Bezpečnostní perličky – červenec a srpen 2011

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Chyba ukázala rozsah kyberútoku. Jediná drobná chybička kyberútočníků nám umožnila udělat si představu o rozsahu útoku, při němž byla použita iFrame injektáž. Aneb při tvorbě svého škodlivého kódu a jeho následném vkládání do webových stránek útočníci zapomněli na úvodní skriptovací tag <script>, takže kód se stal viditelným a vyhledávače jej okamžitě zaindexovaly. Jejich výsledky poté ukázaly, že dotyčný kód lze nalézt na 22400 doménách ve více než půl miliónu stránek. Útočníci si chybu uvědomili a záhy ji opravili, takže aktuálnější statistiky nejsou k dispozici. Jen pro úplnost: skript měl za úkol přesměrovat uživatele skrze několik stránek na web s balíčkem exploitů BlackHole, který se mu pokoušel přes zranitelnosti v aplikacích či komponentech Windows, Java, Adobe Reader a Flash Player instalovat podvodný antivirový program.

Kdokoliv, jen ne my. Jeden veterán z dukelského průsmyku vzpomínal: „Když nám řekli, že půjdeme zítra do útoku a polovina z nás padne, všichni jsme pokročili rameny a řekli – chudáci. Nikdo si nepřipouštěl, že by to mohlo potkat jeho.“ Přesně na takovouto filozofii „to je problém druhých, nám se nemůže nic stát“ upozorňuje průzkum 2011 Gartner Security & Risk Management Summit. Podle něj sice většina zodpovědných IT manažerů zaznamenala velké bezpečnostní průšvihy z poslední doby (causy RSA, Citigroup či Sony), ale jen 23 procent se snažilo zjistit, zdali něco podobného nehrozí i v jejich organizaci. Samozřejmě, že je nemožné reagovat na každý jednotlivý incident – ale žádný rozumně uvažující manažer si nemůže dovolit ignorovat hlavní proud nebezpečí. Průzkum pak ukázal ještě jeden paradox: zatímco 46 procent organizací se v uplynulém roce setkalo s problémem „vnitřního nepřítele“ (záměrné kopírování dat apod.), celkově tuto otázku zařadili manažeři jako druhou nejméně důležitou z osmi hodnocených oblastí. A aby toho nebylo málo: třetina IT manažerů připustila, že pravidelně porušuje bezpečnostní směrnice, na jejichž vytvoření se podílela – proto, aby si usnadnila nebo urychlila práci...

Největší bezpečnostní průšvih ve zdravotnictví? Zvědavost. A když už hovoříme o „vnitřních hrozbách“: více než sedmdesát procent organizací ve zdravotnictví zaznamenalo v uplynulých dvanácti měsících problém s únikem osobních informací pacientů (dle organizace Veriphyr). Nejčastějším problémem přitom bylo porušení bezpečnostních směrnic zvědavými zaměstnanci, kteří se snažili získat citlivé lékařské údaje o spolupracovnících (cca 35 procent problémů) a známých či rodinných příslušnících (dalších 27 procent). K dalším bezpečnostním problémům patřila ztráta záznamů (25 procent) a ztráta či odcizení hardware s daty (20 procent). Jak vidno, největším problém v daném případě nejsou externí útočníci, ale – prachobyčejná zvědavost.

Když kopie, tak se vším všudy. Americké námořnictvo si v loňském roce zakoupilo dodávku 59 tisíc mikročipů, které hodlalo využít ve svých elektronických systémech. Že se ze zásilky vyklubala hromada neoriginálních čipů (byť dodavatel deklaroval něco jiného) nízké kvality asi příliš nepřekvapí. Co ale skutečně odborníky námořnictva překvapilo, byla skutečnost, že čipy byly zkopírované se vším všudy: včetně speciálního software, který je kdykoliv umožňuje vzdáleně vypnout (jde o jakousi „pojistku“ pro případ, že by zbraně s těmito mikročipy padly do nepovolaných rukou). Námořnictvo se domnívá, že onen software byl zkopírovaný z originálních mikročipů víceméně nevědomky, neb jeho existenci je velmi těžké odhalit: svým způsobem to jde pouze při znalosti originální technické dokumentace. Inu, když kopírovat, tak opravdu se vším všudy...

Čtvrtina hackerů je informátory FBI. Zajímavý odhad (leč můžeme se oprávněně domnívat, že kvalifikovaný) přinesl vydavatel legendárního hackerského čtvrtletníku „2600: The Hacker Quarterly“ Eric Corley. Podle něj je zhruba čtvrtina amerických hackerů spolupracovníky FBI. A hned přidává vysvětlení: mnozí hackeři mají minimální znalosti práva, a když začínají, tak i prachbídné technické zkušenosti. Velmi rychle jsou pak odhaleni a vyšetřováni. Pro FBI je ale z dlouhodobého hlediska výhodnější, když se stanou stálými informátory výměnou za beztrestnost – než když skončí na lavici obžalovaných s trvalým odporem k úředním autoritám. Corley tvrdí, že zná ze svého okolí obrovské množství podobných případů a že jde o naprosto standardní praktiku „verbování nových duší“. Jedním z takovýchto „hráčů na obě strany“ byl prý i Adrian Lamo, kterému se svěřil Bradley Manning: ten proslul zkopírováním statisíců neveřejných dokumentů pro Wikileaks. Tvrzení Erica Corleye může do hackerské komunity vnést podobný rozruch jako před lety vypisované odměny „na hlavu“ kyberútočníků: ti si tehdy navzájem přestali věřit.

Zašifrovaná data: jde o svědectví, nebo domovní prohlídku? Případů, kdy podezřelá osoba odmítla zpřístupnit zašifrovaná data, a tím unikla trestu nebo byla potrestána výrazně mírnějším způsobem, než se předpokládalo, je popsána celá řada (ostatně, několikrát jsme je zmínili i v této rubrice). Třeba ve Spojených státech se dosud ctil Pátý dodatek Ústavy, který stanovuje právo „nesvědčit sám proti sobě“. Obamova administrativa se nyní v případu sporu s Ramonou Fricosu snaží tuto praxi změnit s poukazem na to, že vydání dešifrovací klíče/hesla je obdobou domovní prohlídky – nikoliv osobní výpovědi. Ramona Fricosu je makléřka s realitami, která byla obviněna z finančních podvodů: při domovní prohlídce u ní byl nalezený notebook, jehož obsah je zašifrovaný. Policie se přitom domnívá, že by jeho obsah mohl být klíčem k podvodným transakcím. Fricosu jej ale odmítla dešifrovat, načež na popud federálního žalobce začal soud řešit, zdali na to má či nemá s poukazem na Pátý dodatek právo. Ať spor dopadne jakkoliv, vytvoří zajímavý precedens.