Bezpečnostní perličky – březen 2011

  • Article

::připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

  • Zranitelnosti: skoro polovina bez záplaty. Dle pravidelné každoroční zprávy „X-Force 2010 Trend and Risk Report“ z dílny IBM bylo v loňském roce zdokumentováno přes 8000 nových zranitelností, což představuje meziroční nárůst 27 procent. Předchozí meziroční nárůst (2009/2010) přitom činil 21 procent. (Jen pro zajímavost: zpráva je výsledkem rozsáhlého monitorování, v jehož rámci je každou sekundou zpracováno 150 tisíc bezpečnostních událostí!) Nejhorším číslem je asi konstatování, že plných 44 procent z těchto zranitelností zůstalo na konci roku 2010 nezáplatovaných! Zpráva dále konstatuje pokles podílu spamu na celkovém objemu e-mailové pošty o několik procent: po letech trvalého růstu je to zajímavý trend, který výzkumníci vysvětlují tím, že se spammeři začali zaměřovat na kvalitu namísto kvantity. Jinými slovy: už jim ani tak nejde o vyprodukování co největšího množství zpráv, jako o překonání bariér (antispamových filtrů) a pokud možno co nejdůvěryhodnější oslovení uživatelů.
  • Škodlivý kód přichází (skoro) každou sekundu. Počty malware rostou vpravdě raketovým tempem: dle zprávy společnosti PandaLabs se v prvním čtvrtletí letošního roku objevilo denně více než 73 tisíc nových (a staronových – v mnoha případech šlo o více či méně aktualizované starší verze) škodlivých kódů. To představuje meziroční nárůst o 26 procent. A když si k tomu ještě uvědomíme, že den má 86400 sekund, tak s pravděpodobností hraničící s jistotou můžeme konstatovat, že se ještě letos dočkáme dne, který nás každou sekundou „obohatí“ o nový exemplář malware.
  • „Obnova“ hesel pomocí cloudů. Cloudy jsou fenoménem a trendem dnešní doby. Mají tisíce způsobů využití – nově také coby nástroje pro lámání hesel, a to díky aplikaci Passware Kit Forensic. Ta koncentruje sílu prostředí Elastic Compute Cloud od Amazonu do oblasti obnovy hesel. Aplikace dokáže distribuovat proces až do osmi instancí Amazon Cluster GPU. Přitom už použití jediné instance zrychluje proces obnovy hesla z MS Office 2010 jedenáctinásobně – svazek všech osmi pak nabízí osmdesátinásobnou rychlost (což odpovídá zhruba 30 tisícům kombinací za sekundu; přesná hodnota je odvozena od rychlosti internetového připojení). Passware Kit Forensic umožňují obnovu hesla z více než 180 typů souborů. Je každopádně nabíledni, že cloud v daném případě může posloužit stejně dobře při zapomenutém/ztraceném hesle jako případnému útočníkovi.
  • Systémy SCADA se stávají středem pozornosti. Jedním z vrcholů loňské sezóny bezpečnostních incidentů byl bezesporu škodlivý kódu Stuxnet (pro připomenutí: jeho cílem byl útok na íránské odstředivky uranu). Ten napadal automatizované průmyslové řídicí systémy SCADA, jejichž bezpečnosti dříve nebyla věnována prakticky žádná pozornost. Stuxnet ji ovšem obrátil a během posledních měsíců se objevilo nejméně 34 nových zranitelností! Přitom ani na jeden není záplata – a i kdyby byla, příliš platné to nebude. Systémy SCADA (využívají se při jednoduchých automatizovaných opakovaných procesech) totiž nemají žádný záplatovací systém a zpravidla nejsou ani zapojené do sítě, nýbrž pokyny (které se ostatně málokdy mění) přijímají z USB flash disků. Navíc zpravidla komunikují jen skrze numerickou klávesnici, proto až do nástupu Stuxnetu nikdo nepovažoval za důležité věnovat této platformě pozornost. Kolik podobných překvapení ještě běhá po světě?
  • Jiný kraj, jiný mrav (a zákon). Francouzská komise CNIL (Národní komise pro svobodu informací) udělila firmě Google pokutu ve výši jednoho sta tisíc eur za neautorizované získávání dat z otevřených WiFi systémů. Mělo se tak stát během sbírání podkladů pro aplikaci Google Maps Street View a Google Latitude. Google se brání tím, že data sice získával, ale stalo se tak „nedopatřením“. Komise to ovšem vylučuje s tím, že firma byla již v květnu 2010 varována, aby činnosti zanechala – následné kontroly ale ukázaly, že náprava nebyla zjednána. S tímto případem ostře kontrastuje jiná událost z Nizozemí, kde se jistý student zneužil otevřeného WiFi připojení k tomu, aby rozesílal (žertem míněné) výhrůžky svým spolužákům. Policii se jej ale podařilo vystopovat a obvinit: jednak z vyhrožování a jednak z hackingu. Za výhrůžky byl odsouzen ke dvaceti hodinám veřejně prospěšných prací, za hacking byl osvobozen. Zákon z roku 1993 totiž hacking definuje jen jako útok proti počítači, což je dle jeho litery stroj, který může skladovat, zpracovávat a přenášet data. Jenomže napadený WiFi router data neskladuje, tudíž není dle litery zákona počítačem – a tudíž se na něj paragraf o hackingu nevztahuje. Soudce sice vysloveně upozornil, že zákon je starý a neodpovídá současné situaci, ale musel se jím řídit a studenta osvobodit.
  • Hardwarový spyware realitou. Hardwarový spyware představuje jednu z nejzákeřnějších záležitostí, se kterou se lze v oblasti bezpečnostních incidentů setkat. Drobné jen několik centimetrů dlouhé udělátko, které je vloženo mezi počítač a klávesnici, je z technického hlediska zcela transparentní a ač pouhým pohledem snadno odhalitelné – kdo by každý den kontroloval připojení klávesnice k počítači? Nejen, že jde o extrémně silný nástroj pro „vnitřního nepřítele“, ale také pro sledování veřejných počítačů. V knihovnách Wilmslow a Handford v Manchesteru byla objevena trojice takovýchto keyloggerů – než ale dorazila přivolaná policie, jeden z nich zmizel (pravděpodobně si jej stihnul nenápadně vyzvednout „majitel“). Poučení? Ani ne tak, že veřejné počítače (u kterých nevíme, kdo a s jakým úmyslem k nim usedal před námi a kdo usedne po nás) představují extrémní nebezpečí jako to, že hardwarový spyware je zkrátka realitou.