Jste zde
Bezpečnostní střípky III
Prosinec 2013, díl 1.
připravil Tomáš Přibyl
Šťastné a veselé a podvodné vánoce
Útočník (lhostejno zdali ve fotbale nebo ve světě informační bezpečnosti) má vždy jednu velkou výhodu: míří na nejslabší místo systému. Dobře to vědí autoři různých škodlivých kódů nebo podvodných e-mailů: soubor „virus.exe“ asi spustí výrazně méně uživatelů, než soubor „ParisHilton.exe“. Aktivita útočníků pochopitelně reflektuje aktuální události nebo hlad po informacích.
Krátce před olympiádou tak vždy narůstá počet zpráv ve stylu „vyhráli jste vstupenky“, před polovinou února jsou masově rozesílána „přání ke svatému Valentýnovi“ apod. Kolem vánočních svátků se pak šíří nebezpečí v různých podobách: ve formě falešných novoročenek, předstírání potíží se smyšleným internetovým nákupem nebo informace o problémech s neexistující poštovní zásilkou.
Ostatně, přesně před tímto typem útoků letos opakovaně varovala Česká pošta. Ty jsou v letošním roce mimořádně zákeřné i z jednoho důvodu: jsou lokalizované. Zatímco ještě před několika lety chodily zprávy s tím, že „present for Xmas morning“ nebylo možné doručit „due to problems with United States Postal Service“ (což už samo o sobě mohlo být podezřelé), letos je situace jiná. Šíří se úhledné e-maily víceméně správně přeložené do češtiny, vybavené logem České pošty a typicky upozorňující na problém s doručením zásilky. Což text v našich končinách přece jen důvěryhodnější.
Cílem podobných útoků je přimět uživatele k instalaci škodlivého kódu na příloze (který následně monitoruje aktivity nebo např. odcizuje hesla), vyzrazení údajů ke kreditní kartě (třeba pod záminkou celního řízení se zásilkou ze zahraničí) nebo přinutit příjemce k návštěvě nějaké nebezpečné webové stránky.
Celé toto „umění klamu“ je označováno jako sociální inženýrství. Jedná se o metodu založenou na klamu, v podstatě jde o prachsprostý podvod. Jedno se jí ale nedá upřít: funguje. Sociální inženýrství je svým způsobem umění (no, spíše „umění“), jímž zavedete (obrazně řečeno) člověka tam, kam potřebujete. Zpravidla na základě nepřímých indicií jej útočník přiměje myslet, že realita je taková, jakou pro něj vytvořil útočník.
Jestli se sociálnímu inženýrství nedá něco upřít, pak fakt, že funguje. Pokud tedy budeme uvažovat jako útočníci, tak pochopitelně prosincové svátky nemůžeme přehlédnout. A propo, nejde o žádnou novinku: poprvé byly svátky vánoční využity (či spíše zneužity) k šíření škodlivého kódu už v roce 1987. Ano, čtete dobře – už před více, než čtvrtstoletím!
Příliš zvědavé aplikace pro Android
Organizace Bit9 tvrdí, že více než sto tisíc aplikací pro Android v obchodě Google Play (tedy zhruba 25 procent) představuje bezpečnostní riziko pro uživatele mobilních zařízení a firemní sítě, ke kterým se připojí. Podotýkáme, že aplikace nepředstavovaly přímé nebezpečí (např. instalací škodlivého kódu), ale že organizace Bit9 hodnotila jejich potenciální nebezpečnost: třeba to, jaká přístupová práva při instalaci vyžadovaly, jaká byla reputace vydavatele, jak často a jakým objem dat stahovaly z internetu apod. Díky tomu mělo plných 72 aplikací pro Android nejméně jedno nebezpečné nastavení. Bez zajímavosti není ani zjištění, že 42 procent aplikací využívá data lokalizace GPS: včetně spořičů obrazovky nebo tapet pozadí (!), her či nástrojů pro zvýšení výkonu hardware. Dále 31 procent aplikací přistupuje k telefonnímu adresáři nebo výpisu hovorů a 26 procent k osobním údajům jako je třeba e-mail. A plných 9 procent vyžaduje při instalaci souhlas uživatele s něčím, co by ho v konečném důsledku mohlo (dobrovolně) stát peníze. Víte, co si přesně instalujete - a co to skutečně dělá?
Stále neexistuje bezpečný internet
Není to žádné objevné zjištění, ale připomenout si ho je jistě vhodné: dle Security Threat Report 2013 vydané společností Sophos dochází k více než osmdesáti procentům útok z legitimních webových stránek (tedy ze stránek, do nichž útočníci vložili své škodlivé kódy s cílem přivlastnit si jejich reputaci). Jinými slovy: jen dvacet procent malware se nachází na webových stránkách vytvořených s cílem infikovat počítače. Takže pozor: průšvih může přijít kdykoliv a odkudkoliv, neexistuje „bezpečný“ internet! - A ještě několik dalších varování z této studie plynoucích: uplynulý rok podle ní přinesl nebývalé rozšíření škodlivých kódů na nové platformy a prostředí (z „tradičních“ Windows), což přináší nemalé výzvy.
Účet za kyberzločin: ročně 110 miliard dolarů
Každou sekundu se osmnáct dospělých stává obětí kybernetického zločinu, přičemž průměrné ztráty jsou 197 dolarů na incident. Alespoň to tvrdí zpráva Norton Cybercrime Report. A doplňuje další čísla: v uplynulých dvanácti měsících se celosvětově stalo obětí kybernetického zločinu 556 miliónů dospělých. Zajímavé jsou i trendy: zpráva konstatuje, že narůstá počet útoků vedených skrze sociální sítě a mobilní platformy. Celosvětově pak kybernetický zločin stojí uživatele (tedy bez započítání škod firemního a státního sektoru) 110 mld. dolarů.