Bezpečnostní perličky – únor 2012

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Všichni poctivě mění základní hesla. Jsou pravidla, jejichž platnost je nad slunce jasnější, která každý bez váhání podepíše – a přesto je v reálním světě ne vždy dodržujeme. Nyní máme na mysli základní hesla a nutnost jejich obměny po instalaci/nasazení systému. Organizace ElcomSoft udělala v této oblasti průzkum a její zjištění jsou přinejmenším tristní: 28 procent (!!!) uživatelů a administrátorů NIKDY nemění základní hesla. Dalších 22 procent je mění zřídkakdy (to už jsme dohromady na polovině uživatelů – srdce případného útočníka pochopitelně plesá). Čtvrtina pak uvedla, že hesla mění „občas“ – a zbytek „skoro vždy/vždy“. Takže: nezapomínejte měnit základní hesla! (Ale vždyť to přece každý ví...)

Když náhodné není tak úplně náhodné. Tým evropských a amerických kryptoanalytiků se podíval na nedotknutelný grál internetového světa: veřejné klíče používané v internetovém bankovnictví, e-mailových službách, internetových obchodech, aplikacích e-commerce apod. A zjistil, že i tyto klíče – byť se na první pohled tváří, že dodržují všechny možné i nemožné standardy – mohou představovat bezpečnostní slabinu. Problém je v generování náhodných čísel při tvorbě šifrovacích nebo autentizačních klíčů v oblíbených službách jako je https, ssl nebo tsl. Programátoři neumí náhodné generování správně podchytit a implementovat, takže v konečném důsledku jde o generování pseudonáhodné. Zatímco běžnému uživateli se jeví jako skutečně náhodné, šikovný analytik v něm zákonitosti najde. Abychom byli konkrétní: výzkumníci prověřili 6,6 miliónů veřejných klíčů vytvořených algoritmem RSA. Z nich bylo 12720 označených jako přímo nebezpečné a dalších 27 tisíc jako zranitelné. Z celkového množství nejde o závratná čísla – ale ani o zcela zanedbatelné kvantum.

Kde jsou zranitelnosti? Odpověď je jednoduchá: v aplikacích „třetích stran“. Tedy v aplikacích, které výrobci pouze zařazují do svých řešení, aniž by na jejich vývoj nebo kvalitu měli větší vliv. Dle statistik společnosti Secunia byly podobné „vložené“ aplikace a kódy v roce 2011 za plnými osmdesáti procenty chyb. Na vrub Microsoftu pak připadalo deset procent chyb. Že je to na jednu firmu hodně? Pak vězte, že z padesáti nejpoužívanějších programů je 26 od Microsoftu (a zbytek od čtrnácti dalších dodavatelů). Z tohoto úhlu pohledu není deset procent zase až tak špatných...

Svět se mění – a kyberzločinci s ním. Dříve se prodávaly škodlivé kódy, čísla ke kreditním kartám nebo přihlašovací jména a hesla: podle organizace Trusteer ovšem přicházejí v souvislosti s nejrůznějšími „podnikatelskými“ záměry (ony ostatně mohou být i bez uvozovek) do módy prodeje různých dlouhodobě pěstovaných profilů s kvalitní pověstí na Facebooku, Twitteru či dalších sociálních sítích. Inu, stejně jako v reálném světě se dá koupit předpřipravená akciová společnost nebo společnost s ručením omezeným, tak v kybernetickém existují předpřipravené identity pro ty, kdo nechtějí čekat. Nebo nemohou?

Desítky milióny virů – a jedeme dál... Počítat jednotlivé škodlivé kódy je otázka filozofická, než technická. (Jak velká modifikace je nutná, abychom mohli hovořit o odlišném kódu? Co třeba polymorfní, které mění svoji podobu – počítat je jako jeden kus, nebo zvlášť? A co třeba kódy vytvářené generátory? No, nechme toho...) Každopádně firma McAfee ve své zprávě „Threats Report: Fourth Quarter 2011“ upozornila, že napočítala již 75 miliónů unikátních škodlivých kódů.

Android hlásí dramatický růst – škodlivých kódů. Podle společnosti Symbian je nyní právě Android nejnapadanější mobilní platformou: v roce 2011 bylo škodlivými kódy infikováno údajně až 10,8 miliónu zařízení. Nejvíce napadených přístrojů najdeme v Číně, Indii, Spojených státech, Rusku a Velké Británii. Mezi lednem a prosincem 2011 prý došlo (dle metrik Symbianu) k nárůstu malware určeného pro tuto platformu o 1880 procent! Nejčastějším způsobem, jakým se škodlivý kód do Androidu dostává, je na prvním místě jeho připojení k legitimní aplikaci, na druhém aktualizace korektního software na nekorektní (třeba skrze útok na jeho tvůrce) a na třetím místě přinucení uživatelů (podvodem, mystifikací...) k přímé instalaci škodlivého kódu.

Tady milión, tam milión, onde milión... Na úniky osobních dat jsme si tak nějak „zvykli“: záměrně používáme uvozovky, protože si na tento problém zvyknout pochopitelně nelze, ale prostě jsou tyto incidenty relativně běžnou součástí kyberprostoru. Přesto jsou úniky dat, které dokážou upoutat pozornost: k nim patří únik přihlašovacích jmen, hesel a především osobních dat platících zákazníků služby YouPorn. Na rozdíl od úniků dat zákazníků hotelu nebo herních serverů se jedná o spojení s velmi citlivými osobními informacemi, které mohou být snadno zneužitelné – třeba k vydírání. Díky programátorské chybě ovšem došlo ke kompromitaci databáze s údaji o zákaznících služby od listopadu 2007.

Nejlepší je neudělat nic. Přesně tímto heslem se řídili manažeři společnosti Nortel: její interní bezpečnostní specialista Brian Shields objevil několik průniků do jejího informačního systému. Když o svém objevu podal zprávu, vůbec nic se nestalo. Přitom bezpečnostní problémy měla firma nejméně osm let! Nortel mezitím zkrachoval, ještě před tím ale stihl prodat své patenty za 4,5 mld. dolarů společnostem jako Apple, Microsoft nebo RIM. Aktuální vyšetřování ale ukazuje, že minimálně část z těchto patentů se „dostala ven“ a podle všeho jsou dnes v rukou čínských firem. Otázkou pochopitelně je, jakou by patenty, ke kterým se (byť nelegálně) mnohem dříve dostala konkurence, měly hodnotu – kdyby o tomto úniku nakupující věděli.