Bezpečnostní střípky - únor 2008

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

  • Podvody rostou o 8000 procent ročně! Ano, přesně takový dramatický meziroční nárůst zaznamenaly bankovní a jiné internetové podvody. Evidentně jde o oblast pro útočníky velmi zajímavou a velmi lukrativní. Celosvětovým trendem je přitom orientace na „měkké cíle“, protože velcí hráči dbají na bezpečnost velmi důkladně. Přesvědčit se o tom lze v poslední době i v našich zeměpisných šířkách, kde se cílem podvodů stala největší banka, Česká spořitelna. Od počátku roku zaznamenala více než tucet phishingových útoků, přičemž jejich scénář byl pokaždé stejný: snaha získat pod nějakou záminkou (nepovedená transakce, problémy s informačním systémem, vítězství v loterii, mimořádná prémie apod.) od uživatele přihlašovací údaje k internetovému bankovnictví.
  • Pozor na add-on moduly ve Firefoxu! Instalace různých doplňků v internetových prohlížečích je čím dále oblíbenější. Faktem ale je, že zároveň s oblibou roste i jejich nebezpečnost. Jednak si do počítače pouštíme aplikaci, nad kterou následně nemáme velkou kontrolu (aktualizace?, bezpečnostní rizika?). Jednak je zde pravidlo „čím více aplikací, tím snadnější cíl pro útočníka“. Bezpečnostní experti varují především před „add-on“ doplňky v prohlížeči Firefox, které slouží čím dál častěji k útokům proti počítačovým systémům. Důvodem je jejich nešťastně zvolená architektura, kdy každý instalovaný doplněk obsahuje pevně daný odkaz na www stránku svého tvůrce. Zde si „add-on“ čas od času kontroluje, zdali není k dispozici nová verze. Nebezpečí je hned několik: k aktualizaci dochází ze soukromých stránek, nikoliv ze stránek výrobce. Takže bezpečnost Firefoxu je odvislá od zabezpečení těchto zdrojů. A těch je více, takže i riziko je větší. A to nepočítáme možnost třeba podvržené instalace škodlivého kódu poté, co je třeba prostřednictvím podvrženého WiFi spotu aplikace vyzvána k (neexistující) aktualizaci. Nepoužívat tedy Firefox? Spíše používat zdravý rozum a instalovat co nejméně doplňků. Aneb méně je někdy více…
  • Spam si razí cestu do tiskáren. Ano, je to tak: jednoduchý skript umístěný na webové stránce umožňuje poslat na síťovou tiskárnu příkaz k tisku. Třeba právě nevyžádaného sdělení. Stačí, aby uživatel navštívil nebezpečnou www stránku, která má ve svém kódu vložený speciální Java-skript. Ten je následně schopen (pokud to okolnosti umožňují) prostřednictvím intranetu a příkazu „http Post“ poslat na síťovou tiskárnu v podstatě cokoliv k vytištění. V případě, že je tiskárna schopná odesílat faxy, pak může útočník využít i tuto službu. Celý princip útoku popsal a v praxi předvedl bezpečnostní konzultant Aaron Weaver. Zatím jde tedy o teoretický typ útoku, ale podstatné je, že tato možnost existuje. A obrana? Jednak administrátorským heslem na tiskárně. A jednak omezením přístupu na tiskárny tak, aby tyto tiskly jen úkoly přijaté z centralizovaného serveru.
  • Zero-Day-Attack je až druhou volbou. Bezpečnostní experti dlouhé roky tvrdí, že nejnebezpečnějšími útoky jsou tzv. Zero-Day-Attacks, útoky nultého dne. Tedy takové, kdy dojde ke zneužití nově objevené zranitelnosti do 24 hodin od jejího oznámení. Protože v tomto limitu zpravidla nejsou k dispozici aktualizace, resp. nejsou odzkoušené a instalované. Systémy tak jsou zranitelné. Zero-Day-Attacks jsou možná nejnebezpečnější, ale realita ukazuje, že mezi útočníky nepatří mezi příliš oblíbené. Důvod je jednoduchý: existuje vysoká pravděpodobnost, že zranitelný systém bude rychle zazáplatovaný. A tudíž, že se otevřená brána uzavře. Naproti tomu využití nějaké starší bezpečnostní chyby znamená, že byla s největší pravděpodobností přehlédnuta či že systém řízení záplat má nedostatky (např. existují aplikace, na které se zapomíná). A že zde tato chyba bude i zítra a pozítří. Aneb útočníky netrápí čas a mají klid na svoji „práci“. Ponaučení? Často býváme největším nepřítelem sami sobě a necháváme díry tam, kde už by dávno neměly být…
  • Hacker zaútočil: čtyři vykolejené tramvaje. V polském městě Lodž dokázal čtrnáctiletý mladík použít upravený dálkový ovladač televize k tomu, aby způsobil vykolejení čtyř tramvají. Nejprve se vloupal do místní vozovny, kde odcizil dokumentaci a blíže nespecifikované zařízení. Následně sestrojil s využitím vyřazeného televizního ovladače zařízení schopné vzdáleně přehazovat výhybky. V nejméně čtyřech případech tato „hra“ vedla k vykolejení tramvajové soupravy, v dalších k nutnosti nouzového zastavení spojeného se zraněním několika cestujících. Inu, informační bezpečnost se netýká pouze počítačů…

(publikoval KFL)