Bezpečnostní perličky – květen 2010


:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::

  • Bezpečnostní firmy nejsou svaté. Během konference AusCERT v Gold Coast (Queensland) rozdávala společnost IBM USB flash disky s informačními materiály. Co čert nechtěl, tyto „flešky“ se ukázaly zavirované, a to hned dvojicí škodlivých kódů (W32/LibHack-A a W32/Agent-FWF). Ironické přitom bylo, že obsahovaly materiály o bezpečnostních projektech IBM – a že konference AusCERT je zaměřená právě na informační bezpečnost. Podobný kabát z ostudy si ušila i britská webová stránka Cybersecurity Challenge, jejíž autoři s oblibou upozorňují na nedostatky ve webových aplikacích jiných subjektů. Tentokrát si ovšem naběhli, protože museli přiznat, že jejich servery jsou zranitelné vůči útokům Cross-site Scripting (XSS) a že byly použité k šíření škodlivých kódů. Jistě, touto zranitelností trpí v různých podobách zhruba tři čtvrtiny webových aplikací na světě. Ale v případě bezpečnostní firmy je její existence obzvláště pikantní.
  • Nebezpečný přechod na Windows 7. Chystáte se migrovat na Windows 7? Je Váš hardware i software na tento akt připravený? Nejste si jisti? Pak není nic jednoduššího, než použít některý z nástrojů pro vyhodnocení kompatibility. Některé jsou přímo z dílen Microsoftu, jiné stvořili nezávislí autoři. Ale pozor! Světem se (a velmi úspěšně!) šíří škodlivé kódy, které se za aplikace „Compatibility Checker“ vydávají! Jejich cíl je jasný: přimet uživatele k tomu, aby je na svém počítači v dobré víře spustil – a tím si jej de facto infikoval. Takže pozor: i „pouhé“ vyhodnocení kompatibility provádějte s rozumem a jen s ověřenými nástroji!
  • Bariérám navzdory data unikají dále. Do módy (opět) přicházejí systémy DLP – Data Leak Prevention. Tedy systémy, které vytvoří kolem sítě, systému či jinak vymezeného bodu „datový plot“, aby data nemohla jakkoliv unikat. Organizace na něco podobného v poslední době hodně slyší, firmy nabízející DLP rostou jako houby po dešti. Firma DeviceLock nyní zveřejnila průzkum, který tuto oblast silně demýtizuje: systémy DLP mají totiž závažné trhliny, kterými data stejně a trvale unikají. Největšími nedostatky je neschopnost DLP systémů monitorovat synchronizaci s inteligentními mobilními telefony (nedostatkem prý trpí 48 procent systémů) a neřešení problematiky úniků dat skrze tiskárny (neumí to ošetřit 74 procent DLP systémů!). Znovu se tak připomíná staré dobré pravidlo: každý systém je tak silný, jak je silný jeho nejslabší článek. I v případě DLP.
  • Síťová (ne)bezpečnost. Společnost Dimension Data provedla v loňském roce celkem 235 vyhodnocení řízení životního cyklu technických zařízení (Technology Lifecycle Management, TLM). Nyní se svá zjištění rozhodla zesumarizovat, vyhodnotit a výsledky zveřejnit. V mnohém stojí za pozornost: třeba fakt, že 38 procent síťových zařízení (přepínače, směrovače, brány apod.) obsahuje zranitelnost, která je činí náchylnými vůči interním i externím útokům. Nebo že síťové zařízení obsahuje průměrně 41 odchylek od optimální konfigurace (inu, každý správce si konfiguruje po svém – roste ale riziko výpadků nebo útoků). Dále: 35 procent zařízení v sítích již není podporováno ze strany výrobců. To znamená, že nejsou k dispozici opravy a zařízení zůstávají v případě objevení nějaké chyby trvale zranitelná.
  • Spam je věčný... Proč? Protože desítky miliónů lidí tyto zprávy stále otevírají (často způsobem, který je vystavují riziku dalších útoků) a milióny dokonce na něj reagují. Smutně to konstatuje průzkum organizace MAAWG (Messaging Anti-Abuse Working Group). Podle něj polovina uživatelů připouští, že spam nejen čte, ale i otevírá jeho přílohy, přeposílá jej dalším lidem nebo dokonce reaguje. Je to mj. dáno i nízkým povědomím o bezpečnosti: jen třetina uživatelů se domnívá, že se jim touto cestou může stát něco nebezpečného. Čtvrtina uživatelů se také pokusila odhlásit od příjmu spamu (za což byla „odměněna“ další lavinou nevyžádané pošty), 15 procent odpovědělo s dotazem na nabízený produkt či službu a plná čtyři procenta nabídky využila a produkt/službu zakoupila.
Comments (0)

Skip to main content