Bezpečnostní perličky – únor 2013

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Nemáte kostlivce ve skříni? Šest z deseti úniků dat zůstává očím mateřské organizace skrytých déle, než tři měsíce! Výjimkou pak není ani to, že bezpečnostní průšvihy čekají na své odhalení i roky. Tvrdí to zpráva „2013 Global Security Report“ firmy Trustwave: podle ní byla průměrná doba od zahájení útoku po jeho odhalení v roce 2012 plných 210 dní (o 35 dní více, než o rok dříve). Podle zprávy je plných 14 procent incidentů (tedy každý sedmý) neodhaleno déle, než dva roky! Starý bonmot z oblasti bezpečnosti („firmy se dělí na ty, které řeší bezpečností incidenty - a na ty, které ještě neví, že je mají řešit“) tak dostává zcela nový rozměr.

Mráz opravdu přichází z Číny. O organizované čínské kyberšpionáži toho bylo napsáno hodně. Ovšem ruku na srdce, přes velkou kvantitu zpráv bylo skutečně konkrétních informací poskrovnu (byť je to z taktických i strategických dvodů pochopitelné). To ale už nyní neplatí, protože naprostý zvrat přinesla v únoru publikovaná zpráva americké konzultační firmy Mandiant. Tu si najal deník The New York Times poté, co byl odhalený závažný a sofistikovaný průnik do jeho systému: i z něj vedly stopy do nejlidnatější země světa. Konzultanti firmy Mandiant zjistili, že stopy z tohoto útoku stejně jako z mnoha jiných (např. hackerských skupin Comment Crew a Shanghai Group) vedou k dvanáctipatrové budově v Šanghaji (na ulici Datong ve čtvrti Gaoqiaozhen), v níž sídlí vojenský útvar označovaný „jednotka 61398“. Byť se nepodařilo vystopovat datový tok až do této budovy, většina sledovaných aktivit začínala v sítích v jejím okolí: šlo přitom o nejméně 141 útoků proti organizacím působícím ve dvaceti oborech. K jejich provedení byla vytvořena síť 937 řídicích serverů s 849 IP adresami ve třinácti zemích. Zpráva „APT1 - Exposing One of China’s Cyber Espionage Units“ zkrátka představuje opravdu zajímavé a poučné čtení...

Milióny útoků, miliardové škody. Národní auditní kancelář ve Velké Británii zveřejnila čísla o počtu útoků vůči kritické IT infrastruktuře. Ta je podle ní cílem útoků už nejméně dvacet let. V roce 2011 (novější data nejsou k dispozici) přitom byla podle zprávy Velká Británie terčem 44 miliónů útoků, což vychází na nějakých 120 tisíc denně. Přímé i nepřímé jimi způsobené škody činily 27 miliard liber. Zpráva zároveň konstatuje, že by bylo vhodné informační bezpečnost začlenit do vzdělávacího systému, aby studenti vyrůstali souběžně s hrozbami - a byli tak na ně připraveni jako na běžnou součást životů.

Další kopec neradostných čísel. Stalo se tradicí, že na přelomu roku vydávají firmy své předpovědi a také ohlédnutí za loňskou sezónou. Tuto tradici drží i společnost Websense Security Labs. Na rozdíl od většiny ostatních zpráv a svodek se ale nezaměřuje na jednu oblast, nýbrž bezpečnost řeší opravdu komplexně. Ze zajímavých zjištění ve zprávě z loňského roku vybíráme: Každý týden čelí organizace o tisíci uživatelích průměrně 1719 útokům - tedy téměř dvěma útokům na uživatele týdně. Meziroční nárůst škodlivých stránek je 600 procent celosvětově: škodlivý obsah se přitom z 85 procent nachází na legitimních webech (tedy takových, které původně nebyly založeny se zlým úmyslem a které útočníci jen zneužívají). Polovina malware „získaného“ z webu stáhne během prvních šedesáti sekund života na počítači další komponenty z internetu. Plných 32 procent škodlivých kódů a webů používá ke své distribuci zkrácené URL: uživatelé tak netuší, kam vlastně směřují. Jen jeden z pěti e-mailů je legitimní, spamu je přitom 76 procent. Jedna z deseti mobilních aplikací požaduje instalaci další aplikace.

Třetina počítačů je infikována. Dle každoroční zprávy společnosti PandaLabs je 31,98 procent počítačů na světě infikováno nějakou formou malware. Toho pak existuje 125 miliónů kusů: jen v loňském roce přitom vzniklo 27 miliónů exemplářů. Nejrozšířenější jsou přitom trojské koně, které mají na svědomí 76,56 procent infekcí (o cca deset procentních bodů více, než před rokem). Na druhém místě jsou viry (8 procent), zatímco červi zaujímají bronzovou pozici (6,44 procenta). Nejvíce infikovaných počítačů bychom našli v Číně (54,89 procenta), v Jižní Koreji (54,15 procenta) a na Tchajwanu (42,14 procent). Na opačném konci žebříčku jsou Švédsko (20,25 procent), Švýcarsko (20,35 procent) a Norsko (21,03 procent). Pořadí České republiky nebylo ve zprávě zmíněno, je u nás jen poznámka, že patříme „k lepšímu průměru“ a máme 31,84 procenta infikovaných PC.

Stuxnet přišel o rok dříve. V loňském roce se v deníku The New York Times objevil obsáhlý a podrobný materiál, v němž novinář David Sanger podrobně popsal pozadí vzniku škodlivého kódu Stuxnet, který měl za cíl napadat a poškozovat centrifugy pro obohacování uranu v íránském Natanzu. Anonymní (a podle analytiků se situací velmi dobře obeznámený) zdroj z vládních kruhů mj. prozradil, že autorizaci k použití Stuxnetu vydal prezident George Bush Jr. těsně před odchodem z úřadu v lednu 2009 a že Stuxnet vznikl jako společné dílo amerických a izraelských programátorů. Příběh ovšem stále ještě není řečený celý: společnost Symantec nyní oznámila, že první verze Stuxnetu (označuje ji jako 0.5) se objevila už v listopadu 2007. Zdali už jejím cílem byl íránský jaderný program, není zřejmé. Jedno je ale evidentní: útoků, o nichž roky nevíme, přibývá geometrickou řadou.