Jste zde
Bezpečnostní střípky VII
Únor 2014, díl 1. a 2.
Připravil Tomáš Přibyl a kolektiv
Smazaná data, která nejsou tak docela smazaná
Smažu data – a víc se o ně nemusím starat. (Samozřejmě nemáme na mysli jen „přesunutí“ soubory do složky Koš v systému Windows, ale jejich reálné smazání.) Chyba lávky! Takto zlikvidovaná data lze totiž nesmírně snadno obnovit! Uvědomte si to vždy, když dáte z ruky počítač, mobil, pevný disk či paměťovou kartu!
Začněme zjednodušeným vysvětlením toho, jakým způsobem systémy soubory odstraňují z paměťového média. Mazaný soubor totiž není fyzicky zlikvidován, ale operační systém pouze poupraví hlavičku FAT nebo NTFS. A to tak, že označí místo, kde byl původně umístěný příslušný soubor, jako prázdné. Jinými slovy: [smazaný] soubor dále fyzicky existuje na disku, jen na něj neexistuje odkaz. Z toho plyne docela jednoduchá zákonitost: dojde-li k obnovení příslušného odkazu, dojde zároveň k obnovení „smazaného“ souboru. Na disku zůstává až do víceméně náhodného přepsání jinými daty. Také z ostatních médií jako jsou paměťové karty či USB flash disky, se data dají obnovit – přestože fungují na jiném principu záznamu a mazání než pevné disky.
Ostatně, vyzkoušejte si sami: na internetu zadejte „undelete“, „undelete software“ nebo „undelete files“. Vyjedou vám desítky odkazů na „obnovovací software“, přičemž většina je zdarma. Jednoduchý na ovládání je např. program Glary Undelete – zapnete jej, zvolíte disk, kterých chcete prozkoumat a program okamžitě vypíše seznam „smazaných“ souborů s tím, jaká je šance na jejich úplnou obnovu. Následně stačí zadat Restore (Obnovit) – a smazaná data se vrací do počítače. Jak prosté...
Jedná se přitom o mnohem větší problém, než jsme ochotni si připustit. Stačí se podívat na průzkum provedený společností Disklabs, která se zabývá repasováním starého hardware. Ta získala nákupem v internetových aukcích sto pevných disků a pět desítek paměťových karet (SD karty, USB flash disky, MS a SIM karty). A výsledek? Devět z deseti médií obsahovalo alespoň nějaká využitelná data: osobní údaje, korespondenci, přihlašovací jména a hesla, fotografie...
Získávat smazaná elektronická data přitom umožňuje útoky přímé (získání hesel či přihlašovacích jmen), ale i mnohem nebezpečnější nepřímé. Útočníci se tak dostávají k informacím, které mohou použít například pro vydírání, pomlouvání, k odcizení identity...
V případě paměťových karet je dostatečně účinnou ochranou (před běžnými útočníky, o možnostech CIA nebo FBI se nebavíme) formátování. U pevných disků ale ani to nestačí: doporučuje se použít nějakou elektronickou skartovačku data (data shredder). Nabídka na internetu je dostatečně široká.
Nepředstavuje vaše lednička nebezpečí pro internet?
Proč vůbec útočníci napadají počítače? Nejen kvůli vandalismu, ale třeba i kvůli finančnímu prospěchu: třeba pro rozesílání spamu (nevyžádané elektronické pošty). Mohou posílat ohromné množství nabídek – a přitom nemusí platit nákup hardware nebo pronájem komunikační linky. Ale opravdu musí používat k rozesílání spamu jen počítače? Společnost Proofpoint detekovala tisíce „chytrých zařízení“, která byla připojena do podobné sítě vesele rozesílající nevyžádanou poštu. Šlo přitom o ledničky, set-top boxy, multimediální centra, televize nebo směrovače (routery)! Nebylo to poprvé: už v roce 2011 česká firma AdvaICT upozornila, že set-top boxy připojené k internetu jsou zapojené do podobných nelegálních aktivit. Výhoda jejich využití útočníky je nabíledni: u těchto zařízení se napadené jaksi nepředpokládá. A navíc nemají žádnou ochranu nebo bezpečnostní prvky.
Nejoblíbenější hesla: čím dál kratší, jinak stále stejná
Firma SplashData každoročně zveřejňuje žebříček nejpoužívanějších hesel na internetu. V nej nejnovějším za rok 2013 je na prvním místě obliby heslo „123456“ a na druhém „password“ (heslo). Obě hesla si přitom své pozice oproti minulému žebříčku prohodily, takže vlastně nedošlo k žádné změně. Zajímavý pak je jeden trend rostoucí popularity vyloženě slabých hesel: heslo 1234 se umístilo na 16. místě oblíbenosti, 12345 na 20. a 000000 na 25. Ani jedno z nich dříve v žebříčku nebylo. Pokud se podíváme na „Top Ten“ hesel na internetu, vypadá následovně: 123456, password, 12345678, qwerty, abc123, 123456789, 111111, 1234567, iloveyou a adobe123. Osm z deseti se oproti předchozímu roku posunulo na žebříčku obliby jen o jeden stupínek nahoru nebo dolů. Jinými slovy: nejoblíbenější hesla jsou stále stejná.
Když děti vesele nakupují bez vědomí rodičů
Firma Apple vrátí 32,5 mil. USD rodičům, jejichž děti provedli „omylem“ nákupy na internetu. Aneb rodiče dali do rukou svých ratolestí mobilní zařízení – a díky uloženým identifikačním údajům pak děti mohly vesele nakupovat na vrub svých rodičů. Jenže firma Apple uživatele neinformovala, že se v některých případech otevírá zcela automaticky okno, kterým lze uskutečňovat přímé transakce. Proto se omluvila a peníze stěžovatelům (kterých jsou desítky tisíc) vrátí. Není to poprvé, co k něčemu podobnému došlo: tříletý Jack Neal z Lindolnshire ve Velké Británii náhodně ťukal do klávesnice plus učil se zacházet s myší. Dostal se na stránky aukce eBay, kde následně provedl úspěšný nákup. A nejen nákup, ale i platbu: účet svých rodičů zatížil částkou zhruba 380 tisíc korun. Následně vysvětloval: „Koupil jsem auto.“ Majitel vozu měl naštěstí pro tento bezpečnostní incident pochopení, peníze vrátil a vozidlo nabídnul do aukce znovu.
Cesta do cloudů, nebo do záhuby?
Fenomén cloud computing obecně představuje využití počítačů bez ohledu na to, kde jsou příslušné zdroje umístěné. Základním pravidlem tak je „využívat službu a příliš se neptat“. Je to podobné jako s elektrickým proudem: také stisknete vypínač, světlo svítí, ale zdali jde o proud vyrobený v uhelné, vodní, věrné, jaderné či jiné elektrárně už nevíte. A v podstatě neexistuje možnost to zjistit.
Typicky do cloudů „uklízíme“ data. Cloudy přinášejí mnohé nové a zajímavé možnosti, které tady dosud nebyly a jsou lákavé i z hlediska šetření nákladů, zvyšování efektivity nebo zjednodušování správy a údržby. Ale pořád musíme mít na paměti, že jde o nedefinované lokality či prostor.
Cloudy jsou z mnoha úhlů pohledu přínosné, užitečné, rozšiřují naše možnosti a snižují náklady. Přednosti cloudů jsou omílané stále dokola, takže jen stručně: snížení nákladů na nákup a správu hardware, možnost koncentrace výkonu, snížení nároků na obsluhu, rozšíření služeb, platformová nezávislost...
Jenomže zároveň z bezpečnostního hlediska představují rizikovou oblast: 43 procent firem cloudy využívající s nimi mělo během uplynulých dvanácti měsíců bezpečnostní problém.
Svědčí o tom i loňský případ firmy Epsilon, která poskytuje e-mailové služby zhruba 2500 různým společnostem na celém světě a obhospodařuje stamilióny unikátních adres elektronické pošty. Nevodným nasazením cloud computingu ovšem došlo k závažnému úniku, který se týkal více než šedesáti miliónů e-mailů (u Epsilonu je mělo 75 firem). Přímé náklady na řešení incidentu byly vyčísleny částkou 225 mil. USD v případě Epsilonu a dalších 412 mil. USD u jednotlivých firem, nepřímé by mohly dosáhnout až čtyř miliard dolarů.
Pak je zapotřebí zmínit také otázku dostupnosti. Při veškeré spolehlivosti komunikačních linek jsme na ně v případě cloudů odkázáni. Každopádně je to další faktor, který se může pokazit. Nebo dokonce proti kterému je možné podniknout útok. Ostatně, to je přece podstata DoS (Denial of Service, odepření služby): obsazení přístupových cest (tedy přenosové kapacity). I když jsou obě strany v nejlepším pořádku, komunikační dálnice je mezi nimi ucpaná a není možné přenášet data.
Z výše uvedeného plyne i fakt, že při využívání cloudů pro storage si musíme velmi pečlivě vybírat dodavatele, protože tato technologie z mnoha důvodů ani nemůže být transparentní –a tak mu musíme do značné míry důvěřovat, že svoji práci odvedl, odvádí a bude odvádět kvalitně. Jsou totiž věci, které v nich z principu nelze z bezpečnostního pohledu nadefinovat a garantovat.
Co všechno leží mezi řádky
Nejde jen o to, co napíšete – ale taky o to, co nenapíšete. Aneb obrovské množství informací leží takříkajíc „mezi řádky“. Trefně to vystihl americký senátor Ron Wyden: „Když se úřady dozvědí, že jste během jednoho dne třikrát volali psychiatrovi, vědí toho o vás opravdu hodně.“ Svědčí o tom i příběh, který se stal ve Spojených státech a jehož smutným hrdinou je třetí největší maloobchodní řetězec Target. Ten provozuje zákaznické věrnostní karty a na základě nákupních zvyklostí spotřebitelům nabízí akce na míru (něco podobného dělá v Česku Tesco v rámci programu Clubcard). Jednoho dne vtrhl do obchodu na předměstí Minneapolis rozzuřený muž: jeho šestnáctiletá dcera dostala nabídku zlevněných dětských plen, výživy a kojeneckého oblečení. Pracovníci se mu omluvili s tím, že vyhodnocovací program nejspíše udělal chybu. Druhý den mu ještě volal osobně ředitel obchodu a krom další omluvu poslal květiny a bonboniéru. Uplynulo pár dní a onen muž se vrátil. Tentokrát nesl květiny a bonboniéru on. A omlouval se: „Věděli jste víc, než já. V srpnu máme termín...“ – Jeho dcera přitom nekupovala žádné podpůrné prostředky pro gravidní, těhotenskou literaturu nebo něco podobného. Prostě se změnily její spotřebitelské preference: dávala přednost jinému ovoci, chutím, značkám výrobků. A vyhodnocovací systém správně určil, cože je příčinou této změny. Mezi řádky se toho nachází opravdu hodně...
Prodloužená podpora pro bezpečnostní prvky Windows XP
Bezpečnostní událostí letošního roku bude ukončení podpory systémy Windows XP ze strany společnosti Microsoft dne 8. dubna. Pro systém, který aktuálně využívá téměř pětina počítačů na světě. Jeho životnost přitom již byla jednou prodloužena. Microsoft nyní svoji neústupnost zmírnil: podporu sice ukončí, ale jen pro vlastní operační systém – bezpečnostní programy pro XP bude podporovat do 14. července 2015. To jsou pro klientské stanice Microsoft Security Essentials a pro firmy System Center Endpoint Protection, Forefront Client Security, Forefront Endpoint Protection a Windows Intune. Ovšem pozor: výše uvedená podpora neznamená automaticky bezpečí, ale jen zvýšení pravděpodobnosti detekce některých útoků. Jsou totiž typy útoků, které se zaměřují přímo na operační systém a (zjednodušeně řečeno) kontaktu s bezpečnostním programem se tak vyhnou.
Vsadíte si na vlastní systém?
U různých průzkumů samozřejmě vždy velmi záleží na tom, jak je formulována otázka. Specialisté z GFI Software se proto administrátorů a správců sítí zeptali na rovinu a otevřeně: „Vsadili byste si peníze na to, že je Váš systém bezpečný?“ Odpověď byla v 51 procentech případů „ne“. A co Vy? Vsadili byste si?