Bezpečnostní perličky – leden 2012

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti)

Skanzen počítačových virů. Městská kolej v San Franciscu zjistila, že její informační systém je skrz naskrz infikovaný všemi možnými kategoriemi škodlivých kódů. Což je sice smutné, ale bohužel to není zase až tak docela neobvyklé. Překvapivá je skutečnost, že následné šetření odhalilo, že mnohé z virů vesele fungují v systému nerušeně již více než deset let! Jinými slovy: do počítačů se dostaly ještě v minulém století! Za objevem je změna na postu manažera přes informační bezpečnost, který od poloviny loňského roku zastává jistý David Hotchkiss. S hrůzou zjistil, že netechnicky orientovaní zaměstnanci i management se opravdu zuby nehty drželi hesla „když to funguje, nesahej na to!“ Některá hesla nebyla měněna od vzniku systému (1999), bezpečnostní programy (byly-li vůbec nějaké) byly stejného data výroby, síť byla budována systémem „připoj další zařízení a víc to neřeš“ apod. Hotchkiss si nyní každopádně na nedostatek práce nemůže stěžovat – a navíc se směle může věnovat informační archeologii. Podobných systémů totiž po světě nejspíše už moc neběhá. I když...

Šest let mlčení o úniku zdrojových kódů. „Žádné zdrojové kódy nám nikdy neunikly.“ – „No, vlastně od aplikace pcAnywhere. Ale to už je šest let.“ – „Ehm, těch kódů tehdy bylo víc. K programům Norton Antivirus Corporate Edition, Norton Internet Security, Norton Utilities a Norton GoBack. Ale je to opravdu dávno...“ Aneb takto nějak se ze společnosti Symantec pod tíhou důkazů postupně soukalo přiznání o kompromitaci interní sítě a krádeži zdrojových kódů některých produktů. Což je průšvih na pováženou, protože kdo má přístup ke zdrojovým kódům, vidí produktu až do kuchyně a může chystat útoky, o jakých se jiným ani nesnilo. A že je to dávno? Vždyť to je na celé věci to nejnebezpečnější! Nejde jen o vztah firmy ke svým zákazníkům, kteří byli ponecháni ve sladké nevědomosti (kolik podobných kostlivců ve skříni se na nás následně vysype?). Ale je třeba položit si otázku: proč útočníci disponující kódy šest let mlčeli? Vždyť zveřejnění útoku bezprostředně po něm by jim přineslo nesrovnatelně větší uznání a slávu! Nebo snad měli zdrojové kódy k dispozici pro něco jiného, než uznání a slávu?

Letiště hlásí: únik hesel je normální stav. Drtivá většina zpráv z oblasti informační bezpečnosti pochází ze zahraničí: vzhledem k velikosti „českého internetu“ a ICT prostředí obecně je to logické. Přesto se čas od času objeví i zprávy z „českého rybníčku“. Na té poslední má zásluhu Letiště Brno, které neuhlídalo svůj systém a neznámý útočník díky tomu zpřístupnil přihlašovací údaje včetně hesel k intranetu a účtům více než jednoho sta pracovníků. Podle ředitele letiště Tomáše Plačka útok nebezpečný nebyl a zneužití hesel nehrozilo. Tato vysvětlení jsou úžasná: takže všechno je vlastně v pořádku a jde o normální stav. Úspěšný útok svědčí minimálně o tom, že „něco“ není s informačním systémem v pořádku (špatné správa, špatná organizace, špatné řízení bezpečnosti...). Aneb je někdo ochoten podepsat, že systém s unikajícími daty je v normálním stavu?

Zprávy z domova ještě jednou... V říjnu 2010 se naboural do systému telekomunikační společnosti z Klatov její bývalý zaměstnanec a úmyslně odstřihl od přístupu k internetu více než dva tisíce klientů. Přes svůj počítač s využitím hesla, které jako bývalý technik společnosti znal, překonal bezpečnostní opatření zajišťující přístup koncovým uživatelům k internetové síti a telekomunikačním službám. Úmyslně vyřadil z provozu padesát sedm routerů. Inu, i dostupnost je také bezpečnost – a kromě toho se opět potvrdilo, že největší nebezpečí pro nás představují lidé „zevnitř“.

Megaupload: všichni v jednom pytli. Causa serveru Megaupload je ctěnému čtenáři nejspíše dobře známá. Podívejme se ale na její bezpečnostní souvislosti. Především tyto jeho „vypnutí“ udělalo medvědí službu všem cloudovým řešením. Uživatelé si totiž začali klást otázky: Kde vlastně byla data fyzicky uložena? Kdo k nim měl přístup? A kdo k nim přístup má nyní? Samozřejmě, že k vypnutí Megaupload došlo kvůli nelegálnímu obsahu – jenomže rozhodně nebylo nelegálních sto procent. To znamená, že zde byla vytvořena jakási „presumpce viny“: o sdílení dat přišli i ti, kdo se ničím neprovinili. Nepřišli sice o vlastní data (získali určitou dobu na jejich „zazálohování“), ale systém nebyl primárně ukládací, nýbrž sdílecí – a tuto roli ze dne na den přestal plnit. – Divme se pak, že stále je tolik správců, manažerů a administrátorů obezřetných směrem ke cloudům. Zatímco v „klasickém prostředí“ přicházíme v podobném případě jen o poskytovatele služby a cenná data nám zůstávají v rukách, v cloudovém bere poskytovatel s sebou i data. Ano, pravděpodobnost jakéhokoliv fatálního průšvihu je asi přece jen nižší (dostupnost v potaz nyní brát nebudeme), ale když už nastane, tak opravdu stojí za to.

Tiskárna neshoří, virus ale chytit může. Zavirovat se dá prakticky cokoliv: monitor, počítačová myš, lednička... Stačí jen, aby zařízení splňovalo jednu základní podmínku: bylo programovatelné. Podobné škodlivé kódy jsou ale vzácností, protože jejich smysluplnost není velká (výjimkou byl například Stuxnet, kde šlo o poškození konkrétního hardware – a ne třeba o dálkové ovládání přes internet nebo odcizení informací). Ovšem s tím, jak je čím dál více zařízení obsluhováno právě přes internet či síť bez nutnosti mít pevně dané místo v hierarchii lokální sítě, roste i tento vektor ohrožení. Přesvědčit se o tom mohli například majitelé tiskáren HP LaserJet, u nichž se objevilo několik zranitelností, které umožnily nad nimi vzdáleně převzít kontrolu (zaslání viru společně s požadavkem na tisk). Jejím důsledkem je například monitorování tištěných dokumentů (průmyslová špionáž, získávání citlivých informací aj.). Dokonce se objevily zvěsti, že tyto viry dokážou fyzicky likvidovat tiskárny odstraněním kontroly přehřívání ve firmware: podle některých hrůzostrašných příběhů pak takové zařízení končí v plamenech a může posloužit například k zapálení kanceláře. Vzhledem k tomu, že tiskárny HP LaserJet mají kontrolu teploty ošetřenou hardwarově a nikoliv skrze firmware, jde samozřejmě o nesmysl. Možnost nasazení „tiskárnových virů“ je ale bohužel realitou: oprava firmware již byla vydána.