Bezpečnostní perličky – prosinec 2012

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Nový malware představuje problém. Společnost Imperva posbírala a analyzovala 80 nových škodlivých kódů - a následně zjišťovala, jak si s těmito novinkami poradí čtyři desítky nejrozšířenějších i méně obvyklých antivirových programů. I to, jak rychle na ně bezpečnostní aplikace zareagují. Výsledek byl nepříliš povzbudivý: nové (= neznámé) škodlivé kódy byly zachytávány jen v pěti procentech případů. A mnoha antivirovým programům trvalo přes čtyři týdny, než zareagovaly a měly k dispozici aktualizace svých databází. Imperva přitom upozornila, že právě antivirové programy tvoří největší část výdajů na bezpečnostní aplikace: celosvětově je do bezpečnostního software investováno 17,7 mld. USD, přičemž více než třetina (7,4 mld. dolarů) připadá právě na „antiviry“. - Na druhé straně si musíme čestně připustit, že výsledky studie (byť se můžeme na její metodiku dívat všelijak) zase nikterak překvapivé nejsou. Antivirová řešení jsou sice základním stavebním prvkem bezpečnosti, ale často bývají přeceňovaná nebo využívaná jako alibi („něco jsme udělali“). Ale že už dávno nejsou jediným pilířem bezpečnosti, je nad slunce jasnější.

Stále neexistuje bezpečný internet. Opět to není žádné objevné zjištění, ale připomenout si ho je jistě vhodné: dle Security Threat Report 2013 vydané společností Sophos dochází k více než osmdesáti procentům útok z legitimních webových stránek (tedy ze stránek, do nichž útočníci vložili své škodlivé kódy s cílem přivlastnit si jejich reputaci). Jinými slovy: jen dvacet procent malware se nachází na webových stránkách vytvořených s cílem infikovat počítače. Takže pozor: průšvih může přijít kdykoliv a odkudkoliv, neexistuje „bezpečný“ internet! - A ještě několik dalších varování z této studie plynoucích: rok 2012 podle ní přinesl nebývalé rozšíření škodlivých kódů na nové platformy a prostředí (z „tradičních“ Windows), což přináší nemalé výzvy jak pro uživatele, tak pro manažery a administrátory.

Databáze jako řešeto. Plných 88 procent databází je zranitelných vůči útokům SQL Injection (vložení nežádoucího kódu do SQL databáze). Tvrdí to analýza provedená v prosinci 2012 firmou GreenSQL. Databáze jsou přitom zranitelné jak proti vnějším, tak proti vnitřním útokům: není se čemu divit, když značná část správců systémů SQL databáze nijak speciálně nechrání (18 procent), část používá jen aplikační firewally (18 procent) a část databázové firewally (12 procent). A z těch, kdo se snaží o ochranu nějakým způsobem dbát, je významná část opatření neúčinná.

Pro špióny i sabotéry. Průmyslové řídicí systémy byly až do příchodu škodlivého kódu Stuxnet velkoryse přehlíženou součástí informačních systémů. Ovšem jakmile přišly o svůj pel nevinnosti, jako by se se špatnými zprávami roztrhl pytel: jako by to chtěl potvrdit i nejnovější problém s aplikací CoDeSys, což je software používaný v mnoha průmyslových řídicích systémech. Aplikace (kterou dle slov dodavatele používá přes 200 výrobců z celého světa) má vlastnost (tedy nikoliv bezpečnostní zranitelnost, ale „chybu v návrhu“: umožňuje otevřít přístup k příkazové řádce), která umožňuje její ovládání nebo získání přístupu k citlivým informacím - a to bez potřeby autorizace. CoDeSys je používaný v elektrárnách, rafineriích, továrnách a dalších průmyslových či vojenských zařízeních. Chyba umožňuje spouštět nebo resetovat programy, smazat paměť, získat informace o programech nebo úlohách běžících na zařízení apod. Aneb ideální příležitost nejen pro průmyslovou špionáž, ale také například pro provádění sabotáží. Dobrou zprávou je snad jen to, že zranitelnost je zneužitelná pouze v případě přímého přístupu k síti/zařízení.

Resetujte heslo, vysajte kredit. Zatímco nejoblíbenější cíl kyberútoků - internetové bankovnictví - už dávno přešlo na dvoufaktorovou autorizaci (heslo plus hardwarový předmět, který má podobu mobilu nebo třeba generátoru hesel), taková internetová telefonie zůstává polem neoraným. Přitom přístup ke kreditu chrání často jen přihlašovací jméno a heslo. Tedy kombinace, nad kterou se dnes každý rozumný člověk už jen shovívavě pousměje. Jistě, ono to asi jinak nejde - ale uvědomme si, že takto slabým způsobem chráníme přístup k finančnímu kreditu a svým způsobem i k naší důvěryhodnosti. Že jde o zásadní bezpečnostní výzvu, potvrdila nyní o společnosti Skype, která byla nucena znemožnit funkcionalitu „reset hesla“. Ukázalo se totiž, že tato mohla být zneužita k únosu účtu za podmínky, kdy měl útočník k dispozici odpovídající e-mailovou adresu majitele. A to díky chybě, která umožňovala založit nový účet s e-mailovou adresou stávajícího uživatele - a jeho prostřednictvím provést reset hesla k existujícímu účtu.

Nejslabší článek informační bezpečnosti. Podle několika na sobě nezávislých studií jsou absolutně nejproblematičtějším článkem koncové body: ať stanice, notebooky nebo třeba mobilní zařízení. Dle Ponemon Institute jen třináct procent profesionálů v oblasti IT bezpečnosti považuje koncové body za lépe zabezpečené než ostatní infrastrukturu. A 29 procent pak připouští, že pro zaměstnanci vlastněná a využívaná zařízení (BYOD, Bring Your Own Device) vůbec nemá stanovená bezpečnostní pravidla. Zajímavý je i trend: před třemi lety považovalo jen 9 procent IT manažerů mobilní zařízení za hrozbu, dnes jich je 73 procent. - Jiná studie publikovaná PandaLabs zase tvrdí, že celosvětově je 31,6 procenta PC infikováno nějakým škodlivým kódem. K největším hříšníkům přitom patří Čína a Jižní Korea, kde je napadena zhruba polovina (!) počítačů.