Jste zde
Bezpečnostní střípky XXII
Listopad 2014, díl 2. a poslední
Připravil Tomáš Přibyl a kolektiv
Šifrování skutečně funguje
„Šifrujte, šifrujte, šifrujte,“ hrne se na nás ze všech stran. Potřebu šifrování všichni samozřejmě chápeme, ale často zůstává nevyřčená otázka jeho reálné funkčnosti. Protože o ní se přesvědčit lze až ve chvíli, kdy skutečně „jde do tuhého“.
Historie nám ovšem přináší celou řadu příběhů a případů, které dokládají, že šifrování skutečně funguje – často bohužel v kontextu ochrany zločinců, kteří už této technologii přišli na chuť. Šifrování tak dozajista bude velebit jistý Rohan James Wyllie (39) z Austrálie, který se „bavil“ velmi prazvláštním způsobem: v bytě, který sdílel s ještě jedním mužem a dvěma ženami rozmístil sofistikovanou síť špehýrek a špionážních minikamer a věnoval se intenzivnímu pozorování svých spolubydlících ve chvílích intimních a nejintimnějších. Když tito zařízení odhalili, přivolali policii.
Soud sice Wyllieho shledal vinným, ale mohl mu udělit pouze podmíněný trest: policii se totiž nepodařilo prokázat, že by svůj šmírovací systém skutečně použil. Všechny dráty od kamer i další stopy sice vedly k jeho počítači, ale data na něm byla bezezbytku zašifrovaná – a počítač nebyl v okamžiku příchodu policie ke kamerovému systému připojený. Wyllie heslo odmítl prozradit, takže soudce musel vycházet z presumpce neviny a uložil mu pouze dvouletý ochranný dohled.
Dalším výtečníkem, kterého šifrování pravděpodobně uchránilo od pobytu „v chládku“ byl jistý brazilský bankéř. Ten byl podezřelý z praní špinavých peněz, ovšem s obsahem jeho pěti šifrovaných pevných disků, které byly považovány za klíčový důkaz, si místní policie nedokázala poradit. Předala je proto americké FBI: ani ta ovšem po dvanáctiměsíčním (!) úsilí nebyla informace schopná dešifrovat. Jistě, dá se namítnout, že FBI mohla blafovat a přístup k datům získala: v takovém případě by ale pravděpodobně svým brazilským kolegům dešifrovaná data předala a přidala nějaký jednoduchý, leč nezpochybnitelný příběh. Třeba o nevhodně uloženém či zvoleném hesle. Leda, že by blafovala na druhou...
Velká Británie uvádí, že dnes má její policie v rukou několik set počítačů osob podezřelých z terorismu nebo pedofilních zločinů, přičemž vyšetřovatelé nejsou schopni dešifrovat data na jejich discích. Díky použití silných šifrovacích algoritmů tak čím dál více podezřelých uniká spravedlnosti, protože se schovají za tuto technologii.
Ostatně, o kvalitě (správně implementovaného) šifrování svědčí i různé pokusy vlád celého světa omezovat vývoz či dovoz šifrovacích zařízení nebo algoritmů.
Platit nebo neplatit za bezpečnost?
Statistiky zveřejněné společností Microsoft hovoří o tom, že jen 51 procent uživatelů domácích počítačů za bezpečnostní software (zpravidla Něco-Internet-Security plus letopočet) platí. Ostatní pak dávají přednost různým nástrojům zdarma. Což by samo o sobě nemuselo být na závadu, kdyby… Kdyby to oněch 49 procent dělalo správně. Uživatelé často bezpečnostní programy nešťastně kombinují, nebo se spokojí s pouhou instalací antivirové aplikace. Pak žijí s představou, že mají chráněný počítač – přitom opak je pravdou. Statistika ještě doplňuje, že „bezpečnost zdarma“ je nejpopulárnější v Číně a Asii obecně (kde je také největší množství infikovaných systémů), naproti tomu nejčastěji služeb placených aplikací využívají Evropané.
Facebook zdvojnásobil odměny za nalezení chyb
Společnost Facebook oznámila, že zdvojnásobila výši odměn, které vyplácí bezpečnostním specialistům za nalezení chyb ve svých systémech. (Podmínkou vyplacení je oznámení chyby v souladu s pravidly programu: tedy její oznámení jen a toliko společnosti Facebook.) Formálně je zdvojnásobení odměn dáno tím, že firemní vývojáři důkladně prostudovali veškeré programové kódy a odhalili v nich „všechno možné i nemožné“: externisté by toho proto moc nalézt neměli a vyšší odměna je má motivovat. Doopravdy to ale bude jinak: před několika lety vstoupila na trh s chybami a zranitelnostmi americká vláda, která je velkoryse vykupuje a následně používá pro průniky do počítačových systémů. Pro zpravodajce mají neznámé chyby cenu zlata. Facebook (stejně jako jiní vývojáři) byl nucený zvýšit odměny lovcům chyb proto, aby americké vládě mohl konkurovat. Jí vyplácené odměny se totiž pohybují až ve stovkách tisíc dolarů.
A data z cloudu jsou v… nenávratně ztracena
Dropbox je velmi populární služba umožňující odkládání souborů do cloudových úložišť – tedy od velkých serverových farem, kdy se data nacházejí „někde v internetu“. Teoreticky je to výhodné: o data se nemusíte starat, můžete k nim přistupovat odkudkoliv, s kýmkoliv je (v případě potřeby) sdílet apod. Jenže nyní díky chybě Dropboxu přišlo „menší množství“ (představit si pod tím můžeme jakékoliv číslo) zákazníků o svá data nenávratně. Chybu obsahovala funkcionalita Selective Sync, která zajišťuje synchronizaci dat lokálních a cloudových. Dle firmy šlo o starší verzi klienta, která se někdy uzavírala nebo restartovala ve chvíli, kdy uživatelé měnili nastavení. Závadný klient byl záplatovaný a distribuovaný, nikdo ho už dnes nevyužívá. Část dat se sice podařilo obnovit, ale zdaleka ne všechny. Všem poškozeným byla nabídnuta zdarma služba Dropbox Pro na rok. Což je ironické: můžete využívat další rok službu, která vás připravila o data…