Archiwum IPSec.pl od 24. września 2002 do 22. listopada 2002

2008-05-21 00:00:00 +0100


Dla audytorów bezpieczeństwa
Paweł Krawczyk
piątek, 22. listopada 2002

K. K. Mookhey opublikował dokument zatytułowany The Unix Auditor's Practical Handbook stanowiący przewodnik i podręczny zbiór zaleceń dla osób zajmujących się audytowaniem systemów uniksowych.

Pozostając w tym samym temacie dodajmy, że Polski Komitet Normalizacyjny kończy właśnie tłumaczenie i adaptację normy ISO/IEC 17799 zatytułowanej ,,Praktyczne zasady zarządzania bezpieczeństwem informacji''. Na podstawie lektury szkicu polskiej wersji możemy powiedzieć, że administratorzy bezpieczeństwa będą mieli sporo lektury na długie zimowe wieczory. Dokument ten stanowi jednak dopiero pierwszą część cyklu, zawierającą zalecenia o charakterze ogólnym i bez uwag o charakterze technicznym (które pojawią się zapewne w kolejnych częściach). Dokument jest jednak napisany przystępnie i zawiera wiele przykładów wdrażania zalecanych procedur.

K. K. Mookhey ,,The Unix Auditor's Practical Handbook'' http://www.nii.co.in/tuaph.html
Polski Komitet Normalizacyjny http://www.pkn.pl/


Wojna czeczeńska w cyberprzestrzeni
Paweł Krawczyk
piątek, 22. listopada 2002

Osoby zainteresowane niezależną opinią o aktualnej sytuacji w Czeczeni czekało w ostatnich tygodniach niemiłe zaskoczenie. Bezpośrednio po akcji na Dubrowce i rozpoczęciu przez Moskwę antyczeczeńskich czystek zniknęły lub przestały działać także czeczeńskie internetowe serwisy informacyjne, zlokalizowane w przeważającej większości poza granicami Federacji Rosyjskiej. Część tych serwisów została zablokowana atakami DOS, niektóre domeny (m.in. kavkaz.org, kavkazcenter.com) zostały zablokowane przez firmy zarządzające DNS pod niejasnymi zarzutami. Według cytowanych przez Reuters przedstawicieli czeczeńskich serwisów za atakami tymi stoi rosyjskie FSB (następca KGB). Niepokojąca jest łatwość z jaką rosyjskie służby są w stanie kontrolować serwisy stojące na - wydawałoby się - obcym terytorium.

Reuters http://www.reuters.com/news_article.jhtml?type=internetnews&StoryID=1737521


Nowa prezentacja Gutmanna o e-podpisie
Paweł Krawczyk
piątek, 22. listopada 2002

Peter Gutmann, autor obszernego zbioru slajdów nieocenionego dla osób przygotowujących własne wystąpienia na konferencje (o czym sami się przekonaliśmy) udostępnił kolejną prezentację, tym razem poświęconą prawnym aspektom podpisu elektronicznego. Polecamy zapoznanie się z całością materiałów, dotykających chyba każdego aspektu ochrony danych i kryptografii.

Peter Gutmann ,,Gozilla Tutorial'' http://www.cs.auckland.ac.nz/~pgut001/tutorial/index.html


Nowy firewall/IDS aplikacyjny open-source
Paweł Krawczyk
piątek, 22. listopada 2002

Projekt OWASP ogłosił udostępnienie CodeSeekera, nowego systemu wykrywania włamań oraz firewalla działającego na poziomie aplikacji. CodeSeeker jest napisany w Javie oraz C/C++ i jest specjalizowany na analizowanie ruchu WWW (HTTP).

OWASP CodeSeeker http://www.owasp.org/codeseeker/


Firmy muzyczne atakują P2P
Marcin Mierzejewski
środa, 20. listopada 2002

Rząd USA próbuje ograniczyć łamanie praw autorskich związane z udostępnianiem muzyki i filmów przez systemu typu P2P wydając pozwolenia takim firmom fonograficznym na prowadzenie ataków mogących zakłócić ich działanie. Do takich ataków można zaliczyć udostępnianie ogromnej liczby fałszywych plików o atrakcyjnych nazwach, wpuszczanie do sieci P2P wirusów czy wręcz ataki DDoS.

N. Daswani z Uniwersytetu Stanforda oraz H. Garcia-Molina i D. Boneh pracują nad systemem P2P, który będzie utrudniał takie ataki przez analizę charakterystyki połączeń przychodzących do węzłów. W przypadku zachowania klienta odbiegającego od normy jego aktywność będzie okładana restrykcjami.

N. Daswani ,,Trusted Peer-to-Peer Computing'' http://www.stanford.edu/~daswani/research.html


Trojan w libpcap i tcpdump
Marcin Mierzejewski
poniedziałek, 18. listopada 2002

W ostatnich wersjach biblioteki libpcap oraz programu tcpdump udostępnianych na stronie www.tcpdump.org odkryto konie trojańskie umieszczone tam przez nieznanego włamywacza. Osoby, które w ostatnim czasie ściągnęły wersje libpcap 0.7.1 oraz tcpdump 3.6.2 oraz 3.7.1 powinny zweryfikować sumy MD5 ściągniętych archiwów i upewnić się, że nie mają wersji z "prezentem".

HLUG: Latest libpcap and tcpdump trojan http://www.hlug.org/trojan/


DoS w kernelu Linuksa
Paweł Krawczyk
poniedziałek, 18. listopada 2002

We wszystkich kernelach Linuksa linii rozwojowych 2.2, 2.4 i 2.5 odkryto błąd umożliwiający zdestabilizowanie pracy systemu nawet przez zwykłego użytkownika. Problem ten zostły naprawione w wersji Linuksa 2.4.20-rc2 (kandydat na nowy stabilny kernel 2.4.20) oraz linii 2.5.

i386 Linux Dos (poprawka) http://marc.theaimsgroup.com/?l=linux-kernel&m=103729790607679&w=2
i386 Linux Dos (dyskusja) http://marc.theaimsgroup.com/?l=linux-kernel&m=103721915800493&w=2


Dziura w BIND
Paweł Krawczyk
poniedziałek, 18. listopada 2002

W najpopularniejszym serwerze DNS - ISC BIND - odkryto kolejny błąd przepełnienia bufora, który można wykorzystać w celu zdalnego wykonania złośliwego kodu na zaatakowanym serwerze. Użytkownicy BIND powinni szybko uaktualnić go do wersji 9.2.1 (lub jednej z 8.3.4, 8.2.7 lub 4.9.11 jeśli nie mogą przejść na wersję 9).

ISC: BIND Vulnerabilities http://www.isc.org/products/BIND/bind-security.html


Szyfrowanie dysku w FreeBSD
Paweł Krawczyk
wtorek, 12. listopada 2002

W FreeBSD 5.0 pojawiło się transparentne szyfrowanie dysków pod nazwą gbde (Geom Based Disk Encryption). Projekt sponsorują DARPA i NAI Labs, a implementacja jest ciekawa i różni się znacznie od znanego z Linuksa loop device. Więcej na ten temat można znaleźć w źródle manuala gbde(4). Należy przy tym pamiętać, że jest to implementacja eksperymentalna i zapewne nie nadaje się jeszcze do zastosowań produkcyjnych.


Nowe artykuły kryptograficzne
Paweł Krawczyk
wtorek, 12. listopada 2002

W ostatnich dniach pojawiło się kilka interesujących nowości. Artykuł ,,Host Discovery using Nmap'' to praktyczny przewodnik po rozpoznawaniu topologii sieci i systemów operacyjnych autora Marka Wolfganga. Praca ,,Man-in-the-middle in Tunelled Authentication'' omawia obronę przed atakami MITM w protokołach takich jak PIC, PEAP i EAP-TTLS. Kolejny artykuł ,,Layer 2 Analysis of WLAN Discovery Applications for Intrusion +Detection'' omawia metody skanowania sieci bezprzewodowych WLAN stosowane przez najpopularniejsze skanery tego typu.


ECC-109 Challenge rozwiązane
Paweł Krawczyk
piątek, 8. listopada 2002

Ogłoszony przez Certicom konkurs na złamanie opartego o krzywe eliptyczne klucza o długości 109 bitów został zakończony dwa dni temu sukcesem zespołu Chrisa Monico z uniwersytetu Notre Dame w stanie Indiana. Obliczenia zaangażowały ponad 10 tys. uczestników i trwały 549 dni. Wygrana w wysokości 10 tys. USD zostanie przekazana Free Software Foundation.

Certicom w ramach promocji kryptografii asymetrycznej opartej o krzywe eliptyczne (ECC) w 1997 roku rozpoczął konkurs na łamanie stosunkowo krótkich kluczy, podobnie jak czyni to firma RSA. Kolejnymi kluczami ECC czekającymi na złamanie są klucze 131-bitowe i dłuższe.

Chris Monico ,,ECCp-109 Solved'' http://www.nd.edu/~cmonico/eccp109/solved.html
ECC Challenge http://www.certicom.com/resources/ecc_chall/challenge.html



Open-source w obronie USA
Paweł Krawczyk
wtorek, 5. listopada 2002

Amerykańskie ministerstwo obrony narodowej (DOD) przeprowadziło analizę wykorzystania oprogramowania open-source w strukturach obronnych kraju. Wyniki są dość zaskakujące - darmowe oprogramowanie oraz systemy operacyjne z otwartym kodem źródłowym jest wykorzystywane w kilkudziesięciu tysiącach miejsc w samym DOD, od zastosowań pomocniczych do wręcz krytycznych. W raporcie wskazano kilka głównych problemów, zarzucanych open-source: możliwość umieszczenia koni trojańskich, nowe błędy związane z bezpieczeństwem oraz kłopotliwość licencji GPL w razie rozwijania własnego kodu przez DOD. Problemy te jednak zidentyfikowano jako łatwe do rozwiązania za pomocą odpowiednich procedur i zaleceń dla personelu DOD.

FCW: ,,Open source courses through DOD'' http://www.fcw.com/fcw/articles/2002/1028/web-open-11-01-02.asp


CryptoAPI w kernelu Linuksa
Paweł Krawczyk
środa, 30. października 2002

Po wielu latach separacji i łatania kernela Linuksa rozpoczęto prace mające na celu włączenie kodu kryptograficznego do oficjalnej linii rozwojowej, zaczynając od 2.5. Nowe API opracowano od zera częściowo na podstawie starego API nazywanego kerneli. Pierwszym ,,użytkownikiem'' nowego API ma być linuksowa implementacja IPSec, czyli FreeS/WAN, który od początku swojego istnienia funkcjonował jako zestaw łat dla kernela. Jest to niewątpliwie dobry ruch w kierunku uporządkowania i funkcjonalnego wzbogacenia oficjalnej linii kodu Linuksa o funkcje obecne w każdym nowoczesnym systemie operacyjnym.

Scatterlist Cryptographic API http://lwn.net/Articles/14010/
FreeS/WAN http://www.freeswan.org/


Dziury w Kerberos IV/V, IPSec
Marcin Mierzejewski, Paweł Krawczyk
wtorek, 29. października 2002

Wykryto błąd w implementacji protokołu Kerberos, dotyczączy wszystkich wersji 4 rozwijanych przez MIT (włączając w to implementację Cygnus Network Security) a także wszystkich wersji 5. Jest to klasyczny błąd przepełnienia stosu, który umożliwia intruzowi zdalne uruchomienie dowolnego kodu na key distribution center (KDC). Poprawka jest już dostepna i można ją ściągnąć ze stron MIT, to samo dotyczy większości systemów operacyjnych.

W minionym tygodniu odkryto również błąd w wielu implementacjach IPSec, w tym KAME (NetBSD, FreeBSD, FreeS/WAN (Linux). Błąd znajduje się w kodzie przetwarzającym przychodzące pakiety ESP i może powodować destabilizację systemu. Poprawki do większości dotkniętych tym błędem systemów są już dostępne.

MIT krb5 Security Advisory 2002-002 http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2002-002-kadm4.txt
CERT: ,,Multiple IPsec implementations do not adequately validate authentication data'' http://www.kb.cert.org/vuls/id/459371
RAZOR Advisory http://razor.bindview.com/publish/advisories/adv_ipsec.html


LINK-16
Marcin Mierzejewski
wtorek, 29. października 2002

W mediach pojawiło się dużo informacji na temat przetargu na samolot bojowy - jednym z nich jest amerykański F-16, ktorego jednym z atutów jest wsparcie dla protokołu Link-16, który jest standardem w NATO. Link-16 jest protokołem transmisji danych wykorzystywanym do komunikacji pomiedzy jednostkami wojskowymi (samoloty, okręty, lotniskowce, itp.). Protokół oparty jest na techonologii TDMA (Time Division Multiple Access), na tej samej która jest wykorzystywana w systemach GSM, jednak jest protokołem nie wymagającym node'ów (stacji bazowych). Komunikacja pomiędzy dwoma obiektami odbywa się zatem bez pośrednictwa dodatkowych elementów infrastruktury. Link-16 może jednocześnie obsługiwać 524000 obiektów.

USAF: ,,What is LINK-16?'' http://prodevweb.prodev.usna.edu/SeaNav/NS40x/NS401_old/introduction/html/indexintro.html


Nowe zabezpieczenia Worda i Excela
Tomasz Słodkowicz
wtorek, 29. października 2002

Po prawie 2 miesiącach od opublikowania niebezpieczeństw związanych z akualizacją pól dokumentów pozwalającą na wykradanie danych, Microsoft udostępnił poprawki do niektórych swoich produktów z rodziny Office.

Opisywane już wcześniej niebezpieczeństwa zostały zdiagnozowane przez producenta. Okazało się także, że problem nie dotyczy jedynie Worda, lecz także zagraża użytkownikom Excela (stosowany jest podobny mechanizm). Pozwala on na dołączanie i ewentualnie ukrywanie w dokumencie zawartości dowolnego pliku z dysku użytkownika bez jego zgody. Co więcej, możliwe jest także automatyczne przesłanie takich danych na serwer WWW...

Microsoft udostępnił poprawki dla programów Microsoft Word i Microsoft Excel w wersjach 97 i nowszych. Jednak użytkownicy starszych wersji tych programów zostali pozostawieni sami sobie.

Microsoft Information about Reported Microsoft Word Fields Vulnerability http://www.microsoft.com/Technet/security/topics/secword.asp
Microsoft Security Bulletin MS02-059 http://www.microsoft.com/technet/security/bulletin/MS02-059.asp
SecurityFocus BugTraq http://online.securityfocus.com/bid/5586


Ataki DDOS na root-nameservery
Marcin Mierzejewski, Paweł Krawczyk
wtorek, 29. października 2002

W poniedziałek 21-go października miały miejsce dwa poważne ataki na serwery stanowiące podstawę systemu DNS w światowym Internecie. Najpierw zaatakowane zostało wszystkie 13 root nameserverów, czyli maszyn obsługujących delegacje do domen pierwszego poziomu (.com, .org, .net itd.). W kilka godzin później atak został rozszerzony na serwery obsługujące domenę .info oraz kilka domen lokalnych. Pomimo że według niektórych komentatorów był to jeden z największych tego typu ataków w ostatnich latach, nie spowodował on sparaliżowania światowego DNS.

Równocześnie wzrosło zainteresowanie teoretycznymi i praktycznymi sposobami zapobiegania takim atakom. I tak Steven M. Bellovin z AT&T w pracy ,,Implementing Pushback: Router-Based Defense Against DDoS Attacks'' przedstawia metodę "pushback", polegającą na odsyłaniu ruchu sieciowego z powrotem do źródła w przypadku podejrzenia ze jest to atak DDOS.

Z kolei Peter Reiher ze studentami z Uniwersytetu California twierdzą że na podstawie ruchy wychodzącego z routerów brzegowych są w stanie w łatwy sposób zidentyfikować ataki DDoS. Na podstawie tego założenia, tworzą narzędzie o nazwie D-WARD.

The Washington Post: ,,More Than One Internet Attack Occurred Monday'' http://www.washingtonpost.com/wp-dyn/articles/A6894-2002Oct23.html
NewScientist: ,,Smart routing could stop distributed net attacks'' http://www.newscientist.com/news/news.jsp?id=ns99992973
S. M. Bellovin ,,Implementing Pushback: Router-Based Defense Against DDoS Attacks'' http://www.research.att.com/~smb/papers/pushback-impl.pdf
D-WARD http://www.lasr.cs.ucla.edu/ddos/


Hasło mówione
Marcin Mierzejewski
poniedziałek, 21. października 2002

Powszechnie stosowaną metodą zabezpieczania klucza prywatnego jest hasło, które użytkownik musi wpisać z klawiatury. Natomiast Mike Rieter z Carnegie Mellon University, Fabian Monrose i koledzy z Bell Labs stworzyli system, który zabezpiecza prywatny klucz także przez hasło, ale wypowiedziane przez użytkownika. Hasło jest weryfikowane na dwa sposoby - pierwszy czy jest to wlasciwe slowo (hasło), a drugi wykorzystuje technikę voiceprint, która analizuje unikalne cechy głosu każdego człowieka. Prototyp systemu został zaimplementowany na Compaq iPaq.

Powyższy system ma poważną wadę, ponieważ wykorzystując zaawansowane metody nagrywania dźwięku, można nagrać hasło wypowiadane przez użytkownika a następnie je odtworzyć. Jednak autorzy pracują nad takimi atakami.

NewScientist: ,,Voiceprints provide mobile encryption keys'' http://www.newscientist.com/news/news.jsp?id=ns99992942
Mike Rieter, Carnegie Mellon University http://www.ece.cmu.edu/~reiter/


Kasowanie plików w Windows XP jeszcze szybsze
Tomasz Słodkowicz
poniedziałek, 21. października 2002

Nie tylko użytkownik może kasować dowolne pliki w systemie Microsoft Windows XP. Może to także czynić bez jego zgody odpowiednio przygotowana strona WWW lub list elektroniczny...

Windows XP oferują użytkownikowi mechanizm pozwalający na korzystanie z serwisu Help and Support Center. Jeden ze skryptów, używany wewnętrznie przez system jest jednak niezabezpieczony przed nieuprawnionym użyciem (Q328940). Skrypt ten wykorzystywany jest do przesyłania informacji o sprzęcie zainstalowanym w komputerze na serwer Microsoftu.

Niestety skrypt pozwala na podanie jako parametr dowolnego pliku czy katalogu. Co więcej, niezależnie od przebiegu wykonania skryptu przed zakończeniem swojego działania usuwa on wskazany plik lub katalog.

Tak więc wywołanie funkcji zaszytej w złośliwym kodzie HTML wykonuje się automatycznie. Na ekranie otwiera się okn o usługi Help and Support Center. W tym momencie, niezależnie od wyboru użytkownika (także wybranie opcji Anuluj!), wybrany przez hakera plik lub katalog jest usuwany. Uchonić się można jedynie zabijając odpowiedni proces w systemie.

Błąd jest usuwany przez SP1 dla Windows XP lub specjalną łatkę udostępnioną przez Microsoft

Microsoft Security Bulletin MS02-060 http://www.microsoft.com/technet/security/bulletin/MS02-060.asp


QuizID, ulepszone tokeny
Paweł Krawczyk
poniedziałek, 21. października 2002

Firma QuizID zrobiła sporo szumu w mediach, ogłaszając swój system uwierzytelnienia oparty o tokeny, będące generatorami haseł jednorazowych. Z dość skąpego opisu na stronie i informacji na grupach dyskusyjnych widać, że jest to system bardzo zbliżony do SecurID firmy RSA, niekwestionowanego monopolisty na tym rynku. Jednak w tokenach QuizID rozwiązano (jak, na razie nie wiadomo) problem synchronizacji czasu pomiędzy tokenem, a serwerem weryfikujących hasła, co sprawiało czasem kłopoty w dużych instalacjach wykorzystujących SecurID, zaś opatentowanie przez RSA metod obchodzenia tej przeszkody dało tej firmie praktyczny monopol na tokeny. Ponadto QuizID wykorzystuje kilka dodatkowych nowości, m.in. za każdym razem należy tokenowi podać nazwę użytkownika oraz kombinację złożoną z kolorów, pełniącą rolę podobną do PIN.

QuizID http://www.quizid.com/


Betatesterzy MS zmieniają hasła
Marcin Mierzejewski
czwartek, 17. października 2002

Microsoft wysłał maila do wszystkich 23000 betatesterów z prośbą o zmianę hasła i identyfikatora. Rzecznik prasowy Microsoftu od spraw bezpieczenstwa powiedział że jest to spowodowane włamaniem do serwera, które nastąpiło w poprzednim tygodniu. Serwer na który się wlamano działał pod Windows XP RC01 w oparciu o technologie .NET z wykorzystaniem mechanizmów Microsoft Passport.

Security Breach Causes Headaches for Microsoft http://www.techtv.com/news/security/story/0,24195,3403438,00.html Microsoft "Completely Confidental" Secrets http://www.securityoffice.net/mssecrets/


Nowe PGP 8.0
Tomasz Słodkowicz
wtorek, 15. października 2002

Na stronach PGP Corporation (od sierpnia br. właściciela komercyjnej wersji PGP) jest już dostępna do pobrania wersja beta PGP 8.0. Nowa wersja ma być zgodna z Windowx XP, Office XP oraz MacOS X. Ma obsługiwać Unicode, Aladdin eTokens, Novell GroupWise 5.5 i 6.0 oraz integrować się z serwerem Lotus Notes.

Warto podkreślić, że zmienia się podejście nowego właściciela do polityki udostępniania produktu: wersja 8.0 ma być ponownie darmowa do użytku prywatnego oraz mają być w ograniczonym zakresie dostępne źródła. Jak na razie wersja beta nie radzi sobie zbyt dobrze z polskimi znakami. Wbrew informacjom na stronie www można to oprogramowanie testować także w Polsce.

PGP Corporation FAQ http://www.pgp.com/faq.php
PGP 8.0 Public Beta http://pgp.com/beta80.php


Bomby w sieci?
Paweł Krawczyk
wtorek, 15. października 2002

Niedawny atak bombowy w Finlandii, którego autorem był 19-to letni student chemiii Petri Gerdt wzbudził po raz kolejny dyskusje mające na celu wykazanie konieczności kontrolowania czyli cenzurowania Internetu. Według fińskiej policji Gerdt uzyskał informacje potrzebne do skonstruowania bomby w internetowym czacie, co stało się przyczyną jego zamknięcia. Łatwo na tej podstawie wysnuć wniosek, że ta wiedza jest ściśle strzeżona i jej pojawienie się w Internecie jest wyłącznie efektem nielegalnej działalności psychopatów.

Nie jest to prawda, o czym najpóźniej na drugim roku przekonuje się każdy student chemii - szczegółowe opisy syntezy wielu materiałów wybuchowych lub środków odurzających są powszechnie dostępne w literaturze naukowej i można je znaleźć w każdej bibliotece uniwersyteckiej. Materiały wybuchowe są także tematem wybranych specjalizacji na uczelniach państwowych (Politechnika Warszawska i Śląska) i kursów na kierunkach geologicznych.

Jak widać wiedza ta nie jest nielegalna. Nielegalne jest natomiast wprowadzanie jej w życie czyli posiadanie i obrót materiałami wybuchowymi regulowane przez odpowiednią ustawę. Ale to już nie ma nic wspólnego z Internetem.

Reuters: ,,Finnish Police Say Suspect Used Chat Room on Bombs'' http://www.reuters.com/news_article.jhtml?type=internetnews&StoryID=1572219#


Komórkowy radar
Paweł Krawczyk
wtorek, 15. października 2002

Brytyjczycy rozwijają technologię, mającą służyć do wykrywania ruchomych obiektów w oparciu o promieniowanie emitowane przez telefony komórkowe. W tradycyjnym radarze antena emituje sygnał, którego odbicie jest następnie analizowane w celu stwierdzenia odległości od obiektu. Nowa technologia określana nazwą celldar (od cellular radar) wykorzystuje odbiorniki sprzężone ze stacjami bazowymi (BTS) sieci GSM. Nadajnikami są aparaty telefoniczne abonentów sieci, a informacja przez nie przekazywana pozwala zainstalowanemu na BTS odbiornikowi analizować nie tylko położenie samego aparatu, ale także obiektów znajdujących się pomiędzy nimi.

Observer: ,,How mobile phones let spies see our every move'' http://www.observer.co.uk/uk_news/story/0,6903,811027,00.html


NIST: Jak kupować bezpieczeństwo?
Paweł Krawczyk
wtorek, 15. października 2002

NIST opublikował kolejne trzy zbiory zaleceń odnośnie bezpieczeństwa systemów komputerowych. Nie są to zalecenia techniczne, niemniej wydają się niemniej ważne i przydatne - mają bowiem ułatwić jednostkom rządowym wybór konkretnych technologii i usług oraz uniknąć naciągaczy.

Dokument SP-800-36 zatytułowany ,,Guide to Selecting IT Security Products'' omawia wymagania oraz praktyczne porady w zakresie wyboru produktów i technologii w zależności od potrzeb użytkowników, dostępnych środków i atrakcyjności oferty producenta. Drugi dokument, SP-800-35 ,,Guide to IT Security Services'' stanowi analogiczne omówienie w odniesieniu do dostępnych na rynku usług związanych z bezpieczeństwem (outsourcing, audyty, testy penetracyjne). Trzeci dokument SP-800-4A ,,Security Considerations in Federal Information Technology Procurements'' stanowi zbiór zaleceń o charakterze ogólnym, który ma spowodować że bezpieczeństwo sieci będzie brane pod na każdym etapie projektowania i wdrażania systemów przetwarzania informacji.

Dokumenty są dostępne na razie w postaci szkiców roboczych, stąd brak bezpośrednich linków do nich. Szkice można znaleźć na stronie CSRC NIST.

CSRC NIST http://csrc.nist.gov/


Wykrywanie włamań przez analizę statystyczną
Marcin Mierzejewski, Paweł Krawczyk
poniedziałek, 14. października 2002

Ramkumar Chinchani, Shambhu Upadhyaya i Kevin Kwiat z Uniwersytetu Buffalo twierdzą że ruch sieciowy generowany przez poszczególnych użytkowników jest na tyle charakterystyczny, iż na jego podstawie można wykryć przypadki w których użytkownik zachowuje się w sposob niestandardowy. Takie niestandardowe zachowanie może być spowodowane np. przejęciem kontroli nad komputerem użytkownika.

Szczegółowy opis takiego systemu można znaleźć w pracy powyższych autorow która została przedstawiona na konferencji MILCOM 2002 w Kalifornii 10 października. Warto też zobaczyć na program tej konferencji, zwłasza w dziale classified (prelekcje o zastrzeżonym dostępie). Rozmawiano tam m.in. o algorytmach kryptograficznych na potrzeby wojska i władz federalnych oraz wykrywaniu steganografii.

Dodajmy też, że ogólnodostępny system IDS Snort również posiada testowy moduł anomsensor wykrywający pakiety odbiegające od normy wyznaczonej przez wskazany okres wzorcowej aktywności sieciowej.

R. Chinchani, S. Upadhyaya, K. Kwiat ,,Towards the Scalable Implementation of a User Level Anomaly Detection System'' http://www.cse.buffalo.edu/~shambhu/resume/milcom02.pdf
Konferencja MILCOM 2002 http://www.milcom.org/2002/


Nowe publikacje SANS
Tomasz Słodkowicz
poniedziałek, 14. października 2002

Instytut SANS opublikowałna swoich stronach ciekawy i wyczerpujący artykuł na temat metod biometrycznych wykorzystywanych przy identyfikacji osób na podstawie rozpoznawania tęczówki ludzkiego oka (Iris Recognition). Artykuł przedstawia algorytmy, systemy oraz wyniki osiagane w tej dziedzinie.

Drugim interesującym dokumentem wśród nowości SANS jest artykuł opisujący podstawy oraz nowe cechy protokołu IPv6. Opisano zastosowanie IPsec oraz przedstawiono jego zalety przy ochronie przed niektórymi atakami.

Miltiades Leonidou ,,Iris Recognition: Closer Than We Think?'' http://rr.sans.org/authentic/closer.php
Penny Hermann-Seton ,,Security Features in IPv6'' http://rr.sans.org/protocols/sec_features.php


Outlook Express źle obsługuje S/MIME
Tomasz Słodkowicz, Marcin Mierzejewski
poniedziałek, 14. października 2002

Rozszerzenia które powinny zapewniać większe bezpieczeństwo, w wydaniu Microsoftu stają się zagrożeniem. Odbioraca przesyłki e-mail w OE zabezpieczonej S/MIME może zostać zaatakowany po jej otworzeniu.

Rozszerzenie S/MIME (Secure/Multipurpose Internet Mail Extensions) służy do zabezpieczania przesyłek elektronicznych za pomocą podpisów cyfrowych oraz szyfrowania. Dzięki niemu użytkownik może ufać treści przesyłki (nie może ona zostać zmodyfikowana bez jego wiedzy) oraz potwierdzić źródło jej pochodzenia. Funkcje te są podstawą rozwiązań bazujących na PKI (Public Key Infrastructure) w zastosowaniach biznesowych.

Dla obecnych użytkowników Outlook Express'a, aplikacji pocztowej dołączanej do systemu Windows, przesyłka S/MIME może oznaczać spore kłopoty. Dziura w kodzie weryfikującym poprawność takiej przesyłki (Q328676) pozwala atakującemu hakerowi na uruchomienie dowolnego kodu na komputerze ofiary. Nie są do tego wymagane żadne załączniki, tak więc stosowane zabezpieczenia nie są skuteczne przed takim atakiem. Wystarczy otworzyć taki list elektroniczny czy choćby go tylko podlądnąć.

Stwarza to zagrożenie dla użytkowników tej aplikacji - mogą tą drogą być roznoszone nowe wirusy, haker jest w stanie skasować dane na dysku w komputerze ofiary, czy także wykonać inne czynności, np. zdobyć poufne dane.

Microsoft twierdzi, że spokojni mogą być użytkownicy, którzy zainstalowali Internet Explorer 6.0 Service Pack 1 lub Windows XP Service Pack 1. Dla pozostałych użytkowników dostępne są poprawki dla Outlook Express 5.5 SP2 oraz 6.0. Zalecane jest jak najszybsze zaktualizowanie zagrożonych systemów.

Użytkownicy Outlooka nie są na szczęście dotknięci tym problemem.

MS02-058 ,,Unchecked Buffer in Outlook Express S/MIME Parsing Could Enable System Compromise (Q328676)'' http://www.microsoft.com/technet/security/bulletin/MS02-058.asp


Nieostrożne satelity
Marcin Mierzejewski
poniedziałek, 14. października 2002

Podczas operacji Pustynna Burza w Zatoce Perskiej (1991), 45% wszystkich informacji przesyłanych między stacjonującymi tam wojskami a USA było przekazywanych przez komercyjne satelity.

General Accounting Office (GAO) przeanalizowało bezpieczeństwo i zagrożenia związane z wykorzystywaniem komercyjnych satelitów do przekazywania tajnych wojskowych danych i opublikowało raport. Można w nim przeczytać że istnieje możliwosc zdalnego zniszczenia satelity, przez wysłanie odpowiednich instrukcji sterujących.

GAO: ,,Commercial Satellite Security Should Be More Fully Addressed'' http://www.gao.gov/new.items/d02781.pdf
New Scientist ,,Critical US satellites could be hacked'' http://www.newscientist.com/news/news.jsp?id=ns99992905


Małżeństwo Microsoft z RSA Security
Tomasz Słodkowicz
poniedziałek, 14. października 2002

W ubiegły wtorek ogłoszono w Paryżu podpisanie porozumienia pomiędzy Microsoftem a znaną firmą RSA Security.

Zgodnie z porozumieniem Microsoft otrzymał licencję na stosowanie technologi uwierzytelnienia SecurID w swoich aplikacjach. Dostępne obecnie RSA SecurID Software Token for Pocket PC będzie włączone do systemu Windows Pocket PC. Umożliwi to użytkownikom przenośnych urządzeń pozbycie się dodatkowych kluczy sprzętowych. Z kolei licencja na stosowanie RSA ACE/Agent pozwoli zaimplementować bezpośrednio funcje SecurID w swoich aplikacjach. W planach jest także rozbudowanie funkcjonalności sztandarowego produktu - Microsoft Internet Security and Acceleration (ISA) Server 2000.

Technologia SecurID pozwala bezpiecznie uwierzytelniać użytkowników sieci i systemów IT. Jest szeroko stosowana przy połączeniach użytkowników pracujących na zewnątrz z siecią wewnętrzną firmy.

Microsoft zyskał także sprzymierzeńca w rozbudowie swojej technologii Microsoft Passport. Rozwiązanie to nie zostało do tej pory zaakceptowane przez rzesze użytkowników z powodów niejasności co do jego bezpieczeństwa. Jest ona jednak ciągle strategicznym celem Microsoftu dla zapewnienia bezpiecznej autentykacji użytkownika w rozproszonym środowisku Internetu i aplikacji tej firmy.

RSA Security będzie pracować nad zaimplementowaniem technologii RSA Mobile w Microsoft Passport. Polega ona na wykorzystaniu SMS do przesyłania jednorazowych haseł dostępu. Nie będzie to zapewne proste, jako że Microsoft nie planował do tej pory takiego rozwiązania i prawdopodobnie trzeba będzie system przeprojektować od podstaw.

Porozumienie ma poprawić wizerunek i wiarygodność Microsoftu jako dostawcy rozwiązań bezpiecznych, a także dać dostęp RSA Security do szerokiego rynku klientów Microsoftu.

The Register: ,,Microsoft marries RSA Security to Windows'' http://www.theregister.co.uk/content/55/27499.html
RSA Security Inc. ,,RSA Security Announces Strategic Agreement with Microsoft on Security Initiatives'' http://www.rsasecurity.com/company/news/releases/pr.asp?doc_id=1414


Humanfirewall
Wojtek Dworakowski
czwartek, 10. października 2002

Nie od dziś wiadomo że najsłabszym punktem zabezpieczeń jest człowiek. Organizacja może posiadać wyszukane systemy kontroli dostępu, bardzo drogie firewalle i systemy IDS, jednak nadal może być narażona na ataki ze względu na opieszałość ludzi i nieznajomość podstawowych, zdroworozsądkowych zasad związanych z nienarażaniem się na ryzyko. Najlepszym przykładem są kolejne epidemie wirusów mailowych, które nawet nie muszą wykorzystywać luk w programach pocztowych. Wystarczy że wykorzystają naiwność użytkownika, który sam otworzy ciekawie wyglądający załącznik.

Humanfirewall.org jest międzynarodową kampanią edukacyjną, której celem jest podniesienie stopnia znajomości podstawowych problemów związanych z bezpieczeństwem IT. Na stronie oprócz artykułów i materiałów dotyczących "ludzkiego" aspektu bezpieczeństwa IT znajdują się dwie ankiety.

Pierwsza - Security Awareness Index zmierza do określenia stopnia znajomości tematu przez użytkowników. Natomiast druga jest przeznaczona dla osób zarządzających informatyką w firmie i sprawdza zgodność stosowanych praktyk w zarządzaniu bezpieczeństwem z normą ISO 17799 ( wkrótce - Polska Norma). Warto się przetestować.

Humanfirewall http://humanfirewall.org/


Trojan w Sendmailu
Paweł Krawczyk
środa, 9. października 2002

Jak donosi CERT w jednej z dystrybucyjnych paczek popularnego serwera pocztowego Sendmail udostępnianego z oficjalnego serwera producenta odkryto konia trojańskiego. Zagrożone są wszystkie osoby, które kompilowały na swoich serwerach Sendmaila 8.2.16.

CERT Advisory CA-2002-28 http://www.cert.org/advisories/CA-2002-28.html


Jeszcze o faktoryzacji Bernsteina
Paweł Krawczyk
środa, 9. października 2002

Andrzej M. Borzyszkowski i Marian Srebrny opublikowali artykuł ,,Faktoryzacja przy pomocy masowej równoległości?'' odnoszący sie do przedstawionej przez Dana Bernsteina propozycji faktoryzacji dużych liczb pierwszych za pomocą specjalizowanych, zrównoleglonych układów elektronicznych. Według autorów technologia, mimo że interesująca z teoretycznego punktu widzenia jest jeszcze daleka od wdrożenia w rzeczywistości i praktyczne znaczenie może zyskać dopiero za 10-20 lat.

A. M. Borzyszkowski, M. Srebrny Faktoryzacja przy pomocy masowej równoległości?'' http://www.signet.pl/info/special.html


Transmisja kwantowa przez 23 km powietrza
Marcin Mierzejewski, Paweł Krawczyk
piątek, 4. października 2002

Zespół z firmy QuinetiQ przeprowadził udany eksperyment w zakresie kwantowej transmisji danych, w których przesłano dane na odległość 23 km. Jest to 1/3 dystansu osiągniętego w tym roku przez firmę IDquantique, ale w obecnym eksperymencie transmisja została zrealizowana w całości przez atmosferę, a nie - jak wcześniej - przez światłowód. Docelowo prace QuinetiQ mają doprowadzić do stworzenia bezpiecznych kanałów łączności satelitarnej.

QuinetiQ, ,,Single photons of light prove a fundamental step towards totally secure global data transmission'', http://www.qinetiq.com/applications/news_room/news_releases/show.asp?ShowID=511


Kolejne zalecenia NIST
Wojtek Dworakowski
piątek, 4. października 2002

NIST Computer Security Division opublikowało kolejne dokumenty zawierające wskazówki co do bezpieczeństwa IT. Tym razem są to wytyczne do bezpiecznej konfiguracji serwerów www " Guidelines on Securing Public Web Servers" oraz i poczty elektronicznej " Guidelines on Electronic Mail Security". Te dwa dokumenty są przeznaczone dla administratorów, którzy konfigurują serwery www oraz systemy poczty elektronicznej w swoich firmach. Przewodniki te są o tyle cenne, że oprócz rozważań teoretycznych, zawierają przykłady dotyczące konfiguracji dla systemów unixowych i Windows.

Dodajmy także, że niedawno Polski Komitet Normalizacyjny opublikował polską wersję standardu zarządzania bezpieczeństwem systemów informatycznych ISO 17799, czyli PN-ISO/IEC 17799.

NIST Guidelines on Securing Public Web Servers http://csrc.nist.gov/publications/nistpubs/800-44/800-44.pdf
NIST Guidelines on Electronic Mail Security http://csrc.nist.gov/publications/nistpubs/800-45/800-45.pdf
PN-ISO/IEC 17799 http://www.pkn.pl/PPN/pndtls.asp?id=27209


Sans Top 20: Największe dziury
Marcin Mierzejewski, Paweł Krawczyk
piątek, 4. października 2002

FBI oraz SANS Institute opublikowały listę 20 największych dziur, będących najczęstszymi przyczynami włamań. Na liście uniksowej króluje RPC, Apache, SSH, SNMP i słabe hasła, zaś na windowsowej - IIS, MDAC, MS SQL i dostępne dla wszystkich dysku sieciowe. Na ósmej pozycji można znaleźć także Internet Explorera.

SANS Top 20: http://www.sans.org/top20/


GNU Privacy Guard 1.2.0
Paweł Krawczyk
poniedziałek, 30. września 2002

Światło dzienne ujrzała nowa wersja GNU PG 1.2.0. Lista zmian i usprawnień jest dość obszerna, warto zapoznać się z artykułem Pawła Kaczora w Linuxnews.

Paweł Kaczor, ,,GnuPG 1.2'' http://hedera.linuxnews.pl/_news/2002/09/30/_long/1496.html
GNU Privacy Guard http://www.gnupg.org/


Łamanie RC5-64 zakończone
Marcin Sochacki
piątek, 27. września 2002

Distributed.Net właśnie ogłosiło, że uporaliśmy się w końcu z projektem RC5-64.

Właściwy klucz to 0x63DE7DC154F4D039, a tekst po odszyfrowaniu tym kluczem brzmi: ,,The unknown message is: some things are better left unread''. Klucz został znaleziony przez anonimowego mieszkanca Tokio na PIII-450.

Nieco szokująca jest jednak informacja, że klucz został przeliczony już 14 lipca 2002, ale w wyniku błędu w oprogramowaniu po stronie serwera admini nie zauważyli go aż do 12 sierpnia. Tak więc można powiedzieć, że liczyliśmy RC5 przez ponad dwa miesiące na darmo (no, może poza wyścigami w statystykach). Kto dokładnie śledził oficjalną listę dyskusyjną rc5 wie, że pewne "ważne oświadczenie" było tam sygnalizowane kilka miesięcy temu, nikt jednak nie przypuszczał, że może to mieć związek ze znalezieniem klucza.

distributed.net: ,,RC5-64 HAS BEEN SOLVED!'' http://www.distributed.net/pressroom/news-20020926.html
RSA DSI: ,,Distributed Team Collaborates to Solve Secret-Key Challenge'' http://www.rsasecurity.com/news/releases/pr.asp?doc_id=1400


Ciekawe narzędzia
Paweł Krawczyk
wtorek, 24. września 2002

EGADS jest programem gromadzącym losowość z wydarzeń systemowych, udostępniającym interefejs podobny do linuksowego /dev/random, ale przeznaczonym dla systemów Windows 2000 oraz uniksów, pozbawionych tego przydatnego "urządzenia".

RATS jest nową wersją skanera kodów źródłowych, który wyszukuje najczęściej popełniane błędy programistyczne.

OWAPS jest z kolei obszernym dokumentem przeznaczonym dla programistów aplikacji webowych, stanowiącym poradnik oraz zbiór zaleceń jak pisać je bezpiecznie.

SPIKE w nowej wersji 1.3 jest jednym z najlepszych testerów obciążeniowych dla serwerów i protokołów, próbującym naruszyć stabilność testowanej aplikacji przez generowanie potencjalnie szkodliwych danych wejściowych.

EGADS http://www.securesw.com/egads
RATS http://www.securesw.com/rats/
OWAPS http://www.owasp.org/guide/
SPIKE http://www.immunitysec.com/spike.html