Leden 2014, díl 1.

Připravil Tomáš Přibyl a kolektiv

Bezpečnostní událost roku 2014: Windows XP končí

Málokdy se dá v tak dynamickém oboru jako je informační bezpečnost označit předem „událost roku“. Letos to ale jde – tedy za předpokladu, že nenastane nějaká kybernetická katastrofa vpravdě obřích rozměrů. Osmého dubna totiž končí podpora operačního systému Windows XP. Programy přicházejí a odcházejí, tak proč jde v tomto případě o událost roku?

Začněme od nudné statistiky: ještě před rokem byly „ikspéčka“ na plných 25 procentech osobních počítačů na světě – tedy na každém čtvrtém. Koncem roku 2013 toto číslo kleslo pod 20 procent, ale pořád jde zhruba o každý pátý počítač na světě. A tyto by se měly počátkem dubna letošního roku ocitnout prakticky bez ochrany. Microsoft totiž přestane pro Windows XP vydávat bezpečnostní aktualizace.

Neznamená to, že by systém přestal fungovat. Znamená to něco mnohem horšího: jakmile se objeví nějaká chyba nebo zranitelnost, nebude na ni existovat oprava. A počítač tak vůči příslušnému typu útoku zůstane zranitelný. Pravděpodobnost, že se něco takového stane, je přesně sto procent. Jen v loňském roce bylo pro Windows XP vydáno zhruba padesát bezpečnostních záplat – to znamená každý týden jedna. Těžko si představit, že by počínaje letošním dubnem problémy jako mávnutím kouzelného proutku zmizely.

Právě naopak: při vší úctě k XP jde o velmi starý systém s kořeny v roce 2001. Tehdy byly zcela jiné hrozby a zcela jiná bezpečnostní rizika, než dnes. Neexistoval třeba dnes nejpopulárnější prohlížeč Chrome a do založení Facebooku zbývaly tři roky. Windows XP sice držely krok s dobou a Microsoft postupně vydával servisní balíčky (Service Pack; nejprve SP1, pak SP2 a nakonec i SP3), které výrazně vylepšovaly bezpečnostní prvky. Ale čas nelze zastavit a zajištění odpovídající úrovně bezpečnosti je u stárnoucího systému čím dál horší. Běžný uživatel to sice nevidí, ale u Windows XP je šestkrát větší pravděpodobnost úspěšného útoku viru než u novějšího Windows 8.

Útočníci navíc budou mít od letošního dubna svoji roli usnadněnou: jednotlivé operační systémy Windows totiž jsou poměrně úzce propojené, takže chyba objevená v jednom se velmi často objeví i v dalších. Útočníkům tak bude stačit sledovat nové chyby ve Windows 7 a 8 – a pak je zkoušet, zdali se nedají zneužít v XP. Minulé zkušenosti ukazují, že se to bude týkat poloviny až dvou třetin zranitelností...

Windows XP jsou zkrátka – odmysleme si nyní obchodní model nebo naše (ne)sympatie k Microsoftu – systémem bez budoucnosti. Především pak z bezpečnostního hlediska. Je ale nad slunce jasnější, že díky ohromnému rozšíření systému na celém světě o něm v souvislosti s bezpečnostní ještě uslyšíme.

Špióni z NSA sledovali své milence

Jednou z nejvýznamnějších událostí roku 2013 v oblasti informační bezpečnosti byla bezesporu „causa Snowden“: bývalý technik zveřejnil podrobnosti o rozsahu sledování osob a organizací, kterému se věnovaly Spojené státy – a zvláště NSA (National Security Agency, Národní bezpečnostní agentura). Přestože špionáž je stará jako lidstvo samo, NSA se přece jen chovala jako „utržená z řetězu“. Logicky tak přišla legislativní omezení nebo vnitřní kontroly. Z nich vyplynulo mnoho zajímavého. Například rozsáhlý interní audit zjistil, že od roku 2003 zaměstnanci NSA v nejméně dvanácti případech zneužili svých možností ke sledování milenců, milenek či rodinných příslušníků. Zneužili zkrátka dostupných technických možností a značné volnosti k tomu, aby sledovali telefonickou a e-mailovou komunikaci. V jiném odhaleném případu zase analytik NSA nechával odposlouchávat náhodná telefonní čísla v nejmenované zemi: to proto, aby si zdůvodnil výuku cizího jazyka v rámci své pracovní doby. Výše uvedené případy jsou ale jen špičkou ledovce, protože k nim došlo v době udělování nebo prodlužování bezpečnostního oprávnění: tedy v době, kdy byli příslušní pracovníci pod bedlivějším dohledem. Kolik podobných případů se asi stalo v době „normálního provozu“?

Java: ještě věští problém, než jsme si mysleli

Dle společnosti Websense obsahuje 95 procent zařízení využívajících Javu (těch je mimochodem na světě přes tři miliardy) nejméně jednu zranitelnost. Ještě divočejší je přitom informace o tom, jak dlouho k aktualizaci Javy nedošlo: plných 75 procent uživatelů používá verzi nejméně šest měsíců starou (tzn. že není chráněno proti hrozbám z posledního půl roku). Dvě třetiny uživatelů mají verze starší jednoho roku, padesát procent starší dva roky a plná čtvrtina starší, než čtyři roky! Jen pro úplnost: Websense získala statistiky ze své sítě ThreatSeeker, která obsahuje desítky miliónů zařízení.

Zradu čekejte na legitimních webech

Legitimní webové stránky stejně jako stránky podbízené v placených odkazech a inzerátech jsou mnohem pravděpodobnějším zdrojem infekce, než weby „stínové“. Tedy než ty, které (typicky) obsahují pornografický obsah, nabídku téměř pravých medikamentů nebo nelegální software. Konstatuje to Cisco 2013 Annual Security Report a svá tvrzení dokládá čísly: podle nich je 21krát vyšší pravděpodobnost setkání se škodlivým kódem na legitimních prodejních stránkách ve srovnání se „stínovými weby“ a dokonce 182krát vyšší pravděpodobnost, než v případě pornografického obsahu. Nejvíce malware je přitom na „americkém internetu“ (celosvětově cca třetina), Rusko představuje s deseti procenty dvojku a Číně se šesti patří bronz.