Bezpečnostní perličky – říjen 2010


:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::

  • Google nabízí odměnu za nalezení chyb. Google se rozhodl učinit krok, který dosud žádný výrobce software nikdy neudělal – vyplácet finanční odměnu za objevení kritických chyb ve svých webových aplikacích (např. google.com, blogger.com, orkut.com či youtube.com – ve hře tak nejsou off-line aplikace jako Google Desktop, Android či Chrome). Podle závažnosti a dalších parametrů je nahlášení chyby oceněno odměnou ve výši 500 až 3133,70 USD. Uvidíme, zdali se nápad ujme a jaký přinese výsledek: každopádně by mohl zvýšit počet osob vyhledávajících zranitelnosti stejně jako by mohl případným útočníkům nabídnout možnost své objevy legálně (byť relativně nízkou částkou) zpeněžit, namísto vydávání se na nejistou cestu kyberzločinu. Otazníkem je snad jen to, zdali nedojde k „pokřivení trhu“: bezpečnostní specialisté (nikoliv útočníci) jsou zvyklí nalezené chyby hlásit výrobcům zdarma v rámci dobrých vztahů. Nezačnou tedy vyžadovat platby i od jiných tvůrců aplikací nebo nezačnou ty platící upřednostňovat?
  • Neoblíbenější PIN? Datum narození. Bezpečnostní specialisté často dští oheň a síru na uživatele, kteří si vytvářejí snadno zapamatovatelná nebo odhadnutelná hesla. Stranou jejich pozornosti přitom zůstávají lidé, kteří používají zpravidla čtyřmístné PINy – např. na platebních kartách. Zde je jaksi automaticky bráno, že číslo je „jen“ číslo a že jej prakticky nelze špatně zvolit. Chyba lávky! Jak prokázal průzkum provedený ve Velké Británii, plných osmnáct procent uživatelů PINů (celkem bylo dotazováno 1576 respondentů) používá jako kód své datum narození, protože „potřebují zapamatovatelné číslo“. Jinými slovy: jeden z pěti uživatelů používá snadno odhadnutelný PIN… (A jen pro doplnění: plných 13 procent si PIN není schopno nebo ochotno zapamatovat vůbec, takže jej nosí napsaný na lístečku u karty – a skoro polovina uživatelů používá z důvodu pohodlí na všech kartách a aplikacích stejný PIN.)
  • Velmi výnosný kyberzločin. Ukrajinská policie zadržela pět osob, které důvodně podezírá, že stojí za rozsáhlým pokusem (z části úspěšným) o krádež peněz z bankovních účtů malých a středních amerických firem s pomocí trojana ZeuS. Celkem se výtečníci pokusili během posledních osmnácti měsíců odcizit 220 mil. dolarů, úspěch slavili zhruba ve třetině případů a získali zhruba 70 mil. USD. I slábnoucímu dolaru navzdory to v přepočtu představuje vcelku slušnou sumu přesahující miliardu korun… Celkem bylo napadeno přes 390 amerických firem, peníze byly přesunuty zhruba 3500 „bílým koním“ (nastrčeným osobám, které dostaly odměnu v řádu procent za jejich přeposlání dále) na celém světě (údajně až v 75 zemích!).
  • Útočníci: s jídlem roste chuť. Skupina ukrajinských podvodníků je jednou, nikoliv však jedinou skupinou svého druhu. David Jevans, předseda APWG (Anti-Phishing Working Group) a ředitel společnosti IronKey, odhaduje, že přímé ztráty amerických firem spojených s on-line bankovními podvody, překročí v letošním roce jednu miliardu dolarů. Zároveň upozornil, že rychle roste ztráta připadající na jeden útok: počátkem loňského roku typicky útočníci převáděli částky ve výši zhruba 100 tisíc dolarů, o rok později už na jeden incident připadalo 400 až 500 tisíc USD a nyní jde o částky pohybující se kolem miliónu dolarů. Miliardovou ztrátu v letošním roce potvrdil i Avivah Litan z analytické skupiny Gartner, který zároveň dodal, že stejnou částku „vypumpovali“ útočníci z účtů amerických malých a středních podniků během osmnácti měsíců do poloviny letošního roku.
  • Stále stejný příběh: ztracený USB disk. USB flash disky se vesele ztrácejí, ztrácejí, ztrácejí… Jde o tisíce zařízení denně: některé obsahují data citlivá více, jiná méně. Sem tam se mezi ztrátami objeví perlička, která stojí za pozornost – jako právě nyní flash disk nalezený řidičem autobusu ve městě Cumbria. Ten totiž obsahoval data z jaderných zařízení ve městě Sellafield (zde je několik továren na zpracování jaderného paliva, odstavená jaderná elektrárna a několik experimentálních reaktorů). Data byla pochopitelně nešifrovaná a obsahovala např. podrobné seznamy techniků přecházejících v rámci reorganizace z jednoho zařízení do druhého. Samozřejmě, že USB flash disk není radioaktivní a že jde o seznam zaměstnanců jako každý jiný – komentátoři ale upozorňují, že jaderný provoz by přece jen měl mít laťku bezpečnosti celkově nastavenou krapet výše.
  • Taková neškodná kyberarmáda. Indie zveřejnila svůj plán na vytvoření „kybernetické armády“. Důvodem se stal narůstající počet útoků na indické vládní počítačové systémy. „Armádu“ by měli tvořit přední bezpečnostní specialisté a „polepšení hackeři“, kterým Indie nabídla výměnou za nákup jejich služeb amnestii (jinak má velmi přísné zákony a kyberútočníkům hrozí až tři měsíce za mřížemi). Dle listu The Economic Times of India se na projektu již shodly zpravodajské služby, telekomunikační průmysl, ministerstvo informačních technologií a bezpečnostní služby. Ačkoliv všichni zúčastnění zdůrazňují, že úkoly kyberarmády budou výhradně defenzivní, tak kromě ochrany indických zdrojů má být jejím hlavním úkolem též celosvětový sběr informací pro vládu Indie (což rozhodně nezní jako získávání informací o novinkách a trendech v ICT bezpečnosti).
Comments (0)

Skip to main content