Bezpečnostní perličky – listopad 2009

  • Article

:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::

  • Web jako řešeto. Organizace WhiteHat Security vydala zprávu mapující stav bezpečnosti na webových stránkách (pro úplnost dodáváme, že se mapováním zabývá dlouhodobě – zpráva zahrnuje data od ledna 2006 do října 2009). Varující přitom je, že množství zranitelných webových stránek a aplikací dlouhodobě roste. Plných 83 procent webů se v průběhu své životnosti setkalo s kritickou nebo závažnou bezpečnostní chybu – plných 64 procent ji přitom má právě teď. Z 22 tisíc identifikovaných zranitelností je jich přitom přes devět tisíc neopravených (ze strany výrobců a dodavatelů). Jak vidno, za neradostnou situaci v oblasti informační bezpečnosti je třeba hledat liknavost výrobců i uživatelů…
  • Data z notebooku rozhodla o izraelském útoku. Není to příběh nový, na světlo světa se ale dostal až nyní. Týká se jaderného reaktoru v Sýrii, který krátce před dokončením vybombardoval v září 2007 Izrael. Podle německého týdeníku Der Spiegel v tomto útoku hrál svoji významnou roli i notebooku vysoce postaveného syrského vládního úředníka, do kterého se izraelským agentům podařilo instalovat trojského koně. Stalo se tak během pobytu v Kensingtonu (Londýn), kdy se úředník choval lehkovážně a opakovaně nechával svůj počítač na hotelovém pokoji bez dozoru. Mossad se tak dostal k velkému množství dat z počítače, mezi kterými byly technické výkresy, kontakty, dopisy a stovky fotografií. Ty zachycovaly vnitřní vybavení zařízení, které se navenek tvářilo jako betonová krychle: Izraelci díky těmto snímkům již nebyli na pochybách, k jakému účelu objekt slouží a rozhodli se zakročit.
  • Průnik do The Wall Street Journal. Injektáž SQL (vložení kódu do SQL databáze) představuje jednu z největších bezpečnostních hrozeb současnosti. Uvádí se, že po XSS (cross-site scripting) útoku jde o druhou nejrozšířenější zranitelnost webových stránek. Pamatovat si to nyní budou i v redakci The Wall Street Journal: rumunská hackerská skupina Unu se totiž právě skrze injektáž SQL dokázala dostat do interní databáze. A pak už se děly věci – snad stačí jen naznačit, že v interní databázi byla uživatelská i administrátorská hesla uložena jakkoliv nechráněná v textových souborech…
  • Zloděj instalovaný do Symbianu, Existuje-li nějaký typ nebezpečné aplikace v jediném exempláři, hovoříme o ní jako o proof-of-concept (důkaz, že to jde). Rozšíří-li se masově, jde o aplikace in-the-wild („v divočině“). A právě z kategorie první do druhé se v posledních týdnech přesunuly dialery na platformě Symbian (konkrétně druhé vydání S60). Z technického hlediska nejde o žádnou novinku, protože škodlivý kód se do přístroje instaluje tak, že si ho uživatel stáhne z nedůvěryhodného zdroje a spustí. Následně pak začíná vytáčet prémiová (= vysoce zpoplatněná) čísla v různých zemích. Dobrá, ale co přiměje uživatele, že dotyčný soubor stáhne a nainstaluje? Třeba to, že se jmenuje iPornPlayer…
  • Meziroční srovnání (ne)bezpečnosti. Pokud někdo uvede, že úroveň kybernetických hrozeb je právě dnes nejvyšší v historii, s největší pravděpodobností má pravdu. Situace je zkrátka den ze dne horší a horší. Z tohoto úhlu pohledu není závěr nového průzkumu organizace Computer Security Institute (CSI) s názvem 2009 Computer Crime and Security Survey žádným překvapením. Přesto stojí za to se do něj začíst. Absolutní množství útoků sice roste, ale náklady na jeden (navzdory mnoha studijím a statistikám bezpečnostních firem) klesají: meziročně z 289 tisíc na 234 tisíc USD. Zajímavé je, že 17,3 procent organizací (nárůst o osm procent) se setkalo s útokem proti heslům, 13,5 procenta postihla změna webových stránek (sedmiprocentní nárůst), 19,5 procenta se stalo obětí finančního podvodu (nárůst o osm procent), 29,2 procenta bylo cílem DoS útoku (Denial of Service – odepření služby; nárůst osm procent) a 64,3 procenta řešilo problémy se škodlivými kódy (o rok dříve jen padesát procent). A ještě jedno číslo na závěr: plná třetina organizací byla během uplynulého roku poškozena phishingem. Ovšem tak, že někdo rozesílal jejich jménem podvodné zprávy.