Bezpečnostní střípky – prosinec 2007


:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::



  • Vánoce s lechtivým podtextem. Triky útočníků, kteří se pokoušejí přimět nedostatečně obezřetné uživatele, aby spustili přílohy elektronické pošty, jsou si podobné jako vejce vejce. Když jsou nějaká výročí a svátky, maskují své výplody za přání. Nejinak tomu bylo i v právě uplynulé době vánoční. A v mezičase mezi svátky a výročími? Lidé spolehlivě slyší (slyšeli a bezesporu vždy slyšet budou) na témata s – ehm - lechtivým podtextem. Jako zajímavost dodáváme, že se v průběhu loňských svátků vánočních objevil červ Win32.Zhelatin.pd, který kombinoval obě výše uvedené vlastnosti: nabízel uživateli hru „svlékni si paní Santa Clausovou“. Samozřejmě, že společně se zobrazováním inkriminovaných obrázků došlo i k infiltraci počítače…

  • Hledají se bílí koně. Zn. praxe není nutná. Podvodníci už zase brousí po internetu a v posledních týdnech s velkou intenzitou hledají „spolupracovníky“. Třeba pod záminkou vybírání příspěvků pro americký Červený kříž od evropských dárců (podmínkou je vlastní bankovní konto, přes které budou „příspěvky“ putovat – a majitel si pak může nechávat provizi ve výši několika procent). Jinými slovy: kyberzločinci hledají nastrčené prostředníky, přes něž by převáděli podvodně získané prostředky. Aneb evidentně se chystá silná vlna dalších internetových podvodných útoků (jak ostatně ukázaly první dny roku 2008), takže se mějme na pozoru…

  • Miliardové ztráty s phishingem. Na výše uvedenou informaci volně navazuje následující číslo: v roce 2007 způsobil phishing celosvětově škody ve výši 3,2 mld. dolarů. Dospěla k němu konzultační společnost Gartner Inc. Dobrou zprávou alespoň budiž, že průměrná cena jednoho incidentu poklesla z 1244 (2006) na 886 USD. A že se podařilo získat zpět 64 procent odcizených prostředků (o rok dříve to bylo o deset procent méně). Přesto jsou to čísla, nad kterými asi není chuť zrovna dvakrát jásat…

  • Evropská komise chce zavést ohlašovací povinnost. Alespoň co se bezpečnostních incidentů týká (těch, které mají vztah k nevnitrofiremním datům). Podobná praxe funguje v USA, kde ale vzbuzuje kontroverzi. Jak třeba vůbec zjistit, že k nějakému incidentu došlo? Kde je hranice, kdy k incidentu došlo (rozdíl je třeba mezi pouhým narušením bezpečnosti systému a zkopírováním dat)? Kdo by měl nést negativní důsledky zveřejnění incidentu (prakticky vždy je nese právě oznamovatel, což je silně demotivujícím faktorem)? Nicméně těmto otázkám navzdory je má ohlašovací povinnost i své přednosti: organizace namísto tutlání průšvihů začínají přísněji dbát na to, aby k nim vůbec nedocházelo.

  • Skype: dvířka pro hackery. Už několikrát jsme upozornili, že aplikace IM nebo VoIP je potřeba kvalitně a důkladně začlenit do bezpečnostní infrastruktury organizace. Protože tomu tak stále není vždy a všude a protože opakování je matka moudrosti, přinášíme další varování. Většina upozornění na různé zranitelnosti v populární aplikaci Skype patří zpravidla do oblasti sociálního inženýrství sloužícího k šíření škodlivých kódů („nainstalujte si aktualizaci“ apod.), ale tato zpráva je nicméně skutečná: Skype ve verzi 3.x pro Windows se potýká s vysoce kritickou chybou. Ta se vyskytuje v knihovně Skype4COM.dll a projevuje se při zpracování URI odkazu. V konečném důsledku to může způsobit omezený buffer overflow, který může např. po návštěvě webové stránky se škodlivým kódem vést k jeho spuštění. Zranitelnost byla potvrzena ve verzi 3.5.0.239, ale není vyloučena i ve verzích předchozích nebo následných. Řešením je přechod nejméně na verzi 3.6.0.216 nebo pozdější, které touto chybou nejsou dotčené. A samozřejmě je také nutné s možností podobných nedostatků (nejen u Skype!) počítat v budoucnu a s ohledem na to budovat ochranný val.

  • Rok 2008 bude rokem špionáže. Alespoň to tvrdí bezpečnostní společnost McAfee. Něco na tom bude: špionáží lze získat informace, které mají reálně vyčíslitelnou tržní hodnotu. Ostatně, už v roce 2007 byl tento trend patrný – a to i na mezinárodní úrovni. Nejprve obvinily Čínskou lidovou republiku z cílené a systematické elektronické špionáže Spojené státy. Čína se proti tomu ohradila s tím, že sama je obětí a má problémy s hackery. Následně přišlo směrem k nejlidnatější zemi světa obvinění z Německa, které prohlásilo (ústy Hanse Elmare Rembera z Federálního úřadu pro ochranu ústavnosti), že z Číny jsou vedené útoky proti cílům, které jsou zajímavé z hlediska státu – nikoliv z hlediska jednotlivců nebo firem. Čína to opět odmítla. Následovalo varování britské MI5 v podobě dopisu rozeslaného třem stům bankám, auditorským a účetním firmám, že jsou cílem čínské elektronické špionáže. (Abychom nebyli pouze „čínocentričtí“: dva vysoce postavení manažeři jisté jihokorejské elektrárenské společnosti byli na závěr roku 2007 obviněni z odcizení a následného prodeje interních dat, což jejich zaměstnavateli údajně způsobilo škodu ve výši 1,8 mld. USD.) Společnost McAfee se se svou předpovědí zřejmě příliš mýlit nebude…

Comments (0)

Skip to main content