Bezpečnostní perličky – listopad 2011

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti)

Pohled „do kuchyně“ administrátorů. Studie „Password 2011“ provedená firmou Lieberman Software Corporation představuje věru zajímavé čtení. A dodáváme, že zároveň velmi smutné. Věnuje se totiž dodržování bezpečnostních politik administrátory IT. Například 74 procent administrátorů připustilo, že někdy použil informační systém takovým způsobem a k takovému účelu, že kdyby se to dozvěděl zaměstnavatel, na hodinu by letěli. K nejběžnějším ze zapovězených činností patří to, že 54 procent administrátorů si z internetu stahuje nelegální obsah, 48 procent si nastavuje osobní výjimky (např. v pravidlech firewallu) v rozporu s politikou organizace, 41 procent používá sdílená hesla a přihlašovací atributy, 29 procent si domů odnáší citlivá data, 25 procent nahlíží do tajných souborů, k nimž by nemělo mít přístup, 16 procent čte e-maily kolegů, 15 procent maže nebo modifikuje logy... Máme pokračovat? Raději asi ne...

Dveře doširoka otevřené – jenže ve věznicích. Průmyslové systémy SCADA (Supervisory Control And Data Acquisition) byly až do útoku „íránského“ červa Stuxnet zcela mimo oblast zájmu hackerů. Nyní se to ale změnilo a útočníci dobře vědí, že jde o slabá místa, jejichž ovládnutím mohou dokázat divy. Vrásky na čele tak mají například manažeři amerických věznic, kteří pro řízení přístupu do cel používají právě systémy SCADA. Jak nedávno prokázala skupinka bezpečnostních výzkumníků, je možné se k nim vzdáleně připojit a překonfigurovat je k obrazu svému. A to zcela bez znalosti vnitřní struktury systému. Vedení věznic teoretickou práci nejprve zpochybnilo, ale Ministerstvo domácí bezpečnosti ji vzalo vážně a požádalo výzkumníky o demonstraci. Výsledek byl tristní: měli pravdu a při všech zkušebních útocích uspěli. Dodejme jen, že totožnost výzkumníků dnes patří k nejpřísněji střeženým americkým tajemstvím.

Kyberútočníci odstavili americkou vodárnu. Útoky na systémy SCADA jsou stále běžnější – a mají čím dál větší přesah do reálného světa. Přesvědčit se o tom mohli obyvatelé městečka Springfield v americkém státě Illinois, když jim někdo (operující z ruské IP adresy, což ale může představovat falešnou stopu) vzdáleným útokem napadl vodárnu. Opakovaným nahazováním a vypínáním čerpadla (to je stavěné na trvalý provoz) ho dokázali „zavařit“ a vyřadit z provozu. Kromě toho, že útočníci využili přihlašovacích jmen a hesel z předchozího útoku na systém provozovatele vodárny, nebyly zveřejněny žádné podrobnosti.

Modifikace vysvědčení je špatným vysvědčením pro univerzitu. FBI byla povolána do Univerzity Santa Clara v Sillicon Valley. Důvodem byl průnik do jejího informačního systému. Nešlo ovšem o obyčejný útok: během uplynulého roku bylo někým doposud neznámým šedesáti minulým i současným studentům změněno hodnocení a upraveny známky. Ve všech případech šlo o vylepšení (což je asi pochopitelné). Na průnik se přitom přišlo náhodou (je šílené, jak často v bezpečnostních incidentech hraje hlavní roli náhoda – o kolika problémech asi vůbec nevíme?), když jedna ze studentek „reklamovala“ to, že nesouhlasí její známky v systému s těmi, které získala. Zvláštní je, že systém by měl být proti podobným útokům odolný: dodatečná změna hodnocení vyžaduje několikastupňovou autorizaci od různých osob. FBI i vedení univerzity jsou zatím bezradní.

Kdo chce vidět do účtů (a jakou má šanci)? Google zveřejnil zajímavou statistiku o celosvětových požadavcích na zpřístupnění účtů ze strany státních orgánů. Jen v první polovině letošního roku jich bylo 15600, přičemž se týkaly účtů 25400 osob (pro ilustraci: Google jich spravuje přes miliardu, takže šlo o zhruba 0,0025 procenta). Plných 38 procent požadavků přitom šlo z USA, 11 procent z Indie, 8,3 z Francie, 8,2 z Velké Británie a 6,8 z Německa. Třeba v USA přitom Google akceptoval 93 procent požadavků na zpřístupnění účtů, ve Velké Británii 82 procent, ale třeba v případě Argentiny odmítl 68 procent žádostí.

S certifikačními autoritami to jde z kopce. Průšvihy certifikačních autorit pokračují. Bezpečnostní firma F-Secure odhalila škodlivý kód (detekuje jej na Agent.DTIW), který zneužívá bezpečnostní chybu v Adobe Readeru 8 (šíří se tedy skrze PDF soubory) a který je podepsaný platným certifikátem Výzkumného a vývojového zemědělského institutu v Malajsii. Jako takový je pak coby důvěryhodný mnoha bezpečnostními mechanismy akceptovaný. Stejně tak vydala dánská certifikační autorita KPN Corporate Market (dříve Getronics) zprávu, že už před čtyřmi lety (!) došlo ke kompromitaci jejího systému a že z toho důvodu musí zneplatnit všechny vydané certifikáty. Následovalo to, co následovat muselo – masový odliv uživatelů a bankrot. S důvěrou holt není radno hazardovat.

Útočníci vytvořili pro oběti vlastní internet. Kyberútočníkům se podařilo (zdánlivě) nemožné. Infikovali nejméně čtyři milióny počítačů (ve sto zemích světa), které se následně připojovaly k podvrženým DNS serverům! Jinými slovy: vytvářeli jim vlastní „realitu“, de facto vlastní internet. Na útočníky již v rámci operace Ghost Click dopadla ruka zákona, ale vyvstal nečekaný problém: když budou podvodné DNS servery odpojené, budou mít ony čtyři milióny počítačů na celém světě problém s připojením k internetu. Neb na pravé DNS servery se připojovat nebudou, falešné přestanou existovat. FBI řeší, co s tím – a čtyři milióny počítačů na celém světě se stále na správné adresy ptají (a zřejmě ještě nějaký ten pátek ptát budou) podvodnických serverů...