Největší událost v bezpečnosti IT

Stejně jako má například spotřební elektronika svůj největší veletrh CES, má i počítačová bezpečnost svoji nej...


Stejně jako má například spotřební elektronika svůj největší veletrh CES, má i
počítačová bezpečnost svoji nejvýznamnější událost. Je jí konference RSA, která
byla pořádána mezi 18. až 22. únorem v americkém státě Kalifornie ve městě San
José. Z již jedenáctého ročníku přinášíme to nejzajímavější.
Podle Arthura Wonga, ředitele společnosti SecurityFocus, nebyl rok 2001
překvapivě nijak významný zvýšeným počtem útoků. Kromě problému s internetovými
červy Code Red a Nimda se nevyskytly žádné masové bezpečnostní problémy. I
přesto však bylo podle statistik společnosti SecurityFocus každý týden odhaleno
průměrně třicet nových bezpečnostních chyb v programovém vybavení využívaném
jejich zákazníky. Wong předpokládá, že v roce 2002 se tento počet zvýší až na
padesát objevených děr týdně.
SecurityFocus zpracovává bezpečnostní analýzy pro více než deset tisíc
společností ve 150 zemích, proto Wong mohl prezentovat některá zajímavá
statistická srovnání. Například všechny verze operačních systémů Windows
instalovaných u zákazníků byly v průběhu roku 2001 napadeny více než
31milionkrát. V těsném závěsu se pohybují všechny unixové systémy 22 milionů
bezpečnostních incidentů v uplynulém roce. V oblasti webových serverů je
situace ještě markantnější. Microsoft IIS (Internet Information Server) byl
napaden více než 17milionkrát, zatímco konkurenční Apache pouze 12tisíckrát. Z
toho vyplývá, že na každé jedno napadení Apache připadá přibližně 1 400 útoků
na IIS. Data ovšem mohou být zkreslena i počtem instalací jednotlivých produktů.

Mobilní bezpečnost
S mobilními zařízeními se roztrhl pytel nejen u nás. Přes notebooky a mobilní
telefony se již zcela běžně připojujeme k internetu nebo přenášíme data. Stejné
možnosti už nabízí celá řada PDA. Dosud však vše probíhalo víceméně vždy v
nezabezpečeném režimu, což je zcela zřejmý nedostatek. To si uvědomuje i
společnost RSA Security, která se rozhodla zvýšit bezpečnost Palmtopů a
připravuje k uvedení na trh svůj první bezpečnostní produkt pro tuto platformu.
Program pro Palm OS 5 by měl obsahovat podporu bezpečné SSL komunikace po
internetu (tedy i kvalitní autentizaci vzdálených serverů, šifrování
přenášených dat a podobně) a podporu virtuálních privátních sítí VPN (například
vnitrofiremních).
Pozadu nezůstává ani IBM se svými notebooky řady ThinkPad. Podle slov Claina
Andersona, ředitele IBM pro bezpečnost, obsahuje nejnovější ThinkPad zařízení
podobné smart kartě, které umožňuje provádět kryptografické operace a uchovávat
bezpečně uživatelské šifrovací klíče a certifikáty. Zařízení nese název IBM
Embedded Security Subsystem a má širokou oblast použití, od zvýšení bezpečnosti
při autentizaci uživatelů (je možno k němu připojit například čtečku otisku
prstů) až po dálkové otvírání dveří garáže jen těm lidem, kteří mají v autě
služební notebook se speciálním zařízením a jsou ke vjezdu do garáží oprávněni.

Skutečně bezpečný OS
Pokud se vám předcházející titulek zdá podivný, vězte, že se nejedná o operační
systém pro běžné stolní počítače. Společnost Sun Microsystems ohlásila, že
operační systém pro počítače Solaris 8.0 pro počítače Sun prošel úspěšně
dlouhodobým testováním (v Logica Labs ve Velké Británii) a je nyní certifikován
jako bezpečný systém podle "Common Criteria" na úrovni Evaluated Assurance
Level 4, což odpovídá třídě B1 podle (v současné době již neplatné byla
nahrazena právě mezinárodními tzv. Common Criteria) Oranžové knihy. Systém je
nyní označován obchodní značkou Trusted Solaris důvěryhodný Solaris. Mezi jednu
z jeho základních vlastností patří například povinné řízení přístupu, které
umožňuje nastavit přesná přístupová práva ke každým konkrétním datům až pro 255
různých uživatelů či uživatelských skupin.
Jaké je využití takového bezpečného systému? Velkou váhu přikládají oficiálnímu
certifikátu například bankovní, vládní a částečně i vojenské organizace (tam je
situace poněkud složitější, kvůli různé klasifikaci dat a potřebě využívat jiné
vybavení pro data označená jako důvěrná a jiné pro data označená jako super
tajná). Certifikát totiž poskytuje jistou záruku, že otestovaný hardware či
software splňuje všechna definovaná bezpečnostní kritéria a neobsahuje žádnou
snadno odhalitelnou bezpečnostní chybu. Certifikát ovšem nezaručuje, že tato
chyba nebude objevena někdy v budoucnu, pouze výrazně sníží pravděpodobnost.
Samozřejmě, certifikovaný produkt mohou využívat i uživatelé z ostatních oborů,
kteří jistě uvítají záruku, že neinvestovali své peníze do nekvalitního
produktu. Množství investovaných peněz je ovšem u certifikovaných systémů
poněkud vyšší, především kvůli vyšším výdajům na vývoj a testování.

Microsoft a XML
O současné bezpečnosti nejrozšířenějších produktů firmy Microsoft si můžete
udělat obrázek ze statistik uvedených na začátku článku. Pravděpodobně neunikla
vaší pozornosti nedávná výzva Billa Gatese, který se minulý měsíc obrátil
dopisem na většinu zaměstnanců Microsoftu a požádal je, aby se v nejbližší době
zaměřili na zvýšení bezpečnosti firemních produktů. Na konferenci RSA se
ukázalo, že Microsoft již pokročil od planých slov k činům. Zde jsou konkrétní
příklady. Nedávný útok internetového červa Nimda opět poukázal na zranitelnost
systému založeného na platformě Microsoft IIS. Microsoft se přitom oprávněně
brání tím, že chyba, kterou Nimda využívá, je známa už několik měsíců a několik
měsíců jsou na webových stránkách Microsoftu k dispozici všechny potřebné
patche, které ji opraví. Celé epidemii bylo možno jednoduše předejít. Chyba je
tedy v tom, že zaměstnaní správci systémů z nějakého důvodu (nedostatek času,
pomalé připojení k internetu atd.) nekontrolují a neinstalují pravidelně
čerstvě vydávané bezpečnostní opravy.
Microsoft pro vyřešení tohoto problému připravuje (předpokládaný termín uvedení
je v březnu letošního roku) nový produkt Baseline Security Analyzer. Tento
analyzátor by měl být jistou obdobou AutoUpdate, funkce známé například z
nejnovějších verzí Windows, tentokrát ovšem spíše pro oblast serverů. Jak by
měla aplikace fungovat? Systém bude automaticky a průběžně kontrolovat servery
Microsoftu na nové bezpečnostní updaty. Poté bude vyhodnoceno, které z nich
jsou potřebné pro systém, a ty budou následně staženy a nainstalovány.
Připomeňme, že obdobný systém používají kvalitní antivirové systémy pro
distribuci aktualizací virových signatur. Systém prozatím podporuje platformy
webových serverů IIS 4.0 a 5.0 a databázového serveru SQL Server 7.0 a 2000.
Podpora e-mailového systému Exchange se připravuje do dalších verzí.
Na konferenci RSA přišel Microsoft s další novinkou. Uveřejnil zdrojový kód
speciálního plug-inu do svého firewallu ISA Server 2000. Plug-in má za úkol
ochránit vaši vnitřní síť před útoky typu DoS prováděné přes XML kód. Firewall
s nainstalovaným plug-inem rozpozná neplatné XML dotazy a vůbec je nepustí do
vaší vnitřní sítě. I když o DoS útoku pomocí XML dosud nebyla nikde ani zmínka,
zvyšující se množství webových stránek založených na technologii XML ukazuje,
že bychom se mohli podobného útoku v nejbližší době dočkat. Microsoft tedy
kupodivu myslí dopředu a uživatelé pravidelně aktualizující svůj systém tak
mají reálnou šanci, že pokud budou jejich aplikace vystaveny DoS útoku, zůstane
plně zachovaná alespoň funkčnost vnitrofiremní sítě.
Pro další zvýšení bezpečnosti svých síťových služeb se Microsoft rozhodl
implementovat kvalitní autentizační protokol Kerberos (který je už nyní
používán v řadě produktů nejen firmy Microsoft) do své webové služby Microsoft
Passport. Připomeňme, že Passport nedávno proslul právě snadnou zranitelností
svých autentizačních mechanismů. Doufejme, že Microsoft nesejde v nejbližší
době z cesty dalšího zvyšování bezpečnosti všech svých produktů.

RSA představuje tři novinky
V rámci konference RSA uvedla stejnojmenná společnost na trh tři nové produkty,
které obsahují některé zajímavé technologie. Prvním z nich je nová verze
programu pro řízení přístupu k webu ClearTrust 4.7. Ta mimo jiné přidává novou
data abstraction vrstvu, což umožňuje snadněji propojit web s datovými
strukturami, které už ve společnosti existují. Kromě toho byla značně usnadněna
případná integrace s dalšími produkty RSA.
V souvislosti se vzrůstajícím tlakem na zvyšování bezpečnosti mobilních
zařízení uvedla RSA novou produktovou řadu BSafe Micro Edition. Pro začátek
byly v této řadě představeny produkty BSafe SSL-C Micro Edition, BSafe Cert-C
Micro Edition a BSafe Crypto-C Micro Edition. Společné využití všech těchto
systémů by podle mínění společnosti RSA mělo vývojářům usnadnit vývoj aplikací
pro mobilní zařízení, které by měly podporovat digitální platební metody,
digitální podepisování, šifrování komunikace a podobné bezpečnostní funkce.
Poslední novinkou, kterou RSA uvedla, je Keon e-Sign. Jeho úkolem je
podepisovat digitálně formuláře, jež se používají na webových stránkách. Vše
zařizuje malý plug-in v internetovém prohlížeči, který by měl být dokonce
certifikován jako prostředek pro vytváření zákonem schváleného (podle české
terminologie "zaručeného") elektronického podpisu.

Letos bude hůř
Podle předpovědí expertů nás v roce 2002 čeká více bezpečnostních incidentů
typu epidemie červa Nimda než v roce uplynulém. Oproti tomu se zvyšuje
intenzita boje proti nízké bezpečnosti vybraných produktů. Nemalý podíl na tom
jistě mají zářijové útoky na New York a následné celosvětové křížové tažení
proti terorismu. Svou troškou do mlýna ovšem přispívá i jinak zatracovaný
Microsoft, který se, podle všech předpokladů, rozhodl jít cestou bezpečných
produktů. V řadě zemí se začíná zavádět do praxe elektronický podpis (z čehož
vyplývá zavedení alespoň základních bezpečnostních funkcí do množství
programů), zastaralý DES (Data Encryption Standard) je nahrazován novou normou
AES (Advanced Encryption Standard), nejrůznější národní kritéria pro posuzování
a certifikování produktů podle jejich bezpečnostních kvalit jsou postupně
nahrazována všeobecně uznávanými Common Criteria. Všeobecně se tedy zdá, že nás
čeká opět bezpečnostně přínosný rok.
Pamatujte na slova Arthura Wonga ze společnosti SecurityFocus, který na
konferenci RSA prohlásil: "Neexistuje možnost něco si koupit nebo předplatit si
nějakou službu, a tím své systémy stoprocentně zabezpečit. Bezpečnost je
neustále probíhajícím procesem, nikoliv pouze produktem."

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.