Bezpečnostní perličky – březen 2012

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Mobilní bezpečnostní výzva. Jsme (jako ostatně v informační bezpečnosti už tolikrát) mezi mlýnskými kameny, když 77 procent organizací považuje mobilní zařízení za důležitou součást svého byznysu, 76 procent ovšem zároveň považuje mobilní zařízení za bezpečnostní riziko – ale jen 39 procent připouští, že má odpovídající nástroje k řízení jejich bezpečnosti. Vyplývá to ze studie Websense. A statistika pokračuje: 59 procent uživatelů právě kvůli mobilním zařízením vypíná nebo jinak obchází bezpečnostní funkce. Více než polovina organizací (51 procent) přitom během uplynulého roku zaznamenalo bezpečnostní incident (typicky únik dat) právě skrze mobilní zařízení a o něco více (59 procent) „chytilo“ díky mobilním zařízením nějaký škodlivý kód.

Jednodušší už to (snad) být nemůže. Pátá zpráva „Verizon 2012 Data Breach Investigations Report“, která se věnuje průnikům do systémů a únikům dat, konstatuje, že 96 procent útoků bylo provedeno „velmi jednoduše“. Jinými slovy: útočníci s nimi neměli prakticky žádnou práci, neb šlo o zneužití známých chyb, základních hesel nebo špatně nasazenou bezpečnost. Neméně zajímavé je i druhé ze zprávy plynoucí číslo: celkem 97 procentům útoků šlo stejně „velmi jednoduše“ zabránit, a to bez vynaložení většího úsilí nebo finančních výdajů.

Open-source je až moc „open“. Studie organizace Aspect Security, která se zabývá hodnocením software z hlediska zranitelností, se tentokráte zaměřila na 31 populárních knihoven s open-source kódy. A následně suše konstatovala, že třetina z 1261 v těchto knihovnách obsahuje známou zranitelnost (což by ještě nebylo tak hrozné, protože každý administrátor by si měl před nasazení aplikace jaksi automaticky její aktuálnost ověřit) a že čtvrtina obsahuje vložené škodlivé kódy (což už je bez diskuse horší...).

Antiviry, které nechytají viry. Nezávislý výzkumný institut antivirové ochrany a bezpečnosti AV-Test informoval, že plné dvě třetiny antivirových aplikací nabízených pro Android nejou kvalitní. V provedeném testu bylo odzkoušeno 41 různých řešení, ale jen sedm z nich se dostalo v úspěšnosti nad devadesát procent. Ovšem plných osmnáct aplikací (tedy téměř polovina) detekovalo méně, než čtyřicet procent škodlivých kódů. A to je opravdu slabý, velmi slabý výsledek. Jen pro úplnost: zavedení výrobci se zpravidla umístili v horní polovině žebříčku a mezi dvanácti antivirovými řešeními, které totálně propadly (nenašly vůbec nic), byli samí „nováčci“.

Čína vrací úder. O čínských kybernetických útocích a kybernetické špionáži ve státním zájmu už toho – i na tomto místě – bylo napsáno hodně. Říše středu se dlouhodobě bránila tím, že sama je obětí a že neexistují přímé důkazy. Nyní změnila taktiku a přímo obvinila Spojené státy a Japonsko z koordinovaných kyberútoků na své zájmy. A hned to doložila čísly: v loňském roce bylo v Číně detekováno 8,9 miliónu infikovaných počítačů (většinou malwarem odcizujícím informace), zatímco o rok dříve to bylo jen pět miliónů. Většina dat z napadených počítačů přitom proudila do zahraničí. Přesně 22,8 procent do Japonska, 20,4 procenta do USA a 7,1 procenta do Jižní Koreje.

Paul Allen obětí kyberútoku. Americký veterán Brandon Lee Price dokázal, že kyberpodvody nejsou žádné čáry (byť nyní za svůj „důkaz“ stojí před soudem). Blíže neupřesněným způsobem (a šlo by jistě o zajímavou informaci) se dostal k přihlašovacím údajům k internetovému bankovnictví spoluzakladatele Microsoftu a miliardáře Paula Allena, v nastavení změnil jeho adresu za svoji - a následně na zákaznickou linku Citibank zavolal, že ztratil platební kartu a že chce poslat novou. Banka mu promptně vyhověla, Lee Price pak kartou uhradil 658,81 dolarů svého dluhu. Pokusil se o další převody (15 tisíc dolarů výběr skrze Western Union, nákup za 278,18 USD v obchodě GameStop a za jeden dolar v místním koloniálu Family Dollar). To už se mu ale nezdařilo a byl zadržen. Důvody jeho lehce naivního chování nebyly zveřejněny, ale lehkost, s jakou se dostal k bankovní kartě miliardáře je přinejmenším zarážející.

„Disaster recovery“ je více „disaster“, než „recovery“. Tvrdí to organizace ControlCircle, která upozorňuje, že devadesát procent firem a úřadů má strategii pro mimořádné události alespoň nachystanou. Ono slovíčko „alespoň“ je ale bohužel namístě, protože jen 46 procent z nich tuto strategii otestovalo nebo aktualizovalo v uplynulých dvanácti měsících. Plných padesát procent strategií je naproti tomu starších dvou let, což je v dynamickém prostředí ICT krajně neuspokojivé. ControlCircle zároveň upozorňuje, že 42 procent organizací strategii „disaster recovery“ nemá nebo dopředu ví, že má – ale nefunkční. To je dobře, že to ví.