Bezpečnostní perličky – srpen 2012

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Mobilní platformy (stále více) v ohrožení. Nová zpráva Symantecu sice potvrzuje tušené i reálné trendy, přesto příliš nepotěší. Hovoří totiž o tom, že zatímco počet zranitelností pro klasické stanice a servery klesá meziročně o dvacet procent, množství útoků vůči mobilním platformám roste z roku na rok o 81 procent! Symantec zároveň varuje, že roste počet cílených útoků vůči organizacím všech (!) velikostí a že se čím dál větším problémem stávají úniky dat. Symantec zároveň informoval, že v loňském roce pomohl se svým softwarem zastavit 5,5 miliardy útoků a počet známých unikátních škodlivých kódů narostl na 403 miliónů.

Na rok za mříže kvůli Facebooku. Často se uvádí (a velmi často oprávněně), že naše stávající legislativa je na kyberútočníky krátká - zvláště pokud se dokážou umně „skrýt“ za hranicemi. Že to ale nemusí platit vždy, dokládá případ Garetha Crosskeye (21) z města Lancing v hrabství Sussex. V lednu 2011 totiž jistá americká občanka kontaktovala FBI s tím, že někdo neoprávněně přistupuje k jejímu účtu na Facebooku a e-mailu a že mění jejich obsah. Následně byl jako pachatel vystopován právě Crosskey: poté, co byl usvědčen, byl nyní odsouzen na jeden rok nepodmíněně. Když se chce, tak to evidentně jde - kéž by se ještě chtělo vždy.

Mac OS X je plný škodlivých kódů – pro Windows. Je to starý spor: je nebezpečnější systém Windows nebo Mac OS X? Samozřejmě záleží na úhlu pohledu, podmínkách a metodice, takže ho definitivně rozetnout nelze. Nicméně zajímavý názor do něj nyní přinesla studie provedená bezpečnostní firmou Sophos, do které se zapojilo přes sto tisíc uživatelů produktů Mac OS X. Výsledky stojí za pozornost: přes dvacet procent (!) systémů bylo napadeno nejméně jedním škodlivým kódem - ovšem pozor, původně určeným pro Windows. Naproti tomu jen zhruba 2,5 procenta počítačů byla infikována kódem vytvořeným speciálně pro Mac OS X. Pro úplnost podotýkáme, že škodlivý kód napsaný pro Windows je na Mac OS X neškodný (pokud Windows nejsou nainstalované jako druhý operační systém). Přesto jde o zajímavá čísla. Minimálně potvrzují to, o čem bezpečnostní specialisté už dlouho hovoří: uživatelů Mac OS X (a dalších „alternativních“ systémů) se cítí bezpečněji, tudíž se chovají nebezpečněji.

Dobré vztahy s dodavateli. Po všech možných „managementech“ (identity management, patch management, risk management atd.) se budeme muset učit další: relationship management (řízení [vnějších] vztahů). Alespoň to ve své studii tvrdí Gartner. Upozorňuje, že díky konzumerizaci a cloudům se přesunuje čím dál větší část rozpočtu a zodpovědnosti z IT oddělení do rukou jiných subjektů. Díky tomu nabývají právě vztahy (nejen) s dodavateli na významu, protože jinak není možné dostatečně zajistit propojení bezpečnostní politiky s realitou.

Není bezpečnost jako bezpečnost. To, že se používá nějaká technologie, ještě neznamená, že je to bezpečné. Jak upozorňuje organizace Trustworthy Internet Movement, platí to i pro tak rozšířenou technologii jako je HTTPS. A dokládá to i konkrétními čísly: ze dvou set tisíc nejdůležitějších webových stránek SSL využívajících, jich získala polovina nejvyšší ocenění (nejméně osmdesát bodů ze sta možných). Měly tedy aktuální verzi software, silná hesla i správnou implementaci. Ovšem zároveň je zapotřebí si uvědomit, že skoro tři čtvrtiny stránek jsou náchylné k útoku BEATS (Browser Exploit Against SSL/TLS), který umožňuje dešifrovat autentizační tokeny a cookies z HTTPS požadavků. Útok je vyřešený ve verzi 1.1 protokolu TLS (Transport Layer Security), jehož instalací je ale mnoho serverů nezasaženo.

Tři milióny kompromitovaných bankovních účtů. Útoky proti bankovním účtům jsou lákavé, tudíž hojné a na první pohled tuctové. Následující je ale přece jen něčím výjimečný: minimálně rozsahem. Íránský informatik Khosrow Zarefarid, bývalý šéf clearingového a automatizovaného platebního střediska totiž zveřejnil na svém blogu detaily o účtech tří miliónů Íránců! Tímto velmi svérázným způsobem protestoval proti tomu, že přes jeho opakovaná upozornění a varování místní banky neřešily bezpečnostní problémy, které jejich zákazníky vystavovaly nebezpečí. Když se nic nedělo, použil metodu útoku ve svých materiálech popsanou a získal tak ony detaily ke třem miliónům účtů (včetně adres, čísel karet či jejich PINů).