Bezpečnostní perličky – prosinec 2011

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti)

Počítač coby „spolupachatel“. Losování provedené počítačem je maximálně objektivní a transparentní. Aneb vzpomínáte si ještě na léta devadesátá a televizní hru Bingo, kdy se ve studiu „radovali“ předpřipravení a následně „náhodně vybraní“ figuranti? Policie České republiky nyní řeší podobný případ, kdy „někdo“ manipuloval s počítači losujícími pro státní zakázky stavební firmy. Aneb stroje losování pouze předstíraly, ve skutečnosti vždy prezentovaly předem vybrané výherce. Policie zatím případ šetří, takže informování omezila na nezbytné minimum. Ví se jen tolik, že ve hře byly stavební zakázky za nejméně dvě miliardy korun.

Amerika se bojí čínského hardware. Čínská průmyslová špionáž by v našich bezpečnostních perličkách pomalu mohla získat svoji stálou rubriku. O tom, že Indie zakázala státním a polostátním organizacím používat čínský komunikační hardware, jsme již psali. Další kapitolu tohoto příběhu píší Spojené státy, kde nechala Obamova administrativa provést bezpečnostní audit 900 největších telekomunikačních sítí – s důrazem na funkce a chování v Číně vyrobeného hardware. Údajně nejde o samoúčelný krok. Richard Falkenrath z Výboru pro mezinárodní vztahy uvedl: „Jde o mnohem více, než jen o neurčité podezření. Členové Kongresu se problémem zabývají na základě velmi konkrétních informací.“ Jak vidno, vzniká nová kategorie informační bezpečnosti – důvěryhodnost výrobce.

Hacknuté spojení nebo signál GPS? Americká administrativa nejprve ztrátu bezpilotního průzkumného letounu nad Íránem popřela, aby vzápětí požádala o jeho navrácení. Což je taktika v diplomatických kruzích obvyklá. Neobvyklý ale je podle všeho způsob, jakým Írán ke stroji RQ-170 Sentinel („ztracen“ byl nějakých 200 km ve vnitrozemí, takže o překročení hranice vlivem nepozornosti asi nešlo) přišel: letoun totiž získal prakticky netknutý, jen s drobnými stopami po tvrdém přistání. Íránci se chlubí, že stroj získali „elektronickými prostředky“. Podle některých informací nad ním dokázali převzít kontrolu, podle jiných dokázali „zfalšovat“ signál GPS a přimět jej dosednout na svém území. Ať to bylo jakkoliv, pro Spojené státy představuje ztráta nepoškozeného letounu plného zpravodajského vybavení velkou blamáž – a pro nás ostatní spekulace o jeho získání varovně zdvižený prst. Takto nějak totiž mohou vypadat moderní metody vedení války.

Šest set tisíc. Přesně k tolika přihlášením na účty cizích osob dochází denně na Facebooku. Jde tedy o přihlášení provedená podvodníky nebo zvědavci, kteří navštěvují soukromé účty – buď se takto pouze „pasivně“ dostávají k jinak neveřejným informacím, nebo je dokonce „aktivně“ monitorují. Oněch šest set tisíc je sice jen pověstnou kapkou v moři z celkového počtu přihlášení (přes miliardu denně), ale rozhodně nejde o zanedbatelné číslo. Třeba i proto, že bylo zveřejněno přímo Facebookem: ovšem vzhledem k tomu, že není zcela jasné, jakou metodiku použil, může jít o onu pomyslnou špičku ledovce. I tak je to ale špička velká – a ostrá.

Osm z deseti aplikací nesplňuje bezpečnostní standardy. Alespoň to ve své nejnovější studii „State of Software Security Report“ tvrdí organizace Veracode. Studie upozorňuje na vysoké množství chyb XSS (Cross-Site Scripting), které se týkají 68 procent webových aplikací, a SQL injektáže (32 procent). Zároveň vyvrací zažitý mýtus, že bezpečnost je drahá a nákladná a že chyby v aplikacích jsou nutným zlem za jejich včasné dokončení. Konstatuje totiž, že drtivá většina chyb v software jsou z kategorie „školáckých“ a že se stále opakují. Jejich odstranění by prý v osmdesáti procentech případů nezabralo více než týden práce.

Jaký byl – a jaký bude? Firma SQS (Software Quality Systems) sestavila seznam největších softwarových selhání loňského roku. Je to věru poučné čtení, při kterém ovšem běhá mráz po zádech... Třeba proto, že soudní elektronický systém v australském Novém jižním Walesu špatně změnil formát dat. Banální chyba? Pak vězte, že vedla k neoprávněnému zatčení 22 osob, kterým se v záznamech (chyb nakonec bylo objeveno 3600!) objevila poznámka „hledaný“. Nejmenovaná investiční firma zase musela zaplatit pokutu 25 miliónů dolarů americké komisi pro dohled nad finančními trhy SEC za utajování softwarové chyby, které způsobila investorům ztrátu 217 mil. USD. Jednání s investory dotyčnou firmu teprve čeká. Neidentifikovaný výrobce automobilů pak musel svolat 50500 vozidel ve Spojených státech a Mexiku, aby odstranil softwarovou (!) chybu v zařízení zajišťujícím bezchybnou funkci airbagů. V žebříčku jsou dále výpadky bankovního systému v Asii (v jeho důsledku byly nezpracované platby za 9 mld. USD), výpadek služeb iTunes v Evropě, Africe, na Středním východě a v Latinské Americe na tři až čtyři dny nebo třeba chyba v limitu mobilního internetu, která postihla 47 tisíc zákazníků telekomunikační firmy na Novém Zélandu. Jak asi bude vypadat žebříček největších softwarových průšvihů v roce 2012?