Bezpečnostní střípky - prosinec

  • Article

autor: Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

  • A zase ten spam… Když si to stručně zrekapitulujeme, od poloviny roku jsme tu měli spam v přiložených souborech (nejčastěji ve formátu PDF nebo XLS), potom spam ve 3D obrázcích, pak ve zvukových záznamech MP3. Následovala další novinka (resp. spíše jen derivát posledně jmenovaného), a to spam ve videoformátu MP4. A nyní se spam šíří v podobě odkazů na reklamní sdělení na webech jako je YouTube. Je to neobvyklé množství invence v krátké době. Vykládat se přitom dá různě: buď se spam stává čím dál větším problémem nebo jde o poslední smrtelnou křeč tohoto neřádu. Srdce by chtělo, aby platilo to druhé, ale rozum zůstává u varianty první…
  • Kterak sex pomáhá hackerům. Přijde vám počítačový program (e-mailem, stáhnete si z webu apod.) s velmi atraktivní dívkou. A hrajete jednoduchou hru: opisujete několik písmen a znaků, přičemž slečna postupně odkládá svršky i spodky. Možná si to neuvědomujete, ale svou – ehm – zvědavostí právě v tuto chvíli pomáháte agresorům dále dobývat svět internetu. Právě pomocí trojského koně CAPTCHAR.A dokážou agresoři „číst“ různé kódované texty na webech, které třeba vyžadují autorizaci před přijetím nějaké informace. Tento trojan totiž načítá texty z určitého webu, zobrazuje je na Vašem počítači, Vy je bez problémů přečtete a vložíte, trojan okamžitě informaci předá dál – a jako „poděkování“ za pomoc potěší vaše oko.
  • Umírá technologie NAC? Bezpečnostní průmysl v poslední době vehementně prosazuje technologii NAC (Network Access Control, kontrola síťového přístupu). Její podstata je jednoduchá: interní síť je zapotřebí vybudovat jako bezpečné prostředí, takže do ní není vpuštěn nikdo, kdo se dostatečně neautorizuje, kdo nemá aktualizované a spuštěné bezpečnostní programy, kdo se snaží používat neschválený hardware. Což je jistě krásná (a dobrá!) myšlenka, ale v praxi má svá omezení. Jmenují se cena, komplexnost a zranitelnost. Za posledních zhruba osmnáct měsíců tak klesl počet organizací využívajících NAC ze 35ti procent na dnešních 26 procent. Ve stejném období zároveň vzrostl počet organizací, které se k NAC stavěly jednoznačně záporně (= absolutně nepočítaly s použitím této technologie) z 21 na 24 procent.
  • Podvodníkům je nejlépe za mřížemi. (Alespoň z pohledu těch ostatních.) V průběhu listopadu 2007 provedla americká FBI několik zátahů proti parazitům v elektronickém světě, kteří se zaměřovali na bankovní podvody, dále na okrádání společností i jednotlivců. Celková (resp. prokázaná škoda) v daných případech přesahuje dvacet miliónů dolarů. Zadržení podvodníci používali bez výjimky botnetů – sítí infikovaných počítačů nic netušících uživatelů. Podrobnosti zatím FBI nezveřejnila, nicméně hovořila o zhruba dvou miliónech napadených počítačů. Není přitom podstatné ani to, že FBI zasáhla nebo kolik podvodníků bylo zadrženo, ale právě toto číslo týkající se napadených počítačů. Problém botnetů je čím dál větší a krom jiného dává jasnou odpověď na otázku „co by u mě útočník hledal?“ – „nic, má zájem o využití počítače a internetového připojení“.
  • Wikipedia coby lakmusový papírek útočníků. Nadace The Wikimedia Foundation byla nucena zvýšit minimální částku darů, kterou je ochotna akceptovat. Byla totiž zavalena jednocentovými „dary“ od podvodníků. Ti zkoušeli přístupy ke zpronevěřeným bankovním účtům nebo odcizeným kreditním kartám tím, že věnovali jeden centr na účet nadace – a na transparentním webu se brzy dozvěděli, zdali transakce proběhla či nikoliv (aniž by si to jakkoliv jinak ověřovali či za sebou zanechávali stopy). Pokud transakce proběhla a vše bylo „čisté“ (tedy účet např. nebyl sledovaný), pustili se do dalších podvodů. Problémem se ale stalo, že náklady na zpracování jednocentových darů pro Wikipedii jsou vyšší než vlastní hodnota daru-nedaru…

publikoval KFL