Bezpečnostní perličky – červen 2011

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Falšování identit: vždyť se nám to vlastně hodí. Bezpečnostní firmy jako kolovrátek opakují varování před zneužitím elektronických identit. Nyní ovšem americká organizace ID Analytics přišla s lehce senzačním zjištěním: podle ní zhruba 45 miliónů amerických občanů někdy osobně a záměrně se svou elektronickou identitou manipulovalo, aby si pomohlo k finanční půjče, hypotéce, službám mobilních operátorů, zaměstnání či jiným finančním službám (na které by se svou „nezmanipulovanou“ identitou jaksi „nedosáhl“). Popsány jsou třeba případy ženy, která se ucházela o zaměstnání a následně zjistila, že na její číslo sociálního pojištění (v USA podobný identifikační údaj jako u nás rodná čísla) je zaměstnáno 28 jiných osob. Nebo osoby z Philadelphie, která používala v elektronickém světě dokonce 165 různých čísel sociálního pojištění a 44 dat narození. Závěr? Se svou elektronickou identitou manipuluje téměř každý čtvrtý dospělý obyvatel USA: nejde tedy o hájemství kyberzločinců, ale největšími uživateli této techniky jsou evidentně zcela běžní občané.

Bezpečnost cloudů s otazníkem. Cloudy si jako nezadržitelné buldozery razí čím dál širší cestu do ICT světa – předsudky i obavy z této technologie pomalu opadávají a cloudy se stávají konkurenční výhodou. Ovšem otázky bezpečnosti zde byly, jsou a budou (nezapomínejme hlavně na tu, které se poskytovatelé cloudovým služeb s oblibou vyhýbají: bezpečnost dat během transportu od uživatelů do cloudů a zpět). Potvrzuje to i průzkum společnosti Trend Micro, který byl provedený v USA, Velké Británii, Indii, Kanadě, Japonsku a Německu mezi 1200 společnostmi cloudy využívajícími. Závěr je jednoznačný: 43 procent firem cloudy využívající s nimi mělo během uplynulých dvanácti měsíců bezpečnostní problém (bohužel tyto nebyly přesně specifikované). Zpráva pak přinesla ještě jedno zajímavé konstatování – byť nepodložené konkrétním číslem či statistikou. Dave Aspery, viceprezident Trend Micro pro oblast cloud security, uvedl, že mnoho firem už dnes cloudy používá – ale přitom to vůbec netuší...

Nedůvěryhodná certifikační autorita. Svět digitálních certifikátů a od nich odvislých služeb (šifrování, transakce, e-podpisy...) je založený na jednom jediném: na důvěře. Namísto toho, abychom ověřovali identitu každého subjektu, věříme jen jednomu, který proces ověření identity udělá za nás: certifikační autoritě. Ovšem francouzská certifikační autorita Certigna (její certifikáty najdete v Internet Exploreru, Safari, Firefoxu, Opeře a mnoha dalších prohlížečích) se dopustila neomluvitelného kiksu: její platný soukromý podepisovací klíč, kterým se zaručuje za všechny ověřované identity se „nedopatřením“ dostal na webovou stránku do seznamu odvolaných certifikátů... Jinými slovy: kdokoliv si jej mohl stáhnout a použít k podepsání naprosto čehokoliv. Certigna se problém snaží zmírnit vysvětlením, že šlo o testovací klíč, že šlo o zašifrovaný soubor, že již vypršel – pravdou ale je, že se prostě objevil tam, kde se nikdy objevit neměl a nesměl. A že něco (a nemusíme soudit, co) není v pořádku. Inu, dobré jméno se buduje celý život – ale ztrácí ve vteřině.

Kybernetický útok je válečným aktem – nyní oficiálně. Americký prezident Barack Obama podepsal nařízení, které upřesňuje pravidla pro vedení kybernetické války. Spojené státy se tak staly první zemí světa, která stanovila jasné principy v oblasti, jež se dosud dala nazývat „šedou zónou“ a v níž platila pravidla nepsaná. Prezidentský dekret stanovil, které operace musejí mít souhlas Bílého domu a jakými pravidly se mají řídit. Směrnice například umožní vyslat testovací počítačový kód do sítě v cizí zemi, aby byla zjištěna její průchodnost. Experti tuto praxi přirovnávají k pořizování průzkumných satelitních snímků v reálném světě ke zjištění možných příštích cílů. Kód sám o sobě nebude obsahovat ničivý virus - v případě budoucího konfliktu ale ukáže cestu k cíli, který má být s prezidentovým souhlasem zničen. Směrnice dále považuje kybernetický útok za válečný akt se všemi důsledky z toho plynoucími. Dokument nebyl publikován – prý se tak alespoň v nějaké podobě stane v dohledné době. Stejně ale asi nakonec bude platit pověstné „v lásce a ve válce je dovolenou všechno“.

Na tenké hranici – a za ní. Bezpečnostní experti se často pohybují na tenkém ledě (a dobře to vědí) – jejich pozice není nijak upravena pravidly nebo jinak regulována. Určit tak, kde končí „dobré“ a začíná „špatné“ (nebo naopak) je tak velmi obtížné. Své by o tom mohl vyprávět australský novinář Ben Grubb, který publikoval článek o tom, jak získat přístup k neveřejným fotografiím na Facebooku. Jeho zjištění následně na konferenci AusCERT prezentoval Christian Heinrich: ovšem udělal to poněkud nešťastným způsobem, neboť k demonstraci použil účet manželky jiného bezpečnostního experta. Leč bez jejího souhlasu či vědomí. Toto vyneslo Heinrichovi obvinění ze strany policie – a následně i zatčení Grubba. Ten byl sice později propuštěn, ale o jeho vině či nevině bude rozhodovat soud.