Nowe narzędzia

Przedstawiamy subiektywny przegląd narzędzi związanych z szeroko rozumianym bezpieczeństwem.

Przedstawiamy subiektywny przegląd narzędzi związanych z szeroko rozumianym bezpieczeństwem.

Na rynek trafiają nowe systemy zabezpieczeń i użyteczne narzędzia czyniące zabezpieczenie zasobów informatycznych łatwiejszym. Spośród wielu nowości, które ukazały się w ostatnim czasie, wybraliśmy i opisaliśmy te, które w naszej opinii zasługują na szczególną uwagę. Są wśród nich narzędzia unikalne (przynajmniej na razie), jak SenGate - rozwiązanie chroniące przed wynoszeniem danych z firmy. Niektóre z nich mogą się okazać zbawienne, oszczędzając czas, który trzeba by poświęcić na analizy i pilotaże, np. Ciphire Mail w przypadku PKI. Inne, nawet jeśli jeszcze w wersjach testowych, wyglądają na interesujące z powodu ceny - są w stanie oszczędzić wydatki na porównywalne funkcjonalnie, a często znacznie droższe rozwiązania, np. Kerio Personal Firewall. Jak zwykle, jest to jedynie propozycja - nie pretendujemy do bycia wyrocznią w każdym pojedynczym przypadku.

Analiza logów

SenGate 3.0

Amerykańska firma SenSage oferuje unikalny system do zarządzania bazami danych, oferujący funkcje do efektywnego przeszukiwania dużych zbiorów logów zdarzeń sieciowych. Powstaje pytanie po co, skoro narzędzi do analizowania i parsowania danych tekstowych powstało do tej pory dziesiątki, czy nawet setki.

Formaty zapisu informacji w plikach log są specyficzne, a niektóre potrafią być naprawdę bardzo niestandardowe. W jednych tekst rekordu jest zapisany w formie ciągu znaków, w innych są to ciągi separowane spacjami lub innymi znakami, kolejność informacji w rekordach jest praktycznie dowolna... nawet szerokość kolumn bywa nieregularna. Pliki te są twardym orzechem do zgryzienia dla typowych relacyjnych systemów bazodanowych.

Inną cechą danych w plikach log jest ich duża powtarzalność - poszczególne zapisy różnią się od siebie często jedynie adresami IP albo URL, stemplem czasu, nazwą użytkownika. Ale sama liczba typów operacji wykonywanych przez użytkowników za pośrednictwem aplikacji w sieciach jest w sumie ograniczona. Pomysł SenSage polega nie tylko na eleganckim rozwiązaniu kwestii analizy danych, ale równocześnie na ich kompresji - jak twierdzą przedstawiciele firmy - w stopniu sięgającym aż 40:1.

Oprogramowanie SenSage pozwala m.in. na kontrolowanie, czy ktoś nie uzyskał nielegalnego dostępu do danych lub bezprawnie nie wysłał chronionych informacji. Potrafi więc odpowiadać na konkretne pytania intrygujące osoby odpowiedzialne za bezpieczeństwo, a nie tylko raportować tabelki, które trzeba dopiero zinterpretować. Ta "inteligencja" ma być głównym atutem nowej technologii.

Dodatkowym, niezwiązanym z bezpieczeństwem, zastosowaniem tej aplikacji może być analiza np. logów generowanych w systemach RFID. SenSage pozwala na przechowywanie i przeszukiwanie miliardów informacji dotyczących wszystkich rejestrowanych przez czytniki RFID zdarzeń w celu szybkiego określenia aktualnego położenia i przebytej wcześniej drogi przez pojedyncze inwentaryzowane urządzenie.

Więcej informacji można znaleźć na stronie internetowej firmy pod adresem:http://www.sensage.com/ .

Ochrona poczty

Ciphire Mail 1.0 Beta

Ciphire Labs opracowała aplikację Ciphire Mail do szyfrowania poczty elektronicznej. Jest to łatwy w użytkowaniu, ale skuteczny program, który może być wykorzystany zarówno przez użytkowników indywidualnych, jak i firmy, a nawet korporacje.

W odróżnieniu od innych tego typu aplikacji, jak S/MIME lub PGP, Ciphire Mail nie wymaga instalowania dodatkowych wtyczek plug-in do programu pocztowego (jak PGP), służących do generowania kluczy i wykonywania dodatkowych czynności utrudniających bezpieczną wymianę danych. Szyfrowanie poczty przy wykorzystaniu Ciphire Mail jest praktycznie niezauważane przez użytkownika i nie wymaga on żadnej dodatkowej konfiguracji po stronie programu pocztowego.

Po zainstalowaniu Ciphire Mail, gdy użytkownik chce wysłać list elektroniczny, działająca w tle aplikacja Ciphire Mail pyta, czy ma zabezpieczyć konto pocztowe. Jeśli użytkownik wyrazi zgodę, program automatycznie generuje odpowiednie klucze i automatycznie przeprowadza procedurę podpisania klucza w centrum certyfikacji firmy Ciphire Labs. Wymiana certyfikatów odbywa się za pomocą e-mail i przebiega bez potrzeby interwencji użytkownika.

Można mieć wiele skrzynek pocztowych, a każda z nich jest aktywowana w momencie wysyłania pierwszego listu z danego adresu. Aplikacja pracuje w tle, przechwytując połączenia z programów pocztowych do serwera i przetwarzając wiadomości automatycznie.

Każdy użytkownik ma swój klucz prywatny przechowywany na lokalnym komputerze i certyfikat przechowywany na serwerze Ciphire pełniącym rolę ogólnodostępnej bazy-katalogu. Klucz adresata jest pobierany z bazy automatycznie. Jeśli adresat nie ma klucza, list może być wysyłany bez szyfrowania, a tylko z podpisem cyfrowym, albo też wysyłka może być wstrzymana. Decyzję podejmuje użytkownik.

Dodatkowym mechanizmem zabezpieczającym jest wielokrotna i rozproszona weryfikacja tzw. odcisków kluczy - kryptograficznych skrótów kluczy publicznych każdego użytkownika. Są one dystrybuowane automatycznie w regularnych odstępach czasowych i sprawdzane zarówno przez klientów, jak i centralną bazę. Ma to maksymalnie utrudnić ataki polegające na fałszowaniu kluczy.

Ciphire wykorzystuje dobrze znane i sprawdzone algorytmy kryptograficzne. Każdy użytkownik posiada trzy pary kluczy asymetrycznych wygenerowane algorytmami ElGamala, RSA i DSA o długości 2048 bitów. Do ochrony poufności danych wykorzystywane są szyfry symetryczne AES, Twofish i Serpent, a funkcje skrótu to SHA-256 i Whirlpool-256.

Jedną z najciekawszych cech Ciphire jest zdublowanie praktycznie każdej operacji - wiadomość jest szyfrowana zarówno szyfrem AES, jak i Twofish, podobnie jest z funkcjami skrótu. Widać że autorzy wzięli sobie do serca niedawne ataki na dobrze znane funkcje MD5 i SHA1 oraz potencjalne nowe ataki na AES. Takie podwójne szyfrowanie i długie klucze mogą skutecznie zabezpieczyć szyfrowane wiadomości na następne kilkanaście lat.

Obecna wersja Ciphire Mail potrafi "przechwytywać" połączenia SMTP, POP3 i IMAP. Obsługiwane są również połączenia SSL - tutaj Ciphire zachowuje się tak, jak działają programy wykonujące klasyczny atak typu man-in-the-middle, podstawiając swój certyfikat zamiast certyfikatu serwera. Oprócz tego aplikacja obsługuje SMTP z szyfrowaniem transportowym STARTTLS, a także niestandardowe protokoły Lotus Notes i Microsoft Exchange.

Dla środowisk korporacyjnych Ciphire Labs oferuje oprogramowanie Ciphire Mail Gateway, które działa na serwerze pocztowym i przetwarza pocztę wchodzącą i wychodzącą z sieci lokalnej. Co ważne, Ciphire Mail nie koliduje z PGP lub S/MIME, można stosować je równolegle, a oprogramowanie jest dostępne w wersjach dla Windows, Linux i Mac OS. Oficjalnie oprogramowanie ma jeszcze status Beta. Więcej informacji:http://www.ciphiremail.org/ .

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200