Bezpečnostní perličky – srpen 2013

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

Kapitáne, kam s tou lodí? Studenti University of Texas v Austinu dokázali „unést“ jachtu za 80 miliónů dolarů, a to jen podvržením signálu GPS! V rámci výzkumného programu k tomu měli souhlas majitele jachty, která se nacházela ve Středozemním moři. Výzkumné zařízení vysílalo silné signály, které „přehlušily“ regulérní navigační věty: automatický řídicí systém jachty pak změnil směr a nikdo z posádky si toho nevšiml. Při pokusu odklonili jachtu od požadovaného směru o plných devadesát stupňů! - V některých zemích je prodej programovatelných vysílačů GPS signálu legální. Používají jej třeba zaměstnanci, kteří nechtějí, aby jimi používané vozidlo měl možnost zaměstnavatel sledovat. Jižní Korea pak hlásí, že jen v roce 2012 hlásilo 1016 letadel a 254 lodí incident s podvrženým signálem GPS od severního souseda. A to jsou jen hlášené (tedy odhalené) případy. Evidentně nás v blízké budoucnosti čeká velký průšvih. Pokud si ho vůbec všimneme...

Stroje, které mění obsah dokumentů. Kontrolovali jste někdy naskenovaný dokument, zdali obsahuje přesně to, co originál? Asi ne. A nejste sami, takže dlouhé roky zůstávala nepovšimnuta chyba, kdy software při komprimaci elektronických dat měnil některá čísla. Problém objevil náhodou německý výzkumník David Kriesel a týkal se podle něj dvou typů Xerox WorkCentre 7535 a 7556: jenže se záhy ukázalo, že jím trpí i nejméně typy 7530, 7328, 7346 a 7545 a Xerox ColorQube 9203, 9201 a 8700. (A podle některých informací i hardware dalších výrobců.) Problém byl sice izolovaný (jen při skenování s rozlišením 200 dpi, při písmu Ariel 7 nebo 8 bodů, při komprimaci do formátu PDF), přesto po něm pachuť zůstává. Vždyť docházelo k modifikaci záznamů při pouhém kopírování! A jak na něco podobného vůbec přijít příště? Dovedete si představit důsledky této chyby ve zdravotnictví, při digitalizaci dokumentace, v letecké dopravě, technických výkresech, smlouvách, při řešení soudních sporů?...

Hesla na zlatém podnose. Kroužek na klíče je zařízením, které umožňuje ztratit všechny klíče najednou. Proto také různé softwarové „trezory na hesla“ - přes nepopiratelný přínos tohoto nápadu - dodnes vzbuzují rozporuplné emoce. Olej do ohně nyní přilil i populární program LastPass (naštěstí jen ve verzi 2.0.20), který ukládal hesla do paměti v otevřené podobě: pokud si útočník pořídil její výpis do souboru (memory dump), získal všechna hesla jako na talíři. Což samozřejmě není úplně triviální úkon, ale stejně tak není korektní práce s hesly v otevřené podobě.

Miliardové škody z kyberzločinu. Kybernetický zločin zpravidla vnímáme jen v přímých souvislostech: nepřímé se totiž velmi špatně vyčíslují. Nyní se o to pokusila firma McAfee, která na zakázku Střediska pro strategické a mezinárodní studie (Center for Strategic and International Studies) vytvořila ekonomický model těchto ztrát. Jen pro americkou ekonomiku podle něj představují nepřímé ztráty škodu ve výši 100 miliard dolarů ročně a ztrátu 508 tisíc pracovních míst. Celosvětově pak jde o zhruba pětinásobek těchto hodnot. Je jasné, že vyčíslení nepřímých ztrát ovlivňuje zvolená metodika, proto výzkumníci použili stejné modely, které se pro jejich stanovení používají u automobilových nehod, drog nebo pracovních úrazů.

Kolik je virů? Strááášně moc. Počítat škodlivé kódy nemá valného smyslu, a to jak z důvodu nejasných metodik, tak třeba z důvodu neúplnosti různých databází (byť používaných bezpečnostními firmami). Přesto je občas dobré se u některých čísel pozastavit, neb jistou vypovídací hodnotu mají: společnost Kaspersky Lab oznámila, že denně se na světě objeví 200 tisíc nových vzorků malware! (Některé firmy hovoří o větším množství, ale ty se nejspíše snaží upoutat mediální pozornost na vysoká a atraktivní čísla.) Doplňující statistika této firmy pak uvádí, že v uplynulých dvanácti měsících se terčem úspěšného útoku staly dvě třetiny organizací! Míra napadení se přitom liší region od regionu: nejhůře dopadla Jižní Amerika (72 procent), následovaná Ruskem (71 %) a Severní Amerikou (70 %) procent, Evropa je naopak s 63 procenty lehce podprůměrná.

Čína se vrací. Jednou z bezpečnostních zpráv letošního roku bylo odhalení rozsáhlé čínské sítě věnující se průmyslové špionáži, kterou ve své zprávě popsala firma Mandiant (informovali jsme). Nejlidnatější země světa pochopitelně veškerá obvinění popřela a své aktivity na tomto poli utlumila (také jsme informovali). Nyní ale deník New York Times - útok na něj stál u počátku rozkrytí této sítě - oznámil, že Čína spustila po několika měsících klidu nové kolo útoků. Inu, informační bezpečnost je věčný hon kočky a myši.

Když nejde o život... Ve věku 35 let zemřel letos v červenci Barnaby Michael Douglas Jack: programátor a bezpečnostní specialista, který vytrvale upozorňoval na bezpečnostní nedostatky ve zdravotnických přístrojích. V říjnu 2011 předvedl bezdrátový útok na dávkovače inzulínu. Opakovaně dokázal přimět dávkovače, aby uvolnily maximální dávku 25 jednotek. A to až do okamžiku, kdy se vyprázdnil celý zásobník na 300 jednotek. Přesněji: přiměl k tomu jen druhý dávkovač, protože jeho přítel během pokusu zkolaboval na hypoglykemický šok. Tři sta jednotek je totiž pro běžného pacienta několikanásobek smrtelné dávky. V únoru 2012 zaútočil na inzulínové pumpy dokonce ze vzdálenosti jednoho sta metrů! Ve stejném roce dokázal napadnout také kardiostimulátor tak, aby dal svému majiteli smrtelnou ránu 830 voltů. „Podobné útoky by byly jako anonymní vražda. Zabiják by nepotřeboval jinou zbraň než notebook a vražda by po sobě nenechala žádné hmatatelné stopy ani vražednou zbraň,“ tvrdil Barnaby Jack. Mráz běhá po zádech, když si uvědomíme, že nám pravděpodobně ukázal svět kybernetických útoků zítřka.