Bezpečnostní perličky – červen 2010

  • Article

:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::

  • Z Popelky žádanou nevěstou. Kdysi to byl terč posměchu, dnes jde o všeobecně uznávaný a přijímaný nástroj. Řeč je o Secure Development Lifecycle (bezpečném vývojovém cyklu, SDL), se kterým v roce 2002 přišel Microsoft. Tehdy se stal terčem posměšků: „Developeři Microsoftu se učí programovat...“ SDL ovšem ukázal z hlediska bezpečnosti, stability i kompatibility své oprávnění, a tak jej dnes (dle průzkumu organizace Errata Security) používá 57 procent organizací. To je jistě chvályhodné. Zpráva se ovšem dá číst i obráceně: plných 43 procent organizací vyvíjejících software na bezpečnost z vysoka kašle.
  • Prověřeno praxí: šifrování funguje. Jako už tolikrát se ukázalo, kvalitní šifrování skutečně funguje. Ani po dvanáctiměsíčním úsilí nebyla americká FBI schopná dešifrovat informace uložené na pěti pevných discích, které patří brazilskému bankéři obviněnému z praní špinavých peněz. (Zastánci konspirace by jistě řekli, že FBI jen nechce položit všechny karty na stůl – ale v takovém případě by data jistě dešifrovala a přidala nějaký jednoduchý, leč nezpochybnitelný příběh. Třeba o nevhodně uloženém či zvoleném hesle.) Disky byly proto vráceny zpět brazilským kriminalistům, kteří o jejich dešifrování požádali. Jen dodáváme, že nepoctivého bankéře chrání aplikace TrueCrypt (open-source program pro šifrování celých disků) s blíže nespecifikovaným algoritmem založeným na 256bitovém standardu AES.
  • Stále pozor na exzaměstnance! Bývalý databázový správce ve společnosti GEXA Energy v Houstonu (stát Texas) byl odsouzený na dvanáct měsíců nepodmíněně za útok proti počítačové síti svého exzaměstnavatele. Steven Jinwoo Kim (40) se bez formálního oprávnění „naboural“ 30. dubna 2008 ze svého domácího počítače do systému bývalého zaměstnavatele („padáka“ přitom dostal 5. února téhož roku s tím, že mu byla okamžitě odebrána všechna přístupová práva), kde poškodil databázi s informacemi o 150 tisících klientech společnosti. Tuto databázi si ale ještě před poškozením stihl stáhnout – což se pak stalo jedním z klíčových důkazů u soudu. Kromě vězení byl odsouzen i k finanční pokutě ve výši 100 tisíc dolarů.
  • Tak trochu zvláštní obchodní model... Že se občas v distribuovaném software objeví nějaké škodlivý kód, je smutnou realitou kybernetického světa. Že se občas nějaký zhrzený (ex)zaměstnanec někam vloží virus či něco záměrně poškodí – i to už asi někoho nepřekvapí. Vývojářská firma CIPSA ze španělské Cordoby šla ale ještě dál: do aplikací, které vyvíjela na zakázku malých a středních firem vkládala záměrné chyby. Programy nejprve fungovaly tak, jak měly – ale po nějakém čase došlo k výpadku (po záruční době), takže bylo nutné dle smlouvy zajistit a především zaplatit technickou podporu u výrobce. Situace se po nějakém čase opakovala – a znovu a znovu. Tuto „živnost“ prý firma provozovala dlouhých dvanáct let. (Také Vám aplikace tak často „klekají“ poté, co uplyne výrobcem garantovaná záruka?)
  • Hardware se vesele ztrácí stále. Kybernetické útoky jsou možná čím dál sofistikovanější. Zároveň ale stále platí, že i ty primitivní jsou velmi účinné. Aneb nač vymýšlet supersložité scénáře průniku, když to jde jednoduše (a když potenciálním agresorům ještě pomáháme). V Kalifornii došlo během krátké doby ke dvěma bezpečnostním průšvihům, na jejichž počátku stála – ztráta hardware. Nejprve společnost MR, která spravuje platby pro American Airlines, ztratila při transportu pevný disk obsahující komplexní osobní informace o 79 tisících současných i minulých zaměstnancích letecké společnosti. Jen o několik dní později nahlásila ztrátu CD s informacemi o 29808 pacientech společnost Care 1st. Zatímco MR si sype popel na hlavu s tím, že data nebyla šifrovaná, Care 1st se k této otázce odmítá vyjádřit. Ač zatím nebyl v této souvislosti zaznamenaný žádný případ podvodu nebo útoku, americké legislativa nutí provinilce počítat s nejhorší možnou variantou. Obě firmy tak již postiženým rozesílají varování, návody „jak se nestát obětí podvodu“ a nabízejí jim v případě potíží právní pomoc zdarma. (Dle Ponemon Institute jsou náklady „likvidace škod“ na každý uniklý údaj ve Spojených státech kolem 200 USD.)