Bezpečnostní perličky – prosinec 2010

  • Article

:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::

  • Zadní vrátka (nejen) od FBI? Velmi závažné a zásadní obvinění přinesl dopis bývalého technického ředitele společnosti NETSEC Gregoryho Perryho zakladateli OpenBSD Theu de Raadtovi s tvrzením, že kolem roku 2000 americká FBI implementovala do kódu OpenBSD mechanismy zadních vrátek a „postranních kanálů“ pro úniky generovaných klíčů IPSec. Stalo se tak prý prostřednictvím programátorů, kteří se na projektu podíleli – jmenovitě jsou zmíněni Jason Wright a Scott Lowe. (Pro ujasnění souvislostí: NETSEC tehdy financoval část vývoje OpenBSD.) Ač se dopis neměl dostat na veřejnost, nakonec se tak stalo – a jeho důsledky jsou dalekosáhlé. Nebudeme nyní soudit, kde je či není pravda, protože nezávislí pozorovatelé se shodují na tom, že je to po deseti letech nemožné (a všichni jmenovaní pochopitelně jakýkoliv svůj podíl popírají). Podívejme se ale na důsledky: ten, kdo tvoří pravidla, je může i měnit (k obrazu svému). Aneb není podstatné pouze (například) to, jak silné šifrování se používá nebo jaká technologie je zvolena – ale také, jak (a kým) je implementována. Protože - ruku na srdce – toto si prakticky nemáme možnost ověřovat, a tak musíme slepě věřit tvůrci, že je vedený jen čistými úmysly.
  • Na Facebooku ztratí soukromí i ten, kdo tam není. Krásný bonmot z poslední doby praví, že jsou dva druhy lidí. Jednak ti, kteří jsou na Facebooku. A jednak ti, kteří si přečetli jeho licenční podmínky... Nyní to ale vypadá, že na Facebooku by se mohl objevit prakticky každý (tedy i ten, kdo si přečetl licenční podmínky...). Firma totiž začala zavádět novou technologii, která umožňuje nejen označovat na fotografiích jednotlivé konkrétní osoby – ale zároveň takto označené osoby vyhledávat i v dalších snímcích. Stačí tedy, aby se například pan Karel (jinak zapřísáhlý odpůrce Facebooku) zúčastnil nějakého večírku či akce, odkud se objeví společná fotografie na webu. Někdo jej na snímku identifikuje – a automatický nástroj Facebooku se následně bude pokoušet Karla identifikovat i na dalších snímcích, kterými více než půl miliarda uživatelů „krmí“ tento systém. Důsledky si jistě domyslí každý sám – aneb naše soukromí si bude žít vlastním „životem“ zcela nezávisle na nás...
  • Když ukrást osobní data, tak ve velkém stylu. Proč chodit za kováříčkem, když lze jít přímo ke kováři? Aneb trendem útoků poslední doby je tzv. whaling – namísto systému „padni, kam padni, ono to někde vyjde“ je pro agresory lepší zaměřit se na pár vybraných, leč o to atraktivnějších cílů (ostatně, whaling je česky velrybaření – tedy orientace na „velké ryby“). Marketingová společnost Siverpop Systems z Atlanty, která spravuje databázi klientů řetězce rychlého občerstvení McDonald´s, oznámila, že došlo k úspěšnému útoku na její databázi (způsob provedení nezmínila) kontaktů, které spravuje pro třetí strany. Na první pohled by mohlo jít o útok, jakých zde byly už desítky, jenže... FBI v této souvislosti oznámila, že právě marketingové firmy shromažďující velká množství osobních údajů jsou v poslední době mimořádně častým cílem útoků kyberzločinců. Evidentně je jednodušší sáhnout do tučné databáze čítající stovky tisíc či milióny prověřených kontaktů, než podobné kvantum pracně shromažďovat položku po položce.
  • Nebezpečné hrátky s bezpečností. Bezpečnostní průmysl může být i velmi nebezpečnou záležitostí – jak se o tom mohl na vlastní kůži přesvědčit bývalý ředitel oddělení monitorování internetu čínského Ministerstva veřejné bezpečnosti Yu Bing. Za prokázané přijímání úplatků v celkové výši 14 miliónů jüanů (cca 40 miliónů Kč) v souvislosti s neoprávněným protežováním některých výrobců bezpečnostního software mu byl vyměřen – trest smrti. Yu Bing podle obvinění dlouhodobě protežoval místní antivirovou firmu Rising, jejíž produkty oficiálně doporučoval a které „zametal“ cestu k dalším zakázkám. Za to dostával „všimné“. Když se například objevila konkurence v podobě antivirové společnosti Micropoint, kladl jí administrativní překážky – a když ani to nezabralo, pomohl vytvořit vykonstruované obvinění proti majiteli Micropointu Tianu Yakuimu (za údajné krádeže obchodních tajemství a šíření malware), který následně strávil jedenáct měsíců ve vazbě. Jedinou útěchou pro Yu Binga může být fakt, že soud prozatím odložil vykonání rozsudku o dva roky...
  • Galimatyáš v seznamech dárců orgánů. Konzultační firma SQS (Software Quality Systems) sestavila žebříček deseti nejhorších softwarových selhání v roce 2010. Kromě různých problémů s elektronickými daňovými přiznáními, na burzách či s kreditními kartami je zde jedna položka, která rozhodně stojí za pozornost. Díky špatné konverzi dat mezi databázemi došlo u 25 dárců orgánů k odběru jiných orgánů, než s jakými vydali souhlas. Pokud pomineme etickou, morální či právní stránku věci, pak čistě technicky vzato nikdo nedošel k újmě (všichni dárci byli již po smrti) – ovšem reálně z této skutečnosti lehce mrazí v zádech, neb k transplantaci mohly být například vzaty těžce nemocné orgány. Na chybu se přišlo víceméně náhodou, když nově registrovaní dárci orgánů dostali děkovné dopisy od britské Národní zdravotní služby, kde bylo vysloveně uvedeno, které orgány posmrtně nabízeli k transplantaci – a dárci se začali ozývat, že záznamy nesouhlasí. Následně se zjistilo, že chybná konverze dat se týká více než osmi set tisíc (!) registrovaných dárců (těch je celkem přes sedmnáct miliónů).