Bezpečnostní perličky – červen 2013

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Porušujeme bezpečnost, protože to jinak nejde. Je to zajímavé zjištění: 38 procent zaměstnanců ukládá firemní data na osobních úložištích (ať lokálních nebo cloudových). K nejoblíbenějším cloudovým patří Dropbox, Google Drive a Apple iCloud (mají podíl 16, 15 a 12 procent). Při ukládání na lokální úložiště používá 64 procent zaměstnanců externí disky a 46 procent USB flash disky. Možná poněkud překvapivé je konstatování, že většina zaměstnanců tak nečiní se zlým úmyslem, ale čtyři z pěti uživatelů tvrdí, že se tak snaží zlepšit svoji práci. Podobné sdílení totiž umožňuje pracovat efektivněji, rychleji a jednodušeji: navíc dovoluje pracovat odkudkoliv a mít dokumenty na jednom místě. Mezi další důvody využívání osobních úložišť patří nemožnost posílat velké soubory „oficiálně“, snaha eliminovat ztrátu času při hledání nebo jistota, že pracuji s aktuální verzí. - Samozřejmě, že podobný nekontrolovaný pohyb představuje z bezpečnostního hlediska nebezpečí. Ale... Mnozí zaměstnanci evidentně nemají možnost, jak regulérně a pohodlně data sdílet.

Komplexní, leč sebevražedné. Společnost Fortinet ve svém novém whitepaperu „Tvorba chytrých politik s FortiOS 5“ (Making Smart Policies with FortiOS 5) varovala, že jedním z největších vektorů šíření hrozeb je – komplexnost bezpečnostních politik. Tím, že do politik jsou přidávána stále nová pravidla a málokdy „mizí“ ta starší, stávají se tyto nejen nepřehlednými, ale velmi často si také protiřečí. Whitepaper tak varuje před starými modely uvažování a vybízí ke změně konceptů tak, aby byla bezpečnost jednodušší a transparentnější.

A data jsou nenávratně ztracena. To je závěr ze studie provedené organizací Ponemon Institute, která zjišťovala, jak velký vliv má bezpečnostní incident na provoz firmy. Podle ní většina malých organizací nedokáže obnovit po incidentu všechna data: přesně jde o 72 procent organizací. Jako nejčastější důsledek neschopnosti obnovit data do původní podoby pak firmy uváděly ztrátu dobré pověsti a medializaci problému (59 procent), odcizení informací (49 procent), ztrátu zákazníků (48 procent) a výpadek provozu (48 procent).

Když se aktualizace stane hrozbou. Udržovat software v aktuální podobě je jedním ze základních bezpečnostních přikázání každého uživatele či administrátora. Jenže... Neznámí útočníci našli způsob, jak vložit škodlivý kód do souboru update.php, který zajišťuje automatické aktualizace blogové aplikace WordPress. Po snadné modifikaci je vložený další kód do souboru wp-settings.PHP: poté dochází k přesměrování návštěvníků blogu na stránky podvodné, s malwarem nebo sbírající návštěvníky (nebo všechno dohromady). Denis Sinegubko z webu Unmask Parasites, který chybu objevil, uvedl, že ho překvapila jednoduchost útoku: WordPress vůbec nekontroluje integritu souboru update.php, takže je do něj možné vložit cokoliv - a program to pak považuje za svoji regulérní součást. Podle dostupných informací bylo útokem postiženo několik tisíc blogů se zapnutou automatickou aktualizací.

Opět bezpečnostní problém skrze aktualizace. Tentokrát se týká prohlížeče Opera Software. V nedávné době došlo k odcizení expirovaného podepisovacího klíče, který byl použit k podepsání falešné aktualizace obsahující malware (šlo o variantu kódu Zeus, který zamyká počítač a za odblokování požaduje „výpalné“ ve výši 300 USD). K distribuci došlo dne 19. června 2013 a týkala se verzí 01.00 až 01.36. Dle oznámení firmy měl incident velmi omezený dopad a týkal se jen několika tisíc uživatelů. Bezpečnostní experti ale upozorňují, že celý případ provází otazníky: třeba jak může software akceptovat prošlý (neplatný) certifikát? Aneb k čemu takováto certifikace vlastně je a co vůbec ověřuje? A dále: jaký mechanismus distribuce aktualizací útočníci použili?

Mobilní bezpečnost představuje výzvu. Plných 79 procent firem zaznamenalo dle organizace Check Point v uplynulých dvanácti měsících bezpečnostní incident, v němž hrál hlavní roli mobilní hardware. Dle statistiky dovoluje 67 procent organizací mobilním zařízením připojování do pracovních sítí, dokonce 88 procent vyřizovat e-maily, 53 procent má na mobilních zařízeních zákaznická a 49 firemní data, 48 procent pak přihlašovací údaje. Navzdory tomu ale má jen 23 procent organizací pravidla pro řízení mobilních zařízení a služeb. Jako nejnebezpečnější platformu označili manažeři Android (49 procent, před rokem jen 30 procent), kterou následuje Apple, Windows Mobile a Blackberry.

Nejen obsah, ale i forma. Causa technika CIA Edwarda Snowdena, který zveřejnil informace o rozsáhlých monitorovacích programech CIA zaměřený na všechny formy elektronické komunikace, je dostatečně známá. Nebudeme se proto věnovat obecně známým faktům nebo spekulacím, ale upozorníme na jednu zajímavou skutečnost: podstatou monitorovacích programů nebylo studování obsahu komunikace, ale její formy. Jinými slovy: sledovalo se, kdo a s kým komunikoval, kdy, jak dlouho, jak často, v jaké podobě apod. To umožňovalo vytvářet přehled o „normálním stavu“ komunikace a vyhledávat odchylky, které by napovídaly, že se „něco“ děje. Ostatně, i policie přiznává, že polovina informací z odposlechů není o tom, cože v telefonech zaznělo, ale vyplývá z toho, že hovory vůbec proběhly. Aneb různé formy šifrování jsou sice pěkná věc, ale v případě komunikace skryjí jen část informace.