Bezpečnostní perličky – září 2011

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Masový cílený útok odhalený po pěti letech... Máme tu další případ (podle všeho dobře organizovaného) napadení velkého množství počítačů: společnost Trend Micro odhalila nejméně 1465 kompromitovaných strojů v 61 zemích. Nejvíce z nich – přes tisíc – bylo v Rusku. Infikovány byly pomocí kód Lurid DownLoader. Nešlo přitom o žádné nízkoprofilové nebo náhodně vybrané stroje, ale počítače vládní, diplomatické nebo významných průmyslových podniků. Analýza získaných logů ukázala, že škodlivý kód byl poslaných v nejméně 301 vlnách – a že v 59 procentech případů šlo o cílený útok na zcela konkrétní počítač. Až potud prakticky nic nového: velký cílený úrok přesně kopírující dnešní trendy. Zarážející je jiná skutečnost: útok probíhal nejméně pět let, aniž by si ho někdo všiml! Ano, čtete dobře – nejméně pět let! A pokud nevěříte vlastním očím, tak ještě jednou – nejméně pět let!

Sociální inženýrství: primitivní, ale účinné. Sociální inženýrství je tak obehranou písničkou, že ho jako hrozbu snad už nikdo nemůže brát vážně. A přesně z této logiky mnoha bezpečnostních politik a manažerů vychází kyberútočníci: podle statistik Check Pointu se za poslední rok stalo obětí sociálního inženýrství 48 procent organizací! Bezkonkurenčně nejvíce problémů přitom působí noví zaměstnanci (52 procent) a kontraktoři (44 procent): tedy osoby, které často mají plná přístupová práva a rozsáhlé pravomoci, ale zároveň nemají dostatečné zkušenosti a znalosti vnitropodnikových procesů (a snadněji tak sednou na lep podvodníkovi). A pokud i vy považujete sociální inženýrství za překonané, pak vězte, že dle statistik Check Pointu jej 86 procent bezpečnostních manažerů považuje za rostoucí problém.

O dobrovolně vydaných citlivých datech. Vidíme třísku v oku svého bratra, ale nikoliv trám v oku vlastním. Aneb největší problém nám často sedí přímo před nosem – a my ho nevidíme. Dva výzkumníci ze skupiny Godai Group našli velmi jednoduchý způsob, jak naprosto jednoduše získat ohromné množství citlivých dat a interní firemní komunikace. Vycházeli z logiky, že většina nadnárodních firem používá pro rozlišení geografické příslušnosti u e-mailové komunikace subdomény ve tvaru @země.firma.com – ovšem prostou lidskou nepozorností se stává, že odesílatel napíše jako adresu jen @firma.com. Teoreticky to není problém: adresa neexistuje, zpráva se vrátí jako nedoručitelná. Ovšem praxe bývá jiná: co když si tuto subdoménu někdo nastaví na svém poštovním serveru? A přesně to dvojice výše zmíněných výzkumníků udělala poté, co zjistila, že 151 z amerických Fortune500 firem (včetně gigantů jako je Yahoo!, Dell, Cisco, HP či IBM) je proti podobnému typu útoku zranitelná. Během půlročního provozu server zachytil 120 tisíc (!) e-mailů (s objemem dat přes 20 GB) s absolutně veškerým představitelným obsahem – od bezpečnostních směrnic přes obchodní strategie, ceníky, návrhy smluv až třeba po schémata sítě, návrhy nových výrobků nebo uživatelská jména a hesla.

Stovky miliard dolarů za kyberzločin. Že celosvětový objem kyberzločinu už dávno překročil objem obchodu s narkotiky, je notoricky známým faktem. Přesto jeho aktuální čísla nepřestávají vyrážet dech: dle společnosti Norton jsou přímé škody způsobené kyberzločinem 114 mld. dolarů ročně. Pokud bychom počítali škody nepřímé v podobě ztráty času jednotlivých osob nebo subjektů, dospěli bychom k další částce 274 mld. USD. (Abstraktní škody typu ztráta důvěry nebyly raději vůbec vyčíslovány.) Dohromady tak 431 miliónů obětí kyberzločinu přišlo v uplynulém roce o 388 mld. USD. Aneb koruna investovaná do prevence je rozhodně tisíckrát lepší, než stokoruna investovaná do řešení následků...

Britští „novináři“ používali i škodlivé kódy. Skandál kolem získávání informací nelegálním a neetickým způsobem redaktory britského týdeníku News of the World se dostává do zcela nové roviny – alespoň z pohledu informační bezpečnosti. Praktiky se totiž podle všeho neomezovaly jen na „odposlechy“ telefonátů, ale také na infikování vyhlédnutých počítačů škodlivými kódy. Alespoň to tvrdí firma Sophos, která pomáhá celou záležitost vyšetřovat. Zdokumentováno už je několik podobných případů: novináři (no, spíše „novináři“) dokázali pomocí nastrčených trojských koní odhalit identitu několika významných bloggerů, kteří si přáli zůstat v anonymitě.

Bezpečnostní nápad za statisíce dolarů. Dvě stě tisíc dolarů na ruku za inovativní technologii v oblasti ochrany narušení paměti – přesně takto zní nabídka, kterou v rámci ceny BlueHat Prize vypsal Microsoft. Až dosud přitom firmy vypisovaly odměny hlavně „za hlavu“ jednotlivých kyberútočníků nebo za odhalení bezpečnostních nedostatků. Dvě stě tisíc dolarů v hotovosti přitom představuje „první místo“, Microsoft má nachystány ceny (finanční nebo v podobě atraktivních služeb) i pro návrhy, které skončí na dalších místech. Uzávěrka soutěže je 1. dubna 2012. Pokud se přístup osvědčí, může jít o zajímavý model pro vytváření inovativních řešení v oblasti bezpečnosti.