Bezpečnostní střípky – červen 2007


Autor: Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti 



  • Instantní zprávy jsou čím dál rozšířenější komunikační metodou. Dle některých prognóz (např. Gartner) by do roku 2010 měly dokonce co do důležitosti předstihnout elektronickou poštu. Aplikace pro zasílání instantních zpráv jsou opravdu nasazovány masově – často bohužel bezhlavě bez provázanosti s bezpečnostním konceptem informačního systému. Přitom se velmi jednoduše mohou stát slabinou – přesvědčila nás o tom minulý měsíc aplikace Yahoo! Messenger, která obsahovala dvě chyby v ActiveX ovladačích, jež mohly v extrémním případě vést až k převzetí kontroly nad počítačem útočníkem. Zranitelnosti byly potvrzeny ve verzi 8.1.0.249, pravděpodobně jsou ale zasaženy i další. Každý uživatel by měl být postupně automaticky vyzván k přechodu na verzi novější – ale do té doby je před útoky nechráněný! Proto si jednak zkontrolujte, zdali máte nejnovější verzi této aplikace (používáte-li ji) a jednak, zdali máte vypracovaný systém monitorování (a odstraňování!) bezpečnostních zranitelností i v systému instantních zpráv.

  • Pokud už hovoříme o nových technologiích a bezpečnostních rizicích, musíme zmínit i VoIP. Útočníci jsou schopni jednoduchými způsoby např. získávat přihlašovací atributy (jména, hesla…) a následně provádět transakce na účet někoho jiného. Tento kredit dále převádějí nebo umně zpeněžují. Odcizené prostředky se špatně dohledávají, protože celosvětově se jen obchodováním s kredity (např. jejich prodej ve velkém přímo od komunikačních společností) zabývá na pět tisíc subjektů. Dle střízlivých odhadů je měsíčně na účet někoho jiného provoláno 200 miliónů minut v hodnotě 26 mil. dolarů.

  • Jsou různé druhy virů. Do kategorie „kuriózní“ (a nikoliv „nebezpečné“) se rozhodně zapíše virus Virus.TI.Tigraa, který byl naprogramovaný pro vědecké kalkulátory Texas Instruments TI-89 (verze TI-89, TI-89 Titanium a Voyage 200, na kterých běží většina programů pro TI-89) s procesorem Motorola 68000. Není nebezpečný, nikterak se nešíří (otázkou je, zdali si tedy zaslouží označení virus – jde ale každopádně o škodlivý kód a virus se nám jako obecné označení zažil), pouze vyčistí displej a zobrazí vzkaz „t89.GAARA“. Jedná se o proof-of-concept, důkaz, že to jde. Nemusíme mít tedy obavy, že budeme kupovat antiviry i pro vědecké kalkulátory – ale mráz běhá po zádech při pomyšlení, pro jaká prostředí dnes mohou viry vznikat.

  • Viry v netradičním prostředí podruhé – dokážete si představit virus schopný napadnout platformy Windows, Mac i Linux? Existuje. Přesněji, je to makrovirus BadBunny a primárně je ve formátu OpenOffice/StarBasic s tím, že je schopen se konvertovat do několika dalších jazyků. Opět se jedná o laboratorní koncept, před kterým není nutné míti se na pozoru. Ale opět se potvrdilo, že není bezpečné platformy – a už mnohokrát přišly po laboratorních experimentech životaschopné kódy…

  • Kolik je skutečně zranitelností? Máme-li být objektivní, tak je jich „nepočítaně“. Ale nějakou metodiku potřebujeme, takže dle statistik americké organizace CERT bylo v roce 2006 oficiálně objeveno a oznámeno 8064 nových zranitelností (což představuje meziroční nárůst o 35 procent). Organizace Secunia používá jinou metodiku výpočtu, takže nových zranitelností bylo podle ní 5128 (meziroční nárůst o 12 procent). Jenomže divize Security Systems společnosti IBM varovala, že tato čísla jsou jen špičkou ledovce. Její výpočet provedený matematickými a statistickými metodami ukázal, že v roce 2006 mělo být ve sledovaných aplikacích hned 139362 zranitelností! Do tohoto počtu jsou zahrnuté i chyby objevené interně výrobci software, řešené v tichosti nebo prostě oznámené, ale nezneužitelné (i když chyba chybou zůstane, i kdyby trakaře padaly…). Výsledek? Záplatování zranitelností je jednou, nikoliv jedinou ochrannou bariérou.

  • Deset let. Nepodmíněně. Až taková sazba hrozí pro příště německým hackerům. Nemusí přitom vůbec zkopírovat nebo poškodit nějaká data – stačí, že vědomě „navštíví“ systém, k němuž neměli oprávnění. Právní úprava je – jak už to bývá – označována za kontroverzní. Mj. totiž zakazuje hackerům zveřejňovat své nástroje (a trestá to odpovídajícími sazbami). Díky tomu by se k těmto aplikacím nemuseli dostat ani tzv. white-hats, hackeři-bezpečnostní specialisté.

Comments (0)

Skip to main content