Blog Post: Bezpe?nostn� perli?ky ? b?ezen 2011

::p?ipravil Tomáš P?ibyl, konzultant v oblasti ICT bezpe?nosti

• Zranitelnosti: skoro polovina bez záplaty. Dle pravidelné ka?doro?ní zprávy „X-Force 2010 Trend and Risk Report“ z dílny IBM bylo v lo?ském roce zdokumentováno p?es 8000 nových zranitelností, co? p?edstavuje meziro?ní nár?st 27 procent. P?edchozí meziro?ní nár?st (2009/2010) p?itom ?inil 21 procent. (Jen pro zajímavost: zpráva je výsledkem rozsáhlého monitorování, v jeho? rámci je ka?dou sekundou zpracováno 150 tisíc bezpe?nostních událostí!) Nejhorším ?íslem je asi konstatování, ?e plných 44 procent z t?chto zranitelností z?stalo na konci roku 2010 nezáplatovaných! Zpráva dále konstatuje pokles podílu spamu na celkovém objemu e-mailové pošty o n?kolik procent: po letech trvalého r?stu je to zajímavý trend, který výzkumníci vysv?tlují tím, ?e se spamme?i za?ali zam??ovat na kvalitu namísto kvantity. Jinými slovy: u? jim ani tak nejde o vyprodukování co nejv?tšího mno?ství zpráv, jako o p?ekonání bariér (antispamových filtr?) a pokud mo?no co nejd?v?ryhodn?jší oslovení u?ivatel?.
• Škodlivý kód p?ichází (skoro) ka?dou sekundu. Po?ty malware rostou vpravd? raketovým tempem: dle zprávy spole?nosti PandaLabs se v prvním ?tvrtletí letošního roku objevilo denn? více ne? 73 tisíc nových (a staronových – v mnoha p?ípadech šlo o více ?i mén? aktualizované starší verze) škodlivých kód?. To p?edstavuje meziro?ní nár?st o 26 procent. A kdy? si k tomu ješt? uv?domíme, ?e den má 86400 sekund, tak s pravd?podobností hrani?ící s jistotou m??eme konstatovat, ?e se ješt? letos do?káme dne, který nás ka?dou sekundou „obohatí“ o nový exemplá? malware.
• „Obnova“ hesel pomocí cloud?. Cloudy jsou fenoménem a trendem dnešní doby. Mají tisíce zp?sob? vyu?ití – nov? také coby nástroje pro lámání hesel, a to díky aplikaci Passware Kit Forensic. Ta koncentruje sílu prost?edí Elastic Compute Cloud od Amazonu do oblasti obnovy hesel. Aplikace doká?e distribuovat proces a? do osmi instancí Amazon Cluster GPU. P?itom u? pou?ití jediné instance zrychluje proces obnovy hesla z MS Office 2010 jedenáctinásobn? – svazek všech osmi pak nabízí osmdesátinásobnou rychlost (co? odpovídá zhruba 30 tisíc?m kombinací za sekundu; p?esná hodnota je odvozena od rychlosti internetového p?ipojení). Passware Kit Forensic umo??ují obnovu hesla z více ne? 180 typ? soubor?. Je ka?dopádn? nabíledni, ?e cloud v daném p?ípad? m??e poslou?it stejn? dob?e p?i zapomenutém/ztraceném hesle jako p?ípadnému úto?níkovi.
• Systémy SCADA se stávají st?edem pozornosti. Jedním z vrchol? lo?ské sezóny bezpe?nostních incident? byl bezesporu škodlivý kódu Stuxnet (pro p?ipomenutí: jeho cílem byl útok na íránské odst?edivky uranu). Ten napadal automatizované pr?myslové ?ídicí systémy SCADA, jejich? bezpe?nosti d?íve nebyla v?nována prakticky ?ádná pozornost. Stuxnet ji ovšem obrátil a b?hem posledních m?síc? se objevilo nejmén? 34 nových zranitelností! P?itom ani na jeden není záplata – a i kdyby byla, p?íliš platné to nebude. Systémy SCADA (vyu?ívají se p?i jednoduchých automatizovaných opakovaných procesech) toti? nemají ?ádný záplatovací systém a zpravidla nejsou ani zapojené do sít?, nýbr? pokyny (které se ostatn? málokdy m?ní) p?ijímají z USB flash disk?. Navíc zpravidla komunikují jen skrze numerickou klávesnici, proto a? do nástupu Stuxnetu nikdo nepova?oval za d?le?ité v?novat této platform? pozornost. Kolik podobných p?ekvapení ješt? b?há po sv?t??
• Jiný kraj, jiný mrav (a zákon). Francouzská komise CNIL (Národní komise pro svobodu informací) ud?lila firm? Google pokutu ve výši jednoho sta tisíc eur za neautorizované získávání dat z otev?ených WiFi systém?. M?lo se tak stát b?hem sbírání podklad? pro aplikaci Google Maps Street View a Google Latitude. Google se brání tím, ?e data sice získával, ale stalo se tak „nedopat?ením“. Komise to ovšem vylu?uje s tím, ?e firma byla ji? v kv?tnu 2010 varována, aby ?innosti zanechala – následné kontroly ale ukázaly, ?e náprava nebyla zjednána. S tímto p?ípadem ost?e kontrastuje jiná událost z Nizozemí, kde se jistý student zneu?il otev?eného WiFi p?ipojení k tomu, aby rozesílal (?ertem mín?né) výhr??ky svým spolu?ák?m. Policii se jej ale poda?ilo vystopovat a obvinit: jednak z vyhro?ování a jednak z hackingu. Za výhr??ky byl odsouzen ke dvaceti hodinám ve?ejn? prosp?šných prací, za hacking byl osvobozen. Zákon z roku 1993 toti? hacking definuje jen jako útok proti po?íta?i, co? je dle jeho litery stroj, který m??e skladovat, zpracovávat a p?enášet data. Jenom?e napadený WiFi router data neskladuje, tudí? není dle litery zákona po?íta?em – a tudí? se na n?j paragraf o hackingu nevztahuje. Soudce sice vysloven? upozornil, ?e zákon je starý a neodpovídá sou?asné situaci, ale musel se jím ?ídit a studenta osvobodit.
• Hardwarový spyware realitou. Hardwarový spyware p?edstavuje jednu z nejzáke?n?jších zále?itostí, se kterou se lze v oblasti bezpe?nostních incident? setkat. Drobné jen n?kolik centimetr? dlouhé ud?látko, které je vlo?eno mezi po?íta? a klávesnici, je z technického hlediska zcela transparentní a a? pouhým pohledem snadno odhalitelné – kdo by ka?dý den kontroloval p?ipojení klávesnice k po?íta?i? Nejen, ?e jde o extrémn? silný nástroj pro „vnit?ního nep?ítele“, ale také pro sledování ve?ejných po?íta??. V knihovnách Wilmslow a Handford v Manchesteru byla objevena trojice takovýchto keylogger? – ne? ale dorazila p?ivolaná policie, jeden z nich zmizel (pravd?podobn? si jej stihnul nenápadn? vyzvednout „majitel“). Pou?ení? Ani ne tak, ?e ve?ejné po?íta?e (u kterých nevíme, kdo a s jakým úmyslem k nim usedal p?ed námi a kdo usedne po nás) p?edstavují extrémní nebezpe?í jako to, ?e hardwarový spyware je zkrátka realitou.

Cheryl Burke Olivia Wilde Paulina Rubio Kirsten Dunst Vanessa Minnillo