Bezpečnostní perličky – září 2008

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

  • Ztráta dat stojí peníze. Pochopitelně, že nejde o žádný nový objev – a potvrdila ho i studie sponzorovaná organizací Hitachi Systems Storage Index, v jejímž rámci se uskutečnilo ve dvaceti zemích světa 840 rozhovorů s lidmi na pozici CIO. Výsledkem je, že pro nejvíce z nich (81 procent) je hlavní obavou týkající se zachování kontinuity činnosti dostupnost dat. Asi nejde o neoprávněnou obavu, protože každý rok zhruba šest procent počítačů v Evropě postihne ztráta dat – což představuje 1,7 miliónu incidentů. Z toho připadá 42 procent na selhání hardware, 31 procent na lidskou chybu, 13 procent na selhání software, 7 procent na útok viru (dle ICSA.net přitom má čtyřicet procent organizací každoročně problém se ztrátou dat právě po útoku škodlivého kódu), 5 procent na odcizení hardware (doplňujeme, že dle Securityfocus je 10 až 15 procent odcizených notebooků ukradeno s cílem získat data) a zbytek na zničení hardware (přírodní katastrofy, požáry, zásahy bleskem apod.). Pozitivní zprávou rozhodně je, že v osmdesáti procentech případů se podaří data kompletně obnovit...
  • Interní útoky větším problémem externích. A ještě jeden průzkum: tentokráte provedený společností CA ve Spojených státech. Ten potvrdil, že hrozby nacházející se uvnitř organizací jsou větším problémem, než útoky z externích zdrojů. Průzkum dále ukázal, že 65 procent organizací zaznamenalo v uplynulých dvou letech nějaký incident s únikem dat. Plných 34 procent organizací označilo jako hlavního viníka úniku tajných informací útok nebo průnik zvenčí. Obecný trend nárůstu útoků (postiženo bylo o deset procent více organizací než v roce 2006) spěje k tomu, že čím dál více zákazníků je nespokojeno s kvalitou zabezpečení a poskytovaných služeb. Dnes je jich prý až jedna třetina, což je alarmující číslo. Nebezpečným fenoménem je i skutečnost, že se hrozby přesouvají do oblastí, kde jsou méně viditelné a hůře se vyčíslují. Např. počet incidentů, které byly spojené se snížením produktivity, vzrostl z 52 procent na 61 procent (během dvou let). Stejně tak byly incidenty spojené se ztrátou důvěry a důvěryhodnosti: v roce 2006 jich bylo 30 procent, nyní o pět procentních bodů více.
  • Pozor na falešné antiviry! Proč vymýšlet něco nového, když staré dobré triky stále fungují docela obstojně? V poslední době tak zažívá znovuzrození metoda „pašování“ škodlivých kódů do počítačů pomocí antivirových programů. Či spíše „antivirových programů“, protože tyto falzifikáty nemají se solidními bezpečnostními firmami zhola nic společného. Jedná se pouze o aplikace tvářící se jako antivirový software, ve skutečnosti ale jde o lákavě zabalené škodlivé kódy. Proto pozor na WinDefender 2008 či System Defender (nezaměňovat s Windows Defender! – útočníci záměrně zneužívají podobná jména), Antivirus XP 2008, SysClean, AntiMalware 2009, Total Eliminator, eKerberos, Andromeda Antivirus, Real Antivirus a mnohé další aplikace. Přitom nejde ani tak o název (ten může být ABSOLUTNĚ jakýkoliv), ale třeba o způsob, jakým se dostáváte k informaci o existenci toho kterého programu (spam, pop-up okno, reklama na internetu apod.).
  • Je prohlížeč Chrome bezpečný? Jen několik hodin vydržela novému prohlížeči Chrome „neposkvrněnost“ – alespoň co se bezpečnostního hlediska týká. Dnes už známe desítky bezpečnostních problémů, se kterými se tato relativně nová aplikace potýká: některé jsou uměle nafukované („najít chybu za každou cenu“), některé ale představují skutečné nebezpečí (spuštění neautorizovaného kódu na počítači, možnost získání práv aktuálně přihlášeného uživatele útočníkem aj.). Samozřejmě, že skutečnou (ne)kvalitu Chrome bude možné hodnotit až s odstupem času: stejně jako každá nová a hojně medializovaná aplikace představuje rukavici hozenou hledačům chyb a zranitelností, takže jejich motivace je vyšší než obvyklá.
  • Spory o heslo k telefonickému bankovnictví. Zajímavý spor měl jistý pan Steve Jetley, zákazník banky Lloyds TSB v Shrewsbury (Velká Británie). Po konfliktu s touto bankou si změnil heslo ke svému telefonnímu bankovnictví na „Lloyds is pants“ (což by se dalo přeložit např. jako „Lloydsové jsou spoďáry“). Později však byl informován pracovníky call centra, že jeho heslo neodpovídalo pravidlům a že bylo změněno na „No it´s not“ („Ne, nejsou“). V tu chvíli se pan Jetley dosti důrazně ozval, protože skutečnost, že pracovníci banky mohou bez vědomí a souhlasu klienta měnit hesla se mu vůbec nelíbila. Banka se mu následně omluvila, nicméně jeho původní heslo neakceptovala. Pan Jetley se následně heslo pokusil upravit na „Lloyds is rubbish“ (Lloyds jsou zloději) nebo na „Barclays is better“ ([Banka] Barclays je lepší). Bylo mu vysvětleno, že heslo musí být dle nových politik jednoslovné. Okamžitě se rozhodl pro „Censorship“ (Cenzura), ale opět narazil – heslo prý nesmí být delší než šest znaků. Míček je nyní na straně pana Jetleyho, který už prohlásil, že se intenzivně věnuje hledání nového vhodného hesla...