Bezpečnostní perličky – únor 2011

  • Article

:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti ::

  • Průměrný web je zranitelný devět měsíců v roce. Nečte se to dobře, ale... Studie společnosti WhiteHat Security varuje, že průměrná webová stránka je každý rok zranitelná zhruba 270 dní... Toto konstatování je výstupem dlouhodobého sledování více než tří tisíc webů 400 různých organizací službou Sentinel. Ta hledá ve webech nejen zranitelnosti, ale následně i monitoruje, jak dlouho se ještě vyskytují, než je někdo odstraní. Z průzkumu nejlépe vychází odvětví, která jsou ostře sledovaná a regulovaná, jako je zdravotnictví nebo bankovnictví. Naproti tomu téměř největší lajdáky lze najít v sociálních sítích a maloobchodních webech. Ovšem absolutním vítězem se staly weby z oblasti školství a vzdělávání. Největším problémem přitom už dáno není XSS nebo SQL injection, ale tzv. Information Leakage. Jde o to, že z webů „unikají“ informace, které by unikat neměly. Tímto problémem trpělo v loňském roce 64 procent ze sledovaných stránek.
  • Vydáním záplaty to nekončí... Byť softwarové společnosti s oblibou uvádějí, jak rychle jsou schopné na vzniklý problém vydat záplatu, samotná její dostupnost vlastní problém často neřeší. Tvrdí to zpráva organizace M86 Security a svůj postoj hned dokládá na názorném příkladu: všech šest nejrozšířenějších zranitelností na webu je starších čtyř let a na všechny jsou nejméně dva roky vydané aktualizace. Zpráva M86 Security dále konstatuje, že podobně je na tom i celá patnáctka nejrozšířenějších zranitelností. Třeba zranitelnost spuštění aktivních komponent MS Office Web byla objevena již v roce 2002 – a dnes jí patří z hlediska největší četnosti zneužívání druhá příčka. Zkrátka a dobře: není to jen o výrobcích a otázka bezpečnosti je o spolupráci od prvního do posledního článku řetězce.
  • Digitálně podepsaný malware. Škodlivé kódy jsou možná z pohledu některých uživatelů IT starou záležitostí, nicméně to jim neubírá na aktuálnosti. A navíc i v oblasti malware lze přijít s něčím novým. Dlužno podotknouti, že docela nebezpečným. Jedna z novějších variant škodlivého kódu Zeus má totiž svoji důvěryhodnost „zaručenou“ digitálním podpisem. Slovo „zaručenou“ dáváme záměrně do uvozovek, protože digitální podpis je podvržený a při testu integrity neprojde. Přesto u méně zkušených nebo bezpečností pohrdajících uživatelů může vyvolat dojem, že jde o korektní digitálně podepsanou aplikaci. Nechť je nám tedy i tento podvržený digitální podpis varováním, že fantazie tvůrců malware je téměř neomezená.
  • Čína stokrát jinak. Stále častěji a ze všech stran přicházejí zprávy o bezpečnostních incidentech, které mají společného jmenovatele – Čínu. Kanada hlásí, že v lednu došlo ke kompromitaci dvou jejích vládních sítí a že z nich neznámí útočníci zkopírovali citlivé informace. Stopy prý vedou (a ztrácejí) se do Číny. Amerika zase zveřejnila případ z roku 2009, kdy nejméně pět vysokých vládních činitelů dostalo e-mail tvářící se jako zpráva od sloupkaře a editora magazínu National Journal Bruce Stokese. Na příloze byl přitom umně schovaný kód, který se měl po aktivaci instalovat do počítačů a odesílat citlivé informace – na server napojený na čínskou vládu (bez udání bližších podrobností). A firma McAfee informovala, že americká FBI rozjela rozsáhlé vyšetřování týkající se průmyslové špionáže v pěti velkých mezinárodních ropných společnostech, ze kterých někdo v rámci „koordinované, pečlivě připravené a cílené“ operace zkopíroval informace o ropných nalezištích, financování projektů, zájmu o budoucí investice apod. Stopy prý opět vedou – k Velké čínské zdi. Jistě, přímé a nevyvratitelné důkazy chybějí – ale není té Číny už nějak moc?
  • Neexistuje bezpečný web, neexistuje bezpečný web, neexistuje bezpečný web... Stokrát opsat a nechat podepsat doma rodiči. Aneb v únoru se podařilo útočníkům infikovat stránky britské BBC – šlo sice „jen“ o stránky hudebního kanálu BB-6 Music a na alternativní muziku zaměřené stanice BBC 1Xtra, ale pořád šlo o součást BBC. Neznámí útočníci dokázali do webů vložit pomocí iFrame chyby své kódy. Následně stačilo, aby uživatel tyto weby navštívil – a měl infikovaný počítač (ne vždy, nezbytnou podmínkou bylo „správné“ nastavení prohlížeče). Neexistuje bezpečný web, neexistuje bezpečný web, neexistuje bezpečný web...
  • Tentokrát to dopadlo dobře… Informační systém lékařské služby v Novém Jižním Walesu (nelidnatější australský stát) byla druhé únorové úterý na 24 hodin vyřazený z provozu po napadení škodlivým kódem (o jaký kód konkrétně šlo, policie nezveřejnila). Operátoři naštěstí udrželi tísňové volání při životě s pomocí „prehistorických technologií“ jako byly tužky a poznámkové bloky nebo ještě nezrušená analogová lokální telefonní síť. Jen díky tomu se podařilo reagovat na všechna tísňová volání a záchranáři mohli dále odvádět svoji práci. Budeme ale mít takové štěstí vždy?