Bezpečnostní perličky – září 2009

  • Article

:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::

  • Zahoďte mobil, který jste měli v Číně. Americká vláda nechce ponechat nic náhodě a s podezřením sleduje vše, co přichází z Čínské lidové republiky – včetně počítačových kódů. Navíc nyní přišla se sadou doporučení „jak by se měli chovat ti, kdo služebně cestují do Číny“. Z doporučení vybíráme: nechte doma své standardní počítačové vybavení, pro cestu si pořiďte nové, „vyčistěte“ své zařízení po návratu (nový image na notebook apod.) nebo rovnou vyřaďte mobilní telefon, který jste měli s sebou.
  • Německo: data stále vesele utíkají. Jeden a více úniků dat během posledních dvanácti měsíců zaznamenalo více, než 53 procent německých společností. Plyne to alespoň z průzkumu realizovaného organizací The Ponemon Institute, který se primárně orientoval na použití šifrování v podnikovém sektoru. Studie analyzovala data od 490 osob na informatických a bezpečnostních pozicích (27 procent z nich na pozici manažerské či vyšší), aby pomohla identifikovat trendy ve strategii nasazení šifrování, metodikách nasazení, rozpočetech i výdajích a dopadech na bezpečnostní incidenty. Pokud jde o zjištěné trendy, jsou – ehm – neradostné. Neb výše uvedený počet firem, ze kterých „utekla“ data, představuje meziročně 55procentní nárůst. Je ale skutečně situace horší? Studie poukazuje na to, že si organizace díky přísnější legislativě úniků dat více všímá. Možná se tak stav neměnní (nebo se dokonce lepší) a za hrůzostrašnými čísly je jen skutečnost, že si problémů více všímáme. Ať tak či onak: číslo je to hodně vysoké.
  • Šedesát procent útoků míří na webové aplikace. Webové aplikace jednoznačně dominují v preferencích útočníků. Tvrdí to alespoň institut SANS. A jedním dechem dodává, že organizace na celém světě de facto zaměřují svoji pozornost špatným směrem: namísto ochrany webových aplikací se chrání před jinými vektory útoku (ne že by se před nimi chránit neměli, jde ale o důraz a nastavení priorit). SANS navíc upozorňuje, že třeba ve vztahu k záplatování se většina organizací soustředí především na operační systémy, ale ignoruje třeba kancelářské aplikace, komunikační programy či různé prohlížecí nástroje. Přitom dle statistik jsou právě tyto (bezpochyby i právě díky našemu velkorysému přehlížení) pro útočníky „volbou číslo jedna“. Ostatně, máslo na hlavě mají i výrobci a dodavatelé: operační systémy dle SANSu záplatují s dvojnásobnou rychlostí oproti ostatním aplikacím.
  • Falešný on-line skener instaluje falešný antivirus. Před programy, které se vydávají za bezpečnostní aplikace, a přitom samotné představují riziko (třeba tím, že slouží k transportu či maskování škodlivých kódů) jsme již varovali. Takže následující informace je vlastně doplňující: útočníci začali k průnikům do systémů využívat i podvodné „on-line skenery“. Tedy aplikace, které slouží k (především) antivirové kontrole počítače, aniž by bylo nutné něco instalovat. Princip útoku (spíše by se dalo říci podvodu) je jednoduchý: uživatel navštíví jistou www stránku, zde skript začne předstírat kontrolu počítače. Vzápětí oznámí nalezení několika hrozeb a nabídne „řešení“. Pokud vystrašený uživatel na nabídku kývne a nainstaluje si nabízený soubor, infikuje si počítač. Starý trik, jen v novém kabátě.
  • Peníze nesou zase jen peníze. Už dlouhé roky si o tom šuškají i vrabci na střeše: kybernetický zločin si díky svým miliardovým obratům (a ziskům – neb jeho náklady jsou minimální, jako jedno z mála „podnikání“ si může mezi obě účetní položky téměř dát rovnítko) může dovolit pronikat do „lepší společnosti“, což mu pomáhá zvyšovat důvěryhodnost a v konečném důsledku i profit. Nakupují se různé studie ohledně chování uživatelů (na co jsou ochotni klikat? na jaká klíčová slova slyší?), lepší pozice ve vyhledávačích (zatímco průměrná míra penetrace nebezpečných webů je na internetu kolem jednoho až dvou procent, ve sponzorovaných odkazech na Google je to běžně osm procent) aj. Přesvědčit na vlastní kůži se o tom mohli i čtenáři internetové verze New York Times: útočníci si zakoupili (pod hlavičkou nastrčené telekomunikační společnosti) inzertní prostor, takže přímo od seriózních článků bylo možné skrze solidně vypadající inzerát prokliknout se na web plný škodlivých kódů. New York Times se kaje a slibuje, že si na podobné kličky dá v budoucnu pozor. Sypat popel na hlavu ale není podstatné: jednak si „ti zlí“ najdou další cesty, jednak je při pohybu na internetu s podobným rizikem prostě nutné počítat a podle toho se zařídit.