Jste zde
Bezpečnostní střípky XVI
Srpen 2014, díl 1. a 2.
Připravil Tomáš Přibyl a kolektiv
Informační bezpečnost? Jsme lajdáci...
Je to smutné konstatování, ale největším nepřítelem v informační bezpečnosti jsme sami sobě. Naše neznalost, nedbalost, bohorovnost, ignorantství... Záplava případů bezpečnostních incidentů, ke kterým vůbec nemuselo dojít, kdyby byla respektována ta nejzákladnější bezpečnostní pravidla, je toho jen důkazem.
Potvrzuje to třeba i zpráva „Verizon Data Breach Investigations Report“, která se věnuje průnikům do systémů a únikům dat. Ta konstatuje, že 96 procent útoků bylo provedeno „velmi jednoduše“. Jinými slovy: útočníci s nimi neměli prakticky žádnou práci, neb šlo o zneužití známých chyb, základních hesel nebo špatně nasazenou bezpečnost. Neméně zajímavé je i druhé ze zprávy plynoucí číslo: celkem 97 procentům útoků šlo stejně „velmi jednoduše“ zabránit, a to bez vynaložení většího úsilí nebo finančních výdajů. Jak vidno, i v informační bezpečnosti se dá s málem udělat nesmírně mnoho.
A jaká jsou třeba ona základní pravidla, která velkoryse ignorujeme? Třeba nutnost změny základního (defaultního) hesla
Nyní máme na mysli základní hesla a nutnost jejich obměny po instalaci/nasazení systému. Organizace ElcomSoft udělala v této oblasti průzkum a její zjištění jsou přinejmenším tristní: 28 procent (!) uživatelů a administrátorů NIKDY nemění základní hesla. Dalších 22 procent je mění zřídkakdy (to už jsme dohromady na polovině uživatelů – srdce případného útočníka pochopitelně plesá). Čtvrtina pak uvedla, že hesla mění „občas“ – a zbytek „skoro vždy/vždy“. Takže: nezapomínejte měnit základní hesla! (Ale vždyť to přece každý ví...)
Situace přitom často připomíná uvažování vojáka, kterému řekli, že zítra půjde na zteč a že polovina útočících bitvu nepřežije. Nepřipustí si, že by právě on mohl být v oné obětované polovině a jen smutně pokrčí rameny: „Chudáci.“
Aneb považuje celou záležitost za problém těch druhých. Jinak si asi nelze vysvětlit, že plných 85 procent osob zodpovědných za zajištění bezpečnosti dat v malých a středních firmách považuje možnost nějakého bezpečnostního incidentu za „nepravděpodobnou“.
To je ovšem v ostrém kontrastu s konstatováním, kdy 61 procent osob ze stejné skupiny tvrdí, že případný únik dat by vážně poškodil postavení jejich organizace v očích zákazníků a partnerů a 38 procent z nich prohlašuje, že se sami dívají „skrze prsty“ na ty, kterým data unikla.
Oblaka zahalená mlhou
Od počátku příštího roku by měla platit pro poskytovatele cloudových služeb (tedy služeb, při nichž nejsou data či aplikace umístěné na lokálním počítači či serveru) v rámci Evropské unie platit nová pravidla týkající se ochrany dat. Jak ale zjistil výzkum provedený organizací Skyhigh Networks, v současné době splňuje tato pravidla jen jeden poskytovatel ze sta! Aby nebylo průzkum možné nařknout z nereprezentativního vzorku, pak podotýkáme, že byl provedený mezi sedmi tisícovkami firem! Jde přitom jak o jednoduše splnitelné požadavky (např. vynucování silných hesel nebo oznamování, kde se data fyzicky nacházejí), tak o požadavky poměrně obtížně aplikovatelné (např. detekce úniků dat a notifikace uživatelů). Skyhigh Networks dále konstatuje, že v EU je v souladu s novými podmínkami jen legislativa v jedenácti zemích. A nakonec upozorňuje, že v USA, kde je 67 procent světových cloudových služeb, nesplňuje podmínky EU žádný poskytovatel.
Miliardy ukradených údajů
Ukradeno milión přihlašovacích údajů, ukradeno deset miliónů přihlašovacích údajů, ukradeno sto miliónů přihlašovacích údajů... Titulky, nad kterými se už ani nepozastavíme. Ovšem ruský gang CyberVor šel ještě dále a dle americké firmy Hold Security, která jej sedm měsíců monitorovala, dokázal ukrást před 1,2 miliardy přihlašovacích údajů (tedy login plus heslo)! Ve skutečnosti to bylo přes 4,5 miliardy údajů, ale mnoho z nich bylo duplicitních. Gang pro své zločinné aktivity původně údaje nakupovat v podsvětí, ale počátkem letošního roku změnil taktiku a začal je aktivně krást. Na vyhledávání zranitelností využil nejmenovaný botnet (síť počítačů, kterým útočníci bez vědomí majitelů/provozovatelů zadávají úkoly) postupně napadl přes 400 tisíc webů a FTP serverů! Gang CyberVor podle všeho tvoří skupina dvanácti osob v jednom menším městě ve středním Rusku.
Hackeři jsou realisté
Organizace Thycotic provedla průzkum mezi účastníky jisté hackerské konference – a její zjištění možná nejsou příliš překvapivá, nicméně rozhodně zajímavá. Plných 86 procent hackerů uvedlo, že se nebojí jakékoliv formy postihu (z čehož mj. vyplývá, že zpřísňování legislativy se míjí účinkem a mnohem důležitější je zaměřit prevenci jiným směrem). Zároveň 88 procent realisticky připustilo, že i oni jsou bezpochyby cílem útoků. Zajímavé bylo konstatování týkající se metod jejich „práce“: čtyřicet procent hackerů by průnik do sítě začalo u kontraktora (ostatně, kontraktor byl i Edward Snowden). Třicet procent by se zaměřilo na IT administrátory. A plných 99 procent dotázaných uvedlo, že nejjednodušší techniky (jako třeba phishig nebo jiné formy sociálního inženýrství) jsou zdaleka nejefektivnější.
Nepřítel od vedlejšího stolu
Neustále hledáme útočníky z druhé strany planety – ale že největší nepřítel často sedí u vedlejšího stolu si tak nějak pořád nejsme ochotni připustit. Přitom to dokládá čím dál více reálných situací.
Třeba v posledním roce více než sedmdesát procent organizací ve zdravotnictví zaznamenalo s únikem osobních informací pacientů, přičemž nejčastějším problémem bylo porušení bezpečnostních směrnic zvědavými zaměstnanci. Co je k této nekázni vedlo? Snaha získat citlivé lékařské údaje o spolupracovnících (cca 35 procent problémů) a známých či rodinných příslušnících (dalších 27 procent).
Stejně tak představuje zajímavé čtení studie „Password 2013“ provedená firmou Lieberman Software Corporation, která se věnuje dodržování bezpečnostních politik administrátory IT. Plných 74 procent administrátorů připustilo, že někdy použilo informační systém takovým způsobem a k takovému účelu, že kdyby se to dozvěděl zaměstnavatel, na hodinu by letěli. K nejběžnějším ze zapovězených činností patří to, že 54 procent administrátorů si z internetu stahuje nelegální obsah, 48 procent si nastavuje osobní výjimky (např. v pravidlech firewallu) v rozporu s politikou organizace, 41 procent používá sdílená hesla a přihlašovací atributy, 29 procent si domů odnáší citlivá data, 25 procent nahlíží do tajných souborů, k nimž by nemělo mít přístup, 16 procent čte e-maily kolegů, 15 procent maže nebo modifikuje logy...
A ještě jedno varování, tentokrát týkající se problematiky sociálního inženýrství: to je tak obehranou písničkou, že ho jako hrozbu snad už nikdo nemůže brát vážně. A přesně z této logiky mnoho bezpečnostních politik a manažerů vychází kyberútočníci: podle statistik Check Pointu se za poslední rok stalo obětí sociálního inženýrství 48 procent organizací! Bezkonkurenčně nejvíce problémů přitom působí noví zaměstnanci (52 procent) a kontraktoři (44 procent): tedy osoby, které často mají plná přístupová práva a rozsáhlé pravomoci, ale zároveň nemají dostatečné zkušenosti a znalosti vnitropodnikových procesů (a snadněji tak sednou na lep podvodníkovi). A pokud i vy považujete sociální inženýrství za překonané, pak vězte, že dle statistik Check Pointu jej 86 procent bezpečnostních manažerů považuje za rostoucí problém.
Symantec a Kaspersky mají „stop“ do Číny
Nejlidnatější země světa zakázala nasazování produktů dvou předních světových firem Symantec a Kaspersky do vládních systémů. Obě firmy byly vyřazeny ze seznamu povolených dodavatelů pro centrální orgány. V něm je tak nyní jen pět firem nabízejících antivirové řešení (Qihoo 360, Venustech, CAJinchen, Beijing Jiangmin a Rising) – všechny jsou přitom ryze čínské. Krok nebyl oficiálně vysvětlen: pro úplnost podotýkáme, že soukromé firmy nebo místní úřady dále mohou nakupovat software dle libosti. Ovšem seznamem povolených dodavatelů se zpravidla řídí, protože tím předcházejí případným budoucím problémům s centrální správou. Na seznamu je dnes jediná povolená zahraniční firma, a to Microsoft. Ovšem i ten má problémy, jeho kanceláře byly opakovaně prohledány a nyní je proti němu vedeno blíže neupřesněné vyšetřování. A nejnovější operační systém – Windows 8 – se na dalších seznam týkající se povolených aplikací nedostal.
Dobrá rada nad zlato
Mezi lákavé cíle kybernetických útočníků patří také hráči počítačových her. Ti totiž často vypínají bezpečnostní aplikace, nebo je rovnou vůbec neinstalují. Vyměňují tak své bezpečí za co nejvyšší výkon počítačů. Organizace Webroot toto konstatovala po anketě na jednom herním festivalu, kde plných 35 procent hráčů uvedlo, že žádný bezpečnostní program nepoužívá nebo jen občas využije služeb on-line kontrolních nástrojů. Webroot vzápětí přidává pro hráče „dobrou radu“: nainstaluje si bezpečnostní program.
Nezapomínejte aktualizovat i žárovky!
Aktualizovat musíme kdeco v počítačích, tabletech či chytrých telefonech – ovšem nejnovější chyba a s ní spojená aktualizace je přece jen poněkud kuriózní. Objevila se totiž bezpečnostní chyba v žárovce (!) LED výrobce LIFX, kterou lze na dálku ovládat chytrým telefonem. Špatně nakonfigurované WiFi připojení způsobuje, že žárovku může ovládat kdokoliv, a to bez fyzického přístupu k vypínači. Na chytrou LED žárovku získal LIFX počáteční investici v září 2012 prostřednictvím serveru Kickstarter: majiteli přitom stačí, když se připojí s mobilem k jedné žárovce, vyšle požadavek na úpravu osvětlení – a jednotlivé žárovky si pak zprávu předají mezi sebou. Výrobce se brání tím, že zneužití chyby rozhodně není triviální a že nemá zprávu o tom, že by s ní pracoval někdo jiný, než objevitelé. Což asi bude pravda, přesto už byla na internetu zveřejněna aktualizace firmware... Aneb s příchodem „internetu věcí“ (Internet of Things) se řítíme do světa aplikací jako Bulb Internet Security nebo hlášek typu „světlo provedlo neplatnou operaci a bude ukončeno“.