Jste zde
Bezpečnostní střípky IV
Prosinec 2013, díl 2.
připravil Tomáš Přibyl
Kradu, kradeš, krademe – Bitcoiny
Bitcoin je název internetové virtuální měny, o které v poslední době slýcháme čím dál častěji. Buď v souvislosti s raketovým růstem její hodnoty, nebo v souvislosti s internetovou kriminalitou, kdy slouží (nejen) k platbám za nelegální zboží či služby (drogy, hacking…) či je cílem útoků (viz nedávná zpráva o odcizení Bitcoinů v hodně téměř dvou miliard korun z internetového tržiště Sheep Market).
Nebudeme se věnovat technickým aspektům Bitcoinu, které výrazně překračují možnosti tohoto textu. Pro základní představu se spokojme s tím, že jde o měnu založenou na kryptografii (šifrování), kterou není možné zfalšovat, která je zcela anonymní a zároveň je ověřována ostatními účastníky systému. Pro podrobnější lze zavítat například na: http://en.wikipedia.org/wiki/Bitcoin
Pro ilustraci možností této měny začněme raketovým tempem růstu její hodnoty: v únoru 2010 s ní byla provedena historicky první transakce, kdy bylo za dvě pizzy zaplaceno 10 tisíc Bitcoinů. Jinými slovy: hodnota jednoho Bitcoinu byla nějaké dva haléře. A dnes? Počátkem prosince 2013 ovšem jeden Bitcoin stál přes 1000 dolarů! Když se vrátíme o tři roky zpět, tak (teoreticky) jedna pizza tehdy stála pět miliónů dolarů. Tedy zhruba sto miliónů korun…
Pokud jde o měnu s vysokou hodnotou, navíc anonymní, neprovázanou s nějakou centrální autoritou, nepadělatelnou a snadno převoditelnou, poutá pochopitelně pozornost kyberzločinců. Ti tak využívají třeba botnetů (síť počítačů, které kromě právoplatného majitele slouží i útočníkům) k těžbě dalších Bitcoinů: ty jsou do oběhu uvolňovány postupně na základě přesně definovaných matematických postupů. Přitom platí, že čím více počítačů má jeden provozovatel k dispozici, tím je větší pravděpodobnost, že dokáže Bitcoiny vytěžit. Aneb sto tisíc počítačů je přece jen větší výpočetní kapacita, než osamocený domácí stroj.
A tak byl například botnet ZeroAccess v prvním čtvrtletí 2013 dvacetkrát (!) aktualizován s cílem provádět početní úkony, a tedy realizovat „těžbu“ Bitcoinů. Stejně tak se v dubnu začal šířit trojský kůň, který uživatelům komunikačního programu Skype zobrazuje odkaz se zprávou „this is my favorite picture of you“: po kliknutí na něj ovšem dochází k instalaci aplikace, která počítač zapojuje do sítě těžící Bitcoiny. Opakovaně také došlo ke zpronevěře Bitcoinů uložených ve veřejných úložištích (pro úplnost: je možné je skladovat i doma nebo na jakémkoliv jiném médiu – mobilním telefonu, USB disku apod.). Ostatně v úvodu zmíněná viz causa Sheep Market.
Bitcoiny zkrátka aktuálně táhnou.
Webové aplikace jsou jako cedník
Společnost Cenzic Inc. zveřejnila zprávu o stavu bezpečnosti v oblasti webových aplikací: nejdůležitějším konstatováním je, že 99 procent z nich (!) je zranitelných vůči útokům. Přitom průměrná aplikace obsahuje třináct zranitelností. Největší problém představují útoky XSS (Cross-Site Scripting), vůči nimž je zranitelných plných 26 procent webových aplikací. Následuje únik informací (16 procent) a problémy s autorizací plus autentizací (13 procent).
Mac OS X je plný škodlivých kódů – pro Windows
Je to starý spor: je nebezpečnější systém Windows nebo Mac OS X? Samozřejmě záleží na úhlu pohledu, podmínkách a metodice, takže ho definitivně rozetnout nelze. Nicméně zajímavý názor do něj nyní přinesla studie provedená bezpečnostní firmou Sophos, do které se zapojilo přes sto tisíc uživatelů produktů Mac OS X. Výsledky stojí za pozornost: přes dvacet procent (!) systémů bylo napadeno nejméně jedním škodlivým kódem - ovšem pozor, původně určeným pro Windows. Naproti tomu jen zhruba 2,5 procenta počítačů byla infikována kódem vytvořeným speciálně pro Mac OS X. Pro úplnost podotýkáme, že škodlivý kód napsaný pro Windows je na Mac OS X neškodný (pokud Windows nejsou nainstalované jako druhý operační systém). Přesto jde o zajímavá čísla. Minimálně potvrzují to, o čem bezpečnostní specialisté už dlouho hovoří: uživatelů Mac OS X (a dalších „alternativních“ systémů) se cítí bezpečněji, tudíž se chovají nebezpečněji.
Resetujte heslo, vysajte kredit
Zatímco historicky oblíbený cíl kyberútoků - internetové bankovnictví - už dávno přešlo na dvoufaktorovou autorizaci (heslo plus hardwarový předmět, který má podobu mobilu nebo třeba generátoru hesel), taková internetová telefonie zůstává polem neoraným. Přitom přístup ke kreditu chrání často jen přihlašovací jméno a heslo. Tedy kombinace, nad kterou se dnes každý rozumný člověk už jen shovívavě pousměje. Jistě, ono to asi jinak nejde - ale uvědomme si, že takto slabým způsobem chráníme přístup k finančnímu kreditu a svým způsobem i k naší důvěryhodnosti. Že jde o zásadní bezpečnostní výzvu, potvrdila nyní společnost Skype, která byla nucena znemožnit funkcionalitu „reset hesla“. Ukázalo se totiž, že tato mohla být zneužita k únosu účtu za podmínky, kdy měl útočník k dispozici odpovídající e-mailovou adresu majitele. A to díky chybě, která umožňovala založit nový účet s e-mailovou adresou stávajícího uživatele - a jeho prostřednictvím provést reset hesla k existujícímu účtu.