Bezpečnostní perličky – únor 2009


:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::


  • „Dobrý“ červ ničí „zlého“ červa. Jako VBS/Malnir.A je označovaný skript, který se šíří po sdílených a přenosných discích. Ovšem pozor, kromě toho je jeho projevem také vyhledávání a mazání souborů autorun.*, které obsahují škodlivé kódy. Právě přes tyto infikované soubory se do počítačových systémů dostává čím dál více nákaz – absurdní přitom je, že i VBS/Malnir.A se šíří pomocí souboru autorun.*. Slova dobrý a zlý máme v titulku v uvozovkách záměrně: neexistuje něco jako „dobrý“ a „zlý“ škodlivý kód. Zkoumat, cože vlastně dělá, je zbytečné: podstatné je, jak a že se dostává do systému. A z hlediska správce i otázka „kudy?“

  • • Storm: poučení z krizového vývoje. Bohužel, poučení ze svého času velmi rozšířeného botnetu Storm si vzali především jeho tvůrci. A tak můžeme jen smutně konstatovat, že Storm (ještě před několika měsíci považovaný za vyřízeného – svého vrcholu dosáhl loni v červenci, ale už o dva měsíce později prakticky zmizel ze světa) se vrací. A nejen to, vrací se mnohem silnější, než dříve. Nový kód Waledac či Waled má novou architekturu, vyšší odolnost proti odhalení nebo odstranění, hůře se vyřazuje z činnosti. Např. už nepoužívá snadno filtrovatelnou a „viditelnou“ peer-to-peer komunikaci, ale běžný http provoz. Nebo svůj datový tunel nešifruje RSA klíčem 64bitovým, ale 1024bitovým (navíc spojení iniciuje pomocí silné šifry AES). A jak víme, že jde o pokračovatele Stormu? Nový kód využívá stejné servery či komunikuje se stejnými IP adresami. Evidentně jsou tedy za ním stejní lidé...

  • Není to o systémech, je to o lidech. Studie provedená Independent Oracle User Group mezi sto padesáti organizacemi přinesla překvapivé zjištění: plných jedenáct procent správců oraclovských databází NIKDY nenainstalovalo ani jednu záplatu Oracle CPU (Critical Patch Updates)! (A dalších osm procent si nebylo jistých.) Aktualizace Oracle CPU jsou vydávané jednou za čtvrt roku s tím, že jen třicet procent správců je instaluje PŘED vydáním další verze. Deset procent si udržuje skluz dvou aktualizací, osm procent tří aktualizací a dalších osm procent dokonce čtyř aktualizací (což je prodleva jednoho roku). Tuto „pomalost“ nejčastěji zdůvodňují obavami ohledně možných problémů se systémem po aplikaci aktualizací. A pozor: správci nejsou ochotni své chování změnit! Šestnáct procent by jich uvažovalo o změně jen v případě, že by se databáze staly cílem virového útoku – ale z těch, kteří nezáplatují nikdy také nikdo není ochoten o změně chování uvažovat.

  • A zase ta logická bomba... Tři roky pracoval v Marylandu ve firmě Fannie Mae jako softwarový inženýr jistý Rajendrasinh Babubhai Makwana (35). Měl přístup k celkem čtyřem tisícům serverům – a když byl v říjnu 2008 vyhozený z práce, začal spřádat ďábelský plán pomsty. Poslední lednový den letošního roku v devět hodin ráno mělo dojít k přepsání dat na těchto serverech. Výsledné škody mohly dosáhnout miliónových částek (v dolarech) a zredukovat nebo dokonce zastavil činnost firmy na nejméně týden. Makwana byl ale zadržen FBI ještě před výbuchem „logické bomby“ a nyní mu hrozí až desetileté vězení. Pozorní čtenáři si jistě vzpomenou, že podobný případ jsme tu popisovali před měsícem. Dnešní specifická doba jim asi trochu nahrává...

  • Kyberzločin v černých číslech: obrat jeden bilión dolarů. Celosvětové ekonomické recesi navzdory kybernetický zločin jen kvete. A to tak, že dle studie společnosti McAfee jeho celosvětový obrat loni překročil hranici biliónu dolarů, což je číslo s jedničkou a dvanácti nulami. Vyplývá to ze studie, do níž se zapojilo 800 šéfů informatiky. Kromě toho, že jen oni sami vyčíslili vlastní náklady na vypořádání se s útoky na 600 mil. dolarů, zároveň uvedli, že největší hrozbu (tvrdí to 42 procent z nich) představují „zaměstnanci na cestách“ (tedy připojující se z externího prostředí, nad jejichž počítači není trvalá kontrola apod.). Zajímavým zjištěním také je, že 25 procent nečínských respondentů by nikdy neuložilo svá firemní data v datových centrech v Číně, zatímco 47 procent čínských CIO označuje za největší hrozbu pro svá data útoky z USA.

  • „Utekl“ záznam? Připravte si 200 dolarů... Zatímco v roce 2006 byla průměrná hodnota likvidace jednoho incidentu spojeného s únikem dat 4,7 mil. USD, o rok později číslo vyskočilo na 6,3 mil. USD a loni dosáhlo částky 6,6 mil. USD. Tvrdí to alespoň americká organizace Ponemon Institute, která hovoří o únicích dat v USA. Podrobila přitom analýze incidenty u 43 organizací, kdy průměrně „uteklo“ 33 tisíc záznamů (ve skutečnosti šlo o incidenty týkající se 4200 až 113 tisíc záznamů). Na jeden kompromitovaný záznam tak připadaly výdaje ve výši dvou set dolarů.

Comments (2)

  1. Jiří Hýzler says:

    Nechci být rejpal, ale u druhého bodu, šifrování 1024 bitovým AES je tedy mega symetrický klíč. To tím šifruje 1/2 hodiny? A ten 64bitový RSA klíč, to je spíš klíčíček. Nemá to být náhodou obráceně? A i když názvy prohodím, tak 64 bitový AES je dost neobvyklý (většinou se používá 128 bitový nebo 256 bitový).

    jh

  2. KFL-MS says:

    Jiri> Diky, Jirko – opravili jsme 🙂

Skip to main content