Trendy podle specialistů

Jaký je rozdíl mezi šifrovacími standardy DES a AES? V čem je nový AES lepší? Objektivně je AES lepší, a to hned z n...


Jaký je rozdíl mezi šifrovacími standardy DES a AES? V čem je nový AES lepší?
Objektivně je AES lepší, a to hned z několika hledisek. Už třeba jen pohled na
výběr standardu. Pro DES bylo výběrové řízení částečně skryté a nikdo nevěděl,
co si má myslet o jeho ovlivnění ze strany NSA. Uvažovalo se, zda DES náhodou
neobsahuje nějaká skrytá vrátka. Pro AES už bylo výběrové řízení veřejné,
kritéria objektivní a průhledná. I profesionální kryptologové proto mají v
tento standard důvěru. Další hlediska jsou už technická. AES má především větší
délky klíčů. Například DES (délka klíče je 56 bitů) byl rozluštěn hrubou silou
do devíti dnů, a to rozhodlo o jeho konci. Vyškolila se na něm celá řada
kryptoanalytiků, kteří vytvořili mnoho sofistikovaných teoretických útoků.
Přesto byl plně pokořen právě až hrubou silou.
AES má volitelné délky klíčů 128, 192 a 256 bitů, což si myslím, že je slušná
rezerva i do budoucna. Z teoretického hlediska stejně významná, a o tom se moc
nehovoří, je i délka bloku. Oproti DES je dvojnásobná 128 bitů.
Petr Hněvkovský, Software Business Unit Manager, DNS Jaké jsou nové trendy v
DoS útocích? Objevilo se něco nového?
Odpověď asi nebude příliš překvapující, zato bude pravdivá. Princip DoS útoků
zůstává stále stejný, útoky pouze reflektují nově objevené díry v systémech. Ať
už se jedná o různá napadení a přetečení zásobníků, díry v TCP/IP, které tam
vždy budou apod. Takže novinky jsou pouze ve jménech nových skriptů a kódů,
které útoky provádějí, a v jejich technologických updatech pro nové platformy.
Například z Windows NT na Windows 2000 nebo teď třeba i Windows XP.
Existují nové metody obrany proti DoS útokům?
Metody se samozřejmě zdokonalují. Lidově řečeno, obranné prostředky začínají
více "přemýšlet". Pro předcházení DoS útokům jsou pravděpodobně nejznámější
systémy na detekci průniku (IDS). Stále více se však prosazují i aktivní
součásti antivirů, které skenují i zlomyslný kód (zombie) usazený na hostiteli
a dokáží jej případně zneškodnit.
Jak jsem již mnohokrát řekl, proti DoS útokům se bránit dá, proti
distribuovaným DoS útokům v momentě, kdy začnou, už ne. Jedině odpojit systémy
od sítě a začít čistit. U nich pomáhá pouze preventivní ochrana, která dává
pozor na příznaky přípravy takového útoku.
Radek Smolík, Corporate Sales Manager, Symantec
Jaké jsou trendy nejnebezpečnějších virů?
Současné nejnebezpečnější viry se dělí do dvou kategorií. První prezentují typ
útoku zvaný "blended attack" kombinovaný útok a druhé napadají počítače tak, že
provádějí export dat do Internetu.
V první kategorii je již poměrně klasickou ukázkou Kak.Worm. Současným
reprezentantem pak Nimda. Tyto viry útočí na neošetřená zranitelná místa
počítačů, pronikají do nich s minimální nebo žádnou účastí uživatele, dokáží je
silně poškozovat, extrémně rychle se šíří a zůstávají dlouho v oběhu. Přinášejí
totiž vysoká rizika re-infekcí poté, co byly počítače vyléčeny. Známý Kak.Worm
napadá zranitelnost StripLet.TypeLib v MS Outlook nebo MS Outlook Express.
Přichází spolu se zprávou, která se "tváří", že nenese žádnou přílohu. Ve
skutečnosti je červ schovaný jako digitální podpis. Postačí pouhé prohlédnutí
zprávy v systémovém okně (po umístění kurzoru na její záhlaví) a dojde ke
zkopírování kódu, z něhož bude později vytvořen červ do složky StartUp. Při
dalším spuštění pak dojde k aktivaci červa. I po více než roce zůstává Kak.Worm
jedním z nejfrekventovanějších virů v oběhu. Většina uživatelů totiž stále nemá
zmíněnou zranitelnost, na kterou existuje patch od Microsoftu, ošetřenu, a tak
se stávají snadným cílem útoku. Průvodním jevem, na němž uživatel Kak.
Worm zjistí, je klasický "mail--bombing".
Podstatně vyspělejší virus útočící kombinovaným způsobem pak představuje Nimda
a především její varianta známá jako Nimda.E. Infikovaný systém skenuje síť a
vyhledává zranitelné ISS. Poté využívá zranitelnost Unicode Web Traversal a
získává kontrolu nad cílovým systémem. Nimda se rovněž šíří poštou. Vykrádá
adresy libovolného MAPI klienta a dokáže je extrahovat i z HTML souborů. Červ
používá vlastní SMTP k rozesílání svých kopií, takže tyto zprávy nenajdete v
poštovním klientovi. Když dorazí k příjemci, použije zranitelnosti MIME a
infikuje cílový počítač již pouhým přečtením nebo prohlédnutím zprávy.
Uživatelé, kteří navštíví kompromitovaný Web server, jsou infikováni stažením
souboru .eml (Outlook Express). Červ je v příloze ?readme.eml?. Nimda rovněž
napadá pevné disky počítačů, které mají povoleno sdílení v síti. Červ založí
účet guest a přidělí mu administrátorská práva. Tím získá plnou kontrolu nad
infikovaným počítačem. Kombinace skenování sítě se skrytým rozesíláním zpráv
přes vlastní SMTP servery vede k tomu, že Nimda spotřebuje celou šířku pásma v
síti a vede k útoku typu Denial of Service.
Typickými představiteli druhé kategorie virů jsou Magistr nebo SirCam. Jedná se
o viry, které po napadení počítače zjišťují "zajímavé" soubory, jakou jsou
například smlouvy, ceníky, cenové kalkulace, právní dokumenty a jiné. Tyto
dokumenty pak vykrádají z počítače, připojují je k samotnému kódu červa a
rozesílají je spolu s červem do Internetu. Jelikož rovněž používají vlastní
SMTP servery, dochází k této činnosti skrytě, a proto může trvat delší dobu.
Navíc ji nelze zabránit ani běžnou filtrací elektronické pošty. Nejhorší na
exportech dat je to, že takové poškození systému v podstatě nelze opravit. Je
samozřejmě možné virus ze systému odstranit, ale odeslané soubory již nikdo
nevrátí zpět. Zaznamenali jsme případy, kdy byly společnostem rozeslány ceníky
obsahující kromě prodejních cen také ceny nákupní nebo různé kalkulace
zahrnující vlastní zisk apod.
U mnoha zákazníků dochází k exportu právně velmi důležitých dokumentů, jejichž
obsah může bude-li prozrazen nepovolaným osobám vážně poškodit nebo zcela
zlikvidovat jejich obchodní či jiné aktivity. Tato hrozba je ještě větší ve
státní správě, odkud mohou být rozeslány takové dokumenty, jako jsou
vyšetřovací spisy, připravovaná úřední rozhodnutí, velmi citlivé údaje o
občanech atd.
Oba typy výše uvedených virů názorně ukazují na rozšiřující se spolupráci mezi
autory virů a hackery. Od objevení zranitelného místa do napsání viru navíc
zpravidla uplyne velmi krátká doba. V případě viru Code Red II to bylo méně než
jeden měsíc.
Jakým způsobem reagují technologie antivirových programů?
Realitou se stává to, že klasické souborové antiviry přestávají postačovat a
stále více zaostávají za potřebami antivirové ochrany. Vezměme například Nimdu,
kterou jsem již zmínil. Většina způsobů, kterými by atakovala váš počítač, bude
mimo kontrolu souborového antiviru, neboť půjde o http či SMTP transakci,
případně síťovou infekci. Je proto velmi důležité antivirově chránit firewally,
proxy servery, vytvářet poštovní gatewaye a umisťovat je před infrastrukturu
groupwaru. Samozřejmě, nutné je chránit i samotný groupware. Většina dnešních
virových infekcí začíná v desktopech. Zde je nezbytné mít implementován
kvalitní systém automatizované aktualizace. A to nejen definic, ale a to
především antivirových enginů. Další je důsledné vymáhání antivirových politik
a automatizovaného řešení virových infekcí pod dohledem centrální správy. Z
nových technologií je důležitá hybridní heuristika, speciální enginy pro práci
s metamorfickými, šifrovanými viry a také blokační technologie. Ať již se jedná
o blokace přístupu ke skriptovatelným objektům či o blokace kódu dle vzorců
chování. Současný antivirus na desktopu musí být schopen provádět kontrolu
mobilního kódu přicházejícího přes prohlížeč, zajišťovat kontrolu POP3 účtu
elektronické pošty, pro případ, že ho uživatel mimo podnikovou síť použije, a
blokovat přístup virů k objektům. U antiviru pro MS Exchange je důležité, aby
podporoval rozhraní VSAPI 2.0 (MS Exchange 2000 s SP1) nebo alespoň kombinaci
MAPI/VAPI rozhraní u starších verzí. Vždy by měl být doplněn o "nárazníkovou"
ochranu na úrovni antivirové gatewaye či SMTP portu firewallu. Kontrolu HTTP,
HTTPS, FTP a podobných transakcí je nejvýhodnější zajistit na proxy serverech,
což vás zbavuje závislosti na firewallech a na tom, zda a jak podporují CVP
protokol.(rsm)
1 2017 / rsm









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.