Bezpečnostní perličky – květen 2011

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Data mobilní, ale nechráněná. Nenávratně pryč je doba, kdy se informační bezpečnost dala omezit na kancelářské prostory – a kdy se dal pohyb jednotlivých zařízení pečlivě sledovat a monitorovat. Postupující mobilita (už dávno není jen výsadou notebooků, netbooků či jiných booků, ale také zařízení původně určených pro spotřebitele, jako jsou iPady, iPody, iPhony, chytré telefony aj.) vede jednak k roztříštěnosti zdrojů dat (i telefonní seznam zákazníků v telefonu obchodníka bychom měli považovat za citlivý údaj) a jednak k jejich náchylnosti ke ztrátě. Dle společnosti Origin Storage je plných 41 procent citlivých informací přenášených na mobilních zařízeních bez jakékoliv ochrany, což je zpravidla v rozporu s bezpečnostní politikou organizace, neb třeba šifrování dat má povinné sedmdesát procent organizací. Však také každá pátá firma (dle stejného zdroje) uvedla, že během posledního roku zaznamenala únik dat po ztrátě přenosného zařízení.

Ještě tajnější tajný bombardér. Dvacet procent nákladů navíc – to je cena, kterou je dle Pentagonu nutné zaplatit za zvýšená bezpečnostní opatření související s vývojem a výrobou nového amerického letounu Next Generation Bomber (bombardéru, který by měl vstoupit do služby v roce 2018). Oněch dvacet procent rozhodně není málo, protože celkové náklady na vývoj plus zakoupení padesáti až sto kusů stroje mohou dosáhnout až padesáti miliard dolarů! Pentagon ovšem zvýšení ceny kvůli mimořádným bezpečnostním opatřením akceptoval, protože zaznamenal celou řadu pokusů o získání citlivých informací (americké letectvo v této souvislosti neváhalo přímo jmenovat Čínu) ohledně tohoto bombardéru, který má tvořit páteř amerických leteckých sil v následujících desetiletích. Zvýšená bezpečnost se týká nejen přísných bezpečnostních prověrek každého člověka zapojeného do projektu, ale třeba i vybudování zcela izolovaného informačního systému nebo přísný zákaz sdílení informací (díky čemuž budou různé týmy řešit některé úkoly duplicitně). Odhadem půjde o osm miliard dolarů navíc.

Průšvih z cloudů za čtyři miliardy dolarů. Firma Epsilon poskytuje e-mailové služby zhruba 2500 různým společnostem na celém světě a obhospodařuje stamilióny unikátních adres elektronické pošty. Nevhodnou aplikací stále modernější technologie cloud computingu (bližší podrobnosti nebyly zveřejněny, což je ovšem rozhodně škoda) ovšem došlo k závažnému úniku, který se týkal více než šedesáti miliónů e-mailů (u Epsilonu je mělo 75 firem). Přímé náklady na řešení incidentu byly vyčísleny částkou 225 mil. USD v případě Epsilonu a dalších 412 mil. USD u jednotlivých firem, nepřímé (včetně ztráty důvěry zákazníků) by mohly dosáhnout až čtyř miliard dolarů. Aneb cena technologických selhání je čím dál vyšší – v tomto případě dokonce závratná.

Autor škodlivých kódů musí doplatit daně. Plných 82 měsíců stráví za mřížemi Asu Pala (37) z amerického státu New Hampshire za to, že vytvářel škodlivé kódy sloužící k okrádání uživatelů počítačů. Kódy cílily na německé uživatele, když v letech 2003 až 07 sloužily k přenastavování modemů tak, aby ke k internetu připojovaly skrze draze zpoplatněná čísla provozovaná Palovými společníky. Jako obzvláště přitěžující okolnost vzal soud v potaz, že Palo takto získané prostředky nedanil – „vydělal“ si na 7,9 mil. USD. Součástí rozsudku je nařízení doplatit dlužnou daň z příjmu ve výši 2,3 mil. USD a pokutu 12500 dolarů. Inu, i Al Caponeho dostali na neplacení daní...

Pravda přišla (z hlediska informační bezpečnosti) o pel nevinnosti. Seznam důvěryhodných webových stránek, do kterých se podařilo proniknout útočníkům, se opět rozšířil – tentokráte se obětí stala anglická verze ruského deníku Pravda. Stránka na první pohled fungovala zcela normálně, nic se nezměnilo. Ovšem ve skutečnosti skrývala skript pokoušející se infikovat počítače návštěvníků skrze zranitelnost v Javě.

Spam od A do Z: slušní spammeři, jen tři banky. Výzkumníci z University of California provedli zajímavou studii, v níž se ovšem zpronevěřili základnímu pravidlu boje s nevyžádanou elektronickou poštou: nikdy nereaguj na žádný spam. Omluvou jim ovšem budiž, že chtěli monitorovat fungování spamu od samého získání e-mailové adresy až do naprostého konce: tedy dodání zboží, platby a všeho, co následovalo. A některé věci opravdu nelze zjistit jinak, než zakoupením nabízeného zboží či služby. Ve zprávě výzkumníci konstatují, že některé věci je docela překvapily. Především požadované zboží vždy dorazilo (ne vždy šlo o originály nebo kvalitní produkt, ale pošta vždy něco přinesla). Dále nikdy nedošlo k následnému zneužití poskytnutých platebních údajů (speciálně pro účely studie byly založeny sledovací účty – otázka je, zdali byly dostatečně zajímavé pro případné další zneužití, aby stály za námahu). A v neposlední řadě: po nákupech nenásledovala očekávaná záplava další nekonečné laviny spamu. Možná nejpřekvapivějším zjištěním ovšem bylo, že téměř všichni rozesílatelé spamu využívají k následným transakcím pouze tří bankovních domů. A to DnB NOR (Norsko), St. Kitts-Nevis-Anguilla National Bank (Karibik) a Azerigazbank (Ázerbajdžán). Proč tomu tak je, ponechali tvůrci studie bez jasné odpovědi...