Bezpečnostní perličky – červenec a srpen 2010

  • Article

:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::

  • Virtualizace a cloud computing ve službách IT podsvětí. Technologie virtualizace a cloud computingu přestávají být jen velmi užitečným nástrojem, ale začínají se také stávat velmi nebezpečnou zbraní – alespoň v rukou nebezpečných osob. Bezpečnostní konzultanti David Bryan z Trustwave a Michael Anderson z NetSPI předvedli, že s použitím tří virtuálních serverů v prostředí Amazon EC2 (Elastic Computer Cloud) dokážou velmi jednoduše provést silný útok DoS (Denial of Service, odepření služby). Jeho „prováděcí náklady“ jsou přitom pouhých šest dolarů. Výhodou tohoto scénáře je fakt, že virtuální servery umožňují dobrou přípravu i rychlou konfiguraci – a využití cloudu zase nabízí ohromné možnosti, co se týká výkonu a distribuce. (Mnozí bezpečnostní specialisté tvrdí, že právě virtualizace a cloudy umožňují rychlé vypínání podobných útoků – teoreticky je to asi pravda, ale jak prokázaly praktické pokusy Bryana a Andersona s jejich utilitou Thunder Clap, praxe je úplně jiná a reakční doby poskytovatelů jsou prozatím neúměrně dlouhé.)
  • Bezpečnostní certifikace i pro routery. Organizace ICSA Labs reagovala na nedávné objevení botnetu Chuck Norris (jméno dostal dle komentáře ve zdrojovém kódu). Připomeňme si je, že tento botnet se šířil a zabydloval na špatně konfigurovaných routerech (mohl se dokonce zabydlovat i v satelitních přijímačích!) – běžnými kontrolními mechanismy tak nebyla šance jej detekovat. Ochranou je použití silných přihlašovacích údajů a zákaz vzdálené správy těchto zařízení. To jsme ale trochu odbočili: ICSA Labs nově nabízí certifikační program (zatím jen domácích) routerů s názvem Broadband Home Router Certification, v rámci kterého hodnotí schopnost zařízení rozlišovat korektní a nekorektní data stejně jako schopnost odpírat přístup škodlivým kódům. Routery jsou totiž často používány jen jako plag-and-play bez jakékoliv další správy. Inu, záběr nebezpečných prostředí se stále rozšiřuje.
  • Bezpečné heslo bude muset být delší. Georgia Tech Research Institute hlásí, že brzy budeme muset změnit standardy pro „bezpečné heslo“. Podle výzkumníků působících v této instituci je důvodem jednak nárůst výkonu počítačových procesorů a jednak narůstající počet procesorů na grafických kartách – nejde totiž jen o výkon samostatných procesorů, ale jejich paralelní řazení umožňuje vývoj algoritmů schopných dramaticky zkrátit čas potřebný k prolomení hesla. Dnešní jen lehce nadstandardní grafická karta totiž dle výzkumníků z Georgia Tech Research Institute disponuje stejnou výpočetní silou, jakou měly před deseti k dispozici jen superpočítače za milióny dolarů. Sedmiznaková hesla již dnes považují za nedostatečná a doporučují přejít na dvanáctiznaková s tím, že i tato velmi rychle zastarají. Spíše než v nekonečném prodlužování hesel bychom budoucnost viděli v použití jiné technologie.
  • Způsobil virus pád letadla? Možná na vás tato otázka působí příliš sugestivně, ale posuďte sami. Dvacátého srpna 2008 havaroval při pokusu o start na madridském letišti stroj MD-80 se 172 pasažéry (154 z nich zahynulo). Podle španělského deníku El País nyní vychází najevo, že v době nehody byl mimo provoz centrální diagnostický počítačový systém společnosti Spanair, a to z důvodu infekce trojany. A teď pozor: příčinou nehody byl fakt, že letoun neměl vysunuté vztlakové klapky, takže se sice vznesl – a po několikasekundovém letu dopadl. Jednoznačně šlo o pilotní chybu, kterou ale měl odhalit palubní výstražný systém. Ten ale byl mimo provoz, což měl hlídat právě centrální diagnostický systém letecké společnosti. Ano, ten systém, který byl zavirovaný, a tudíž mimo provoz. Jeho funkční algoritmus je přitom jasný: okamžitě zakázat používání letadla v případě, že na jeho palubě nefunguje automatický výstražný systém. Jinými slovy: ač v případě nehody šlo o pilotní chybu, existovaly mechanismy, jak nehodě zabránit – v prvé řadě by ovšem nesměl být centrální diagnostický systém infikovaný. Přímá příčinná souvislost tu tedy není, ale k tragédii by za normálního běhu počítačů nemuselo dojít...
  • Jak jsme připraveni na sociální inženýrství? Organizace Social–Engineer připravila pro letošní bezpečnostní konferenci Defcon v Las Vegas zajímavou studii. V ní se zaměřila na deset velkých společností (jmenovitě Google, Microsoft, Apple, Cisco, BP, Shell, Ford, PG&E, Coke a Pepsi) a pokusila se na ně „zaútočit“ pomocí sociálního inženýrství. Využili k tomu oslovování pomocí telefonických hovorů – a dlužno podotknout, že v drtivé většině případů měli úspěch. Pracovníci útočníkům ochotně sdělovali hesla nebo informace o používaném software. Z celkem padesáti oslovených uživatelů jich 47 „spolupracovalo“, jen tři pojali podezření a okamžitě ukončili hovor bez toho, aniž by poskytli jakékoliv informace. Výzkumníci dodávají, že byli poněkud překvapeni, když všichni tři, kdo podvod odhalili (v jednom případě dokonce po pouhých dvaceti sekundách hovoru) a drželi jazyk za zuby – byly ženy.