Bezpečnostní perličky – říjen 2012

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Migrace: potenciální bezpečnostní díra. Plných 95 procent organizací provede za rok migraci dat; ovšem rovných 65 procent připouští, že během tohoto procesu si nejsou jejich bezpečností jisté. Vyplývá to ze studie organizace Varonis Systems Inc. Z ní zároveň vyplývá, že plných 96 procent administrátorů a manažerů připouští, že během migrace jsou data zranitelná a vysledovatelná. Další bezpečností problémy pak následují po migraci: jde o dostupnost (připouští ji 68 procent dotázaných), identifikaci a odstranění starých plus nevyužívaných objektů (67 procent) a zajištění správných přístupových práv (59 %). Zpráva lakonicky dodává, že problém je o to závažnější, že k migraci dochází zpravidla ze zištných důvodů: kvůli fúzím nebo změnám sídla. Proto je (by mělo být...) zajištění ochrany dat tak důležité. - A my neméně lakonicky dodáváme, že každý systém je tak silný, jak je silný jeho nejslabší článek.

Kterak zastavit všemocné administrátory? IT profesionálové se často v rámci informačních systémů pasují (v horším případě jsou automaticky pasováni) do pozice „naduživatelů“. Aneb praxe nám opakovaně ukazuje, že pro administrátory, správce či IT manažery jako by jinak závazná pravidla neplatila. Potvrzuje to i průzkum organizace Lieberman Software, podle něhož 39 procent IT zaměstnanců má bez jakéhokoliv omezení přístup k veškerým citlivých informacím v organizaci - a jeden z pěti přiznává, že k přístupu k takovýmto datům už zneužil. Studie zároveň dodává, že takovýto přístup k citlivým datům nemají ani oddělení lidských zdrojů, financí či vrcholoví manažeři. Třetina dotázaných pak v anonymním průzkumu přiznala, že jejich nadřízení nemají absolutně představu o tom, jak by je mohli omezit.

Pět míst, která zapomínáme záplatovat. Záplatovat musíme všechno. Poučka, kterou by každý z nás pravděpodobně bez většího rozmýšlení podepsal. Jenomže teorie je jedna věc a realita druhá. A tak existuje nejméně pět oblastí, kde „patch management“ dostává (a tím i naše bezpečnost) typicky „na frak“. První: zařízení používající Javu. Jsou jich prý až tři miliardy. Samozřejmě ne všechny jsou zapojené ve firemních sítích a už vůbec ne v těch naších - ale jak je máme ošetřené právě my? Druhá: tiskárny. Dřívější pokusy o šíření spamu nebo škodlivých kódů skrze tiskárny (které jsou z určitých úhlů pohledu plnohodnotnými hráči v síti) byly možná krapet úsměvné. Dnes už je tomu jinak a tiskárny bez diskuse začínají představovat bezpečnostní problém. Třetí: směrovače. Výrobci vydávají pravidelně aktualizace firmware - a uživatelé si je instalují jen tehdy, když mají problémy se stabilitou. Ovšem firmware řeší i bezpečností problémy u těchto prvků - a na to (rádi) zapomínáme. Čtvrtá: ERP systémy. Na konferenci Hack in the Box předvedla skupina výzkumníků z firmy Onapsis, že 95 procent ERP systémů je zranitelných - právě kvůli neimplementaci záplat, které vydali výrobci. Pátá: databáze. U nich k neaplikaci záplat často dochází záměrně: každá minuta výpadku je přesně vyčíslená, takže se vychází ze sebevražedné logiky „levnější je nezáplatovat“.

Pozor na počítače z půjčoven! Mimosoudního vyrovnání dosáhlo ve sporu s americkou Federální obchodní komisí sedm půjčoven hardware v USA a jedna softwarová firma, která jim dodávala aplikace. Předmětem sporu byla skutečnost, že půjčovaný hardware obsahoval několik „nezdokumentovaných funkcí“. Majitelé měli možnost je např. na dálku vypnout: poté, co by byl ukradené, nebo poté, co by za něj nebyla uhrazená dohodnutá platba. Mnohem horší ovšem byla vlastnost „Detective Mode“, která umožňovala sledování polohy hardware (a tedy i uživatele) stejně jako zaznamenávala (a odesílala!) jeho přihlašovací údaje i hesla plus informace o bankovních účtech - v krajním případě umožňovala i fotografování pomocí webkamery. Provozovatelé půjčoven se bránili s tím, že tyto informace jim měly umožnit vrátit hardware či vypomoci platby v případě neplnění závazků. Z čistě technického pohledu logické, ovšem jinak nesmírně nebezpečné, zneužitelné a brutálním způsobem narušující soukromí.

Věčný phishing. Jsou hrozby, které přijdou a zase odejdou. A pak jsou ty ostatní, které se natrvalo usazují mezi námi: k takovým patří i phishing. Nejnovější zpráva Anti-Phishing Working Group (APWG) tak konstatuje, že ve třetím čtvrtletí letošního roku zaznamenala přesně 93462 phishingových útoků. Což představuje oproti čtvrtletí druhému nárůst o dvanáct procent. Dobrou zprávou alespoň je, že boj s phishingem je relativně úspěšný a průměrná životnost phishingových stránek je vpravdě jepičí: 23 hodin a 10 min. Což je o plnou polovinu méně, než na konci loňského roku.

Účet za kyberzločin: ročně 110 miliard dolarů. Každou sekundu se osmnáct dospělých stává obětí kybernetického zločinu, přičemž průměrné ztráty jsou 197 dolarů na incident. Alespoň to tvrdí zpráva Norton Cybercrime Report. A doplňuje další čísla: v uplynulých dvanácti měsících se celosvětově stalo obětí kybernetického zločinu 556 miliónů dospělých. Zajímavé jsou i trendy: zpráva konstatuje, že narůstá počet útoků vedených skrze sociální sítě a mobilní platformy. Celosvětově pak kybernetický zločin stojí uživatele (tedy bez započítání škod firemního a státního sektoru) 110 mld. dolarů.