Bezpečnostní perličky – říjen 2008

  • Article

:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::

  • Červená pro WEP, zelená pro antiviry. Nad zprávami o úniku miliónů osobních údajů týkajících se kreditních karet se už dnes těžko pozastavíme – staly se jaksi každodenní součástí našich životů. Nicméně výboru bezpečnostních standardů (Security Standards Council) při organizaci Payment Card Industry (PCI) nyní došla trpělivost a rozhodl se jednat. Provedl tak změny v bezpečnostních standardech, které musí společnosti dodržovat proto, aby splnily minimální požadavky na ochranu informací o kreditních kartách zákazníků. Jedním z těchto nařízení je zákaz používání přežité technologie WEP k zabezpečení jakékoliv části přenosu informací. Zákaz bude platný od 30. června 2010 s tím, že od 31. března 2009 se nesmí instalovat jakékoliv systémy WEP využívající. Dalším příkazem je používat antivirový program na všech systémech bez výjimky – dosud platil příkaz jen pro operační systémy Windows.
  • Komplexním řešením chybí komplexnost. Známá bezpečnostní a konzultační firma Secunia provedla „tak trochu jiné testy“ předních bezpečnostních programů pro koncové stanice. Pod pojmem „tak trochu jiné testy“ si představme sledování detekce nikoliv jednotlivých škodlivých kódů nebo dalších parametrů, ale celých útoků, s jakými se lze běžně setkat (a jejichž jsou třeba ony škodlivé kódy součástí – třeba zranitelností některých aplikací, s jejichž pomocí útočníci kódy do počítače instalují). Výsledky se ukázaly jako velmi tristní, ze sto padesáti nejběžnějších na internetu se vyskytujících útoků detekovala komplexní řešení jen řádově procenta. Nejlepší výsledek (šlo přitom o výjimku potvrzující pravidlo) činil procent třicet. I ten ale znamenal, že sedm z deseti typických útoků bude úspěšných. Výrobci bezpečnostních řešení pochopitelně okamžitě napadli metodiku testu, faktem ale zůstává, že včerejší systém ochrany před hrozbami už před dnešními útoky skutečně nemusí dostačovat.
  • Nezabezpečené WiFi připojení se stane ilegálním? Filozofie některých útočníků „systém, který lze napadnout, si nic jiného nezaslouží“ je často implementována i ve světě WiFi připojení. Prostě: pokud je připojení nezabezpečené, lze se k němu beztrestně připojovat. Jenže v praxi to tak jednoduché není, protože třeba v Illinois byl nedávno pokutovaný muž částkou 250 USD za to, že neoprávněně a vědomě využíval otevřenou síť – a v Michiganu nyní probíhá proces s jiným uživatelem, který se připojoval k nezabezpečené WiFi síti v internetové kavárně z vozidla před ní zaparkovaného. Obviněný je z „neoprávněného přístupu k počítačům, počítačovým systémům a počítačovým sítím“. Indie dokonce uvažuje, že by pod hrozbou sankcí zakázala nezabezpečené WiFi sítě: místní policie nedávno provedla domovní prohlídku u člověka, který podobnou síť měl a kterou využívali ke komunikaci teroristé zodpovědní za bombový útok se 42 mrtvými. Není to přitom jen otázka vzdálené Indie či USA: proces s člověkem neoprávněně využívajícím nezabezpečené WiFi připojení nyní probíhá i v Belgii...
  • Opět notebook s virem. Tvrzení „nový počítač je nejbezpečnější“ bylo snad už tisíckrát vyvráceno (nový počítač není chráněný heslem, má obecně známá nastavení, nemá aktualizace, často ani bezpečnostní programy – a pokud ano, pak se zastaralými aktualizacemi atd.). Nyní přichází tisící první popření tohoto mýtu: populární notebooky Asus Eee byly distribuovány (údajně pouze v Japonsku) s virem skrytým v souboru „recycled.exe“ (napadá mj. USB disky). Vypadá to, že image nahrávané na disky notebooků nebylo dostatečně testováno a že bylo nejspíše vinou selhání lidského faktoru infikováno ze zavirovaného USB disku. Takže opět připomínáme: „nové“ není synonymem pro „bezpečné“.
  • Nepřátelské společenské sítě. Ještě nedávno šlo o hrozbu teoretickou, později se objevily první útoky z kategorie proof-of-concept (důkaz, že to jde) a dnes už představuje nebezpečí přicházející ze společenských sítí (Facebook apod.) reálné nebezpečí, se kterým musíme počítat. Modely šíření škodlivých kódů jsou různé, ale to není podstatné: podstatnější je, že dnes podobných kódů známe stovky a jejich počet roste řadou geometrickou. Mimochodem, tento vývoj není zase tak nepředpokládaný, když si uvědomíme dvě skutečnosti. Jednak dramaticky narůstající oblibu společenských sítí. A jednak fakt, že přes devadesát procent útoků (dle Sophosu) z webu je vedeno prostřednictvím stránek, které obecně považujeme za důvěryhodné (a které tak jsou pro agresory velmi atraktivní).