Bezpečnostní perličky – duben 2012

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

„Ztracené“ mobilní telefony: zpráva o nás samotných. Společnost Symantec Corp. se rozhodla udělat zajímavý průzkum týkající se toho, co se děje se ztracenými mobilními zařízeními – na veřejných toaletách, v kavárnách, na lavičkách v parku, prostředcích hromadné dopravy a na jiných místech nechali její specialisté záměrně ležet padesát „chytrých“ mobilních telefonů (vybavených sledovacím zařízením). A tak jsme se měli možnost dozvědět, že 43 procent nálezců kliknulo na ikonu „on-line bankovnictví“, 53 procent na „oddělení lidských zdrojů, mzdy“, 57 procent na „uložená hesla“, 60 procent na e-maily a 72 procent na „soukromé fotografie“. Suma sumárum: 89 procent nálezců poklikalo na něco, na co by poklikat nemělo. Ovšem jen padesát procent se pokusilo ztracené zařízení vrátit, a to přesto, že jméno majitele bylo s veškerými dalšími údaji uvedeno ve složce kontakty.

Nové měřiče, nové možnosti (jak pro koho). Chytré měřiče spotřeby energií jsou na vzestupu – a díky tomu se objevilo nové odvětví kybernetické kriminality. Mohli bychom jej nazvat „hacking měřičů spotřeby“. Americká FBI varovala, že mnohé „inteligentní“ měřiče nejsou dostatečně „inteligentní“ na to, aby odolaly jednoduchým typům pokusů o své přeprogramování: zařízení pak nejsou fyzicky jakkoliv poškozena, takže se rozvodným firmám manipulace s nimi velmi těžko prokazuje. Už dnes činí ztráty energetických společností kvůli „hacknutým“ měřičům cca 400 mil. dolarů. Běžná cena za přeprogramování měřiče je 300 až 1000 dolarů v případě domácnosti a 3000 USD v případě firemního zařízení. – Jen pro doplnění: už v roce 2009 se objevily postupy, jak obelstít „chytré“ elektronické parkovací hodiny, a tak parkovat grátis. Pokrok holt přináší zcela nové možnosti.

Být napadený není žádná ostuda. Britský ministr pro vědu David Willetts vyzval organizace, aby se „nestyděly za to, že se staly obětí kybernetického útoku“, aby o incidentech otevřeně informovaly a „pomohly tak Velké Británii se proti podobným problémům lépe bránit“. Nápad jistou logiku nepostrádá, a to zvláště proto, že centrální britská organizace zajišťující ochranu před kyberhrozbami UK Cyber Security Strategy je odkázána prakticky výhradně na data, která jí dodají napadené firmy. „Není ostuda veřejně přiznat, že jste se stali cílem kyberútoku,“ dodal ministr. No, stát se může každému, samozřejmě. Ale on útok zpravidla vypovídá o zanedbání nějakého bezpečnostního pravidla – a s něčím podobným asi nikdo nadšeně na trh nepoběží. A těžko si představit zákazníky firem, kteří se z podobné otevřenosti budou radovat. Snad jen konkurence se bude smát, až se bude za břicho popadat. Nejsem si opravdu jistý životaschopností tohoto nápadu...

Záplatovat, záplatovat, záplatovat... Výrobce satelitních navigačních přístrojů TomTom vydal záplatu na software obsažený v některých řadách svůj přístrojů: ty přestaly fungovat poté, co se na nich projevila neschopnost vypořádat se s přestupným rokem (jsem jediný, komu to – byť vzdáleně – připomíná problém Y2K?). Výrobce se snažil situaci bagatelizovat s tím, že šlo o chybu v aplikaci od externího dodavatele – což ale postiženým uživatelům bylo nejspíše úplně jedno. Chyba se projevila tak, že přístroj tvrdil, že není schopen detekovat signál GPS nebo že jeho kvalita je velmi špatná. V každém případě nezobrazoval aktuální polohu uživatele.

Ruský kyberzločin jede na plné obrátky. Bezpečnostní firma Group-IB zveřejnila studii o stavu kyberzločinu v Rusku: konstatovala, že v roce 2011 se jeho obrat zdvojnásobil (!) a že má hodnotu 4,5 miliardy dolarů. Zpráva zároveň konstatuje, že z celosvětového pohledu jde o zhruba třetinu peněz, které se v kyberzločinu „otáčí“. Zajímavé je, že dle této studie 2,3 mld. dolarů představuje „vnitrostátní kybernetický zločin“, kdežto zbytek pochází ze zahraničí. Zpráva zdůrazňuje, že čísla vyjadřují jen přímé škody a že vychází ze statistických metod (protože oficiální čísla pochopitelně nejsou k dispozici).

O bezpečnosti, která není bezpečností. Podle studie „HIMSS Analytics Report: Security of Patient Data“ větší míra regulace a tvrdší legislativní podmínky ve zdravotnictví v posledních šesti letech ani trochu nezpomalily tempo úniků dat a dalších bezpečnostních problémů. Jediné, na čem se respondenti oslovení v rámci shromažďování dat shodli je, že nyní jsou lépe připraveni na to, co se stane PO bezpečnostním incidentu. (Nebo se tak alespoň domnívají.) Jinak ale možností organizací ve zdravotnickém sektoru, které zveřejnily bezpečnostní incident, vzrostlo z 13 procent v roce 2008 na 19 procent v roce 2010 – a následně pak na 27 procent v roce loňském. Zkrátka a dobře: samotný soulad s legislativou je jen souladem a legislativou – ale nikoliv reálným bezpečnostním opatřením.

Sofistikovaný nebyl útok, ale jeho vysvětlení... Zprávy se různí, zdali po útoku na server organizace Medicaid v Utahu došlo ke kompromitaci osobních údajů 280 tisíc nebo až 750 tisíc uživatelů. Úžasné ale je, jak celý incident vysvětluje oficiální zpráva Ministerstva zdravotnictví státu Utah. Ta hovoří o „zneužité konfigurační chybě na autentizační úrovni serveru hostujícího kompromitovaná data“. To zní hodně dramaticky a složitě. Jenže se to dá říci mnohem jednodušeji: za útokem bylo nezměněné základní heslo serveru.