Bezpečnostní střípky - květen 2007

  • Article

Autor: Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

  • Mezi obecně zažité omyly v oblasti informační bezpečnosti patří konstatování, že hackeři napadají pouze počítače. Ve skutečnosti útočí na VEŠKERÉ informační technologie. Přesvědčili jsme se o tom právě v uplynulém měsíci, kdy bezpečnostní specialisté z Itálii předvedli, že jsou schopni úspěšně a prakticky (tedy nejen pouze teoreticky!) modifikovat zprávy zobrazované motoristům na jejich GPS navigačních přístrojích (nejde o útok proti satelitům GPS a jejich signálu – jde o napadení informací předávaných do těchto zařízení jinými kanály). Princip útoku je jednoduchý: pomocí malého lehce upraveného vysílače (cena cca 40 USD) vybaveného přístupovými kódy zašle útočník data RDS-TMC (Radio Data System - Traffic Message Channel) s informací, kterou chce útočník sdělit. Vzhledem k tomu, že ta je ve speciálním formátu, tak je nejen zobrazena, ale navigační přístroj ji vezme v potaz a může na jejím základě stanovit třeba novou cestu – např. proto, aby se vůz vyhnul neexistující nehodě nebo smyšlené dopravní zácpě. Desítky možných důsledků podobného útoku si jistě domyslíte sami…
  • A aby útoků vůči netypickým platformám nebylo málo: v dubnu se objevil virus napadající iPod platformy s operačním systémem Linux. V praxi se s ním těžko setkáme: šíří se opravdu jen na iPodech s Linuxem (a těch moc není) a obsahuje mnoho chyb, takže spustit jej vyžaduje značnou dávku znalostí ICT (z celého bezpečnostního sektoru se to podařilo jen specialistům z laboratoře Kaspersky). Nicméně: jak vidno, útoky na netypické cíle narůstají a narůstat budou.
  • C-Minus. Přesně do této kategorie ohodnocení z hlediska ICT bezpečnosti spadá za loňský rok americká federální vláda. Na žebříčku, kde je A nejlepším hodnocením parametr „C-Minus“ nevypadá, že by chtěl aspirovat na vedoucí pozice, nicméně i tak si zodpovědní lidé mnou ruce. Jedná se totiž o velký posun k lepšímu (sic!) během jediného roku, když při předchozím hodnocení získaly americké federální instituce společné označení „D-Minus“. Možná by bylo docela zajímavé udělat podobný žebříček i v Česku…
  • Instantní zprávy s vysokou pravděpodobností během několika let nahradí elektronickou poštu. A tak není divu, že s jejich oblibou mezi uživateli narůstá také zájem o ně mezi útočníky. Svědčí o tom mj. i rostoucí počet útoků, které se vůči tomuto prostředí objevují v poslední době. V dubnu 2007 se např. objevil červ Pykse.A, který zneužívá rozhraní populárního klienta API k posílání odkazů na infikované stránky. Protože uživatelé nejsou obeznámeni s tím, že pro instantní zprávy platí stejný stupeň obezřetnosti jako třeba pro elektronickou poštu, berou je jako by byly od důvěryhodné osoby a klikají na ně. Ať tak či onak: při nasazování řešení IM nebo VoIP mějte na paměti i otázky bezpečnosti. Neb není všechno zlato, co se třpytí…
  • V dubnu se opět objevilo několik „sociálních“ útoků (abychom předešli případným nedorozuměním: typicky škodlivých kódů, které se snaží člověka obalamutit prostředky sociálního inženýrství, tedy prostředky lži a klamu). Jeden z nich (spamová zpráva) se snažil přimět uživatele k návštěvě určité stránky zvoláním „Jelcin se probudil ve své rakvi!“, další (Zhelatin.ct) varuje před podezřením na zavirovaný počítač a vyzývá ke spuštění přiložené záplaty… Stále stejná písnička – ale kupodivu stále stejně účinná… Aneb stále platí, že nejslabší článek každého systému hledejte mezi židlí a klávesnicí.