Březen 2014, díl 1 a 2

Připravil Tomáš Přibyl a kolektiv

Nová kategorie škodlivých kódů: autoviry

Před deseti lety se všichni jen smáli tomu, že za dveřmi je doba, kdy bude nejčastějším důvodem k návštěvě autoservisu softwarová závada. Dnes už se nikdo nesměje.

První zpráva o škodlivých kódech, které by mohly napadnout automobily, se objevila na konci roku 2004. Tvrdila, že některé modely automobilky Toyota je možné napadnout pomocí (relativně) rozšířeného kódu Cabir: stát se tak mělo díky přenosu dat pomocí Bluetooth mezi mobilním telefonem a automobilem, který některé modely umožňovaly. Přestože Toyota podobnou možnost opakovaně popírala (tvrdila mj. že nevyužívá systém Symbian OS, ale vlastní proprietární řešení, a tudíž je vůči Cabiru imunní), legenda měla tuhý kořínek.

Vyvrátila ji až firma F-Secure, která si od automobilky půjčila jeden vůz a otestovala jej ve stíněné šachtě. Technici postupně zkoušeli několik modelů šíření Cabiru: nejprve z „cizího“ mobilu umístěného vně vozidlo, potom při synchronizaci mobilu majitele auta a nakonec se pokusili palubnímu systému přímo poslat virus. Všechny pokusy skončily stejně, vůz škodlivý kód vytrvale odmítal. Jen v některých speciálních případech docházelo k zablokování palubního počítače a výzvě pro řidiče, aby neprodleně zaparkoval na rovné ploše a zatáhl ruční brzdu. Po vypnutí a opětovnému zapnutí motoru ale bylo vše v pořádku. Mohli bychom tedy maximálně hovořit o útoku DoS (Denial of Service, odepření služby), ale ne o zavirování.

Předloni přinesla BBC reportáž o snadném otevření a nastartování automobilů BMW bez vlastnictví originálního elektronického klíče. Jen technické detaily vynechala. Americká organizace CAESS (Center for Automotive Embedded Systems Security, Centrum pro bezpečnost systémů integrovaných v automobilech) pak loni na jaře oznámila, že vytvořila kód CarShark, který se do vozidla dostává skrze CAN sběrnice (přes ně se typicky napojují diagnostické aparatury). A že kód dokáže modifikovat elektronické systémy velmi nepříjemným způsobem: brzdy nereagují, čidla nerozeznávají sílu působící na pedály, kdykoliv se dá vypnout motor... Jediný háček je v potřebě fyzického přístupu k CAN sběrnici.

CAESS ale tvrdí, že už má vypracované teoretické koncepty na ovládnutí vozidla skrze Bluetooth a mobilní telefon nebo přes CD se škodlivým kódem vložené do autorádia. A do budoucna nevylučuje i masové viry šířené z vozidla na vozidlo nebo otevření automobilu na dálku či odposlouchávání posádky.

Zdá se, že aplikace Car Total Security už klepe na dveře...

Rekordní rok. Bohužel

V roce 2013 zaznamenala nadace Risk Based Security and the Open Security Foundation při 2164 incidentech přes 823 miliónů uniklých osobních dat. Což je meziroční nárůst o jednu třetinu. Zajímavé je, že za 72 procenty případů stáli externí útočníci – a za 25 procenty vlastní zaměstnanci (u zbývající části útoků se „viníka“ zjistit nepodařilo). Smutným rekordmanem je Kalifornie, odkud firmy nahlásily únik 370 miliónů záznamů (jinak celkově Spojené státy mají podíl 45,5 procenta na útocích a 66,5 procenta na uniklých datech). Na druhém místě je Jižní Korea, která si tuto pozici vydobyla díky jednomu výraznému incidentu s únikem 140 miliónů osobních záznamů.

O data je zájem, a tak se kradou

Tady unikla soukromá data o miliónu osob, tady o deseti miliónech, tady o padesáti miliónech. Únik databáze čítající 27 tisíc hlav se tak v tomto kvantu snadno ztratí coby bezvýznamný. Přesto ale za pozornost stojí: nejen proto, že šlo o klienty britské banky Barclays. A nejen proto, že databáze byla skutečnou bonanzou dat: obsahovala nejen relativně obvyklá jména, adresy, data narození nebo čísla kreditních karet, ale také detaily o minulých příjmech, rozbory osobností, analýzu ochoty jít do rizika, finanční cíle, zdravotní stav nebo osobní zájmy jednotlivých klientů. Takováto data mají úplně jinou hodnotu, než jen strohá databáze. Zajímavé je, že Barclays o únik databáze sice věděla, ale neinformovala – mnohem zajímavější je, že databáze byla nabídnuta k prodeji finančním domům a poradcům ve Velké Británii. Někteří z nich pak tuto – prokazatelně kradenou – databázi skutečně zakoupili, a to za nemalou cenu: každý kompletní záznam klienta přišel na 50 liber! Na tento obchod s kradenými daty se přišlo poté, co jeden z finančních poradců informaci o tom, že databázi jeho zaměstnavatel zakoupil, zveřejnil.

Zbavte se administrátorů – a máte vyhráno

Pokud se podíváte na chyby a zranitelnosti, které v loňském roce postihly produkty společnosti Microsoft, pak zjistíte, že

92 procent z nich dokážete „ošetřit“ jedinou drobnou úpravou: odstraněním administrátorských práv. Tato práva totiž potřebuje drtivá většina škodlivých kódů ke svému šíření. Pokud se podíváme na struktury zranitelných produktů z portfolia Microsoftu detailněji, pak zjistíme, že odstraněním administrátorských práv nás přestane ohrožovat 96 procent chyb v případě operačních systémů, 91 procent v případě kancelářských aplikací a dokonce sto procent (!) v případě prohlížeče Interner Explorer.

Příběhy psané Facebookem

Sociální sítě se staly nedílnou součástí kybernetického prostoru, takže jejich bezpečnostní dopady nemůžeme ignorovat. Synonymem pro sociální sítě bývá největší z nich, Facebook.

V různé podobě dnes sociální sítě používá 99 procent uživatelů a firem. Ale pozor: 38 procent správců a administrátorů tvrdí, že se jich tento fenomén netýká. Je to ovšem pověstné strkání hlavy do písku, které má za cíl vyhnout se realitě. Protože 95 procent zaměstnanců používá sociální sítě v práci – a 15 procent dokonce po celý den. (Mimochodem, podobný problém je s nástroji Instant Messaging, které používá 95 procent organizací, ale připouští to jen 31 procent IT manažerů. Statistiky jdou dle průzkumu provedeného organizací FaceTime.)

Pomiňme nyní historky typu „oběť si našla svého vraha na Facebooku“, protože zde jen došlo k nahrazení jednoho média (třeba seznamovacích rubrik v časopise) jiným (právě sociální sítí). A k podobným incidentům by docházelo, i kdyby Facebook nevznikl.

Facebook je především o lidech. A ti jsou bohužel často důvěřiví více, než by bylo zdrávo. Výzkumníci z University of British Columbia tak konstatovali poté, co se rozhodli zjistit, jak skutečně fungují „sociální boti“: automatizované programy, které se vydávají za skutečné uživatele sociálních sítí. Během osmi týdnů trvání experimentu boti odeslali 8570 žádostí o přátelství: na ně kladně reagovala více než třetina náhodně oslovených uživatelů Facebooku, celkem 3055 lidí. Test ukázal, že vyšší šanci na přijetí mezi přátele mají boti u uživatelů, kteří již mají přátel hodně. V některých případech se boti dostali na úspěšnost až 60 procent rozeslaných pozvánek. Rozšířená síť (tedy přátelé přátel) tvořila v případě sítě sociálních botů se 102 členy nakonec 1 085 785 uživatelů. Výzkumníci z této sítě získali 250 GB dat, z nichž významná část byla neveřejná.

Facebook ovšem navštěvují nejen lidé důvěřiví, ale i vyložení podvodníci. Oficiální statistiky lakonicky konstatují, že denně (!) se na účty cizích osob přihlásí 600 tisíc osob! Buď se takto pouze „pasivně“ dostávají k jinak neveřejným informacím, nebo je dokonce „aktivně“ monitorují. Oněch šest set tisíc je sice jen pověstnou kapkou v moři z celkového počtu přihlášení, ale rozhodně nejde o zanedbatelné číslo.

„Facebookový průšvih“ se nevyhnul ani zakladateli této sítě, Marku Zuckerbergovi. Zásluhou „programátorské chyby“ a „nedokumentované vlastnosti systému“ se totiž dostaly na veřejnost jeho soukromé fotografie. Inu, ve světě bezpečnostních incidentů jsme si opravdu všichni rovni.

NSA využívala kriminální síť

Edward Snowden, americký štvanec, který nám umožnil nahlédnout do tušeného i netušeného zákulisí tajných služeb, zveřejnil další porci informací. Hovoří o tom, že americká NSA (National Security Agency) neváhala využít pro svoji „práci“ i botnety, ovšem vytvořené někým jiným. Botnety jsou sítě počítačů, k nimž získali přístup útočníci a které mají možnost ovládat: používají je k rozesílání spamu, koordinovaným útokům, lámání hesel apod. NSA prý dokázala do některých botnetů proniknout a převzít nad nimi nebo jejich částí kontrolu. Od srpna 2007 tak získala přístup ke 140 tisícům počítačů, do nichž následně vložila vlastní řídicí software. Botnety vytvořené ke kriminálním aktivitám pak „ve službách státu“ používala k testování nebo přímo k útokům na další systémy. Technika přebírání řízení botnetů dostala název QUANTUMBOT a podle dostupných informací byla „vysoce úspěšná“.

Kde nechal tesař díru?

Jsou programy méně bezpečné a bezpečnější (ale nikoliv absolutně bezpečné). A je dobré vědět – alespoň orientačně – které jsou které, protože nám tato znalost umožňuje správně si volit nebo následně pečovat o příslušné aplikace. Dle studie Secunia Vulnerability Review 2014 monitorující stav zranitelností bylo v padesáti nejpopulárnějších aplikacích (sem patří internetové prohlížeče, kancelářské programy, poštovní klienti, čtečky PDF aj.) loni objeveno 1208 zranitelností. Zajímavé je, že ač má v „Top 50“ největší podíl Microsoft, který je zastoupený 33 produkty (což představuje 66 procent), na zranitelnostech měl podíl jen čtvrtinový (přesněji 24 procent, z čehož 8 procent bylo v operačních systémech a 16 procent v kancelářských aplikacích). Jen pro úplnost: v roce 2012 měly „nemicrosoftí“ aplikace podíl na zranitelnostech dokonce 86 procent.

Flash: platformově nezávislá hrozba

Už od listopadu 2013 existuje na chybu v komponentě Flash Player označovanou jako CVE-2013-5330 (týká se operačních systémů Windows, Linux a OS X) záplata. Přesto se v poslední době začaly na webu masově šířit zranitelnosti, které ji zneužívají: mnoho uživatelů záplatování podceňuje, věnuje se maximálně záplatování operačního systému nebo ho prostě rovnou ignoruje. Zranitelnost VCE-2013-5330 lze zneužít prostřednictvím SWF souboru, který je umístěný na webových stránkách: do počítače se pak dostane ve chvíli, kdy je navštíví uživatel s nezabezpečeným prohlížečem. SWF soubor se pak pokouší stáhnout z internetu spustitelný soubor se škodlivým kódem: ten sice dokáže většina antivirových aplikací detekovat, ale pokud je uživatel nemá nainstalovaná, dochází ke kompromitaci počítače. Platforma Flash je přitom útočníky čím dál oblíbenější, protože není závislá na použitém operačním systému nebo prohlížeči.