Jste zde
Bezpečnostní střípky XV
Červenec 2014, díl 1 a 2
Připravil kolektiv odborníků informační bezpečnosti
První cíle elektronických útočníků: telefony
Předchůdci dnešní počítačových útočníků (hackerů) se nazývali phreakeři a věnovali se phreakingu. Phreak je slangový termín vzniklý jako spojenina slovíček phone (telefon, telefonní) a freak (vrtoch). Tímto termínem je označována komunita osob, které studují, experimentují a zneužívají telefonní linky a společnosti. Ostatně, současní hackeři se vyvinuli právě z phreakerů: když ještě neexistoval internet ani v té nejprimitivnější podobě, experimentovali právě s telefonními linkami.
V padesátých letech dvacátého století společnost AT&T uvedla první plně automatické přímé dálkové volání. Phreakeři „pracovali“ tak, že se snažili zjistit, jak systémy fungují. S tím, že v nich hledali slabá místa. Z dnešního pohledu šlo o nesmírně primitivní a mnohdy úsměvné technologie, ale ve své době představovaly špičku a malých technický zázrak. Phreakeři tak záhy pochopili, že automatické ústředny spolu komunikují pomocí tónů o různých délkách a frekvencích (ostatně, tónovou volbou byla vytáčena i telefonní čísla – jedno pípnutí byla jednička, dvě po sobě dvojka, tři trojka atd.). A pak už jim stačilo jen experimentovat s různými tóny a zjišťovat, kdy a jakým způsobem ústředny zareagují.
Zlomem – z hlediska hackerů k lepšímu, z hlediska telefonních operátorů k horšímu – se stal letopočet 1964. Do té doby byly před nezvanými hosty utajeny kódy využívané při vícefrekvenčním kódování (výše popsané způsoby platily na jednofrekvenční). Jejich rozlousknutí technikami „pokus omyl“ prakticky nemožné. Jenomže pak ve vnitrofiremním časopise Bell System Technical Journal vyšel článek se seznamem frekvencí používaných digitálními ústřednami.
Časopis byl primárně určený pro inženýry společnosti Bell System, kterým měl usnadnit práci. Jenomže, jak už to bývá, mnoho časopisů a jejich kopií se vzápětí ocitlo v rukách phreakerských skupin po celých Spojených státech. A tak zatímco dosud bylo napadání telefonních linek doménou jen zdatných jedinců, najednou se phreakingu mohl věnovat prakticky kdokoliv.
Studenti (protože phreakeři se rekrutovali právě z jejich řad) dokonce na základě „návodu“ v časopise Bell System Technical Journal začali vytvářet svá vlastní zařízení se schopností vydávat „rozkazovací tóny“. A tato zařízení se pak
rozšířila mezi veřejnost – získali je rodinní příslušníci, přátelé i komerční zájemci. Zařízení vešlo do historie jako „blue box“ (modrá skříňka), protože první odhalené a zabavené bylo právě v modrém plastovém obalu.
Může policie prohlížet obsah mobilu?
Od doby, kdy se objevily úžasné možnosti informačních technologií, řeší soudy na celém světě (tedy pokud řeší, pochopitelně) otázku: je přístup do informačního systému na úrovni domovní prohlídky nebo výpovědi? Na zdánlivě jednoduchou otázku vůbec není snadná odpověď. Protože domovní prohlídku lze nařídit, kdežto k výpovědi nelze nutit (alespoň v demokratickém světě). – Nyní všech devět členů amerického US Supreme Court (Svrchovaného soudu USA) svorně rozhodlo, že ke kontrole obsahu mobilního zařízení potřebuje policie svolení. Stalo se tak na základě dvou žalob zločinců (nikoliv obviněných), kteří byli usvědčeni na základě informací nalezených v jejich mobilních telefonech, a to v době kdy si odpykávali tresty za jiné zločiny. Podle soudu totiž neoprávněným zkoumáním mobilního zařízení dochází k porušení čtvrtého dodatku ústavy: jde o neoprávněné prohledání a zadržení. Soud v oficiálním zdůvodnění uvedl, že dnešní telefony jsou nositeli obrovského množství informací. Zatímco dřívější osobní prohlídky byly omezené na fyzické předměty a narušení soukromí tak bylo jen chvilkové, prohlídka mobilního zařízení je nepoměrně závažnější. Navíc zařízení shromažďuje více informací, než jen jediný záznam a data se dají dohledat roky dozadu, přičemž nemají souvislost se stávající aktivitou. „Nepopíráme, že naše rozhodnutí bude mít dopad na schopnost příslušných orgánů bojovat s kriminalitou. Ale soukromí má svoji cenu,“ uvedl soud.
Německá stopka americkým firmám
Čína nedávno oznámila, že výrobcům a dodavatelům IT služeb, kteří se na její trh pokusí dostat s technologií, která umožňuje neoprávněné získávání informací, zakáže na svém trhu jednou provždy působit. Není jediná: podle deníku Suddeutsche Zeitung mění také Německo podmínky veřejných kontraktů. Nově bude pro vyřazení z jednání o dodávce stačit pouhé podezření na možnost úniku dat (je tedy prosazována presumpce viny). Stejně tak budou po dodavatelích nově požadovány garance, že jakákoliv data nebudou poskytovat dále. I tady – stejně jako v případě Číny – jde o krok vůči Spojeným státům. Protože americké firmy mají ze zákona povinnost veškerá spravovaná data skladovat na americkém území (a to se týká i jejich dceřiných či jinak vlastněných či provozovaných společností). Na jedné straně se sice nepředávání dat s uchováváním na americkém území nevylučuje, na straně druhé je otázka, zdali jsou firmy něco podobného schopné zaručit. – Analytici spočítali, že pokles důvěry v americké technologické firmy po vyzrazení mnoha zákulisních informací analytikem Edwardem Snowdenem bude stát během pěti let nejméně 160 miliard dolarů. Evidentně se nemýlili.
Průmyslová špionáž: větší problém, než jsme si mysleli
Průmyslová špionáž stojí tak trochu stranou pozornosti manažerů, administrátorů a obránců počítačových sítí. Ovšem neprávem. Respektovaný institut SANS (SysAdmin, Audit, Network, Security) ji přitom zařadil mezi kybernetickými hrozbami na třetí místo.
Průmyslová špionáž (byť se jí tak pochopitelně neříkalo) je na světě odpradávna. Vždyť třeba ten, kdo se pokusil odcizit tajemství výroby benátských zrcadel, propadl hrdlem.
S nástupem elektronických dat, internetu či počítačových sítí ovšem dostala průmyslová špionáž zcela novou podobu – a i nové možnosti. Na rozdíl od masových útoků virů či pozměňování webových stránek ale zůstala jaksi stranou hlavního proudu pozornosti jak médií, tak odborníků. Je to krajně nebezpečné, ale logické: zatímco zneuznaný programátor často tvořil hypernebezpečný virus proto, aby se pomstil celému světu a aby si to onen zlý svět dobře uvědomil, vyzvědač si pochopitelně jakoukoliv publicitu nepřeje a pracuje v maximálním utajení. Ostatně, i poškozený (pokud na to, že se stal terčem útoku, vůbec přijde!) často raději mlčí, aby neztratil v očích partnerů svoji důvěryhodnost.
To je ale jen společenská stránka věci. Kybernetická průmyslová špionáž má ovšem i stránky technické. Především je nesmírně snadná. Ostatně, ne nadarmo se jedna z nejnebezpečnějších a nejrozšířenějších kategorií škodlivých kódů nazývá spyware (spy software, sledovací program). Není sice primárně orientovaná na špionáž průmyslovou, ale na špionáž jakoukoliv (tedy průmyslovou nevyjímaje). Na monitorování e-mailů, získávání hesel k internetovému bankovnictví či k přístupu do sítí apod.
Ale především nám pouhá existence spyware ukazuje na to, jak snadné je dnes „špehovat“ a získávat informace: ještě před desítkami let byla špionáž složitou hrou v terénu, dnes je možné ji provádět velmi sofistikovaně na velkou vzdálenost, z bezpečných lokalit a se zanecháváním minima stop. Navíc pokud o nějakého kybernetického „vyzvědače“ přijdete, je velmi snadné ho nahradit.
V bezpečnosti každopádně platí, že celý systém je tak silný, jak silný je jeho nejslabší článek. Nejslabší článek lze přitom nalézt mezi židlí a klávesnicí. Jeho motivace může být různá: od finanční, přes osobní (pomsta zaměstnavateli či spolupracovníkům) až třeba po iracionální důvody. Obecně se tyto metody nazývají „sociální inženýrství“ – v podstatě se jedná o manipulaci s lidmi.
Když utečou data z plastické chirurgie
Z informačního systému firmy Harley Medical Group (Velká Británie) byly zkopírovány záznamy týkající se 480 tisíc osob, které se zajímaly o plastické operace. Firma tvrdí, že nedošlo k úniku finančních nebo lékařských, ale „pouze“ osobních údajů. Jak uvedl její tiskový mluvčí: „Zjistili jsme, že neznámá osoba záměrně obešla naše bezpečnostní prvky a získala přístup k našim interním informacím.“ (Pozn.: jak se asi bezpečnostní prvky obchází nezáměrně?) Největší problém je v tom, že plastické operace bývají poměrně citlivou záležitostí, a tak i v případě „pouhého“ odcizení osobních údajů hrozí dotčeným vydírání, zneužití osobních údajů či nějaký typ podvodu, kdy jsou kontaktováni jménem nemocnice.
Změny, o kterých nikdo neví
Průzkum společnosti Netwrix odhalil, že 57 procent IT profesionálů provádí nedokumentované změny v informačních systémech: tedy takové změny, o kterých ví jen oni sami. Je to díky tomu, že jen 23 procent organizací má zavedený proces řízení a ověřování změn provedených v informačních systémech. Přitom změny provedené bez patřičné dokumentace nebo auditu způsobují výpadky provozu nebo jsou u zrodu bezpečnostních hrozeb. V anonymním průzkumu připustilo 65 procent zaměstnanců IT oddělení, že někdy udělalo změny, které v konečném důsledku způsobily pád systému. Plných 39 procent udělalo svévolně zásah, který vedl k bezpečnostnímu incidentu (ke změně se ale samozřejmě asi v důsledku vrozené skromnosti nehlásili). A 62 procent není schopno provedené změny dohledat, čímž vzniká problém v doporučených nastaveních nebo v souladu s legislativou. – Na jedné straně jde pochopitelně o tlak auditorů, kontrolorů a dodavatelů auditních řešení na tom, aby se jejich produkty začaly prodávat. Na straně druhé je ale pravdou, že alespoň jednoduchý systém kontroly změn by nasazený být měl. Jinak se informační systém stane chaotickým prostředím, ve kterém se všichni a vše ztrácí.
Antivirové aplikace pro Android jsou pod psa
Nezávislý výzkumný institut antivirové ochrany a bezpečnosti AV-Test informoval, že plné dvě třetiny antivirových aplikací nabízených pro Android nejsou kvalitní. V provedeném testu bylo odzkoušeno 41 různých řešení, ale jen sedm (tedy jen 17 procent!) z nich se dostalo v úspěšnosti nad devadesát procent. Ovšem plných osmnáct aplikací (čili téměř polovina) detekovalo méně, než čtyřicet procent škodlivých kódů. A to je opravdu slabý, velmi slabý výsledek. Jen pro úplnost: zavedení výrobci se zpravidla umístili v horní polovině žebříčku. Mezi dvanácti antivirovými řešeními, které totálně propadly (nenašly vůbec nic), byli samí „nováčci“.