Bezpečnostní perličky – květen 2013

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Objevili jste zranitelnost? Prodejte ji do USA! Spojené státy neustále v oblasti kybernetických útoků a špionáže na Čínu. Ale... Podle zprávy agentury Reuters jsou právě USA největším nákupčím zranitelností a hackerských nástrojů na světě! Spojené státy jsou údajně velmi aktivní na šedém trhu, kde hackeři a bezpečnostní firmy prodávají nástroje vhodné k průnikům do kybernetických systémů. Ročně prý v této oblasti utratí miliardy dolarů! Přiznává to i ředitel NSA generál Keith Alexander, když Kongres informoval, že USA „vytváří více než tucet ofenzivních kybernetických jednotek, které jsou připravené v případě potřeby spustit útok proti zahraničním počítačovým sítím“. - Tento štědře dotovaný systém začíná mít jeden nepříjemný důsledek: výzkumníci už nejsou ochotni nabízet objevené zranitelnosti a další zneužitelná zjištění bez odpovídající kompenzace (když za ně mohou dostat štědře zaplaceno). Například Google nebo Facebook odměny za nalezení chyb nabízejí, ale zároveň jedním dechem připouštějí, že proti vládním nabídkám nejsou konkurenceschopné. V konečném důsledku jsme tak biti všichni...

Další výzvědná síť, tentokrát pod taktovkou Indie. Norská výzkumná organizace Norman Shark oznámila, že rozkryla rozsáhlou kybernetickou špionážní síť, jejíž stopy vedou do Indie. Zajímavé je, že podle dostupných informací probíhal útok - aniž byl zpozorován - nejméně tři roky! Není sice žádný přímý důkaz, že by šlo o vládou sponzorovaný útok, ale jeho záběr byl velmi široký: cílem byly státní organizace i soukromé firmy. Informace byly sbírány z těžebního i zpracovatelského průmyslu, telekomunikací, právních kanceláří, potravinářství či výroby. Tak obsáhlý záběr nenasvědčuje tomu, že by šlo o práci malé skupinky útočníků. Útok, který dostal jméno „Operace Kocovina“ (v angličtině Hangover, podle názvu jednoho z použitých škodlivých kódů) využíval různé druhy malware a byl silně decentralizovaný. Dokonce některé části kódů byly na základě kontraktu zadávány k vytvoření nezávislým programátorům. Kolik zemí bylo útokem zasaženo, nebylo zveřejněno - Norman Shark hovoří o nejméně dvanácti. Jak vidno, kybernetická špionáž ve velkém stylu jen kvete.

Příliš zvědavé brýle. „Brýle“ Google Glass slibují přinést skutečnou revoluci, protože posouvají rozšířenou realitu blíže ke každodennímu používání. Zatím je má k dispozici jen limitovaný počet výzkumníků a nadšenců. Jedním z nich je i Jay „Saurik“ Freeman, který ovšem objevil způsob, jak lze tyto brýle „hacknout“. Či přesněji: několik způsobů, protože na bezpečnost evidentně výrobce při tvorbě aplikace příliš nedbal. Google Glass se tak mohou stát silným špionážním nástrojem: mohou sledovat pohyb majitele stejně jako jeho úkony (zadávání PINů, přístupových kódů ke dveřím, počítačových hesel...), dokážou sledovat okolí nebo mohou majiteli zobrazovat podvržené informace. Dobrou zprávou budiž konstatování, že útočník potřebuje pro hacknutí Google Glass fyzický přístup. Tedy alespoň do doby, než někdo dříve či později objeví způsob, jak útok provést vzdáleně.

Aktualizace jen oficiální cestou. Různé plug-iny, doplňky, aplikace nezávislých programátorů apod. jsou z bezpečnostního hlediska už dlouho považované za velké riziko. Mimo jiné proto, že ne vždy je jasné, odkud a jak se aktualizují - a že útočníkovi stačí pro šíření škodlivých kódů napadnout právě výrobce. Protože jde o čím dál větší problém, web Google Play se rozhodl zakázat aplikace s vlastním aktualizačním mechanismem. Tedy aplikace, které „obcházejí“ oficiální aktualizační mechanismus Google Play. Pozorovatelé se shodují, že donedávna tolerované praktiky dostaly „stop“ po oficiální aplikaci Facebooku pro Android, která umožňuje firmě přímou aktualizaci a navíc bez vědomí uživatele. Nový mechanismus Google Play může bezpečnost na jedné straně zvýšit, na straně druhé ale může mít i přesně opačný důsledek, když třeba kritická záplata aplikace bude nyní muset čekat na formální schválení. - Nejde o jediné opatření, kterým by se měla zvýšit bezpečnost aplikací na Google Play. Dle nových podmínek portálu by nyní výrobci měli reagovat na kritické chyby do sedmi dní.

Jednou zkompromitované, navždy zkompromitované. Hacker vystupující pod přezdívkou Guccifer se zatím proslavil jako ten, komu se podařilo nabourat do e-mailů rodiny bývalého amerického prezidenta George Bushe Jr. a jeho přátel. Nyní se mu povedl další kousek, když dokázal získat neoprávněný přístup k několika účtům patřícím spisovatelce Candace Bushnellové (autorky Sexu ve městě). Odtud se mu podařilo získat mj. padesát stran z nového a dosud nepublikovaného románu. Na jejím Twitterovém účtu pak tento text zveřejnil a přidal zprávu: „Teď si můžete přečíst prvních padesát stránek z mé nové knihy Zabíjení Moniky; užijte si je co nejvíce!“ Autorka začala okamžitě situaci řešit se svým vydavatelem - ovšem prostřednictvím účtů, k nímž měl ale Guccifer stále přístup. A tak se veřejnost následně dozvěděla i detaily z této komunikace.

Falešná zpráva a akcie se mohly zbláznit. Stačilo málo: po útoku skupiny říkající si Syrská elektronická armáda na Twitterový účet agentury AP se zde objevily informace o dvou explozích v Bílém domě a o zranění prezidenta Baracka Obamy. Makléři na Wall Street (a jejich automatické obchodovací programy) reagovali promptně a během několika minut došlo k poklesu Dow Jonesova indexu o 143 bodů. Trval sice jen několik minut, než se zpráva ukázala jako falešná, ale i tak: akcie na těchto několik minut ztratily zhruba 200 miliard dolarů hodnoty! Už loni v červenci se na podobně napadeném účtu Foxnewspolitics objevilo několik zpráv o tom, že Barack Obama byl v Rossově restauraci v Iowě zraněn dvěma výstřely. Následně se objevila zpráva, že jim podlehl. A nakonec gratulace novému prezidentovi Bidenovi. Twitter se proto rozhodl posílit autorizaci, která by měla být do budoucna dvoufaktorová. Inu, „slovo“ se stává nejsilnější zbraní 21. století.