Sedm ze zranitelností bylo popsáno v rámci rychlého popisu Googlu jako chyby v zápisu a čtení při práci s pamětí – v tomto případě prý  odpovídající funkce nekontroluje, zda na vstupu nebylo přesaženo alokované kapacity vyrovnávací paměti (out-of-bounds).

Google vyplatil v rámci svého programu, v němž platí za nalezené chyby třetím stranám,  7 500 dolarů šesti výzkumníkům, který mu oznámili celkem devět zranitelností, a to včetně dvou, které se striktně netýkaly jenom browseru Chrome. Například jedna z nich se vztahovala k chybě v linuxovém ovladači pro zařízení nVidia.

Zbývajících jedenáct zranitelností pak bylo odhaleno interním týmem Googlu nebo ve spolupráci s Microsoftem, anebo nebyly tak závažné, aby mohl jejich objevitel získat z odpovídajícího programu Googlu nějaké finanční prostředky.

Google rovněž předal dodatečných 9 tisíc dolarů šestici výzkumníků, která objevila některé závažné zranitelnosti dříve -- ještě v průběhu vývojového procesu Chrome 19.

V tomto roce Google už vyplatil více než 230 tisíc dolarů externím výzkumníkům v rámci odhalení chyb ve svém internetovém prohlížeči. Více než polovina z nich – 120 tisíc dolarů, bylo přitom vyplaceno v březnu na akci "Pwnium".

Nejnovější update je už letos třináctý, který opravuje jednu nebo více zranitelností Chrome.  Podle nejnovějšího žebříčku Net Applications má Chrome podíl okolo 19 %. StatCounter zase v dubnu přisoudil Chromu podíl 31 %.

Chrome 19 nabízí i nové funkce – třeba synchronizaci tabulek. Tato funkce už doplňuje podobně koncipovaná řešení pro on-line synchonizaci bookmarků, hesel či aplikací.

Navíc nové Core vPro podle výrobce využívají v mnohem vyšší míře integrované bezpečnostní prvky, takže firemním uživatelům nabízejí hned čtyři druhy ochrany: proti internetovým hrozbám, proti krádeži identity, mohou chránit svá data, monitorovat internetový provoz a činit okamžité kroky k nápravě.

Nové funkce technologie procesorů zahrnují podle výrobce:

* Zabezpečení: integrace softwaru a hardwaru

Technologie postavené na procesorech Core vPro třetí generace nabízejí holistický bezpečnostní přístup, při němž jsou hardwarová a softwarová řešení integrována tak, aby bylo zajištěno vyšší ochrany uživatele. Nové ochranné řešení používá takové funkce jako šifrování, ochranu uživatelské totožnosti a možnost uzamknout ztracená nebo odcizená zařízení.

* Identity Protection Technology (IPT) nabízí hardwarovou ochranu pro e-banking, e-commerce, virtuální soukromé sítě a další zabezpečené transakce. Intel IPT používá jednorázové heslo (OTP), které se rovněž používá v „klíčenkách” a diskrétních „tokens”. OTP algoritmy jsou integrovány přímo na čipové sady Intel. Nové funkce obsahují:

• IPT s „infrastrukturou veřejného klíče” (PKI) nabízí druhotné ověření, takže firma, organizace nebo webová stránka může potvrdit, že se připojuje legitimní uživatel a že nejde o kybernetický útok. Tento integrovaný PKI využívá soukromý klíč uložený ve firmwaru osobního počítače a tímto klíčem se následně uživatel prokazuje síti své firmy nebo organizace, když se přihlašuje přes VPN. Zároveň šifruje a dešifruje nejcitlivější dokumenty nebo emaily, obstarává digitální podpis pro citlivé dokumenty nebo emaily, případně zajišťuje ověření webovým stránkám přes SSL.
• IPT představuje osvědčenou cestu pro vkládání uživatelských dat a jejich zobrazování. Díky tomu mohou organizace ověřovat totožnost koncových uživatelů a provádět skutečně zajištěné transakce (například lze ověřit, že PIN zadal skutečně uživatel a nikoli malware, který tento kód předtím získal podvodně).
• McAfee ePolicy Orchestrator (ePO) Deep Command představuje rozšíření špičkového koncového produktu McAfee, který poskytuje uživatelům vzdálený přístup k vypnutému nebo deaktivovanému PC. Díky technologii Active Management Technology (AMT) mohou počítačoví odborníci velmi rychle ošetřit napadené počítače a použít bezpečnostních záplat.
• Secure Key je hardwarový generátor náhodných čísel, který je uživatelům k dispozici na všech procesorech Core třetí generace a umožňuje bezpečné šifrování pro řadu aplikací včetně WinZip, Symantec a PGP.
• OS Guard je další funkce, jež je uživatelům k dispozici na všech procesorech Core třetí generace a chrání operační systém před nakaženými aplikacemi tím, že předchází útokům z aplikační paměti. OS Guard rovněž chrání operační systém před malwarem, neboť blokuje přístup k nejdůležitějším vektorům operačního systému.

* Správa: zlepšení nástrojů pro odstraňování problémů

• AMT 8.0 je vedle notebooků, desktopů a pracovních stanic nyní k dispozici na všech zařízeních typu Ultrabook, na tabletech a dalších systémech typu all-in-one. Díky tomu je možná vzdálená správa počítače i tehdy, je-li  počítač vypnutý.
• Setup and Configuration Software 8.0 umožňuje snadné vzdálené nastavení a konfiguraci počítačů
• Keyboard, Video and Mouse (KVM) Remote Control umožňuje administrátorovi vzdáleně prohlížet počítače zaměstnanců a opravovat technické chyby. KVM nyní podporuje rozlišení až 1920x1200 a umožňuje přepínat mezi zobrazením portrétu a krajiny. Zároveň podporuje zobrazení až třech displejů. KVM Remote Control rovněž podporuje 27 jazyků.
• Modul Intel vPro Technology pro Microsoft Windows Powershell umožňuje vzdálenou obsluhu klientů v IT obchodech.

Procesory Core vPro třetí generace jsou postaveny na mikroarchitektuře 22nm, díky čemuž je dosaženo zvýšení výkonu aplikací o 10 až 20 procent oproti předchozím generacím. Grafická vylepšení se týkají zejména HD videa.

Clear Video HD Technology umožňuje lepší uživatelský zážitek díky vyspělejší grafice. Mimo jiné slouží pro optimalizaci přehrávání videa a nyní podporuje i HD video konference za použití Media SDK 3.0.

Smart Response Technology zase nabízí velice rychlý přístup k aplikacím a souborům specifikovaným uživatelem. Rapid Start Technology zajišťuje zapínání a spouštění zařízení, čímž šetří čas i baterii.

A konečně  Smart Connect Technology automaticky aktualizuje email a sociální sítě, takže jsou připraveny, když je uživatel potřebuje.

Latence menší než 26 mikrosekund prý předchází ztrátě dostupnosti kritických systémů, serverů a aplikací. Zařízení FortiDDoS  mají podle Fortinetu i nízké nároky na správu.

FortiDDoS nabízejí rozdělení sítě až na 8 částí; pro každé z takto virtualizovaných prostředí je pak možné nezávisle nastavit vlastní bezpečnostní politiku.  Analýza současného provozu sítě i historických dat dává v reálném čase přehled o hlavních útocích i jejich zdrojích.

Vysoký výkon systému prý odstraňuje častý problém konkurenčních řešení, kdy je síťový provoz ochromen v důsledku vzniku „úzkého hrdla“. Možnost rozdělení sítě brání tomu, aby útoky na jednu část sítě ovlivnily fungování ostatních segmentů.

„Množství útoků DDoS v posledním roce významně vzrostlo. Hlavním důvodem pro útoky DDoS jsou dnes stejně tak finanční jako politické motivy. Kybernetičtí zločinci jejich prostřednictvím zahlcují internetové spojení nebo přetěžují aplikační servery, což způsobuje nedostupnost webů i dalších služeb. Rizika útoků DDoS rostou s tím, jak firmy používají stále více model „software jako služba“ (SaaS) a služby poskytované prostřednictvím veřejných cloudů,“ tvrdí Vladimír Brož, Fortinet Country Manager pro ČR, SR a Maďarsko.

V případě finančního motivu spustí pachatelé obvykle nejprve demonstrační útok a pak vydírají hrozbou jeho opakování. Politicky motivované útoky se snaží organizaci poškodit tím, že vyřadí z provozu její služby. Bez ohledu na motiv útoku ale platí, že eventuální výpadek nezpůsobí problémy pouze zaměstnancům, partnerům a zákazníkům společnosti, ale může ohrozit i důvěryhodnost samotné značky.

Zde je vhodné podotknout, že se nejedná o cílené útoky, ale spíše o výsledky práce programů (malwaru), které systematicky prochází prostor IP adres a zkouší, kde budou mít štěstí. Smysl provozování honeypotů je v analýze trendů a monitorování bezpečnosti internetu.

Jaké jsou tedy statistiky CZ.NIC za duben letošního roku? Ze zdrojů ataků v geografickém pojetí vede Rusko, druhý za ním je potom Írán. Pokud se ale podíváme na žebříček nejčastějších IP adres, je vidět, že tyto země se do vedení dostaly zásluhou jednotlivců, navíc šlo o jednorázové skenování. Mimo těchto dvou případů je vidět, že zdroje útoků jsou velmi pestré a vyrovnané.

O jaké služby je největší zájem? Nejčastěji se útočníci zkouší připojit na port 80 (HTTP server), následně port 135 (služba Microsoft Remote Procedure Call), 5060 (protokol SIP), 3389 (Remote Desktop Protocol) a 1080 (SOCKS server).

Není to nic překvapivého, protože všechny tyto služby se dají v případě napadení dobře zpeněžit nebo alespoň posloužit k dalšímu šíření virů.

Zde je vhodné podotknout, že se nejedná o cílené útoky, ale spíše o výsledky práce programů (malwaru), které systematicky prochází prostor IP adres a zkouší, kde budou mít štěstí. Smysl provozování honeypotů je v analýze trendů a monitorování bezpečnosti internetu.

Jaké jsou tedy statistiky CZ.NIC za duben letošního roku? Ze zdrojů ataků v geografickém pojetí vede Rusko, druhý za ním je potom Írán. Pokud se ale podíváme na žebříček nejčastějších IP adres, je vidět, že tyto země se do vedení dostaly zásluhou jednotlivců, navíc šlo o jednorázové skenování. Mimo těchto dvou případů je vidět, že zdroje útoků jsou velmi pestré a vyrovnané.

O jaké služby je největší zájem? Nejčastěji se útočníci zkouší připojit na port 80 (HTTP server), následně port 135 (služba Microsoft Remote Procedure Call), 5060 (protokol SIP), 3389 (Remote Desktop Protocol) a 1080 (SOCKS server).

Není to nic překvapivého, protože všechny tyto služby se dají v případě napadení dobře zpeněžit nebo alespoň posloužit k dalšímu šíření virů.

V rámci odůvodnění nové instituce stojí za povšimnutí především vyjádření celosvětové ztráty ve výši 388 miliard dolarů, díky čemuž je kyberkriminalita výnosnější než obchod s marihuanou, kokainem a heroinem dohromady.

„Úkolem nového centra by mělo být především shromažďovat informace o kyberkriminalitě, podporovat členské státy či vystupovat jménem vyšetřovatelů z celé Evropy, kteří se touto formou trestné činnosti zabývají. V hledáčku pozornosti této instituce by pak měly být trestné činy, jako jsou podvody na internetu páchané organizovanými skupinami, pohlavní vykořišťování dětí či útoky proti kritické informační infrastruktuře,“ píše ve svém blogu Průša.

Podle plánu EK by mělo být centrum zřízeno již v průběhu příštího roku a v plném provozu by mělo být o rok později, tedy od roku 2014. Do té doby však návrh čeká projednávání Radou EU i Evropským parlamentem.

„Budeme tedy moci sledovat, co se z na první pohled „nevinných formulací“ typu „podpora vazeb na skupiny CERT“ či „spuštění internetové aplikace pro hlášení případů kybernetické kriminality a napojení ohlašovacích kanálů pocházejících od různých aktérů včetně podniků“ vyklube,“ dodává Průša.

Zajímavé bude jistě i nastavení kompetencí ve vztahu k Evropské agentuře pro bezpečnost sítí a informací (ENISA), jejíž stávající mandát vyprší 13. září 2013 a při projednávání nového mandátu na půdě Rady i Evropského parlamentu zaznívají hlasy, které by ENISA rády přiřkly rovněž pravomoci v oblasti kybernetické kriminality.

Začněme popisem útoků vůči technologiím SOA, tj. SOAP a REST a také si probereme způsob, jakým standardy jako WS-Security umožňují použít zásady pro architekturu SOA, a tak dovolují řízené využití a monitorování. Nakonec se seznámíme s důsledky zabezpečení při podnikové integraci místních aplikací uvnitř firmy se službami cloud computingu.

Jaké jsou hrozby založené na obsahu, které ovlivňují XML a služby REST uvnitř architektury SOA? V případě XML bylo publikováno několik útoků – například XML Entity-Expansion a SQL Injection.

SQL Injection

V rámci SOA zahrnují útoky SQL Injection vložení fragmentů SQL do dat XML tak, aby byly vráceny nesprávné informace, nebo za účelem vzniku chyby, která by odkryla přístupové informace k databázi.

Úspěšný útok SQL Injection má v rámci SOA dva předpoklady:  Data přijatá službou v architektuře SOA jsou přímo vkládána do příkazu SQL a příkaz SQL je spuštěn s oprávněním dostatečným k vykonání útoku.

Pro ochranu před tímto útokem je důležité, aby data přijímaná od nedůvěryhodných uživatelů nebyla přímo vkládána do příkazů SQL. Toho lze dosáhnout vynucenou kontrolou obsahu a pravidly pro zjišťování hrozeb v příchozím obsahu.

Útoky capture-replay

Představte si tento scénář: služba v architektuře SOA je chráněna zásadou, která zajišťuje, že požadavky služby jsou digitálně podepsány. To vypadá bezpečně, ale je to tak? Odpovědí je to, že tento systém je zranitelný vůči útoku, který jednoduše přehraje platně podepsanou zprávu, a získá tak neautorizovaný přístup.

Řešení tohoto problému zahrnuje použití časových razítek. Standard WS-Security obsahuje podporu pro časová razítka a zásady WS-Policy lze použít k vyžadování přítomnosti podepsaného časového razítka v příchozích zprávách. Přehraná zpráva bude proto odhalena díky zastaralosti jejího časového razítka.

Interval důvěryhodného časového razítka musí být zvolen opatrně. Musí být dostatečně krátký, aby útočník neměl dost času na zachycení, dešifrování a přehrání platné zprávy. Musí však být i dost dlouhý, aby malé rozdíly mezi hodinami počítače webové služby a počítače jejího uživatele nezpůsobily zablokování platných zpráv.

Dejte si pozor, abyste si nepletli útoky přehráním s útoky DoS (Denial-of-Service), které způsobí odepření služby zaplavením cíle útoku hrubou silou. Ačkoli oba útoky zahrnují přehrávání zprávy, je útok DoS navržen k zahlcení cílového systému, a tím k jeho zablokování, kdežto ten druhý zneužívá slabinu ověřovacího schématu cílových systémů.

Útok XML External Entity

V tomto případě útočník využívá skutečnosti, že vnější data lze vložit do XML dokumentu pomocí položky DTD [Document Type Definition]. Specifikací místního souboru mohou být některé XML enginy donuceny přistupovat k neautorizovaným informacím z místního souborového systému. SOAP však nesmí používat definice DTD.

XPath Injection

Je pravděpodobné, že útok XPath Injection, který je analogický k útoku SQL Injection, může být použit k získávání informací z databáze XML. Lze jej blokovat zajištěním, že data předávaná výrazu XPath sama neobsahují výraz XPath.

XML Denial-of-Service (XDoS)

Tento útok zneužívá vlastnost definic DTD, zejména schopnost obdržet entity, které jsou definovány v DTD. Rekurzivním získáváním entit může útočník vytvořit XML zprávu, která v paměti „vybuchne“ (odtud pojem XML bomb) a způsobí odepření služby.

Škodící přílohy SOAP

Stejně jako e-mailové zprávy mohou i zprávy architektury SOAP obsahovat přílohy. Tyto mohou být hrozbou, pokud jsou velmi velké a obtížné ke zpracování (např. útok clogging – ucpáním) nebo pokud nesou viry. Řešením je zajistit, aby byly přílohy SOAP blokovány, filtrovány podle typu MIME nebo prověřeny antivirovým skenerem.

Útoky XML Signature dereference

Podpis XML obsahuje element „Reference“, který ukazuje na podepsaná data. Analyzující aplikace musí provést tzv. dereferenci, tj. zjistit referenční identifikátor URI. Standard podpisu XML uvádí, že: „Aplikace pro podpisy XML musejí být schopny analyzovat syntaxi URI. Doporučujeme, aby byly schopny provést dereferenci identifikátorů URI ve schématu HTTP.“ [RFC3075 – XML-Signature Syntax and Processing (Syntaxe a zpracování podpisu XML)]. Přináší to však zranitelnost, pokud jsou odkazovaná data falešná, nebo to může být jen způsob plýtvání prostředky počítače příjemce při stahování velkého souboru.

REST, Web 2.0 a SOA

Ačkoli byla architektura SOA původně spjata s triumvirátem SOAP, WSDL a UDDI, zvolilo mnoho vývojářů použití odlehčených služeb REST, které jsou bližší způsobu, jak prohlížeče komunikují s webovými servery. Přispěl k tomu i trend Webu 2.0, protože bohaté internetové aplikace (RIA, Rich Internet Applications) využívají službu REST k přenosu dat z webových serverů do prohlížečů. Technologie, která umožňuje využívat Web 2.0, obsahuje na straně prohlížeče JavaScript a z větší části na straně serveru volá webové služby REST. Například web Flickr obsahuje JavaScript, který běží v prohlížeči a při přejmenování fotografie volá webovou službu na straně serveru. U technologie Ajax (Asynchronous JavaScript and XML) volá JavaScript na klientské straně webové služby na serveru za účelem získání dat XML nebo JSON (JavaScript Object Notation). To probíhá asynchronně bez nutnosti uživatele přecházet na novou webovou stránku (proto A ve zkratce Ajax znamená Asynchronní).

Ve světě Webu 2.0 je to právě backendové prostředí webových služeb, které se stává klíčovým prvkem k útoku. Občas je to nazýváno velkou plochou pro útok na Web 2.0. Útočník se může pokusit zaútočit na aplikaci přes její klientské rozhraní nebo může jednoduše interfejs obejít a zaměřit se namísto toho přímo na backendové webové služby.

Příště se podíváme mimo jiné na standardy týkající se zabezpečení SOA.

Začněme popisem útoků vůči technologiím SOA, tj. SOAP a REST a také si probereme způsob, jakým standardy jako WS-Security umožňují použít zásady pro architekturu SOA, a tak dovolují řízené využití a monitorování. Nakonec se seznámíme s důsledky zabezpečení při podnikové integraci místních aplikací uvnitř firmy se službami cloud computingu.

Jaké jsou hrozby založené na obsahu, které ovlivňují XML a služby REST uvnitř architektury SOA? V případě XML bylo publikováno několik útoků – například XML Entity-Expansion a SQL Injection.

SQL Injection

V rámci SOA zahrnují útoky SQL Injection vložení fragmentů SQL do dat XML tak, aby byly vráceny nesprávné informace, nebo za účelem vzniku chyby, která by odkryla přístupové informace k databázi.

Úspěšný útok SQL Injection má v rámci SOA dva předpoklady:  Data přijatá službou v architektuře SOA jsou přímo vkládána do příkazu SQL a příkaz SQL je spuštěn s oprávněním dostatečným k vykonání útoku.

Pro ochranu před tímto útokem je důležité, aby data přijímaná od nedůvěryhodných uživatelů nebyla přímo vkládána do příkazů SQL. Toho lze dosáhnout vynucenou kontrolou obsahu a pravidly pro zjišťování hrozeb v příchozím obsahu.

Útoky capture-replay

Představte si tento scénář: služba v architektuře SOA je chráněna zásadou, která zajišťuje, že požadavky služby jsou digitálně podepsány. To vypadá bezpečně, ale je to tak? Odpovědí je to, že tento systém je zranitelný vůči útoku, který jednoduše přehraje platně podepsanou zprávu, a získá tak neautorizovaný přístup.

Řešení tohoto problému zahrnuje použití časových razítek. Standard WS-Security obsahuje podporu pro časová razítka a zásady WS-Policy lze použít k vyžadování přítomnosti podepsaného časového razítka v příchozích zprávách. Přehraná zpráva bude proto odhalena díky zastaralosti jejího časového razítka.

Interval důvěryhodného časového razítka musí být zvolen opatrně. Musí být dostatečně krátký, aby útočník neměl dost času na zachycení, dešifrování a přehrání platné zprávy. Musí však být i dost dlouhý, aby malé rozdíly mezi hodinami počítače webové služby a počítače jejího uživatele nezpůsobily zablokování platných zpráv.

Dejte si pozor, abyste si nepletli útoky přehráním s útoky DoS (Denial-of-Service), které způsobí odepření služby zaplavením cíle útoku hrubou silou. Ačkoli oba útoky zahrnují přehrávání zprávy, je útok DoS navržen k zahlcení cílového systému, a tím k jeho zablokování, kdežto ten druhý zneužívá slabinu ověřovacího schématu cílových systémů.

Útok XML External Entity

V tomto případě útočník využívá skutečnosti, že vnější data lze vložit do XML dokumentu pomocí položky DTD [Document Type Definition]. Specifikací místního souboru mohou být některé XML enginy donuceny přistupovat k neautorizovaným informacím z místního souborového systému. SOAP však nesmí používat definice DTD.

XPath Injection

Je pravděpodobné, že útok XPath Injection, který je analogický k útoku SQL Injection, může být použit k získávání informací z databáze XML. Lze jej blokovat zajištěním, že data předávaná výrazu XPath sama neobsahují výraz XPath.

XML Denial-of-Service (XDoS)

Tento útok zneužívá vlastnost definic DTD, zejména schopnost obdržet entity, které jsou definovány v DTD. Rekurzivním získáváním entit může útočník vytvořit XML zprávu, která v paměti „vybuchne“ (odtud pojem XML bomb) a způsobí odepření služby.

Škodící přílohy SOAP

Stejně jako e-mailové zprávy mohou i zprávy architektury SOAP obsahovat přílohy. Tyto mohou být hrozbou, pokud jsou velmi velké a obtížné ke zpracování (např. útok clogging – ucpáním) nebo pokud nesou viry. Řešením je zajistit, aby byly přílohy SOAP blokovány, filtrovány podle typu MIME nebo prověřeny antivirovým skenerem.

Útoky XML Signature dereference

Podpis XML obsahuje element „Reference“, který ukazuje na podepsaná data. Analyzující aplikace musí provést tzv. dereferenci, tj. zjistit referenční identifikátor URI. Standard podpisu XML uvádí, že: „Aplikace pro podpisy XML musejí být schopny analyzovat syntaxi URI. Doporučujeme, aby byly schopny provést dereferenci identifikátorů URI ve schématu HTTP.“ [RFC3075 – XML-Signature Syntax and Processing (Syntaxe a zpracování podpisu XML)]. Přináší to však zranitelnost, pokud jsou odkazovaná data falešná, nebo to může být jen způsob plýtvání prostředky počítače příjemce při stahování velkého souboru.

REST, Web 2.0 a SOA

Ačkoli byla architektura SOA původně spjata s triumvirátem SOAP, WSDL a UDDI, zvolilo mnoho vývojářů použití odlehčených služeb REST, které jsou bližší způsobu, jak prohlížeče komunikují s webovými servery. Přispěl k tomu i trend Webu 2.0, protože bohaté internetové aplikace (RIA, Rich Internet Applications) využívají službu REST k přenosu dat z webových serverů do prohlížečů. Technologie, která umožňuje využívat Web 2.0, obsahuje na straně prohlížeče JavaScript a z větší části na straně serveru volá webové služby REST. Například web Flickr obsahuje JavaScript, který běží v prohlížeči a při přejmenování fotografie volá webovou službu na straně serveru. U technologie Ajax (Asynchronous JavaScript and XML) volá JavaScript na klientské straně webové služby na serveru za účelem získání dat XML nebo JSON (JavaScript Object Notation). To probíhá asynchronně bez nutnosti uživatele přecházet na novou webovou stránku (proto A ve zkratce Ajax znamená Asynchronní).

Ve světě Webu 2.0 je to právě backendové prostředí webových služeb, které se stává klíčovým prvkem k útoku. Občas je to nazýváno velkou plochou pro útok na Web 2.0. Útočník se může pokusit zaútočit na aplikaci přes její klientské rozhraní nebo může jednoduše interfejs obejít a zaměřit se namísto toho přímo na backendové webové služby.

Příště se podíváme mimo jiné na standardy týkající se zabezpečení SOA.

Nebylo by ale skvělé mít automatizovaný nástroj pro kontrolu naší práce? To je příslib analyzátorů zranitelností: jsou to produkty detekující problémy v konfiguracích, aplikacích a v oblasti instalace oprav.

Budete vědět, na co zaměřit své síly při nápravě zabezpečení, a budete klidnější, že máte systém, který vám umožní zabránit, aby drobnosti unikly skulinami a způsobily velké problémy.

Naopak při nesprávném použití mohou analyzátory vytvořit tisíce stran matoucích informací, frustrovat manažery zabezpečení a správce sítě, a nakonec z toho může vzniknout více problémů, než se vyřeší.

Otestovali jsme šest produktů předních dodavatelů z hlediska výsledků skenování zranitelností, schopnosti reportování, správy produktu, nástrojů pro pracovní procesy a interoperability s dalšími podnikovými produkty.

Dva produkty vyčnívaly: QualysGuard VM využívající technologii SaaS a McAfee Vulnerability Manager, který je nabízen v podobě softwaru a apliance.

Produktová řada SAINTmanager se umístila na třetím místě díky výkonnému skeneru, ale znevýhodněna byla slabým grafickým uživatelským rozhraním. Náš favorizovaný vyzyvatel, eEye Retina CS, měl silný skener s nově vytvořeným grafickým uživatelským rozhraním. Zjistili jsme však mnoho chyb a nedostatků v designu, které je nutno odstranit předtím, než bude připraven pro nasazení v podnikovém prostředí.

Retina je relativně nový produkt, který je aktivně vyvíjen. Během tří měsíců našeho testu jsme u něj zaznamenali jeden upgrade a před předáním tohoto testu do tisku vydala společnost eEye další.

Produkt FusionVM společnosti Critical Watch je další nabídkou využívající technologii SaaS. Obsahuje určité skvělé nápady, ale provedení je nedostatečné. Lumension Scan odvedl dobrou práci v oblasti, pro kterou byl navržen, ale je to produkt s omezeným záběrem funkcí a nenabízí vlastnosti potřebné pro podnikovou sféru, na které jsme se zaměřovali.

Z různých důvodu se testu odmítly zúčastnit společnosti IBM, Ncircle, Trustwave, StillSecure, Rapid7, Beyond Security a Tenable.

Skenování

Všechny analyzátory zranitelností mají společné jádro: skener, který hledá zranitelnosti. Pokud byste prováděli síťový penetrační test, byl by skener jediným nástrojem, který byste potřebovali.

V některých produktech, zejména Retina CS a produkt firmy SAINT, tj. SAINTscanner/SAINTmanager/SAINTwriter, je skener samostatným nástrojem, který lze spouštět bez nástrojů pro správu a reportování. (Viz kapitola Možnost skenování webu.)

U ostatních produktů, jako jsou QualysGuard VM a Critical Watch FusionVM, je skener neoddělitelný od dalších součástí. Jste-li bezpečnostním konzultantem, který jen chce provádět skenování, potom se pro vaše potřeby nejlépe hodí produkty firem eEye a SAINT.

Abychom získali představu, jak dobře skenery pracují, proskenovali jsme tři produkční sítě ve třech společnostech a navíc speciálně postavenou laboratorní testovací síť. V té testovací jsme záměrně ponechali čtyři servery bez instalace oprav po dobu dvou měsíců: dva systémy Windows (Windows 2003 a 2008), linuxový systém a server OS X. Poté jsme zapnuli analyzátory zranitelností a vyhodnotili výsledky.

Nejdříve varování: skenery zranitelností mohou způsobit nestabilitu ve vaší síti a také ji pravděpodobně způsobí. Produkty SAINT a Critical Watch učinily v naší síti skutečnou škodu – uzamčení jednoho z našich produkčních unixových serverů – a dále vznikly potíže s úložištěm SAN, které vedly k přerušení služby pro několik klientů.

Prakticky všechny produkty zapříčinily restartování UPS jednotek společnosti APC, což (naštěstí) neovlivnilo nic kromě rozhraní pro správu. Dávejte tedy pozor, jaké IP adresy skenujete a jak skeny probíhají.

Možná byste si mysleli, že se naše sítě za pouhé dva měsíce nedostaly významněji mimo aktuální stav, ale testované skenery k tomu měly hodně co říci. Vítězem podle váhy byl produkt eEye, který vygeneroval 180stránkový report, ale produkt McAfee zvítězil počtem – sdělil nám 537 různých informací o těchto čtyřech systémech, přičemž 380 z nich nebyly specifické zranitelnosti, ale jen informační položky. Stále však zbývalo 84 kritických zranitelností, kde po nás produkt společnosti McAfee požadoval opravu.

Zřejmým závěrem bylo, že někteří dodavatelé neodvedli dobrou práci při redukci dat. Ano, je pravda, že oprava Adobe APSB10-14 pokrývá 28 různých zranitelností, ale jsou všechny opraveny jednou záplatou a zacházet s nimi jako s 28 separátními incidenty (jako to dělá McAfee) jednoduše podporuje zmatek.

Critical Watch měl podobný problém, zajištění všech částí jedné z kritických oprav od společnosti Microsoft jako separátních elementů, přestože úloha nápravy byla stejná: nainstalovat MS11-012 pro opravu pěti odděleně reportovaných zranitelností.

Pedantský bezpečnostní nadšenec by mohl trvat na reportování všech separátních problémů, ale to je účel detailních reportů. Ve výchozím stavu by tato informace měla být kombinována do stravitelnější podoby.

Některé výsledky byly velmi rutinní. Například při našem testu systémů Windows jsme měli seznam aktualizací zabezpečení a oprav, které nám sdělil systém Microsoft Update, a očekávali jsme zobrazení všech těchto oprav v seznamu zranitelností pro každý systém. Produkty McAfee, Qualys a eEye ve svých výsledcích skenování obsahovaly všechny položky z našich kontrolních seznamů. Produkty Critical Watch, Lumension a SAINT však některé z nich nezachytily.

Pokud by byl náš test tvořen pouze využitím kontrolního seznamu známých chybějících oprav zabezpečení, bylo by snadné produkty ohodnotit. Každý ze skenerů nám toho však sdělil hodně a bylo obtížné zjistit, zda tyto informace byly nebo nebyly relevantní či hodnotné.

Například Lumension uvedl, že v našich systémech Windows používáme zastaralou verzi produktu SecureCRT (to byla pravda), a ohodnotil tuto zranitelnost jako „vysoká“ (což je pravděpodobně přehnané). Toto však žádný jiný produkt neodhalil. Znamená to, že je Lumension lepší než ostatní skenery, které problém nezachytily?

Nu ano, kromě toho, že produkt eEye zjistil cca 1 999 různých nastavení ochrany v neznámém klíči registru, který by mohl být použit privilegovanými uživateli k dalšímu eskalování jejich práv během spouštění systému. Znamená to, že je eEye lepší než ostatní skenery, které problém v registru neodhalily? V tomto kruhu se můžete pohybovat stále dokola, protože každý produkt oznámil problémy, většinou méně významné, které ostatní neohlásily.

Nesprávné detekce

Také jsme kontrolovali nesprávné detekce – místa, kde skenery reportovaly zranitelnost tam, kde žádná neexistovala. To je pro bezpečnostní „puristy“ citlivá oblast. Některé skenery jednoduše zpracovaly existenci konkrétního souboru jako zranitelnost systému.

Například Lumension označil unixový kernel na našem testovacím linuxovém systému jako zastaralý, protože viděl nainstalovaný Red Hat Package Manager se starým kernelem. My jsme ale tento kernel nepoužívali (byl jen uložen na disku), takže systém zranitelný nebyl.

Situaci však nebylo tak těžké posoudit u všech nesprávných detekcí. Například CriticalWatch zjistil, že našemu systému Mac OS X chybí oprava Microsoft Windows, a produkt eEye požadoval opravy pro zranitelnosti VMware a Hyper-V v systémech, kde tyto virtualizační nástroje nebyly nainstalovány. Nesprávné detekce byly přítomné ve výsledcích všech skenerů kromě produktu Qualys.

Při porovnávání skenerů jsme měli další problémy. Databáze CVE (Common Vulnerabilities and Exposures) podporovaná ministerstvem USA pro národní bezpečnost je nejbližší referencí se standardem běžných jmen. Očekávali bychom, že dodavatelé zajistí, že jejich zranitelnosti budou řádně odpovídat záznamům databáze CVE, ale když jsme se pokoušeli porovnávat výsledky, zjistili jsme chyby a opomenutí u většiny skenerů.

Například jsme si mysleli, že produkt McAfee jako jediný odhalil problém (záznam CVE-2010-3886), dokud jsme nezjistili, že je skrytý v eEye jako Retina Audit 13156, bez čísla CVE.

Také jsme sledovali dvě další důležitá kritéria: reportování důkazů zranitelnosti a podporu více platforem. O tom a o dalších kriteriích ale příště...

Nebylo by ale skvělé mít automatizovaný nástroj pro kontrolu naší práce? To je příslib analyzátorů zranitelností: jsou to produkty detekující problémy v konfiguracích, aplikacích a v oblasti instalace oprav.

Budete vědět, na co zaměřit své síly při nápravě zabezpečení, a budete klidnější, že máte systém, který vám umožní zabránit, aby drobnosti unikly skulinami a způsobily velké problémy.

Naopak při nesprávném použití mohou analyzátory vytvořit tisíce stran matoucích informací, frustrovat manažery zabezpečení a správce sítě, a nakonec z toho může vzniknout více problémů, než se vyřeší.

Otestovali jsme šest produktů předních dodavatelů z hlediska výsledků skenování zranitelností, schopnosti reportování, správy produktu, nástrojů pro pracovní procesy a interoperability s dalšími podnikovými produkty.

Dva produkty vyčnívaly: QualysGuard VM využívající technologii SaaS a McAfee Vulnerability Manager, který je nabízen v podobě softwaru a apliance.

Produktová řada SAINTmanager se umístila na třetím místě díky výkonnému skeneru, ale znevýhodněna byla slabým grafickým uživatelským rozhraním. Náš favorizovaný vyzyvatel, eEye Retina CS, měl silný skener s nově vytvořeným grafickým uživatelským rozhraním. Zjistili jsme však mnoho chyb a nedostatků v designu, které je nutno odstranit předtím, než bude připraven pro nasazení v podnikovém prostředí.

Retina je relativně nový produkt, který je aktivně vyvíjen. Během tří měsíců našeho testu jsme u něj zaznamenali jeden upgrade a před předáním tohoto testu do tisku vydala společnost eEye další.

Produkt FusionVM společnosti Critical Watch je další nabídkou využívající technologii SaaS. Obsahuje určité skvělé nápady, ale provedení je nedostatečné. Lumension Scan odvedl dobrou práci v oblasti, pro kterou byl navržen, ale je to produkt s omezeným záběrem funkcí a nenabízí vlastnosti potřebné pro podnikovou sféru, na které jsme se zaměřovali.

Z různých důvodu se testu odmítly zúčastnit společnosti IBM, Ncircle, Trustwave, StillSecure, Rapid7, Beyond Security a Tenable.

Skenování

Všechny analyzátory zranitelností mají společné jádro: skener, který hledá zranitelnosti. Pokud byste prováděli síťový penetrační test, byl by skener jediným nástrojem, který byste potřebovali.

V některých produktech, zejména Retina CS a produkt firmy SAINT, tj. SAINTscanner/SAINTmanager/SAINTwriter, je skener samostatným nástrojem, který lze spouštět bez nástrojů pro správu a reportování. (Viz kapitola Možnost skenování webu.)

U ostatních produktů, jako jsou QualysGuard VM a Critical Watch FusionVM, je skener neoddělitelný od dalších součástí. Jste-li bezpečnostním konzultantem, který jen chce provádět skenování, potom se pro vaše potřeby nejlépe hodí produkty firem eEye a SAINT.

Abychom získali představu, jak dobře skenery pracují, proskenovali jsme tři produkční sítě ve třech společnostech a navíc speciálně postavenou laboratorní testovací síť. V té testovací jsme záměrně ponechali čtyři servery bez instalace oprav po dobu dvou měsíců: dva systémy Windows (Windows 2003 a 2008), linuxový systém a server OS X. Poté jsme zapnuli analyzátory zranitelností a vyhodnotili výsledky.

Nejdříve varování: skenery zranitelností mohou způsobit nestabilitu ve vaší síti a také ji pravděpodobně způsobí. Produkty SAINT a Critical Watch učinily v naší síti skutečnou škodu – uzamčení jednoho z našich produkčních unixových serverů – a dále vznikly potíže s úložištěm SAN, které vedly k přerušení služby pro několik klientů.

Prakticky všechny produkty zapříčinily restartování UPS jednotek společnosti APC, což (naštěstí) neovlivnilo nic kromě rozhraní pro správu. Dávejte tedy pozor, jaké IP adresy skenujete a jak skeny probíhají.

Možná byste si mysleli, že se naše sítě za pouhé dva měsíce nedostaly významněji mimo aktuální stav, ale testované skenery k tomu měly hodně co říci. Vítězem podle váhy byl produkt eEye, který vygeneroval 180stránkový report, ale produkt McAfee zvítězil počtem – sdělil nám 537 různých informací o těchto čtyřech systémech, přičemž 380 z nich nebyly specifické zranitelnosti, ale jen informační položky. Stále však zbývalo 84 kritických zranitelností, kde po nás produkt společnosti McAfee požadoval opravu.

Zřejmým závěrem bylo, že někteří dodavatelé neodvedli dobrou práci při redukci dat. Ano, je pravda, že oprava Adobe APSB10-14 pokrývá 28 různých zranitelností, ale jsou všechny opraveny jednou záplatou a zacházet s nimi jako s 28 separátními incidenty (jako to dělá McAfee) jednoduše podporuje zmatek.

Critical Watch měl podobný problém, zajištění všech částí jedné z kritických oprav od společnosti Microsoft jako separátních elementů, přestože úloha nápravy byla stejná: nainstalovat MS11-012 pro opravu pěti odděleně reportovaných zranitelností.

Pedantský bezpečnostní nadšenec by mohl trvat na reportování všech separátních problémů, ale to je účel detailních reportů. Ve výchozím stavu by tato informace měla být kombinována do stravitelnější podoby.

Některé výsledky byly velmi rutinní. Například při našem testu systémů Windows jsme měli seznam aktualizací zabezpečení a oprav, které nám sdělil systém Microsoft Update, a očekávali jsme zobrazení všech těchto oprav v seznamu zranitelností pro každý systém. Produkty McAfee, Qualys a eEye ve svých výsledcích skenování obsahovaly všechny položky z našich kontrolních seznamů. Produkty Critical Watch, Lumension a SAINT však některé z nich nezachytily.

Pokud by byl náš test tvořen pouze využitím kontrolního seznamu známých chybějících oprav zabezpečení, bylo by snadné produkty ohodnotit. Každý ze skenerů nám toho však sdělil hodně a bylo obtížné zjistit, zda tyto informace byly nebo nebyly relevantní či hodnotné.

Například Lumension uvedl, že v našich systémech Windows používáme zastaralou verzi produktu SecureCRT (to byla pravda), a ohodnotil tuto zranitelnost jako „vysoká“ (což je pravděpodobně přehnané). Toto však žádný jiný produkt neodhalil. Znamená to, že je Lumension lepší než ostatní skenery, které problém nezachytily?

Nu ano, kromě toho, že produkt eEye zjistil cca 1 999 různých nastavení ochrany v neznámém klíči registru, který by mohl být použit privilegovanými uživateli k dalšímu eskalování jejich práv během spouštění systému. Znamená to, že je eEye lepší než ostatní skenery, které problém v registru neodhalily? V tomto kruhu se můžete pohybovat stále dokola, protože každý produkt oznámil problémy, většinou méně významné, které ostatní neohlásily.

Nesprávné detekce

Také jsme kontrolovali nesprávné detekce – místa, kde skenery reportovaly zranitelnost tam, kde žádná neexistovala. To je pro bezpečnostní „puristy“ citlivá oblast. Některé skenery jednoduše zpracovaly existenci konkrétního souboru jako zranitelnost systému.

Například Lumension označil unixový kernel na našem testovacím linuxovém systému jako zastaralý, protože viděl nainstalovaný Red Hat Package Manager se starým kernelem. My jsme ale tento kernel nepoužívali (byl jen uložen na disku), takže systém zranitelný nebyl.

Situaci však nebylo tak těžké posoudit u všech nesprávných detekcí. Například CriticalWatch zjistil, že našemu systému Mac OS X chybí oprava Microsoft Windows, a produkt eEye požadoval opravy pro zranitelnosti VMware a Hyper-V v systémech, kde tyto virtualizační nástroje nebyly nainstalovány. Nesprávné detekce byly přítomné ve výsledcích všech skenerů kromě produktu Qualys.

Při porovnávání skenerů jsme měli další problémy. Databáze CVE (Common Vulnerabilities and Exposures) podporovaná ministerstvem USA pro národní bezpečnost je nejbližší referencí se standardem běžných jmen. Očekávali bychom, že dodavatelé zajistí, že jejich zranitelnosti budou řádně odpovídat záznamům databáze CVE, ale když jsme se pokoušeli porovnávat výsledky, zjistili jsme chyby a opomenutí u většiny skenerů.

Například jsme si mysleli, že produkt McAfee jako jediný odhalil problém (záznam CVE-2010-3886), dokud jsme nezjistili, že je skrytý v eEye jako Retina Audit 13156, bez čísla CVE.

Také jsme sledovali dvě další důležitá kritéria: reportování důkazů zranitelnosti a podporu více platforem. O tom a o dalších kriteriích ale příště...

Nebylo by ale skvělé mít automatizovaný nástroj pro kontrolu naší práce? To je příslib analyzátorů zranitelností: jsou to produkty detekující problémy v konfiguracích, aplikacích a v oblasti instalace oprav.

Budete vědět, na co zaměřit své síly při nápravě zabezpečení, a budete klidnější, že máte systém, který vám umožní zabránit, aby drobnosti unikly skulinami a způsobily velké problémy.

Naopak při nesprávném použití mohou analyzátory vytvořit tisíce stran matoucích informací, frustrovat manažery zabezpečení a správce sítě, a nakonec z toho může vzniknout více problémů, než se vyřeší.

Otestovali jsme šest produktů předních dodavatelů z hlediska výsledků skenování zranitelností, schopnosti reportování, správy produktu, nástrojů pro pracovní procesy a interoperability s dalšími podnikovými produkty.

Dva produkty vyčnívaly: QualysGuard VM využívající technologii SaaS a McAfee Vulnerability Manager, který je nabízen v podobě softwaru a apliance.

Produktová řada SAINTmanager se umístila na třetím místě díky výkonnému skeneru, ale znevýhodněna byla slabým grafickým uživatelským rozhraním. Náš favorizovaný vyzyvatel, eEye Retina CS, měl silný skener s nově vytvořeným grafickým uživatelským rozhraním. Zjistili jsme však mnoho chyb a nedostatků v designu, které je nutno odstranit předtím, než bude připraven pro nasazení v podnikovém prostředí.

Retina je relativně nový produkt, který je aktivně vyvíjen. Během tří měsíců našeho testu jsme u něj zaznamenali jeden upgrade a před předáním tohoto testu do tisku vydala společnost eEye další.

Produkt FusionVM společnosti Critical Watch je další nabídkou využívající technologii SaaS. Obsahuje určité skvělé nápady, ale provedení je nedostatečné. Lumension Scan odvedl dobrou práci v oblasti, pro kterou byl navržen, ale je to produkt s omezeným záběrem funkcí a nenabízí vlastnosti potřebné pro podnikovou sféru, na které jsme se zaměřovali.

Z různých důvodu se testu odmítly zúčastnit společnosti IBM, Ncircle, Trustwave, StillSecure, Rapid7, Beyond Security a Tenable.

Skenování

Všechny analyzátory zranitelností mají společné jádro: skener, který hledá zranitelnosti. Pokud byste prováděli síťový penetrační test, byl by skener jediným nástrojem, který byste potřebovali.

V některých produktech, zejména Retina CS a produkt firmy SAINT, tj. SAINTscanner/SAINTmanager/SAINTwriter, je skener samostatným nástrojem, který lze spouštět bez nástrojů pro správu a reportování. (Viz kapitola Možnost skenování webu.)

U ostatních produktů, jako jsou QualysGuard VM a Critical Watch FusionVM, je skener neoddělitelný od dalších součástí. Jste-li bezpečnostním konzultantem, který jen chce provádět skenování, potom se pro vaše potřeby nejlépe hodí produkty firem eEye a SAINT.

Abychom získali představu, jak dobře skenery pracují, proskenovali jsme tři produkční sítě ve třech společnostech a navíc speciálně postavenou laboratorní testovací síť. V té testovací jsme záměrně ponechali čtyři servery bez instalace oprav po dobu dvou měsíců: dva systémy Windows (Windows 2003 a 2008), linuxový systém a server OS X. Poté jsme zapnuli analyzátory zranitelností a vyhodnotili výsledky.

Nejdříve varování: skenery zranitelností mohou způsobit nestabilitu ve vaší síti a také ji pravděpodobně způsobí. Produkty SAINT a Critical Watch učinily v naší síti skutečnou škodu – uzamčení jednoho z našich produkčních unixových serverů – a dále vznikly potíže s úložištěm SAN, které vedly k přerušení služby pro několik klientů.

Prakticky všechny produkty zapříčinily restartování UPS jednotek společnosti APC, což (naštěstí) neovlivnilo nic kromě rozhraní pro správu. Dávejte tedy pozor, jaké IP adresy skenujete a jak skeny probíhají.

Možná byste si mysleli, že se naše sítě za pouhé dva měsíce nedostaly významněji mimo aktuální stav, ale testované skenery k tomu měly hodně co říci. Vítězem podle váhy byl produkt eEye, který vygeneroval 180stránkový report, ale produkt McAfee zvítězil počtem – sdělil nám 537 různých informací o těchto čtyřech systémech, přičemž 380 z nich nebyly specifické zranitelnosti, ale jen informační položky. Stále však zbývalo 84 kritických zranitelností, kde po nás produkt společnosti McAfee požadoval opravu.

Zřejmým závěrem bylo, že někteří dodavatelé neodvedli dobrou práci při redukci dat. Ano, je pravda, že oprava Adobe APSB10-14 pokrývá 28 různých zranitelností, ale jsou všechny opraveny jednou záplatou a zacházet s nimi jako s 28 separátními incidenty (jako to dělá McAfee) jednoduše podporuje zmatek.

Critical Watch měl podobný problém, zajištění všech částí jedné z kritických oprav od společnosti Microsoft jako separátních elementů, přestože úloha nápravy byla stejná: nainstalovat MS11-012 pro opravu pěti odděleně reportovaných zranitelností.

Pedantský bezpečnostní nadšenec by mohl trvat na reportování všech separátních problémů, ale to je účel detailních reportů. Ve výchozím stavu by tato informace měla být kombinována do stravitelnější podoby.

Některé výsledky byly velmi rutinní. Například při našem testu systémů Windows jsme měli seznam aktualizací zabezpečení a oprav, které nám sdělil systém Microsoft Update, a očekávali jsme zobrazení všech těchto oprav v seznamu zranitelností pro každý systém. Produkty McAfee, Qualys a eEye ve svých výsledcích skenování obsahovaly všechny položky z našich kontrolních seznamů. Produkty Critical Watch, Lumension a SAINT však některé z nich nezachytily.

Pokud by byl náš test tvořen pouze využitím kontrolního seznamu známých chybějících oprav zabezpečení, bylo by snadné produkty ohodnotit. Každý ze skenerů nám toho však sdělil hodně a bylo obtížné zjistit, zda tyto informace byly nebo nebyly relevantní či hodnotné.

Například Lumension uvedl, že v našich systémech Windows používáme zastaralou verzi produktu SecureCRT (to byla pravda), a ohodnotil tuto zranitelnost jako „vysoká“ (což je pravděpodobně přehnané). Toto však žádný jiný produkt neodhalil. Znamená to, že je Lumension lepší než ostatní skenery, které problém nezachytily?

Nu ano, kromě toho, že produkt eEye zjistil cca 1 999 různých nastavení ochrany v neznámém klíči registru, který by mohl být použit privilegovanými uživateli k dalšímu eskalování jejich práv během spouštění systému. Znamená to, že je eEye lepší než ostatní skenery, které problém v registru neodhalily? V tomto kruhu se můžete pohybovat stále dokola, protože každý produkt oznámil problémy, většinou méně významné, které ostatní neohlásily.

Nesprávné detekce

Také jsme kontrolovali nesprávné detekce – místa, kde skenery reportovaly zranitelnost tam, kde žádná neexistovala. To je pro bezpečnostní „puristy“ citlivá oblast. Některé skenery jednoduše zpracovaly existenci konkrétního souboru jako zranitelnost systému.

Například Lumension označil unixový kernel na našem testovacím linuxovém systému jako zastaralý, protože viděl nainstalovaný Red Hat Package Manager se starým kernelem. My jsme ale tento kernel nepoužívali (byl jen uložen na disku), takže systém zranitelný nebyl.

Situaci však nebylo tak těžké posoudit u všech nesprávných detekcí. Například CriticalWatch zjistil, že našemu systému Mac OS X chybí oprava Microsoft Windows, a produkt eEye požadoval opravy pro zranitelnosti VMware a Hyper-V v systémech, kde tyto virtualizační nástroje nebyly nainstalovány. Nesprávné detekce byly přítomné ve výsledcích všech skenerů kromě produktu Qualys.

Při porovnávání skenerů jsme měli další problémy. Databáze CVE (Common Vulnerabilities and Exposures) podporovaná ministerstvem USA pro národní bezpečnost je nejbližší referencí se standardem běžných jmen. Očekávali bychom, že dodavatelé zajistí, že jejich zranitelnosti budou řádně odpovídat záznamům databáze CVE, ale když jsme se pokoušeli porovnávat výsledky, zjistili jsme chyby a opomenutí u většiny skenerů.

Například jsme si mysleli, že produkt McAfee jako jediný odhalil problém (záznam CVE-2010-3886), dokud jsme nezjistili, že je skrytý v eEye jako Retina Audit 13156, bez čísla CVE.

Také jsme sledovali dvě další důležitá kritéria: reportování důkazů zranitelnosti a podporu více platforem. O tom a o dalších kriteriích ale příště...

Varianta pro Windows je momentálně ve stádiu 'technology preview'. Navazuje tak na obdobné řešení, které už je dostupné pro platformu Mac OS X od Applu, jež se na trhu objevila v závěru loňského roku.

Nástroj zašifrovává tzv. DNS lookups posílané mezi počítačem příslušného uživatele a bezplatnou službou OpenDNS. Požadavky na DNS jsou nedílnou součástí světa internetu, protože dovolují překládat doménová jména na odpovídající číselnou IP adresu, se kterou pak může browser pracovat.

Většina internetových poskytovatelů a jiných velkých organizaci provozuje vlastní DNS servery, OpenDNS však tvrdí, že ta její je rychlejší a bezpečnější.

Požadavky na DNS jsou obvykle nešifrované, což ale znamená, že nějaký vetřelec či jiná nežádoucí osoba může monitorovat, kam uživatel na internetu vstupuje. Velké riziko existuje  například v prostředích veřejných Wi-Fi spotů na letištích či v kavárnách, kdy je riziko kompromitace uživatelova soukromí velmi vysoké.

"Kdokoliv trochu seznámený s problematikou může tajně sledovat vaši internetovou aktivitu a přesně vidět, které domény využíváte a mnoha případech může zjistit i konkrétní weby," tvrdí David Ulevitch, zakladatel a  výkonný ředitel OpenDNS. "V nejhorším případě pak pokročilí útočníci mohou dokonce modifikovat odpovědi serveru a přesměrovat vás na stránky se škodlivým obsahem.“

V současnosti využívá DNSCrypt pro Mac OS X zhruba deset tisíc lidí, v případě varianty pro Windows se toto číslo může dramaticky zvýšit.

Pomocí vhodně zvoleného outsourcingu technologií a správy IT u společnosti Master Internet mohou firmy snížit své náklady na IT minimálně o třetinu.

Nepotřebujete vlastní vybavení

Díky moderním technologiím již firmy či další organizace nemusí provozovat své vlastní servery. Všechen důležitý hardware lze totiž pronajmout v datacentru společnosti Master Internet. Odpadají tak nejen náklady na nákup serverů a příslušného softwaru, ale i nezanedbatelné výdaje na jejich provoz a správu. Důležité je, že si již firmy nemusí pronajímat servery ve fyzické podobě, ale platí jen za požadovaný výkon a prostor pro data s možností prakticky neomezeného růstu. Takové řešení je označováno jako cloud hosting. Firemní server v cloudu je možné v datacentrech Master Internet provozovat již za 4920 Kč ročně včetně nonstop technické podpory.

Plaťte jen takový výkon, který opravdu využijete

Cloudové řešení společnosti Master Internet je velmi flexibilní. Díky principu pronájmu části výpočetního výkonu počítačů v datacentru je možné využívat a platit jen takový výkon serverů, který v danou chvíli firma využívá. Navíc je možné výkon podle potřeby zvyšovat či snižovat. Vedle možnosti snadno konfigurovat aktuálně potřebný výkon serveru, je možné využít tzv. „appliances“, jež významným způsobem zjednodušují správu a rozšiřování možností serverů běžících v cloudu. Jde o šablony virtuálních strojů, mezi kterými lze najít například data storage systémy, mail servery, firewally a další. Využití těchto virtuálních appliances je oproti koupi běžného hardwaru levnější a pružnější variantou rozšíření podnikové IT infrastruktury.

Vysoký standard bezpečnosti
Společnost Master Internet si dobře uvědomuje, že kvalitní zabezpečení datacenter je pro jejich zákazníky důležité. Svá data a aplikace totiž firmy svěřují třetí straně, která za ně zodpovídá. Při přechodu na firemní IT zajišťované pomocí cloudových služeb je proto zásadní garance dlouhodobého provozu datacenter bez přerušení provozu. „Ve svých datacentrech využíváme špičkové virtualizační nástroje společnosti VMWare, která je dlouholetým lídrem v oblasti virtualizace a cloud hostingu. Vše pak běží na prověřeném a otestovaném hardwaru,“ sdělil Filip Špaček ze společnosti Master Internet, která provozuje špičková datacentra v Praze a Brně

Díky kvalitně navrženému datacentru s dostatečně redundantní konektivitou může Master Internet zákazníkům i takovou úroveň bezpečnosti, která je v běžném firemním prostředí realizovatelná jen za cenu velmi vysokých nákladů. Datacentra mají několik nezávislých připojení do počítačových sítí, silné záložní zdroje energie, sofistikované hasicí systémy a nepřetržitý dohled odborníků.

Výhody cloud hostingu společnosti Master Internet

• Vysoká 99,99% garance dostupnosti služby
• Servery v cloudu běží na kvalitním hardwaru v datacentrech se špičkovou konektivitou
• Vysoká flexibilita a škálovatelnost – firma platí jen takový výkon, jaký v daném okamžiku potřebuje. Změny konfigurace serveru v cloudu lze uskutečnit v řádu minut.

Vysoká úroveň bezpečnosti – datacentra společnosti Master Internet jsou vybavena sofistikovanými hasicími systémy a dobře dimenzovanými záložními zdroji elektrické energie. Nepřetržitý dohled a ostraha jsou samozřejmostí.

Varianta pro Windows je momentálně ve stádiu 'technology preview'. Navazuje tak na obdobné řešení, které už je dostupné pro platformu Mac OS X od Applu, jež se na trhu objevila v závěru loňského roku.

Nástroj zašifrovává tzv. DNS lookups posílané mezi počítačem příslušného uživatele a bezplatnou službou OpenDNS. Požadavky na DNS jsou nedílnou součástí světa internetu, protože dovolují překládat doménová jména na odpovídající číselnou IP adresu, se kterou pak může browser pracovat.

Většina internetových poskytovatelů a jiných velkých organizaci provozuje vlastní DNS servery, OpenDNS však tvrdí, že ta její je rychlejší a bezpečnější.

Požadavky na DNS jsou obvykle nešifrované, což ale znamená, že nějaký vetřelec či jiná nežádoucí osoba může monitorovat, kam uživatel na internetu vstupuje. Velké riziko existuje  například v prostředích veřejných Wi-Fi spotů na letištích či v kavárnách, kdy je riziko kompromitace uživatelova soukromí velmi vysoké.

"Kdokoliv trochu seznámený s problematikou může tajně sledovat vaši internetovou aktivitu a přesně vidět, které domény využíváte a mnoha případech může zjistit i konkrétní weby," tvrdí David Ulevitch, zakladatel a  výkonný ředitel OpenDNS. "V nejhorším případě pak pokročilí útočníci mohou dokonce modifikovat odpovědi serveru a přesměrovat vás na stránky se škodlivým obsahem.“

V současnosti využívá DNSCrypt pro Mac OS X zhruba deset tisíc lidí, v případě varianty pro Windows se toto číslo může dramaticky zvýšit.

První bulletin se týká zranitelností v řešení Microsoft Office, která hackerům dovoluje na kompromitovaném počítači spustit libovolný kód.

Aby se tak ale stalo, musí uživatelé otevřít infikovaný soubor ve formátu rich-text format (RTF). Pokud tak učiní, exploit dá útočníkům stejná práva na příslušném PC, jako má aktuálně přihlášený uživatel.

Microsoft označuje tuto opravu jako kritickou pro všechny podporované verze produktu MS Word 2007. Jako "important", tedy druhá nejzávažnější,  platí oprava pro všechny podporované edice produtku MS Word 2003, Office 2008 for Mac a Office for Mac 2011. Totéž platí i pro všechny podporované verze Office Compatibility Pack.

Druhý bezpečnostní bulletin pak řeší hned deset zranitelností nalezených v produktech MS Office, Windows, .NET Framework a Silverlight. Ta nejnebezpečnější chyba dovoluje útočníkům vzdáleně spustit škodlivý kód na zasaženém počítači, a to v případě, že otevře infikovaný dokument nebo se nějakým podvodem dostane na škodlivé webové stránky se soubory se zabudovanými TrueType fonty.

Problém je označen Microsoftem jako kritický, což platí pro všechny verze operačního systému Windows, dále .Net Framework 4 (kromě toho, jenž je nainstalován na Windows určeným pro platformu Intel Itanium) a konečně pro Silverlight 4 a 5. Jako „important“ je pak veden u produktů MS Office 2003, MS Office 2007 a MS Office 2010.

Třetí kritický bulletin se pak týká zranitelností v .Net Framework, které mohou útočníkům otevírat dvířka na zasažený počítač s právy aktuálně přihlášeného uživatele. Aby byl atak úspěšný, musejí uživatelé navštívit infikovanou webovou stránku prostřednictvím prohlížeče se spuštěným XAML Browser Applications (XBAPs).

Jako kritická platí tato oprava pro všechny podporované verze.Net Framework na všech podporovaných edicích Windows.

Čtvrtý bulletin pak obsahuje opravu pro šest zranitelností MS Office dovolujících vzdálené spuštění škodlivého kódu, pokud uživatel otevře infikovaný soubor v některém formátu Office. Jeho rating je však jen „important, a to pro všechny podporované verze Excel 2003, Excel 2007, Office 2007, Excel 2010, Office 2010, Office 2008 for Mac, Office for Mac 2011, Excel Viewer a Office Compatibility Pack.

Další bulletiny se pak týkají chyby ve Visio Viewer 2010, dvou děr ve Windows (špatné komponenty pro TCP/IP) a Windows Partition Manageru.

První bulletin se týká zranitelností v řešení Microsoft Office, která hackerům dovoluje na kompromitovaném počítači spustit libovolný kód.

Aby se tak ale stalo, musí uživatelé otevřít infikovaný soubor ve formátu rich-text format (RTF). Pokud tak učiní, exploit dá útočníkům stejná práva na příslušném PC, jako má aktuálně přihlášený uživatel.

Microsoft označuje tuto opravu jako kritickou pro všechny podporované verze produktu MS Word 2007. Jako "important", tedy druhá nejzávažnější,  platí oprava pro všechny podporované edice produtku MS Word 2003, Office 2008 for Mac a Office for Mac 2011. Totéž platí i pro všechny podporované verze Office Compatibility Pack.

Druhý bezpečnostní bulletin pak řeší hned deset zranitelností nalezených v produktech MS Office, Windows, .NET Framework a Silverlight. Ta nejnebezpečnější chyba dovoluje útočníkům vzdáleně spustit škodlivý kód na zasaženém počítači, a to v případě, že otevře infikovaný dokument nebo se nějakým podvodem dostane na škodlivé webové stránky se soubory se zabudovanými TrueType fonty.

Problém je označen Microsoftem jako kritický, což platí pro všechny verze operačního systému Windows, dále .Net Framework 4 (kromě toho, jenž je nainstalován na Windows určeným pro platformu Intel Itanium) a konečně pro Silverlight 4 a 5. Jako „important“ je pak veden u produktů MS Office 2003, MS Office 2007 a MS Office 2010.

Třetí kritický bulletin se pak týká zranitelností v .Net Framework, které mohou útočníkům otevírat dvířka na zasažený počítač s právy aktuálně přihlášeného uživatele. Aby byl atak úspěšný, musejí uživatelé navštívit infikovanou webovou stránku prostřednictvím prohlížeče se spuštěným XAML Browser Applications (XBAPs).

Jako kritická platí tato oprava pro všechny podporované verze.Net Framework na všech podporovaných edicích Windows.

Čtvrtý bulletin pak obsahuje opravu pro šest zranitelností MS Office dovolujících vzdálené spuštění škodlivého kódu, pokud uživatel otevře infikovaný soubor v některém formátu Office. Jeho rating je však jen „important, a to pro všechny podporované verze Excel 2003, Excel 2007, Office 2007, Excel 2010, Office 2010, Office 2008 for Mac, Office for Mac 2011, Excel Viewer a Office Compatibility Pack.

Další bulletiny se pak týkají chyby ve Visio Viewer 2010, dvou děr ve Windows (špatné komponenty pro TCP/IP) a Windows Partition Manageru.

První bulletin se týká zranitelností v řešení Microsoft Office, která hackerům dovoluje na kompromitovaném počítači spustit libovolný kód.

Aby se tak ale stalo, musí uživatelé otevřít infikovaný soubor ve formátu rich-text format (RTF). Pokud tak učiní, exploit dá útočníkům stejná práva na příslušném PC, jako má aktuálně přihlášený uživatel.

Microsoft označuje tuto opravu jako kritickou pro všechny podporované verze produktu MS Word 2007. Jako "important", tedy druhá nejzávažnější,  platí oprava pro všechny podporované edice produtku MS Word 2003, Office 2008 for Mac a Office for Mac 2011. Totéž platí i pro všechny podporované verze Office Compatibility Pack.

Druhý bezpečnostní bulletin pak řeší hned deset zranitelností nalezených v produktech MS Office, Windows, .NET Framework a Silverlight. Ta nejnebezpečnější chyba dovoluje útočníkům vzdáleně spustit škodlivý kód na zasaženém počítači, a to v případě, že otevře infikovaný dokument nebo se nějakým podvodem dostane na škodlivé webové stránky se soubory se zabudovanými TrueType fonty.

Problém je označen Microsoftem jako kritický, což platí pro všechny verze operačního systému Windows, dále .Net Framework 4 (kromě toho, jenž je nainstalován na Windows určeným pro platformu Intel Itanium) a konečně pro Silverlight 4 a 5. Jako „important“ je pak veden u produktů MS Office 2003, MS Office 2007 a MS Office 2010.

Třetí kritický bulletin se pak týká zranitelností v .Net Framework, které mohou útočníkům otevírat dvířka na zasažený počítač s právy aktuálně přihlášeného uživatele. Aby byl atak úspěšný, musejí uživatelé navštívit infikovanou webovou stránku prostřednictvím prohlížeče se spuštěným XAML Browser Applications (XBAPs).

Jako kritická platí tato oprava pro všechny podporované verze.Net Framework na všech podporovaných edicích Windows.

Čtvrtý bulletin pak obsahuje opravu pro šest zranitelností MS Office dovolujících vzdálené spuštění škodlivého kódu, pokud uživatel otevře infikovaný soubor v některém formátu Office. Jeho rating je však jen „important, a to pro všechny podporované verze Excel 2003, Excel 2007, Office 2007, Excel 2010, Office 2010, Office 2008 for Mac, Office for Mac 2011, Excel Viewer a Office Compatibility Pack.

Další bulletiny se pak týkají chyby ve Visio Viewer 2010, dvou děr ve Windows (špatné komponenty pro TCP/IP) a Windows Partition Manageru.

„Během posledních pár let došlo v oblasti technologie kvantových počítačů k úžasnému pokroku,“ uvádí Michele Mosca, zástupce ředitele společnosti Quantum Computing na kanadské univerzitě Waterloo.

Mosca poznamenává, že za posledních 15 let jsme se přesunuli z hraní si s kvantovými bity do oblasti tvorby kvantových logických hradel. Při této rychlosti je podle něho velmi pravděpodobné, že do 20 let budeme mít kvantový počítač.

„Změní to situaci,“ prohlašuje Mosca a vysvětluje, že změna nepřichází z rychlosti počítačových hodin, tj. z frekvence, na které počítač pracuje, ale z astronomického snížení počtu kroků nutných k provedení určitých výpočtů.

Mosca vysvětluje, že kvantový počítač bude v základu schopen používat vlastnosti kvantové mechaniky ke zjišťování vzorů ve velkém čísle bez nutnosti zkoumat každou číslici takového čísla. Prolomení šifer RSA a EC tuto činnost zahrnuje -– nalezení vzorů ve velkých číslech.

Mosca vysvětluje, že s konvenčním počítačem by nalezení vzoru pro šifru EC pro N čísel bitů zabralo počet kroků rovný číslu 2 umocněnému na N/2. Jako příklad pro 100 bitů (což je nevelké číslo) by to zabralo 2⁵⁰ (1,125 biliardy) kroků.

S kvantovým počítačem by to podle něho zabralo cca 50 kroků, což znamená, že prolomení kódu by nebylo výpočetně složitější než původní šifrovací proces.

„U algoritmu RSA je určení počtu potřebných kroků pro řešení prostřednictvím konvenčního počítače složitější než pro šifrování EC, ale měřítko snížení náročnosti při použití kvantových počítačů by mělo být podobné,“ uvádí Mosca.

Situace u symetrického šifrování není tak hrozivá, vysvětluje Mosca. Prolomení symetrického kódu jako AES je záležitost nalezení jednoho funkčního klíče mezi všemi možnými existujícími kombinacemi klíčů.

Se 128bitovým klíčem to je 2¹²⁸ možných kombinací. Díky schopnosti kvantových počítačů zkoumat velká čísla však musí být prozkoumána jen druhá odmocnina z tohoto počtu, tj. v tomto případě 2⁶⁴. Je to stále velký počet a AES může zůstat bezpečný pomocí zvětšení klíčů, uvádí Mosca.

Problémy s načasováním

Kdy ohrozí kvantové počítače situaci? „Nevíme,“ uvádí Mosca. Pro mnoho lidí vypadá 20 let jako dlouhá doba, ale ve světě kybernetické bezpečnosti je to za rohem.

„Je to akceptovatelné riziko? Nemyslím si to. Potřebujeme tedy začít zjišťovat, jaké alternativy nasadit, protože změna infrastruktury může trvat mnoho let,“ uvádí Mosca.

Moorcones ze společnosti SafeNet nesouhlasí. „DES vydržel 30 let a AES je dobrý pro dalších 20 nebo 30 let,“ prohlašuje. Zvýšení výpočetního výkonu lze kompenzovat častější změnou klíčů (v případě nutnosti s každou novou zprávou), protože mnoho podniků nyní mění svůj klíč každých 90 dní, poznamenává. Každý klíč samozřejmě vyžaduje nové úsilí o prolomení, protože každý úspěch s jedním klíčem není použitelný pro další.

V oblasti šifrování platí přibližné pravidlo, že „chcete-li, aby vaše zpráva byla 20 či více let v bezpečí, potřebujete, aby vámi používané šifrování zůstalo odolné následujících 20 let,“ tvrdí Kolodgy z IDC.

„V současné době se při lámání kódu vyvíjí snaha problém obejít – vše se týká získání nadvlády nad počítačem uživatele,“ vysvětluje Kolodgy. „Jakmile se v současné době něco dostane mimo, nepodaří se to dešifrovat.“

Největším problémem se šifrováním je zajistit, aby bylo skutečně použito.

„Veškerá firemní důležitá data by měla být při ukládání zašifrována, zejména data kreditních karet,“ tvrdí Richard Stiennon ze společnosti IT-Harvest z michiganského Birminghamu, která provádí výzkumy zabezpečení IT.

„Organizace Payment Card Industry Security Standards Council (PCI SS) požaduje, aby prodejci tato data šifrovali a ještě lépe, vůbec je neukládali. Zákony o oznámení úniku dat nevyžadují oznámení o uniklých datech, pokud byla tato data dostatečně zašifrována.“

Samozřejmě že ponechání vašeho šifrovacího klíče na papíru někde poblíž se také může ukázat jako špatný nápad. Řešením může být kvantová technologie distribuce klíčů.

Pokud kvantová technologie ohrožuje metody použité k šíření šifrovacích klíčů, může také nabídnout technologii QKD (Quantum Key Distribution, distribuce kvantových klíčů), pomocí které mohou být takové klíče současně vytvářeny a bezpečně přenášeny.

QKD je již na trhu od roku 2004 díky systému Cerberis, který využívá optická vlákna a pochází od společnosti ID Quantique ze švýcarské Ženevy. Grégoire Ribordy, zakladatel a výkonný ředitel této firmy, vysvětluje, že systém využívá kvantového jevu – akt měření kvantových vlastností totiž tyto vlastnosti ve skutečnosti mění.

Na jednom konci optického vlákna vysílač odesílá jednotlivé fotony ke druhému konci. Normálně fotony dorazí s očekávanými hodnotami a jsou použity k vytvoření nového šifrovacího klíče.

Pokud však někde po cestě sedí „šmírák“, uvidí přijímač chyby v hodnotách fotonů a klíč není vytvořen. “V případě nepřítomnosti chyb je bezpečnost kanálu zaručena,“ tvrdí Ribordy.

Protože však lze bezpečnost zajistit pouze zpětně – když jsou vyhodnoceny chyby, což nastane okamžitě, měl by být kanál používán pouze k zasílání klíčů a nikoli k zasílání zpráv, poznamenává.

Dalším omezením systému je jeho dosah, který nyní nepřekračuje 100 km, přestože firma dosáhla v laboratořích hodnoty 250 km. Teoretické maximum je 400 km, prohlašuje Ribordy. Prodloužení dosahu by vyžadovalo vývoj kvantového opakovače, který by používal stejnou technologii jako kvantový počítač.

Zabezpečení QKD ale není levné. Pár vysílače s přijímačem stojí cca 100 tisíc dolarů, poznamenává Ribordy.

V každém případě může nedodržení zabezpečení konfigurace zařízení, operačních systémů nebo aplikací vzhledem k regulačním opatřením a korporátním zásadám způsobit zranitelnost vůči případnému útoku.

„Zranitelnosti se objevují a mizí. Budete je mít,“ zdůrazňuje Renaud Deraison, ředitel výzkumu společnosti Tenable a tvůrce produktu Nessus. „Audit konfigurací zajišťuje, aby bezpečnostní strategie měla správný směr, zatímco instalace oprav je spíše každodenní rutina.“

Směrnice jsou důležité, protože po firmách vyžadují dodržování standardů pro postupy bezpečných konfigurací ve všech oblastech včetně výchozích hesel správců, povolených či zakázaných služeb a odpovídající síly šifrování.

Většina dodavatelů správy zranitelností proto rozšířila své schopnosti do oblasti detekce konfigurací. Konfigurace vybavení musí být zjištěna autentizovaným skenováním či pomocí agentů a porovnána s pokyny směrnic, zásadami a obvykle se zlatým standardem pro dané zařízení (například pro webový server Apache nebo směrovač Cisco). Bez automatizovaného nástroje je to nudná činnost.

„V předchozích firmách, pro které jsem pracoval, jsem musel manuálně procházet a kontrolovat určité konfigurace,“ uvádí Shaheen Abdul Jabbar, bezpečnostní konzultant a autor blogu Snajsoft.com. „Pokud bych měl automatizovaný nástroj, ušetřilo by mi to mnoho času.“

Cyklus zjištění – oprava – audit je u zranitelností v podstatě stejný. Základním rozdílem je ustavení výchozí bezpečné konfigurace namísto zjišťování chyby v kódu.

„Kontroly konfigurace vůči výchozímu nastavení jsou minimálním dosažitelným cílem a jsou velmi důležité,“ prohlašuje manažer zabezpečení finanční instituce. „Velmi se snažím o standardní implementaci, kterou si přeji. Pokud existuje významná odchylka, chci to hned vědět.“

Skenování aplikací a databází

Mnoho produktů pro správu zranitelností také rozšířilo své schopnosti do oblasti webových aplikací a v některých případech také do oblasti skenování zranitelnosti databází. I když je skenování sítě stále základní funkcí, vedoucí dodavatelé přijímají postoj, že zranitelnost je prostě zranitelnost.

„Měl bych být schopen použít jeden nástroj a zadat, že chci, aby proskenoval nějaké vybavení kompletně: aplikace, síť a opravy operačního systému – zajímají mě zranitelnosti, tečka,“  vysvětluje manažer zabezpečení.

Testování zranitelnosti aplikací je však komplikované a obtížné. Dynamické testování webových aplikací například vyžaduje procházení webu a testování širokého a komplexního sortimentu potenciálních slabých míst, jako jsou kvanta kombinací při zadávání údajů, aby bylo možno zjistit, zda existuje zneužitelná zranitelnost.

Většina zranitelností je zjištěna na aplikační vrstvě a tam také útočníci směřují většinu svého úsilí. Organizace však reagují na tento vektor hrozeb velmi pomalu. Jak firmy zvyšují tlak na zprovozňování nových webových aplikací, jsou vývojáři pod intenzivním časovým a rozpočtovým tlakem, aby se zaměřili na funkce, a ne na zabezpečení.

Výsledkem je pak to, že velké organizace mají tisíce aplikací, které jsou však zaplaveny chybami v zabezpečení, a jen málo podniků využívá něco, co by se podobalo životním cyklům vývoje bezpečného softwaru.

Zranitelnosti aplikací je obtížné zjistit, samotná oprava trvá dlouho a stojí mnoho peněz, zejména při srovnání se snadností instalace oprav zranitelností systému Windows nebo při srovnání s chybou v konfiguraci.

Trh se zabezpečením aplikací je navíc dlouho oblastí pro vysoce specializované produkty a poskytovatele služeb, kteří mají znalosti aplikací a zkušenosti, které se jinde nevidí. Proč tedy v nástroji pro správu zranitelností hledat skenování aplikací?

Významným faktorem je dodržování směrnic. Podniky mohou alespoň provést první krok k plnění směrnic, které nyní vyžadují opatření pro zabezpečení aplikací.

„Aby byly dodrženy směrnice, musí ředitel zabezpečení zajistit, že jsou tyto aplikace bezpečně nasazeny v produkčních prostředích,“ uvádí Amer Deeba, ředitel marketingu ve společnosti Qualys.

„Správa zranitelností slučuje vše dohromady do jednoho centralizovaného pohledu.“ Správci sítí tak podle něho mohou reagovat na nalezené zranitelnosti sítě a vlastníci aplikací mohou spolupracovat s vývojáři na opravě zranitelností zjištěných skenerem aplikací.

„Organizace zabezpečení a ředitel zabezpečení informací však nesou zodpovědnost za všechno,“ dodává.

Skenování databázové zranitelnosti má nižší prioritu. Databáze jsou relativně izolované v zázemí korporátní infrastruktury IT a jsou útokům vystaveny prostřednictvím aplikací, které k nim tvoří komunikační rozhraní. Z tohoto důvodu je primární zaměření zabezpečení na způsob, jak zabránit útočníkům k přístupu do databáze přes tyto aplikace.

Zabezpečení databází a regulační opatření to řídí a jsou primárně zaměřeny na kontrolu privilegovaných zaměstnanců prostřednictvím separace povinností, silného řízení přístupu a sledování aktivit.

– Agregaci, zjišťování souvislostí a analýzu dat z různých zdrojů včetně alarmů, snímačů prostředí (sledujících fyzikální údaje, jako je třeba teplota), systémů detekce narušení (IDS) a dohledového videa.

– Prezentaci situačního pohledu vytvořenou z dostupných dat.

– Provádění standardních provozních postupů dokumentováním nejlepších pro každou situaci.

– Identifikaci trendů prohledáváním dat ze současných a minulých událostí za účelem vytváření reportů.

– Audit chování operátora záznamem všech reakcí na všechny alarmy pro pozdější analýzu.

Tento přehled neobsahuje systémy správy videa ani analýzu videa (i když obojí jsou běžné a důležité komponenty architektury PSIM), protože správa videa nespadá do stejné kategorie jako situation management. Video však zůstává velmi užitečné při ověřování alarmů a samotné digitalizované video je cenným zdrojem dat pro systém PSIM.

Výměna zastaralého řídicího centra

Jeden z nejčastějších nářků manažerů zabezpečení v průzkumu společnosti Hunt byl ten, že řídicí centrum fyzické ochrany nedrží krok s ostatními odděleními jejich firmy. Oddělení IT má své centrum provozu sítě, skupina starající se o ochranu dat má své centrum provozu a také korporátní ochranka má své správní a kontrolní centrum.

Oddělení fyzického zabezpečení však stále „vypadá jako policejní buňka z osmdesátých let – kompletně i s tradičními kávovými hrnky“, tedy minimálně podle jednoho z vrcholových manažerů, který pracuje jako CISO a šéf korporátní bezpečnosti v jedné společnosti ze seznamu Fortune 500.

Připadá mu, že provoz fyzické ochranky vypadá spíše jako bezpečnostní kancelář vysokoškolských kolejí než oddělení významné firmy. Frustrován je odtržeností ochrany od zbytku špičkové technologické společnosti.

Stejně jako mnoho ostatních vysokých manažerů firem, majících dobré znalosti v oblasti IT, i on vykonává rozhodnutí založená na datech, která jsou organizována do podoby užitečných informací.

Jeden ředitel z velké organizace zabývající se dopravními službami si stěžuje, že centrum fyzického zabezpečení u nich nesdílí své informace. „Provoz postavený na papírových dokumentech je tak silně založen na intuici samotných zaměstnanců ochranky, kterými jsou bývalí policisté, že mi to jednoduše neposkytuje žádná data potřebná k provádění rozhodnutí při řízení rizik,“ vysvětluje.

Obecně řečeno jsou uživatelé softwaru pro situation management spokojeni a cítí, že se produkty chovají podle jejich očekávání a zlepšují provozní ochranu. Pro subjekty, kde dochází ke zlepšování nebo náhradě současného řídicího centra, přináší zmíněný software vyšší hodnotu z každého již používaného systému – více relevance, kontextu a dat z alarmů, řízení přístupu a systémů detekce narušení (IDS) atd. Pro zákazníky bez řídicího centra fyzické ochrany tvoří software pro situation management vhodnou základnu pro reakce na incidenty.

Zjišťování hodnoty a návratnosti investic může být u softwaru tohoto typu celkem jednoduché. Jeden uživatel, který řídí služby poskytované ve více státech, uvádí, že program pro situation management pomohl jeho společnosti vyhovět vládním standardům pro dohled nad fyzickým zabezpečením v komplexním prostředí.

Mohl sice jen nasadit kamery, ale to by vyžadovalo najmout více zaměstnanců pro jejich monitorování. Použitím příslušného softwaru byl schopen zvýšit počet kamer desetinásobně, a to bez přidání jediného zaměstnance. „Původním důvodem, proč jsme tento program začali používat, bylo dodržování směrnic, ale brzká návratnost investic prokázala rozumnost tohoto rozhodnutí i v jiných směrech,“ uvedl onen uživatel.

Růst trhu PSIM

Přijetí softwaru pro situation management je stále v ranných fázích – v roce 2009 tvořil prodej méně než 100 milionů dolarů. To je pravděpodobně způsobeno tím, že systémy PSIM se v zásadě technologicky a procedurálním přístupem odlišují od správy fyzického zabezpečení, tedy nejsou jen zlepšeným způsobem provádění tradiční správy událostí. Tento dojem novoty je příčinou určité opatrnosti podniků.

Výdaje na PSIM se obecně pohybují po stejné trajektorii, jako se pohybovaly výdaje na správu informací o zabezpečení IT (IT Security Information Management, IT-SIM) přibližně před deseti lety.

Protože však PSIM zahrnuje mnohem větší rozsah a objem dat – ty pocházejí z jednoduchých i složitých senzorů, detektorů, sítí a počítačů –, než tomu je u zabezpečení IT, přirozeně stojí více než jeho IT ekvivalent. Očekává se, že náklady na IT-SIM budou v roce 2012 přibližně jedna miliarda dolarů a PSIM ve stejném roce by měly už dosáhnout přibližně čtyřnásobku této částky.

Celý trh PSIM dosáhl v roce 2008 částky cca 1,5 miliardy dolarů a obrat byl rozdělen mezi platby za prodej softwaru a za služby (konzultace a integrace). Očekává se, že v roce 2012 se za služby bude utrácet o 25 procent více než za software. Pokud dojde k dosažení odhadu čtyř miliard dolarů, bude ukazatel CAGR (Compound Annual Growth Rate, průměrný meziroční nárůst) pro roky 2008 až 2012 přibližně 28 procent.

Při průzkumu společnosti Hunt mezi koncovými uživateli – manažery v několika odvětvích byli dotazováni, kolik financí pravděpodobně vydají na technologie PSIM v následujících letech. Mnoho severoamerických a evropských organizací s ročním obratem více než  miliarda dolarů chce technologie podobné PSIM zavádět a má je už obsaženy ve svých rozpočtech, často s výdaji více než půl milionu dolarů za PSIM v následujících třech letech.

Pro odhad očekávaných výdajů v jiných regionech zatím neexistuje dostatek údajů, ale mnoho technologických společností po své expanzi a marketingu v Asii dosahuje stejných obratů jako v Severní Americe. Pokud tedy budou dodavatelé PSIM při prodeji v Asii efektivní, mohly by být obraty z tohoto regionu významně vyšší.

Možné alternativy

Protože ředitelé zabezpečení a integrátoři velmi dobře znají systémy pro správu videa, je možné, že budou považovány za dostatečně dobré řešení pro architekturu podobnou PSIM, zejména pokud dodavatelé lépe integrují řízení přístupu, analýzu videa a externí senzory do jednotného pohledu.

Taková architektura by však přesto měla celkově menší funkčnost a hodnotu než ryzí architektura PSIM, spojená se zjišťováním souvislostí mezi událostmi z různých platforem a následným hlášením.

Koncoví uživatelé v komplexních prostředích hledající způsoby, jak vyhovět bezpečnostním směrnicím, stejně jako ti, kdo chtějí zvýšit účinnost, efektivitu, odpovědnost a transparentnost, by měli použití softwaru pro situation management zvážit.

Poskytovatelé řešení specializovaných PSIM

Poskytovatelé řešení tradičních řídicích center fyzické ochrany začínají přijímat koncepty PSIM převodu dat zabezpečení do podoby business inteligence, a vytvářejí tak v oblasti PSIM významný obrat. Jedná se zejména o následující významné firmy: Arinc, Boeing, DAQ, GE, Icxt, Intergraph, Kaplogic, L-3, Magall Senstar a Northrop Grumman.

Poskytovatelé specializovaní na situation management:

• Computer Network Limited (CNL, www.cnlsoftware.com) – privátní společnost z Velké Británie založená v roce 2001. Odhadovaný obrat v roce 2009 byl méně než 20 milionů dolarů.
• NICE Systems (www.nice.com) – veřejně obchodovatelná izraelská společnost dodávající hardware a software. V roce 2009 dosáhla obratu 583,1 milionu dolarů.
• Proximex Corporation (www.proximex.com) – privátně vlastněná softwarová společnost se sídlem v USA. Odhadovaný obrat je méně než 20 milionů dolarů.
• Vidsys (www.vidsys.com) – dceřiná společnost firmy Dynamic Technology Systems. Odhadovaný obrat v roce 2009 byl méně než 20 milionů dolarů.

Dodavatelé nabízející doplňky pro  situation management:

• Engine pro firemní logiku a pravidla – Augusta Systems (www.augustasystems.com) a Vialogy (www.vialogy.com)
• Reportování událostí spojených se správou identit – Quantum Secure
• Systémy správy videa integrované s externími senzory, řízením přístupu a analýzou videa – Aimetis, DVTel, Milestone, NICE, Verint, VideoNEXT, Visual Defense
• Sledování budov a prostředí – Honeywell, Tridium, Siemens (Novatec)

Průzkum probíhal mezi IT manažery středních a velkých firem, které již virtuální infrastrukturou disponují, nebo plánují její implementaci v dohledné době.

Průzkum proběhl v březnu 2012 a potvrdil, že virtuální infrastrukturu využívá stále více firem. Virtualizaci serverů v současné době implementuje nebo již implementovalo 62 % evropských firem, 35 % firem se připravuje na implementaci virtuální desktopové infrastruktury a 33 % na virtualizaci datových úložišť.

Z průzkumu rovněž vyplývá, že firmy již mají s používáním virtualizačních technologií značnou zkušenost – v Evropě jde o bezmála dva roky.

Přibližně 42 % evropských odborníků pracujících v IT se navíc domnívá, že bezpečnostní rizika ve virtuálním prostředí jsou nižší nebo dokonce výrazně nižší než ve fyzické infrastruktuře. Třetina pak má za to, že tato rizika jsou v obou prostředích přinejmenším stejná.

Míra zavádění speciální bezpečnostní technologie ve virtualizovaných prostředích je nebezpečně nízká: 55 % evropských firem o bezpečnostní řešení pro virtuální infrastrukturu buď vůbec nemá zájem, jiné o něj sice stojí, ale jejich nasazení neplánují. Implementaci bezpečnostních technologií pro svá virtualizovaná prostředí potvrdilo pouhých 18 % evropských společností.

„Tento průzkum ukazuje, že povědomí o bezpečnostních rizikách virtuálních prostředí je mezi firmami velmi nízké. Jsme přesvědčeni, že bezpečnosti virtuální infrastruktury je třeba věnovat maximální pozornost. Většina společností je totiž současně vystavena bezpečnostním rizikům jak ve virtuálních, tak fyzických prostředích.“ upozorňuje produktový ředitel společnosti Kaspersky Lab Konstantin Voronkov.

Symantec podle svých slov zablokoval v roce 2011 více jak 5,5 miliardy útoků škodlivých kódů, což představuje oproti předchozímu roku nárůst o 81 %. Počet unikátních variant malwaru vzrost na 403 miliónů a počet denních zablokovaných webových útoků se zvýšil o 36 %.

Současně prý značně pokleslo množství nevyžádané pošty a počet nově odhalených zranitelností se snížil o 20 %. Útočníci si ale osvojili nástroje, kterými dokáží efektivně využívat stávající zranitelnosti. Kyberzločinci méně využívají spam a naopak více se zaměřují na sociální sítě.

Vzhledem k samotné  povaze sociálních sítí se uživatelé nesprávně domnívají, že jim nehrozí žádné nebezpečí. Navíc techniky sociálního inženýrství a virální podstata sociálních sítí umožňují mnohem snazší šíření hrozeb.

Množství cílených útoků se zvyšuje. Počet denních cílených útoků vzrostl ke konci roku 2011 ze 77 na 82 útoků za den. Pro cílené útoky využívají kyberzločinci sociální inženýrství a upravené varianty škodlivého kódu, aby získali neoprávněný přístup k citlivým informacím. Útoky jsou tradičně zaměřené na veřejný sektor a vládní organizace, nicméně v roce 2011 se soustředily i na další odvětví.

Cílené útoky se již nesoustředí pouze na velké firmy. Více než 50 % těchto útoků cílí na firmy s méně než 2 500 zaměstnanci a téměř 18 % ohrožených firem jsou organizace s méně než 250 zaměstnanci. Menší organizace jsou často partnery velkých společností a nejsou tak dobře chráněné. Proto se stávají terčem cílených útoků.

Navíc 58 % útoků směřuje na nevýkonné funkce, zaměstnance na pozicích jako jsou lidské zdroje, PR a prodej. Zaměstnanci na podobných pozicích sice často nemají přímý přístup ke klíčovým informacím, mohou ale posloužit jako přímý spoj do nitra společnosti. Pro útočníky je snadné identifikovat na internetu cíle, protože zaměstnanci jsou zvyklí nedodržovat bezpečnostní zásady a stahovat přílohy z neznámých zdrojů.

V roce 2011 uniklo během jednoho narušení dat přibližně 1,1 miliónů identit, což je dramatický nárůst oproti předchozím rokům. Největší hrozbou v oblasti narušení dat jsou hackeři. V roce 2011 vinou hackerů unikly  informace o 187 miliónech identit, což je nejvyšší počet ze všech typů narušení dat za minulý rok.

Nicméně nejčastější příčinou narušení dat, která mohla usnadnit krádež identity, byla krádež nebo ztráta počítače nebo jiného zařízení, na kterém jsou data ukládána a přenášena – chytré telefony, USB flash disky nebo zálohovací zařízení. Narušením dat, které bylo způsobeno krádeží nebo ztrátou zařízení, unikly informace o 18,5 miliónech identit.

Prodej tabletů a smartphonů převyšuje prodej osobních počítačů, a tak je na mobilních zařízeních stále více citlivých informací. Zaměstnanci ve firemním prostředí stále častěji využívají chytré telefony a tablety, přitom je ale firmy nejsou schopné zabezpečit a spravovat. Může proto snadno dojít k úniku dat, například při ztrátě mobilního zařízení, pokud nejsou přístroje dostatečně zabezpečené. Podle studie společnosti Symantec se 50 % ztracených telefonů nedostane zpět ke svému majiteli a u 96 % (včetně vrácených) dojde k narušení bezpečnosti dat.

V roce 2011 se počet mobilních zranitelností zvýšil o 93 %. Současně vzrostlo také množství hrozeb, které se soustředí na operační systém Android. Množství zranitelností v mobilním prostoru roste a tvůrci malware nejen upravují stávající malware pro mobilní zařízení, ale zároveň vytváří i specifické škodlivé kódy, které se zaměřují na unikátní možnosti mobilních zařízení. V roce 2011 mobilní malware poprvé představoval skutečnou hrozbu pro firmy i domácí uživatele. Hrozby se soustředí na sběr dat, zasílání obsahu a sledování činnosti uživatele.

Symantec podle svých slov zablokoval v roce 2011 více jak 5,5 miliardy útoků škodlivých kódů, což představuje oproti předchozímu roku nárůst o 81 %. Počet unikátních variant malwaru vzrost na 403 miliónů a počet denních zablokovaných webových útoků se zvýšil o 36 %.

Současně prý značně pokleslo množství nevyžádané pošty a počet nově odhalených zranitelností se snížil o 20 %. Útočníci si ale osvojili nástroje, kterými dokáží efektivně využívat stávající zranitelnosti. Kyberzločinci méně využívají spam a naopak více se zaměřují na sociální sítě.

Vzhledem k samotné  povaze sociálních sítí se uživatelé nesprávně domnívají, že jim nehrozí žádné nebezpečí. Navíc techniky sociálního inženýrství a virální podstata sociálních sítí umožňují mnohem snazší šíření hrozeb.

Množství cílených útoků se zvyšuje. Počet denních cílených útoků vzrostl ke konci roku 2011 ze 77 na 82 útoků za den. Pro cílené útoky využívají kyberzločinci sociální inženýrství a upravené varianty škodlivého kódu, aby získali neoprávněný přístup k citlivým informacím. Útoky jsou tradičně zaměřené na veřejný sektor a vládní organizace, nicméně v roce 2011 se soustředily i na další odvětví.

Cílené útoky se již nesoustředí pouze na velké firmy. Více než 50 % těchto útoků cílí na firmy s méně než 2 500 zaměstnanci a téměř 18 % ohrožených firem jsou organizace s méně než 250 zaměstnanci. Menší organizace jsou často partnery velkých společností a nejsou tak dobře chráněné. Proto se stávají terčem cílených útoků.

Navíc 58 % útoků směřuje na nevýkonné funkce, zaměstnance na pozicích jako jsou lidské zdroje, PR a prodej. Zaměstnanci na podobných pozicích sice často nemají přímý přístup ke klíčovým informacím, mohou ale posloužit jako přímý spoj do nitra společnosti. Pro útočníky je snadné identifikovat na internetu cíle, protože zaměstnanci jsou zvyklí nedodržovat bezpečnostní zásady a stahovat přílohy z neznámých zdrojů.

V roce 2011 uniklo během jednoho narušení dat přibližně 1,1 miliónů identit, což je dramatický nárůst oproti předchozím rokům. Největší hrozbou v oblasti narušení dat jsou hackeři. V roce 2011 vinou hackerů unikly  informace o 187 miliónech identit, což je nejvyšší počet ze všech typů narušení dat za minulý rok.

Nicméně nejčastější příčinou narušení dat, která mohla usnadnit krádež identity, byla krádež nebo ztráta počítače nebo jiného zařízení, na kterém jsou data ukládána a přenášena – chytré telefony, USB flash disky nebo zálohovací zařízení. Narušením dat, které bylo způsobeno krádeží nebo ztrátou zařízení, unikly informace o 18,5 miliónech identit.

Prodej tabletů a smartphonů převyšuje prodej osobních počítačů, a tak je na mobilních zařízeních stále více citlivých informací. Zaměstnanci ve firemním prostředí stále častěji využívají chytré telefony a tablety, přitom je ale firmy nejsou schopné zabezpečit a spravovat. Může proto snadno dojít k úniku dat, například při ztrátě mobilního zařízení, pokud nejsou přístroje dostatečně zabezpečené. Podle studie společnosti Symantec se 50 % ztracených telefonů nedostane zpět ke svému majiteli a u 96 % (včetně vrácených) dojde k narušení bezpečnosti dat.

V roce 2011 se počet mobilních zranitelností zvýšil o 93 %. Současně vzrostlo také množství hrozeb, které se soustředí na operační systém Android. Množství zranitelností v mobilním prostoru roste a tvůrci malware nejen upravují stávající malware pro mobilní zařízení, ale zároveň vytváří i specifické škodlivé kódy, které se zaměřují na unikátní možnosti mobilních zařízení. V roce 2011 mobilní malware poprvé představoval skutečnou hrozbu pro firmy i domácí uživatele. Hrozby se soustředí na sběr dat, zasílání obsahu a sledování činnosti uživatele.

Ukazuje se tak nový vektor nákazy pro tyto mobilní přístroje. Malware, který se pokouší sám nainstalovat do smartphonu, byl označen jako "NotCompatible," a jeví se jako TCP relay nebo proxy.

Tento typ ataku je známý spíše pod označením drive-by download je obvyklý pro klasické počítače – pokud někdo navštíví nakažený web, malware nakazí jeho počítač, aniž by měl o tom tušení. Obvykle se tak děje o zařízení, jež nemají nainstalovány nejnovější aktualizace.

"Je to poprvé, co kompromitované internetové stránky byly použity pro distribuci malwaru, jenž je určen pro platformu Android,“  píše se v blogu společnosti Lookout.

Sami představitelé této firmy poznamenávají, že takto bylo nakaženo několik webů, jejichž provoz je ale relativně malý – proto bylo riziko pro uživatele poměrně nízké.

Podle všeho není kód určen k tomu, aby uživatele nějak výrazněji zasáhl – vědci Lookoutu se spíše domnívají, že by mohlo jít o pokud nelegálně proniknout do firemních sítí právě prostřednictvím zkompromitovaných mobilů zaměstnanců právě proměnou na proxy.

Právě tato funkce může být velmi důležitá pro IT administrátory: zařízení infikované pomocí malwaru NotCompatible by mohlo být potenciálně zneužito k získání přístupu k v běžné situaci chráněným informacím či systémům."

Hacknuté weby mají skryté iframy, což jsou okna, která na webovou stránku přinášejí obsah odjinud – výsledkem je to, že uživatelův browser natáhne informace z jiných webových stránek, jež obsahují NotCompatible. Pokud ale takovou stránku zobrazí prohlížeč klasického PC, ukáže se mu chybová hláška.

Důležité je ale poznamenat, že malware se do zařízení s Androidem nainstaluje pouze v případě, že uživatel má nastavenu položku "unknown sources“ jako povolenou (v opačném případě ale může nahrávat aplikace pouze z Google Play.