Bezpečnostní perličky – duben 2010

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

  • Miliardové internetové podvody. AmerickýOffice of Fair Trade (Úřad pro rovnou soutěž) oznámil výsledky průzkumu týkajícího se podvodů na internetu, který zpracovala University of Portsmouth. Podle něj jsou celkové celosvětové ztráty způsobené internetovým zločinem zhruba čtrnáct miliard dolarů. To by bylo jen další statistické číslo, kdyby nebylo doprovázeno zajímavým převodem na absolutní hodnoty v případě jednotlivých typů podvodů. A tak jsme se dozvěděli, že v loňském roce celkem 70 tisíc lidí (!) skočilo na lep podvodníkům s tzv. Nigerijskými dopisy („mám dvacet miliónů dolarů na nezaopatřeném účtu, potřebuji pomoci s jejich převodem...“), 38 tisíc lidí se nechalo zlákat vidinou velké výhry v loterii („nejprve je ovšem nutné uhradit daň“), deset tisíc lidí se stalo obětí investičních podvodů („lééévnééé akciééé – nakupujte dříve, než cena raketově poroste!“) a čtrnáct tisíc lidí vsadilo své peníze do falešných (rozumějte neexistujících) loterií.
  • Špión jménem iPad. Nový komerční program je schopen proměnit iPad v sofistikované špionážní zařízení. Aplikaci Mobile Spy nabízí floridská společnost Retina-X Studios s tím, že jde o placenou službu. Za poplatek 99,97 dolaru ročně (plus daň) máte po instalaci aplikace do iPadu možnost na dedikované a on-line aktualizované webové stránce studovat výpis všech webových stránek ze sledovaného zařízení navštívených, přečíst si každý zaslaný i přijatý e-mail stejně jako být informován o přidaných kontaktech. Firma software inzeruje jako pomocníka rodičům (aby věděli, co jejich děti dělají) nebo zaměstnavatelům (pracují zaměstnanci se svěřeným zařízením skutečně efektivně?) a slibuje, že již pracuje na systému přesné lokalizace zařízení (pak bude možné sledovat i jeho pohyb). Software musí do zařízení instalovat osoba s fyzickým přístupem k němu – což sice může znít jako dobrá zpráva (i když uživatele lze přesvědčit o ledasčem), ale špatnou zprávou je, že opět o něco narostl důraz na zajištění fyzické bezpečnosti mobilních zařízení.
  • Nebezpečný bezpečnostní software. Společnost McAfee způsobila stovkám tisíc (dle odhadu listu The New York Times) svých uživatelů na celém světě horké chvilky, když její bezpečnostní aplikace detekovala legitimní soubor ze systému Windows XP SP3 jako virus – a následně jej smazala. Systém se tím stal nepoužitelným. V americkém státě Iowa bylo důsledkem chyby v programu dokonce odstavení střediska tísňové linky 911. Společnost McAfee již závadnou aktualizaci stáhla, opravila a omluvila se. Zajímavé ovšem bylo sledovat, s jakou rychlostí reagovali kyberútočníci: jako houby po dešti vznikly na internetu webové stránky s návody „jak rychle odstranit problém“. Ve skutečnosti ale sváděly uživatele k instalaci škodlivých kódů do svých počítačů.
  • Hardwarová špionáž z Číny? Indie zakázala telekomunikačním společnostem pořizovat si čínské síťové vybavení. Zdůvodnila to tím, že toto může být vybaveno funkcemi neoprávněného sledování. Zákaz ponechává možnost nákupu čínského vybavení, ovšem jen na základě jednorázově vydávaných bezpečnostních povolenek. Další opatřením je, že s kritickým síťovým hardwarem budou moci pro příště fyzicky pracovat jen indičtí specialisté. Což je možná trochu ironické opatření ze strany země, která je hlavním světovým outsourcorem pro služby technické podpory a telefonních center. Zdali je obava Indie reálná, těžko posoudit (zákaz přišel jen několik dní poté, co obvinila nejlidnatější zemi světa k vloupání do počítačových systémů několika ministerstev a zkopírování citlivých informací – může tedy jít o odvetné opatření). Otevírá se však zásadní otázka důvěry k výrobci hardware, kterou v ICT často raději neřešíme, neb ji prostě považujeme za neřešitelnou.
  • Příliš vysoké americké statistiky. Různí publicisté a konzultanti (včetně autora těchto řádků) se často odkazují na různé průzkumy a statistiky ze Spojených států. (Důvod je prostý: Američané milují statistiky, takže jich produkují obrovské množství a je radost z nich vybírat.) Nová studie organizace Ponemon Institute (sponzorovaná firmou PGP) ale varuje, že třeba náklady na řešení jednoho bezpečnostního incidentu v USA jsou zhruba dvojnásobné ve srovnání se zbytkem světa. Zdůvodňují to přísnou regulací: ta sice ponechává volnou ruku při běžném provozu, ale ve chvíli problému stanovuje velmi striktní lhůty, pravidla a také sankce. Takže: abychom americké statistiky dostali na celosvětový průměr, musíme dělit dvěma. (A abychom je dostali na úroveň Česka s vágní legislativou, museli bychom nejspíše dělit ještě více.)