Jste zde

Domů

Bezpečnostní střípky XVII

Září 2014, díl 1.

Připravil Tomáš Přibyl a kolektiv

Co prozrazuje „čtení mezi řádky?“

Věrnostní zákaznické programy nejsou v našich končinách zatím příliš rozšířené – tedy alespoň ve srovnání se západním světem. Nicméně pomalu se prosazují, přičemž představují zcela nový neprobádaný svět. Svět, z něhož si můžeme odnést nejedno ponaučení do IT bezpečnosti.

Stalo se v Minneapolis: do obchodu řetězce Target se přiřítil rozčílený pán a dožadoval se hovoru s ředitelem. „Mé dceři je šestnáct a vy jí posíláte toto,“ hodil na stůl balíček dopisů s výhodnými nabídkami těhotenského oblečení, dětského nábytku, plenek a dalšího zboží pro kojence či nastávající matky. „Studuje střední školu – tak jí nepleťte hlavu!“

Ředitel obchodu se pochopitelně za toto nedopatření omluvil. A pak ještě za několik dní dotyčnému pánovi telefonoval domů a omlouval se znovu s tím, že posílá bonboniéru a květiny.

Uplynulo několik dní a pán se objevil v obchodě znovu. Tentokrát nesl bonboniéru a květiny on. „Omlouvám se, unáhlil jsem se. Staly se věci, o kterých jsem neměl tušení. V srpnu máme termín...“

Pouhou analýzou změny chování spotřebitele totiž vyhodnocovací algoritmy řetězce Target dospěly k názoru, že dotyčná slečna očekává radostnou událost. Tým pod vedením analytika Andrewa Pola zpracovává data týkající se spotřebitelského chování za více než deset let, takže je schopen vytvořit poměrně přesné modely toho, jaké změny chování čemu předcházely nebo jaké změny následovaly.

„Zjistili jsme například souvislost mezi nákupem pleťové vody a těhotenstvím. Jistě, pleťovou vodu kupuje skoro každý – ale těhotné zkrátka více,“ vysvětluje Andrew Pole. „Stejně tak těhotné nakupují v prvních dvaceti týdnech potraviny bohatší na vápník, magnézium a zinek.“

Podotýkáme, že tak činí zcela podvědomě: tělo si prostě o některé potraviny samo řekne, má na ně „chuť“. Andrew Pole odmítá s poukazem na obchodní tajemství sdělit, jak vysokou má Target úspěšnost. „Mnohokrát se nám už stalo, že jsme někomu poslali gratulaci k prvnímu dítěti – a rodiče přitom vůbec neměli tušení, že čekají radostnou událost!“

I kriminalisté ostatně přiznávají, že obsah odposlouchávaných telefonických hovorů je jen (menší) polovinou informace. Dozvíme se z nich maximálně o kapřících, pěti na stole v českých nebo žluťoučkých kulaťoučkých. Mnohem důležitější je, kdo a komu volal, kdy, jak často, jak dlouho, odkud...

Zkrátka: když budeme používat třeba šifrovanou komunikaci nebo mobilní telefonování, skrýváme jen obsah informace. Nikoliv však formu!

 

Jsme příliš velcí optimisté?

Největší výzvou pro ty, kdo se snaží dbát na bezpečnost informačních systému, je odpověď na otázku: „Jak vlastně poznám, že došlo k bezpečnostnímu incidentu?“ Praxe totiž ukazuje, že dokud na incident nepřijdeme, tak ho prostě neřešíme (což je logické). Organizace Tripwire provedla průzkum mezi firmami, přičemž 51 procent administrátorů tvrdí, že na incident přijde typicky mezi 24 a 48 hodinami. Dalších 18 procent pak do tří dnů a 11 procent do týdne. Pomiňme nyní fakt, že i minutu po incidentu bývá často pozdě na smysluplnou reakci a připomeňme zprávu společnosti Mandiant „2014 Threat Report“. Podle ní totiž trvá odhalení incidentu v průměru 229 dní! Přitom na něj jen zhruba ve třetině případů (v roce 2012 37 procent, loni jen 33 procent) přijde sama firma: většinou k odhalení dochází na základě upozornění zvenčí. Administrátoři tak buď lžou sami sobě, svému okolí – nebo jsou přehnaně optimističtí, co se týká svých možností.

 

Nahrávání ve sprše je jen přestupek

Zaměstnankyně kravína na Kroměřížsku zjistila, že ji kolega tajně nahrával mikrokamerou při převlékání a sprchování. Událost nahlásila na policii. Podle ní se ale nejedná o trestný čin, muži tak hrozí nanejvýš pokuta 20 tisíc korun u přestupkové komise. Pro policii je případ uzavřen, pokud však přestupková komise usoudí, že se jedná skutečně o trestný čin, může přestupek vrátit. Podle organizace Bílý kruh bezpečí přitom mohlo jít o trestný čin, konkrétně přečin poškozování cizích práv nebo nebezpečného pronásledování. – Nové technologie zkrátka přinášejí nová rizika, která ještě nejsme schopni jasně zařadit.

 

Chci si zavirovat počítač!

Dobrovolně si zavirovat počítač i s vědomím všech důsledků z toho plynoucích, a ještě z toho mít radost? Že to snad ani nejde? Omyl, děje se tak poměrně často. V poslední době se tak děje v Rusku a na Ukrajině: napětí mezi oběma zeměmi je totiž nejen v reálném, ale také v kybernetickém světě. Navzájem si napadají weby, vyřazují systémy z provozu, ucpávají komunikační linky apod. Děje se tak přitom výhradně prostřednictvím dobrovolnických skupin a vlády obou zemí popírají, že by s těmito aktivitami měly cokoliv společné (to že jim nebrání, je věc jiná). Každopádně na internetu probíhá nábor uživatelů počítačů, kteří nejsou příliš technicky zdatní, ale rádi by se do „boje“ zapojili. Těm je nabízeno zavirování počítačů, které se pak stávají součástí větších útočních sítí. Jak ale upozorňuje zpráva informační služby IDG News Service, operátoři těchto sítí pak na nějaké vznešené síly z vysoka kašlou a počítače využívají jen k prachobyčejnému vydělávání peněz: rozesílání spamu, získávání výpalného, lámání hesel, generování bitcoinů apod.

ad