Bezpečnostní perličky – září 2010

  • Article

:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::

  • Den, kterého jsme se všichni báli. Představte si škodlivý kód, který je napsaný v několika programovacích jazycích a šifrovaný pomocí několika různých algoritmů. Představte si, že napadá malé jednoúčelové počítače pro řízení průmyslových procesů (tedy nikoliv klasická PC nebo servery). Představte si, že využívá hned čtyř nebezpečných zranitelností operačního systému – a že se chová jako rootkit. Představte si, že se rok šíří světem, aniž by si jej někdo všiml. Představte si, že je profesionálně odladěný a nebudí prakticky žádnou pozornost. Představte si, že čtyři měsíce po jeho objevení nejsme schopni jej dekódovat – a nejsme tak schopni určit, cože je vlastně jeho úkolem. A v tomto výčtu „nočních můr“ bychom mohli pokračovat: řeč je o škodlivém kódu Stuxnet, který se šíří světem nejméně od loňského roku (zaregistrovali jsme jej ale až letos v červnu!) a který má podle všeho za úkol sabotovat íránský jaderný program tím, že se na rootové úrovni „usídlí“ v řídících jednoúčelových počítačích a má možnost provést dosud nejasnou činnost. Nejčastěji se hovoří o napadení výzkumného střediska v íránském Natanzu (kde mimochodem loni ze záhadných důvodů přestalo fungovat nejméně 800 ze 4700 centrifug na obohacování uranu).
  • Jak hluboko sáhnout do kapsy? Je to věčný problém všech zodpovědných za informační bezpečnost: kolik investovat, aby byla ochrana kvalitní, ale zároveň aby nebyla zbytečně předimenzovaná a nerozvíjela se na úkor jiných částí systému? Bezpečnost je totiž hledáním co nejpříznivějšího poměru cena/výkon – v daném případě cena/bezpečí. Samozřejmě, že podmínky se případ od případu liší, ale orientační náhled nám dává průzkum provedený společností Gartner Consulting mezi 1500 organizacemi na celém světě. Jde o pět procent z celkového rozpočtu na IT. Pokud bychom chtěli hovořit o konkrétních číslech, bylo to v loňském roce 525 USD na uživatele. Pro srovnání: v roce 2008 šlo o 635 USD „na hlavu“ a o rok dříve o 510 USD.
  • Jedna parta, dvě třetiny útoků. Phishing je problém, který se nezmenšuje, ale naopak roste – uživatelé jsou stále důvěřiví a neopatrní, navíc jsou ohrožováni novými technikami (whaling, TabNabbing aj.). Zajímavé přitom je, že (dle Anti-Phishing Working Group, APWG) má plné dvě třetiny útoků na celém světě na svědomí jediná skupina, která je označována jako Avalanche. Ta dle APWG vytvořila systém masové produkce phishingových stránek (takže ji netrápí, že jejich životnost je menší, než 24 hodin), stejně jako má silné kanály pro distribuci podvodných e-mailů – a velké množství najatých „bílých koní“ (o propracovaném systému jejich získávání ani nemluvě). Skupina dokázala například jen ve druhé polovině roku 2009 přímo napadnout webové stránky více než čtyř desítek bank (sen každého phishera...).
  • O implementaci jde především. Ruská společnost Elcomsoft, která se specializuje na prolamování různých šifer, oznámila, že její nejnovější úspěch představuje prolomení ochrany u datových záloh ze zařízení BlackBerry. Výrobce podle všeho sice použil bezpečné 256bitové šifrování AES na svých zálohovacích programech BlackBerry Desktop Software pro platformy PC a Mac, ale podle všeho jej špatně implementoval (dle Elcomsoftu je chyba v implementaci derivace ve funkci PBKDF2, která je prý použita „velmi zvláštně“). Díky tomu je možné prolomit sedmiznakové heslo (složené z malých písmen se dvěma velkými) na počítači s procesorem Intel Core i7 během půldruhé hodiny, silnější hesla pak do tří dnů – pokud se využije výpočetní kapacita procesoru na grafické kartě, pak i rychleji. Elcomsoft má na jedné straně velmi kontroverzní pověst díky komerčních produkci nástrojů pro prolamování šifer (včetně WPA u WiFi), na druhé straně je ovšem práce firmy z čistě odborného hlediska velmi vysoce ceněná.
  • Kovařova kobyla... Přihlašovací údaje k účtům systému PayPal patří mezi útočníky k těm nejvyhledávanějším a nejoceňovanějším. Proto firma vytvořila celou řadu doporučení, jak se chovat, aby riziko problému bylo co nejmenší. Absurdní ovšem je, že se těmito radami sama neřídí. Jednou z nich totiž je „vždy se přihlaste na PayPal novým otevřením prohlížeče a napsáním následující adresy: https://www.paypal.com“. Cílem rady je varovat před různými podvodnými weby a před klikáním na odkazy v nekorektních e-mailech. Jenže nedávno PayPal UK rozeslal svým uživatelům e-mailovou zprávu, ve které nabádá uživatele ke kliknutí na odkaz s aktualizovanými podmínkami používání služby. Zdá se to jako maličkost, ale – právě takovéto drobnosti vytváří u uživatelů povědomí, že PayPal jim může předávat odkazy elektronickou poštou. A k průšvihu je zase o krůček blíže...
  • Antivir a firewall pro automobil? Dvě americké instituce (University of California San Diego, University of Washington) varovaly, že moderní automobily jsou velmi náchylné k „hacknutí“. Jsou totiž doslova „prošpikované“ elektronikou a v nemalé míře využívají bezdrátového spojení: moderní automobil obsahuje průměrně padesát počítačových systémů, které kontrolují prakticky vše. Mnohé jsou nebo přinejmenším mohou být ovládané bezdrátově – a protože výrobci nevěnují dostatečnou pozornost jejich zabezpečení (kdo by také věnoval čas a úsilí zajištění třeba centrálního zámku nebo zapalování před softwarovou agresí?), jsou tato zařízení velmi náchylná k vnějším útokům. Už v roce 2005 se objevily zvěsti o možnosti „zavirování“ automobilu Toyota Prius pomocí Bluetooth technologie. Tyto zvěsti se ale nepotvrdily, nicméně nyní obě výše zmíněné univerzity předvedly několik způsobů, jak útok provést. Dokázali změnit firmware a převzít kontrolu nad některými procesy – dokonce i bezdrátově. Nezveřejnily pouze, o jaký typ vozidla a od kterého výrobce šlo. Představa a vyhlídka je to každopádně děsivá.