Již se stalo pomalu tradicí, že každý rok představí FBI ve spolupráci se SANS institutem seznam nejkritičtějších chyb a bezpečnostních problémů, na které byste se měli zaměřit při zabezpečování svých systémů.
Letos tvoří seznam stejně jako loni
20 okruhů. Deset je pro Windows, deset pro Unix, asi aby se nehádali. Už z pohledu na seznam těchto okruhů zjistíte, že jdou na to někdy hodně zeširoka:
Windows
- Internet Information Services (IIS)
- Microsoft Data Access Components (MDAC) - Remote Data Services
- Microsoft SQL Server
- NETBIOS – Nechráněná sdílení
- Anonymní přihlašování
- LAN Manager ověřování - slabé LM hashování
- Obecné ověřování ve Windows – účty s žádnými nebo slabými hesly
- Internet Explorer
- Remote Registry Access
- Windows Scripting Host
Unix
Remote Procedure Calls (RPC)
Apache Web Server
Secure Shell (SSH)
Simple Network Management Protocol (SNMP)
File Transfer Protocol (FTP)
R-Services - Trust Relationships
Line Printer Daemon (LPD)
Sendmail
BIND/DNS
Obecné ověřování v Unixu – účty s žádnými nebo slabými heslyPochopitelně ale tento
přehled chyb nezakazuje používat třeba IIS či Apache, spíše uvádí u jednotlivých součástí systémů nejčastější metody zneužití a doporučená řešení problémů. Tento seznam by měl sloužit především k obecnému pohledu na zabezpečení počítačů. Není to návod, jak jednou provždy být bezpečný, stejně tak to není jen obecné povídání. Každému adminovi jistě přijde vhod prostudovat tento seznam, kde je vše pěkně uvedeno pohromadě.
Seznam problémů je také jistě diktován požadovaným počtem kritických bodů, jistě by se našly i další problémová místa v Unixu i Windows, tento přehled je ale výsledkem shody řady expertů na bezpečnost, obsahuje tedy skutečně ty největší chyby, kterých se nezkušení administrátoři dopouštějí.
Ačkoli je seznam tvořen FBI a je cílen především na Spojené státy, pochopitelně uváděné problémy mají celosvětovou působnost a tak jsou zajímavé i pro nás.
V této souvislosti také stojí za to uvést tři nové opravné balíky pro Windows a SQL server: kritická chyba v nápovědě Windows, kritická kumulativní záplata pro SQL Server lepící čtyři chyby a střední chyba v podpoře formátu ZIP.