Září 2014, díl 2.

Připravil Tomáš Přibyl a kolektiv

Bezpečnostní kostlivci ve skříních informatiky

V oblasti informační bezpečnosti nabývá zcela nových rozměrů jeden z Murphyho zákonů: „Zůstáváte-li klidní, zatímco ostatní ztrácejí hlavu, znamená to, že jste něco nepochopili.“ Aneb nejhorší bezpečnostní průšvih je takový, který existuje – ale o němž nemáte tušení.

Své by o tom mohl vyprávět třeba jistý David Hotchkiss, který v červenci 2011 nastoupil jako správce informační bezpečnosti na městskou kolej v San Franciscu. Předpokládal běžné administrátorské místo s obvyklými slastmi i strastmi. Jenže záhy po nástupu zjistil, že jeho předchůdci stejně jako management a uživatelé se skálopevně drželi hesla „když to funguje, nesahej na to“.

Což v informatice nebývá na škodu: naopak, občas je to nejlepší přístup. Jenomže tento laxní přístup dosáhl v místní síti obludných rozměrů. Hotchkiss zde nalezl tolik čítankových bezpečnostních přešlapů, až mu zůstával rozum stát. Nalezl na mnoha místech administrátorská i uživatelská hesla, která nikdy nikdo nezměnil. Nalezl tu desítky spokojeně vegetujících virů a dalších škodlivých kódů. Nalezl tu (pre)historické verze bezpečnostních programů, u kterých ani jejich výrobci netušili, že je někdy prodávali. Jak to bylo třeba s topologií sítě, aktualizacemi, přidělováním přístupových práv, si jistě domyslíte sami. Že se to stává, že se s něčím podobným dá při troše štěstí (smůly...) setkat i jinde? Pak vězte, že základny této sítě byly položeny v roce 1999 (!), administrátorská hesla, bezpečnostní programy a první stopy zavirování jsou z této doby!

Svého kostlivce ve skříni objevila nedávno i australská vláda. Neznámí útočníci (pravděpodobně se „státními zájmy“) se dokázali dostat a následně působit v počítačových sítích ministerského předsedy, ministerstva zahraničí či obrany a zhruba deseti dalších význačných institucí. Útočníci získali tisíce e-mailů z blíže neupřesněného časového období v posledních letech. Australská vláda se následně snažila zlehčit problém obvyklým konstatováním, že napadené systémy byly určené pouze k běžné e-mailové komunikaci, nikoliv k výměně tajných informací. Pěkné: takže podle této logiky lze úniky dat vlastně považovat za normální stav a vizitku kvalitního zabezpečení?

Největší perličkou ovšem byla skutečnost, že na kompromitaci systémů (výše uvedený výčet napovídá, že skutečně nešlo o drobný krátkodobý zádrhel) musela Australany upozornit americká CIA. Odkud a jak získala ona informace o průniku, zprávy samozřejmě neuvádí.

Hackeři napadli účet premiéra Dmitrije Medvěděva

„Odstupuji. Ruský národ nemusí trpět jen kvůli tomu, že vedení země má problémy se zdravým rozumem.“ Hackeři ovládli twitterový účet ruského premiéra Dmitrije Medvěděva a umístili na něj (krom jiného) toto poselství. Ruská vláda oznámila, že nepatřičné zprávy na Medvěděvově ruskojazyčném profilu na Twitteru, kde premiéra sleduje přes 2,5 miliónu lidí, nejsou dílem ministerského předsedy. K útoku se zatím nikdo nepřihlásil.

Síťová zařízení připomínají cedník

Tvrdí to alespoň zpráva společnost Dimension Data, která se zabývá hodnocením kvality zabezpečení síťového hardware. V loňském roce provedla 235 vyhodnocení řízení životního cyklu technických řešení (Technology Lifecycle Management) a zjištěné výsledky nyní zveřejnila. Loni specialisté společnosti Dimension Data konstatovali nebezpečnost „jen“ u 38 procent síťových zařízení (jako jsou přepínače, směrovače, brány...). Ono „jen“ totiž znamená dramatický pokles oproti roku předcházejícímu, kdy jich bylo zranitelných 73 procent. Stále to ale znamená, že čtyři z deseti síťových zařízení jsou náchylné k interním či externím útokům. Dalším zajímavým zjištěním se stalo konstatování, že 35 procent síťových zařízení dosáhlo hranice životnosti nebo jsou dokonce za ní. Hovoříme přitom o hranici životnosti z pohledu výrobců: z technického hlediska jsou sice stále funkční, ale protože nejde o zařízení podporovaná, nejsou vydávané záplaty, aktualizace a opravy. Jinými slovy: zařízení jsou zranitelná vůči všem nově objeveným chybám. Nebo je nutné je pracně překonfigurovávat a chránit s pomocí dalších prvků, což ale celou situaci jen komplikuje. A jen pro zajímavost doplňujeme, že zpráva konstatovala u každého síťového zařízení v průměru 40,7 chyb v konfiguraci!

Prodej použitých mobilů představuje riziko

I když na prodávaných mobilech smažete veškerá data, přesto nemáte záruku, že se je někomu nepodaří obnovit. A to třeba proto, že je nesmažete správně, nebo proto, že na některé úložiště zapomenete. Společnost AVAST Software nyní zakoupila dvacet použitých chytrých telefonů a z nich dokázala „vytěžit“ přes čtyřicet tisíc (!) fotografií – z nich 750 zachycovalo ne zcela oblečené ženy a dívky. Krom toho bylo v mobilech nalezeno 1000 vyhledávání na Googlu, 750 e-mailů a SMS a také jeden předvyplněný formulář se žádostí o úvěr (potenciálnímu útočníkovi by tak stačilo jen změnit v něm číslo účtu příjemce). Přitom třeba jen v USA je denně prodáno přes 80 tisíc použitých mobilních telefonů – v ČR jde řádově o tisíce.