S:Phone, který slouží výhradně k šifrovanému volání. Novinkou je také USB disk, se kterým je možné šifrovaně volat a přenášet data, pokud je uživatel připojen k internetu na počítači.
I když o vydání příkazu k odposlechu a záznamu telekomunikačního provozu může podle současné legislativy rozhodnout pouze soud, případy z poslední doby ukazují, že reálná praxe je zcela odlišná. Šifrovací technologie jsou tak zatím jedinou možností, jak své informace chránit před útoky zvenčí.
Software Cryptosmart byl navržen k ochraně lokálních dat a dat, která proudí přes IT centra firem či vládních úřadů. Toto řešení využívá ke své činnosti SD kartu a samotný šifrovací algoritmus pracuje s 256bitovým šifrovacím klíčem. Šifrovací kartu lze navíc využít i pro volání přes pevnou linku.
Kromě softwaru Cryptosmart je u nás nově dostupný šifrovací telefon S:Phone. Na rozdíl od šifrovacích karet pro systém Android nepoužívá žádný operační systém. Byl speciálně vyvinut pro šifrovanou komunikaci, přičemž systém šifrování přes SD kartu je totožný a kompatibilní jako ve výše uvedeném příkladu. S:Phone byl původně vyvinut pro důvěrnou komunikaci na vládní úrovni - zaručuje tak velkou míru ochrany před únikem informací. Absence operačního systému vylučuje možnost odchytávání informací ještě před jejich zašifrováním.
Další novinkou je šifrovací USB disk pro počítače se systémem Windows, se kterým lze bezpečně volat přes osobní počítač připojený k internetu. Ve vývoji je i šifrovací tablet pro veškerá zařízení s operačním systémem Android a inteligentní mobilní telefon, který uživateli nedovolí stáhnout nebezpečný obsah a soubory při brouzdání po internetu.

Pořizovací cena jednotlivých řešení:
Základní pořizovací cena SD karty se šifrovacím softwarem Cryptosmart 26 000 Kč.
Základní cena telefonu S:Phone 54 000 Kč.
Startovací cena šifrovacího USB disku 8 600 Kč.
Pořizovací cena vlastního datového serveru od 116 000 Kč

Bojíte se odposlechu? Možná už nebudete muset

Sat, 28 Jan 2012 07:07:00 GMT

Přestaňte používat pcAnywhere, vyzývá uživatele Symantec

Fri, 27 Jan 2012 07:15:11 GMT

Na vině jsou prý vážné zranitelnosti, které byly v programu Symantecem objeveny a které mohou hackery inspirovat k vytvoření funkčních exploitů, které mohou výrazně ohrozit uživatele současných verzí produktu. Patche prý budou brzy následovat.
Již dříve Symantec připustil, že hackeři ukořistili zdrojové kódy k jeho klíčovým bezpečnostním a dalším řešením, jako je třeba Norton Antivirus Corporate Edition, Norton Internet Security, Norton SystemWorks nebo pcAnywhere.
Hned ale dodává, že u Nortonu prý šlo o starší varianty kódu, které se od těch současných liší a tak by nemělo docházet k ohrožení uživatelů.
Nyní ale připouští, že například v případě aplikace pcAnywhere nedošlo v posledních letech k tak závažným změnám v kódu, aby uživatelé ohroženi nebyli, a ti tak mohou čelit určitým rizikům.
Po podrobném prozkoumání prý bylo zjištěno, že šifrovací elementy v produktu pcAnywhere, které zabezpečují komunikaci PC-to-PC, jsou zranitelné. "To může vést k atakům typu man-in-the-middle, samozřejmě v závislosti na konfiguraci a způsobu použití,“ uvádí Symantec. V konečném důsledku tak mohou útočníci získat zprovoznit neautorizovaný vzdálený přístup k PC oběti a potenciálně získat přístup k citlivým datům.
"V tuto chvíli doporučujeme přestat používat tento produkt do doby, než budou k dispozici příslušné patche, jež opraví současné zranitelnosti, uvádí Symantec. Ty by se měly objevit v průběhu několika dní.
pcAnywhere je kromě samostatné verze prodáván i v balíku s dalšími řešeními Symantecu – například Altiris Client Management Suite version 7.0 a vyšší, Altiris IT Management Suite version 7.0 a vyšší nebo Altiris Deployment Solution with Remote v7.1.

Přestaňte používat pcAnywhere, vyzývá firma Symantec

Fri, 27 Jan 2012 07:15:11 GMT

Uživatele ohrožují populární QR kódy - kvůli vizuální nečitelnosti

Thu, 26 Jan 2012 07:10:19 GMT

Bohužel se také ukázaly jako ideální způsob, jak distribuovat malware mezi nic netušící oběti.

Uživatel totiž neví, co se za takovým QR kódem skrývá, dokud se malware nenainstaluje a nespustí. Vložení QR kódu do již existujícího marketingového materiálu nebo webové stránky bude stačit k tomu, aby bylo podvedeno velké množství nic netušících lidí.
Uvádí to ve své zprávě „Community Powered Threat Report – Q4 2011“ společnost AVG Technologies. Podle ní jsou byly největší hrozbou v uplynulém čtvrtletí QR kódy, ukradené digitální certifikáty, kterými lze překonat zabezpečení mobilních telefonů, a také rootkity.
V roce 2011 došlo i k nárůstu malwaru vytvořeného pro Android. Například v prosinci Google odstranil z Android Marketu 22 škodlivých aplikací, celkově se počet za rok 2011 přehoupnul přes 100. Pro hackery se stal telefon zajímavým cílem.
Dalším znamením, že jsou mobilní telefony čím dál více podobné počítačům, je to, že se i kradení certifikátů přesouvá do mobilní oblasti. Digitální certifikáty jsou často používány pro ověření totožnosti autora aplikace. Pokud se zločinec dostane k certifikátu, který patří velkému výrobci softwaru, může svým malwarem obejít bezpečnostní nastavení a navíc dát uživateli falešný pocit bezpečí.
V současné době jsme podle AVG i svědky první fáze vývoje rootkitů na mobilních přístrojích (CarrierIQ). Stále se vyvíjejí a jsou čím dál více sofistikovanější, každých pár měsíců se objeví zajímavé ukázky.

Další klíčová zjištění uveřejněná ve zprávě AVG:
•   Blackhole toolkit je v současnosti nejaktivnější hrozbou na webu s podílem skoro 50 % všech detekovaných případů a přes 80 % všech toolkitů.
•   Ve sledovaném období bylo odhaleno kolem milionu škodlivých mobilních událostí.
•   USA jsou stále největším zdrojem spamu, následuje Velká Británie. V porovnání s předchozím čtvrtletím poskočila Británie ze čtvrtého místa na druhé, přeskočila Indii a Brazílii.
•   Brazílie je nejen velmi aktivním trhem s trojany, ale zpráva také vyhodnotila portugalštinu jako druhý nejčastěji používaný jazyk ve spamech.

Zranitelnost linuxového jádra komukoliv navýší přístupová práva

Wed, 25 Jan 2012 05:00:23 GMT

Dodavatelé linuxových distribucí by si měli pospíšit v opravě chyby v Linuxu ohledně eskalace přístupových práv. Ta dovoluje lokálním uživatelům si neoprávněně navýšit přístupová práva.

Zranitelnost je identifikována pod označením CVE-2012-0056 a byla objevena výzkumníkem Jüriem Aedlou a způsobuje to, že linuxové jádro nesprávně omezuje přístupová práva k souboru "/proc//mem".

Podle Carstena Eirama, šéfa bezpečnosti ve společnosti Secunia, chyba se týká všech verzí linuxového jádra 2.6.39 a mladší. "Všechny linuxové distribuce, které využívají zmíněné jádro, mohou být zranitelné,“ dodává Eiram.

Linus Torvalds vložil patch na oficiální úložiště linuxového kernelu už 17. ledna tohoto roku, avšak protože nebyly příslušné distribuce ještě opraveny, měli by si jejich poskytovatelé pospíšit, protože pro chybu už existuje příslušné exploity. Jedním z nejpropracovanějších je takzvaný mempodipper. Vytvořen byl výzkumníkem a programátorem Jasonem A. Donenfeldem.

Ubuntu a Red Hat už uveřejnily updaty svých systémů, které opravují zmíněnou zranitelnost, ostatní distributoři by tak ale měli učinit co nejdříve. "Důrazně doporučujeme, aby systémoví administrátoři opravu této zranitelnosti provedli pokud možno co nejdříve,“ dodává Eiram.

MS Exchange: Přistupujte odkudkoliv bezpečně (1)

Tue, 24 Jan 2012 11:30:18 GMT

Můžeme zde totiž vidět příklady mnoha moderních trendů: posun k webu, snahu omezit tunelování pomocí totálního přístupu VPN či zpřístupnit data prakticky odkudkoliv.

Ověření a přístup
Komunikační systém Exchange byl a je – v podstatě odnepaměti – koncipován tak, aby uživatelé mohli přistupovat ke svým poštovním datům pomocí „bohatší“ klientské aplikace, než se pro běžnou elektronickou poštu předpokládalo. Na vývoji této platformy je zpětně zřetelné, jak se výrobce prodíral houštinami očekávání zákazníků a možnostmi konkurenčních produktů.
Zpočátku nabízela serverová strana opravdu jen něco málo více než elektronickou poštu, a použití „tlustšího“ klientu Outlook se jevilo jako prapodivně nadbytečné. Spolu se zkvalitněním a rozšířením nabídky serverových služeb se Outlook postupně osvědčoval, avšak jeho závislost na robustním přenosovém protokolu MAPI a s ním spojené autentizaci z něj činila typickou aplikaci pro vnitřní síť – ovšem v době, kdy už bylo běžné přistupovat do e-mailových schránek prostřednictvím internetových protokolů, a po síti veřejné.
Tento všeobecný trend se odrazil v paralelním vývoji dvou přístupů ke schránkám Exchange: jak postupným vylepšováním publikovaného webového rozhraní Outlook Web Access, tak nabídkou tunelování protokolu MAPI pomocí osvědčené technologie SSL. Vedle zmíněných variant samozřejmě stále stojí plné připojení VPN a jeho následné využití.
Vývoj posledních let je především ve znamení vylepšování naznačených dosavadních koncepcí. Přístup pomocí webového prohlížeče dospěl do podoby tzv. Outlook Web App, nástupce zmíněného klientu OWA, a jeho průvodním znakem je enormní úsilí zpřístupnit co možná nejvíce možností z plnohodnotného Outlooku. Dřívější varianta tunelování MAPI (nazývaná RPC over HTTP) se proměnila v Outlook Anywhere, stále však na prověřené bázi SSL.
Z pohledu ověřování přistupujících uživatelů a souvisejících technik je dosti důležitý také vývoj v oblasti mobilních zařízení. Zde určitě můžeme říci, že Microsoft úspěšně zavedl a prosadil svou technologii ActiveSync, aby zároveň umožnil dobrou kooperaci se zařízeními a službami jiného proprietárního poskytovatele mobilních služeb jménem BlackBerry.
V následujících odstavcích se zaměříme na techniky ověření přistupujícího uživatele, jež jsou dobrou ukázkou aplikační bezpečnosti vůbec ve světle současných uživatelských nároků.

Bezpečí ve vnitřní síti
Výše jsme již zmínili, že dvojice server – klient, tedy v tomto případě Exchange – Outlook, je především navržena pro přístup k rozšířeným službám nad rámec běžné e-mailové pošty. I z tohoto důvodu je aplikace Outlook schopna nejen využít klasické poštovní protokoly, ale především přistupuje protokolem MAPI, který je od nástupu adresářové služby Active Directory pevně spjat s ověřovacím protokolem Kerberos.
Tento mechanizmus je dnes univerzálním prostředkem ověření uživatelů, počítačů a aplikací – služeb na bázi Windows a Outlook po něm sahá jako po primárním prostředku. Jeho architektura a výhody jsou na delší debatu, nás však zde zajímá především jeden klíčový aspekt: tento protokol vyžaduje přítomnost klientského počítače v uzavřené vnitřní síti, protože komunikuje se službami, jež nejsou publikovány do veřejného internetu, a často také proto, že využívá jména registrovaná v části domén DNS, které taktéž nebývá radno „pouštět ven“.
Právě tato význačná okolnost spojená s Kerberem, jinak velmi silným a bezpečným prostředkem ověření uživatele, nás uvězňuje ve vnitřní síti. Zajímavé je také srovnání s jiným význačným produktem ve zhruba stejné oblasti síťových služeb, platformou Lotus Notes. Ta si na rozdíl od Exchange udržela svou „schopnost“ spravovat databázi uživatelů na „vlastní pěst“, bez externí adresářové služby.
Kromě toho důsledně využívá mechanizmus certifikátů na straně serveru a jejich důvěryhodnost ze strany klientské aplikace je důsledně prověřována. Kerberos Active Directory pak, jako „služební protokol“, nabízí další současné možnosti jako ověření klienstkým certifikátem, třeba na chytré čipové kartě.
Překlenutí problému nedostupného Kerbera z vnějšku nabízí právě výše zmíněná varianta Outlook Anywhere (dříve RPC over HTTP), jež pak využívá vlastně dvojí ověření identity. Komunikace je založena na tunelu SSL, jehož sestavení je podmíněno přinejmenším tím, že klient přijme certifikát serveru a bude jej považovat za bezpečný a důvěryhodný.
Po ustavení tunelu SSL pak probíhá vlastní „limitovaná varianta“ virtuální privátní sítě, omezená jen na komunikaci Outlooku – může proběhnout samotné ověření klasickými protokoly (Kerberos, NTLM) se zachováním požadovaného soukromí a plné nabídky vymožeností Outlooku.
Kromě plného řešení pomocí MAPI nabízí Exchange též tradiční poštovní protokoly pro přístup k datům ve schránkách, jako jsou POP3 a IMAP4, a to i ve variantách tunelovaných pomocí SSL. Ačkoliv právě druhá zmíněná možnost, zabezpečená univerzálním tunelem SSL, nabízí přiměřené zabezpečení, bývají tyto protokoly často používány spíše ve vnitřní síti, pakliže po nich správci vůbec sáhnou.

Příště se podíváme na služby Exchange zvenčí a na možnosti mobilního přístupu.

OpenSSL má chybu, dovoluje dešifrovat komunikaci bez znalosti klíčů

Mon, 23 Jan 2012 08:37:21 GMT

Novou verzi populární knihovny OpenSSL představil The OpenSSL Project. Opravuje vážnou zranitelnost, jež může vést k atakům typu DoS a který je obsažen v aktualizaci, která opravovala jinou chybu - CVE-2011-4108.
Onen původní patch byl uveřejněn začátkem ledna. Nově však obsahuje další chybu, jež zase může vést k úspěšným atakům typu DoS (odepření služby). Problém by měly řešit nové verze OpenSSL 1.0.0g a 0.9.8t.
CVE-2011-4108 popisuje vážnou zranitelnost v implementaci protokolu DTLS (Datagram Transport Layer Security) sdružením OpenSSL. Tato chyba dovoluje dešifrovat zabezpečenou komunikaci, aniž by útočník znal příslušné šifrovací klíče.
Chybal byla zjištěna Nadhemem Alfardanem a Kennym Patersonem z Information Security Group při organizaci Royal Holloway, University of London (RHUL). Stalo se tak v době, kdx pracovali na analýze nedostatků módu CBC (Cipher-block chaining).
Princip útoku, který vědci označili jako padding oracle attack, spočívá v tom, ýe se analyzují časové rozdíly, které nastávají při dešifrovacím procesu – tak prý lze obnovit ze zakódované komunikace očištěný zdroj. Podrobnosti o útoku budou sděleny v únoru na konferenci Network & Distributed System Security (NDSS) Symposium.
Uživatelé, kteří si ještě neupgradovali své OpenSSL 1.0.0f or 0.9.8s, aby se tak chránili před ataky proti svých aplikacím DTLS v rámci chyby CVE-2011-4108, by si podle odborníků měli stáhnout přímo verze OpenSSL 1.0.0g nebo 0.9.8t.
OpenSSL je dostupný pro řadu platforem - Linux, Solaris, Mac OS X, BSD, Windows či OpenVMS. Některé operační systémy OpenSSL přímo zahrnují a update tak provedou prostřednictvím svých distribučních kanálů.

Objem spamu v Česku meziročně klesl na pouhou desetinu

Sun, 22 Jan 2012 07:24:00 GMT

Hromadných hrozeb tak stále ubývá, naopak častěji se objevují cílené a sofistikované útoky. To jsou některá ze zjištění vyplývajících z analýzy Cisco 2011 Annual Security Report.
Příjmy kyberzločinců ze spamových útoků klesly meziročně přibližně o polovinu z 1 miliardy dolarů na 500 milionů. Nejvíce spamu pocházelo z Indie (13,9 %), Vietnamu (8 %) a Ruska (7,8 %). Z České republiky pocházelo v loňském roce o 88 % spamu méně než v roce 2010. To představuje 0,43 % spamu na světě.
Největší zásluhu na poklesu spamu má, kromě většího zaměření zločinců na cílené útoky na úkor hromadných, minimalizace či úplné zastavení aktivit řady významných botnetů (Waledac, Rustock, Kelihos) a také fakt, že mnoho velkých producentů spamu bylo zatčeno nebo donuceno stáhnout se do ústraní, jako například Igor Gusev, Pavel Vrublevsky nebo Oleg Nikolaenko.
Spolu s novými prvky, které se objevují ve firemním prostředí za účelem zvýšení efektivity a produktivity práce, jako je cloud computing nebo rozmach mobilních zařízení, přichází také nové bezpečnostní hrozby. To představuje pro firmy výzvu, jak udržet krok s inovacemi a zároveň zajistit dostatečnou úroveň bezpečnosti.
„K největším hrozbám, se kterými se s největší pravděpodobností budeme v novém roce setkávat, patří stále sofistikovanější cílené útoky, a to zejména na mobilní zařízení nebo například na cloudovu infrastrukturu. Oba tyto technologické trendy se stále více uplatňují ve firmách a zvyšují produktivitu práce. Zároveň ale, pokud se nedbá na jejich dostatečné zabezpečení, mohou přinášet rizika. Pro firmy je nezbytností vždy vědět, kde jsou jejich data, jak a kým jsou používána a zda jsou kvalitně zabezpečena. Stejně tak nelze podceňovat informovanost zaměstnanců o bezpečnostní problematice,“ řekl Jiří Devát, generální ředitel společnosti Cisco Česká republika.

10 tipů pro bezpečnější rok 2012
Jak by se ale manažeři měli zachovat, aby se jejich společnosti nestaly obětí některého z útoků kyberzločinců? Odborníci společnosti Cisco přicházejí s deseti tipy, které jim pomohou proplout rokem 2012 bez bezpečnostní úhony.
1.   Mějte přehled o celé síti
   Bezpečnost není otázkou jen koncových zařízení, ale cele sítě. Čím lepší přehled o ní máte, tím lépe můžete odhalit potenciální bezpečnostní rizika.
2.   Přehodnoťte relevantnost vašich IT a business pravidel
   Dejte důraz hlavně na ty oblasti, které můžete nejsnáze ovlivnit. Dlouhé seznamy pravidel, která si nikdo nepamatuje, vám mnoho nepomohou.
3.   Zjistěte si, jaká data musí být chráněna
   Bez toho, abyste věděli, jaká data musíte chránit a kdo k nim smí přistupovat, nemůžete vybudovat efektivní bezpečnostní řešení.
4.   Musíte vědět, kde jsou vaše data a jak (a zda vůbec) jsou chráněna.
   Využívání cloudovové infrastruktury je moderní a efektivní způsob práce s daty. Je však potřeba vědět, v jakém cloudu jsou data uložena a zda jsou dobře zabezpečena.
5.   Inovujte své postupy vzdělávání zaměstnanců ohledně bezpečnosti
   Vzdělávání zaměstnanců je důležitá věc zvláště v otázkách bezpečnosti. Přizpůsobte ho však potřebám nové generace zaměstnanců i novým bezpečnostním technologiím. Dlouhé semináře a příručky nejsou účinné. Efektivnější jsou kratší tréninky cílené na konkrétní problematiku.
6.   Využívejte výstupní monitoring dat
   Téměř všichni kontrolují a hlídají příchozí data, málokdo však hlídá odchozí data. Monitoring odchozích dat pomůže nejen snížit všeobecná bezpečnostní rizika, ale zároveň může odhalit zdroje úniku citlivých informací z firmy.
7.   Připravte se na příchod konceptu BYOD (bring your own device – přineste si vlastní zařízení)
   Stále více zaměstnanců chce využívat své soukromé zařízení (počítač, telefon atd.) i k pracovním účelům a stále více firem jim to umožňuje. Nepřemýšlejte tedy nad tím, kdy tak učiníte i vy, ale jak.
8.   Vytvořte si krizový plán
   I kdyby došlo přes veškeré vaše snahy k bezpečnostnímu incidentu, tak s pomocí plánu můžete minimalizovat následky. Kdo je připraven, není zaskočen.
9.   Implementujte bezpečnostní opatření, která pomohou kontrolovat sociální sítě
   Je potřeba nalézt kompromis mezi volností využívání nástrojů pro spolupráci a sociálních sítí a jejich zabezpečením a kontrolou.
10.   Sledujte pravidelně rizikové oblasti a informujte uživatele
   Mít přehled o aktuálních bezpečnostních tématech ve světě bezpečnosti je základem pro úspěšnou ochranu. Pokud stejné informace budou mít i vaši zaměstnanci, budou vaše firemní data v ještě větším bezpečí.

Top 10 zranitelností uvnitř sítě (1)

Sat, 21 Jan 2012 07:18:00 GMT

1. USB disky: Věřte tomu nebo ne, ale USB disky jsou vlastně jedním z běžných způsobů (pokud nejsou dokonce nejčastější), jak infikovat síť schovanou za firewallem. Je k tomu několik důvodů: jsou levné, malé, uchovávají spousty dat a lze je použít s více druhy počítačů. Všudypřítomnost USB disků inspirovala hackery k vývoji cíleného malwaru, jako je například známý červ Conficker, který se dokáže automaticky spustit při připojení do USB portu.
Ještě horší ale je, že výchozí konfigurace operačních systémů obvykle dovolí většině programů (včetně malwaru) automatické spuštění. To je ekvivalentem toho, že by každý váš soused měl dálkový ovladač pro elektrické dveře garáže a byl by ho schopen použít k otevření dveří garáží kohokoli jiného.

Co dělat: Změňte výchozí zásady počítače pro automatické spouštění. Návod lze nalézt v prostředí Windows.

2. Notebooky a netbooky: Notebooky jsou diskrétní, mobilní, obsahují plné operační systémy, mohou pracovat s využitím interní baterie a jsou vybaveny praktickým ethernetovým portem pro přímé napojení do sítě. Notebook v sobě již může mít spuštěn škodlivý kód, který pracuje na pozadí a je určen k prohledání sítě a nalezení dalších systémů za účelem nakažení. Tento notebook může patřit internímu zaměstnanci nebo třeba také návštěvě, kteří pracují z otevřeného prostoru nebo kanceláře.
Kromě nakažených notebooků kompromitujících interní síť je důležité myslet na samotné notebooky. Všechny firmy mají nějakou podobu důležitých informací, které absolutně nesmí opustit firmu (informace o platech, lékařské záznamy, domácí adresy, telefonní čísla a rodná čísla jsou jen částečným příkladem). Je velmi nebezpečné, pokud je taková informace uložena na nezabezpečeném přenosném počítači, protože ho lze snadno odnést. Jsou známy četné případy notebooků s citlivými údaji, které se ztratily. Pokud notebook neobsahuje silný šifrovací algoritmus, lze data snadno získat z daného souborového systému.
Co dělat: Implementovat šifrovaný souborový systém pro takto důležitá data. Existuje mnoho připravených řešení, ze kterých si lze vybírat, včetně řešení open source, jako je například TrueCrypt. Kontrola koncových bodů, které umožňují vstup do interního systému a výstup z něj je také důležitá. Citlivé informace, jako jsou údaje pro přístup prostřednictvím sítí VPN nebo Wi-Fi, by neměly být uloženy v noteboocích a netboocích trvale.

3. Bezdrátové přístupové body: Access pointy poskytují okamžitou konektivitu pro libovolného uživatele v dosahu sítě. Bezdrátové útoky wardriverů (osoby vyhledávající nezabezpečené bezdrátové sítě z jedoucího auta) jsou zcela běžné a v minulosti způsobily významné škody.
Například TJ Stores, vlastník obchodů Marshalls a TJMaxx, byl napaden pomocí této metody, přičemž útočníci pronikli do počítačových systémů firmy, které zpracovávají a ukládají transakce zákazníků včetně kreditních a debetních karet, šeků a dalších obchodních transakcí. Bylo oznámeno, že toto napadení dosud stálo firmu více než 500 milionů dolarů.
Bezdrátové body jsou ze své podstaty nezabezpečené, nezávisle na tom, zda je nebo není použito šifrování. Protokoly jako WEP (Wired Equivalent Privacy) obsahují známé zranitelnosti, které lze snadno využít pomocí sad pro útoky, jako je například Aircrack. Robustnější protokoly, například WPA (Wi-Fi Protected Access) a WPA2 jsou stále zranitelné vůči slovníkovým útokům, pokud nejsou použita silná hesla.

Co dělat: Pro přístupový bod je doporučeno použít verzi protokolu WPA2 Enterprise s autentizací RADIUS. Toto řešení provádí ověření a vynucuje bezpečnostní opatření. Měla by být používána a často měněna silná kombinovaná hesla. Bezdrátové přístupové body jsou obvykle používány za účelem zvýšení pohodlí, takže obvykle není nutné mít je připojeny do pracovního prostředí.

4. Různá USB zařízení: USB disky nejsou jedinými USB zařízeními, kterých se personál IT musí obávat. Mnoho produktů je také schopno ukládat data v běžných souborových systémech, které lze číst a zapisovat na ně prostřednictvím USB nebo podobného připojení. Protože to není primární funkcí těchto zařízení, často se na ně zapomíná při zvažování potenciálních hrozeb.
Pokud koncový počítač dokáže číst a spouštět data ze zařízení, představuje to ve skutečnosti stejnou hrozbu jako USB disk. Tato řešení zahrnují digitální fotoaparáty, MP3 přehrávače, tiskárny, skenery, faxy a dokonce digitální rámečky na fotografie. V roce 2008 bylo ohlášeno zjištění viru v rámečcích Insignia, které byly prodávány na Vánoce, a virus byl distribuován přímo výrobcem.

Co dělat: Implementujte a vynucujte zásady a kontroly vybavení, určující, která zařízení se mohou připojit do prostředí a kdy. Poté to doplňte častým upozorňováním na zásady. Například v roce 2008 ministerstvo obrany USA vytvořilo zásady a zakázalo přístup do svého prostředí pro všechny USB disky a další vyměnitelná média.

5. Vnitřní připojení: Interní zaměstnanci firmy mohou také nechtěně či záměrně přistupovat do oblastí sítě, kam by neměli, nebo by neměli mít přístup ke koncovým počítačům a kompromitovat je kterýmkoli ze způsobů popsaných v tomto článku. Zaměstnanec si může například „půjčit“ počítač kolegy během jeho polední přestávky. Nebo může požádat spolupracovníka o pomoc v přístupu k oblasti sítě, ke které normálně nemá přístup.

Co dělat: Měla by být pravidelně měněna hesla. Autentizace a přístupové úrovně musí být pro všechny zaměstnance povinné – měli by mít přístup jen do systémů, k souborům atd., které jsou potřebné k plnění jejich povinností. Všechny speciální požadavky by vždy měly být předávány týmu (nikoliv jednomu uživateli s autoritou), který může požadavek schválit.