Bezpečnostní perličky – březen 2013

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Botnety jsou věčné. O botnetech je známo, že se dostávají na výsluní slávy a zase se z něj periodicky stahují: ale rozhodně neodcházejí. A především: umírají opravdu pomalu. Aneb z deseti největších botnetů současnosti (dle velikosti: ZeroAccess, Jeefo, Smoke, Mariposa, Grum/Tedroo, Lethic, Torpig, SpyEye, Waledac a Zeus) hned čtyři existují více, než deset let! Jde tedy o jev, který nemá v historii informační bezpečnosti obdoby. Nejrychleji přitom roste ZeroAccess, který aktuálně získává 100 až 200 tisíc strojů týdně. Sbírá informace, které jeho provozovatelé následně využívají k pořizování virtuální měny BitCoin.

Systémy SCADA mimo zorné pole – bohužel obránců. Škodlivý kód Stuxnet, který se roky šířil světem (nejméně od roku 2007, než byl o tři roky později objevený), ukázal na zranitelnost průmyslových řídicích systémů SCADA. Následovala vlna zájmu o tyto systémy jak mezi bezpečnostními specialisty, tak mezi útočníky: například v roce 2011 byly zveřejněny informace o 215 bezpečnostních nedostatcích v systémech 39 výrobců. Jenže stejně rychle jak zájem narostl, tak i poklesl. Dnes má instalované opravy jen deset až dvacet procent systémů SCADA. Přitom právě Stuxnet a jeho útok na íránský jaderný program ukázal, jak málo stačí k úspěšné sabotáži jinak špičkově vybavené továrny.

Čína zametá stopy. Už když zakladatel a ředitel společnosti Mandiant Kevin Mandia v únoru letošního roku zveřejňoval podrobnou zprávu o organizované čínské průmyslové špionáži pod hlavičkou vojenské „jednotky 61398 („APT1 – Exposion One of China´s Cyber Espionage Units“, psali jsme před měsícem), předpovídal, že jeho zpráva bude mít za následek změnu taktiky těchto útoků. Předpověď se naplnila: útoky prakticky ustaly a „někdo“ začal zametat stopy (např. mazat data nebo ukončovat činnost určitých systémů). Což ale neznamená, že je po problému: Mandia upozornil, že jen dochází k přesunu na záložní infrastrukturu a servery a že v ČLR je dvacet podobných menších útvarů, mezi něž se nyní úkoly rozptylují. Cílem útoků bylo především intelektuální vlastnictví a obchodní tajemství. Odhady škod způsobené průmyslovou špionáží se (v závislosti na metodice) různí, ale pohybují se od 50 do 250 mld. ročně (jinak by se také dalo říci, že může jít o 100 až 500 tisíc pracovních míst).

Java: ještě větší problém, než jsme si mysleli. Dle společnosti Websense obsahuje 95 procent zařízení využívajících Javu (těch je mimochodem na světě přes tři miliardy) nejméně jednu zranitelnost. Ještě divočejší je přitom informace o tom, jak dlouho k aktualizaci Javy nedošlo: plných 75 procent uživatelů používá verzi nejméně šest měsíců starou (tzn. že není chráněno proti hrozbám z posledního půl roku). Dvě třetiny uživatelů mají verze starší jednoho roku, padesát procent starší dva roky a plná čtvrtina starší, než čtyři roky! Jen pro úplnost: Websence získala statistiky ze své sítě ThreatSeeker, která obsahuje desítky miliónů zařízení.

Java vesele akceptuje odvolané certifikáty. Některá základní nastavení aplikací jsou sice uživatelsky velmi přívětivá, ale - řekněme - nešťastná. Jistý škodlivý applet se vesele šíří světem a je schopen proniknout i přes nejnovější aktualizaci Javy 6: je totiž podepsaný certifikátem texaské firmy Clearesult Consulting. Jeho provalení a zneužití je známé už od loňského roku, takže vše jím dnes podepsané je automaticky nedůvěryhodné. Ba co víc: podezřelé. Jenže Java 6 má v základním nastavení vypnutou volbu „Kontrola odvolaných certifikátů“, takže jí stačí, že je v malware nějaký certifikát přítomen - a už ho spouští bez dalšího obtěžování uživatele zbytečnými dotazy.

Webové aplikace jako cedník. Společnost Cenzic Inc. zveřejnila zprávu o stavu bezpečnosti v oblasti webových aplikací: nejdůležitějším konstatováním je, že 99 procent z nich (!) je zranitelných vůči útokům. Přitom průměrná aplikace obsahuje třináct zranitelností. Největší problém představují útoky XSS (Cross-Site Scripting), vůči nimž je zranitelných plných 26 procent webových aplikací. Následuje únik informací (16 procent) a problémy s autorizací plus autentizací (13 procent).

Kdo ohlídá hlídače? Americká Národní databáze zranitelností (National Vulnerability Database) byla napadena útočníkem, který do jejího webu vložil nejméně dva škodlivé kódy. Firewall jejich aktivitu zaregistroval a podezřelý provoz (prý) včas zastavil, takže kódy se z této stránky dále nešířily. Ironií osudu se malware podařilo do stránek vložit skrze neošetřené zranitelnosti, před kterými varovaly...