Jste zde

Domů

Bezpečnostní střípky XIII

Červen 2014, díl 1.

Připravil Tomáš Přibyl a kolektiv

Nebezpečná bezpečnost – už od výrobce

Pořídíme-li si bezpečnostní aplikaci, automaticky předpokládáme, že bude fungovat přesně tak, jak deklaruje výrobce. Paradoxní přitom je, že u jiného software si možnost selhání jaksi připouštíme. Tato slepá důvěra k dodavatelům – bohužel nutná, protože komu jinému už bychom měli věřit – se ovšem už mnohokrát vymstila.

Prakticky každý výrobce bezpečnostních řešení má v šuplíku příběhy, se kterými se příliš nechlubí. Tedy takové, na které by nejraději zapomněl – nebo které vykládá s odkazem „to se stalo někomu úplně jinému“. Zkrátka a dobře: nikdo není svatý a imunní, ale bezpečnostní průšvihy producentů bezpečnostních aplikací jsou jaksi více na očích.

Třeba Symantec, jehož řešení Norton Antivirus v roce 2006 nepotěšilo anglikánskou církev: začalo totiž detekovat jako škodlivý kód knihovnu vlitils.dll – a hned nabízelo uživateli možnost ji smazat. Jenže knihovna byla součástí regulérního programu Visual Liturgy, který používalo zhruba půl miliónu věřících. Pokud uvěřili i radě od aplikace, zbyly jim jen oči pro pláč: ta se bez klíčové knihovna stala nepoužitelnou.

Podobný lapsus se v roce 2010 povedl i společnosti McAfee, která zasáhla ještě citlivější místo světa IT: její bezpečnostní aplikace detekovala legitimní soubor ze systému Windows XP SP3 jako virus – a následně jej smazala. Systém se tím stal nepoužitelným. V americkém státě Iowa bylo důsledkem chyby v programu dokonce odstavení střediska tísňové linky 911.

Svého času se vyznamenal i Google, který spolupracuje s organizací StopBadware.org na klasifikaci webových stránek: uživatelé jsou tak o jejich (ne)bezpečnosti orientačně varování ještě před vlastním vstupem. Stačila ale drobná chybička a poslední lednový den roku 2009 začal označovat Google celý internet jako nebezpečný. Varoval dokonce i před sebou samotným: událost byla označena jako „největší falešný poplach v historii“. Problém sice trval „jen“ 45 minut, ale i tak byly zasaženy desítky miliónů návštěvníků.

Mnohem menší - ale o to pikantnější - záběr měl problém na konferenci AusCERT v Austrálii, kde společnost IBM rozdávala účastníkům USB flash disky s informačními materiály. Co čert nechtěl, tyto „flešky“ se ukázaly zavirované, a to hned dvojicí škodlivých kódů (W32/LibHack-A a W32/Agent-FWF). Ironické přitom bylo, že obsahovaly materiály o bezpečnostních projektech IBM – a že konference AusCERT je zaměřená právě na informační bezpečnost.

 

Než odhalíme útok, uplyne hodně vody

Společnosti FireEye zpracovala na základě dostupných podkladů statistiku toho, jak dlouho trvá organizacím odhalit útok proti informačnímu systému. Pokud se domníváte, že v bleskovém elektronickém světě jde o sekundy, minuty nebo maximálně hodiny, pak se šeredně mýlíte. V roce 2013 byl totiž medián od počátku útoku do okamžiku jeho odhalení přesně 229 dní! Ano, tak dlouho nikým nepozorována unikala data z organizace nebo do ní byl umožněný přístup neoprávněnému subjektu! Rekord přitom v loňském roce drží útok, který trval šest let a tři měsíce. Přesto jde o zlepšení stavu, protože o rok dříve byl medián 243 dní a v roce 2011 dokonce 416 dní. Co se ale změnilo k horšímu, je schopnost organizací odhalovat bezpečnostní incidenty: v roce 2013 jich útok vlastními silami odhalilo útok 33 procent, o rok dříve to bylo 37 procent. Ve zbývajících případech byly organizace na únik dat upozorněny externím (typicky poškozeným) subjektem.

 

Velká čínská zeď pro IT produkty a služby

Čínská lidová republika oznámila, že bude přísněji kontrolovat IT produkty a služby vstupující na její trh a že bude aktivně blokovat ty, které uzná za nevhodné. Pro příště bude podrobně analyzovat, zdali dodávané IT segmenty nepředstavují ohrožení pro národní bezpečnost a veřejný zájem (pod což se pochopitelně vejde prakticky všechno). Oznámila to Čínská státní informační kancelář, což je úřad, do jehož kompetence IT spadá. V oficiálním zdůvodnění stojí, že dlouhé roky vlády a firmy z několika málo zemí získávaly ve velkém citlivé informace a zneužívaly svého monopolu na trhu plus technologického náskoku. Kancelář dále informovala, že pokud se firma nebo dodavatel pokusí nabídnout kompromitovaný produkt, nebude smět v Číně dále působit. Ač to nebylo formálně řečeno, jde o krok namířený proti Spojeným státům: úniky informací od analytika Edwarda Snowdena totiž ukázaly, že americká NSA (National Security Agency) upravovala software i hardware od některých výrobců ještě před dodáním k zákazníkovi. Což nesmírně nebezpečná metoda, neboť takovéto modifikace jsou prakticky neodhalitelné.

 

Každá sedmá debetní karta byla kompromitována

Útok, při kterém dojde ke kompromitaci miliónů údajů k bankovním kartám, dnes už nikoho nepřekvapí. Což ale neznamená, že se nás tento problém netýká: v loňském roce totiž bylo různými úniky dat postiženo plných 14 procent všech debetních karet na světě! (Pro srovnání: o rok dříve to bylo jen pět procent.) Největší kauzou se přitom stal únik osobních údajů a informací o kreditních kartách z amerického řetězce Target. Právě kvůli medializaci jednaly v daném případě banky svižně a vydaly nové karty 84 procentům zasaženým uživatelům (jindy je v podobných případech běžné číslo pod třicet procent).

ad