Bezpečnostní perličky - červen a červenec 2009

  • Article

:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::

  • Krátké, leč nebezpečné. Zkracovací služby URL odkazů jsou na internetu čím dál populárnější - neb potřebnější. Není se čemu divit, vždyť třeba twitterovské záznamy jsou omezeny na 140 znaků a je asi těžko představitelné, že by dvě třetiny z této kapacity měl obsadit právě odkaz na web, o kterém se „štěbetá“. Což samozřejmě nemůže uniknout pozornosti agresorů, protože URL odkaz ve zkráceném tvaru zhola nic nevypovídá o tom, jaký web se za ním skutečně skrývá (ne že by jiné odkazy příliš vypovídaly, ale přece jen alespoň lehce naznačit mohou hodně). Pak je tu ale ještě jeden vektor útoku, který je překvapivě otevřený, protože zkracovací služby rostou jako houby po dešti a jejich tvůrci tak nekladou příliš velký důraz na bezpečnost. Přesvědčit se o tom mohli uživatelé serveru cligs (www.cli.gs), který byl napadený a který následně všechny „zkrácené“ adresy (a bylo jich přes dva milióny!) směřoval na jednu jedinou stránku. Inu, neradno v bezpečnosti spoléhat na něco, nad čím nemáme kontrolu.
  • Zranitelnosti na ústupu? V jinak zpravidla neradostném světě informační bezpečnosti tady máme malý závan optimismu. Počet nově objevených zranitelností v informačních systémech poklesl v první polovině letošního roku o tři procenta oproti stejnému období roku loňského. Nejde přitom o jednorázovou odchylku, nýbrž dlouhodobější trend: v roce 2008 bylo celkově zaznamenáno o dvanáct procent zranitelností méně, než v roce předchozích. Abychom přehnaný optimismus trochu zkrotili: roste ale nebezpečnost zranitelností, těch nově objevených „velmi kritických“ je nyní o čtyři procenta více, než bylo objeveno před rokem. A proto, devadesát procent zranitelností je nyní objevováno v aplikacích - nikoliv v operačních systémech, jako tomu bylo dříve.
  • Čtyři roky pro zloděje informací. Ke čtyřem letům vězení byl odsouzený John Schiefer (27) z Los Angeles, který se přiznal k infikování čtvrt miliónu počítačů pomocí škodlivých kódů - z několika tisíc z nich se mu přitom podařilo odcizit osobní informace a přístupové kódy k internetovému bankovnictví nebo k jiným finančním službám (např. PayPal). Pozornost přitom upoutalo nejen toto odsouzení, ale i následná reakce Schieferova šéfa Jasona Calacanise ze společnosti Mahalo, kde je zaměstnán. Calacanis v emotivním prohlášení tvrdil, že si Schiefera nechal důkladně prověřit i s pomocí specializovaných personálních agentur a že tyto na něm neshledaly (a dodnes neshledávají!) nic závadného. A že tedy bude ve firmě dále pracovat jako bezpečnostní specialista. Pokud je toto stanovisko vedení společnosti, budiž. Mnohem tvrdší stanovisko by pak měli zaujmout její zákazníci.
  • Dvacet dva miliónů - a jedeme dál. Podle nezávislé organizace věnující se sledování problematiky škodlivých kódů a testování antivirových produktů AV-test.org překročil počet škodlivých kódů 22 miliónů. Přitom v poslední době jejich množství roste rychlostí vyšší než jeden milión kusů měsíčně. Samozřejmě, že drtivá většina těchto kódů nejsou „novinky“, ale pouze více či méně upravené verze již dříve vypuštěných virů. A stejně tak lze velmi snadno napadnout metodiku, která je používaná pro sčítání škodlivých kódů. Ale... Pokud se metodika nemění a množství virů roste geometrickou řadou, měl by to být velmi pádný důvod k zamyšlení.
  • Kolik kódů dokážeme detekovat? Máme tady další neveselou studii o (ne)kvalitě antivirových řešení. Studie provedená společností Damballa tvrdí, že stávající antivirové systémy jsou schopné odhalit v průměru padesát procent škodlivých kódů. A že zhruba patnáct procent virů nejsou schopné podchytit vůbec. A že kolem pěti procent podnikových systémů je infikováno pomocí botnetů. Těžko říci, nakolik jsou tato čísla reálná, ale není šprochu...