Bezpečnostní horor

Java hacking, VPN hacking, hacking firewallů a dokonce i hacking klíčů od hotelového pokoje. Nic už není bezpečné, soudě alespoň podle analýzy prezentací na letošních konferencích Black Hat a Defcon. Lekce pro podnikového CIO? Bojte se. Hodně se bojte.

Bezpečnostní horor


Jeden agresivní počítačový virus může vaši síť obrátit v chaos. Nevinná kamera sledující parkoviště sídla vaší firmy se může stát bránou destrukce. Útržek kódu na první pohled neškodné, desítky let staré utility databáze Microsoftu může otevřít dveře hackerům.

Znalost nejnovějších forem ohrožení bezpečnosti je první polovinou boje za to, aby se prolomení bezpečnosti vaší firmy nedostalo na první stránky místních novin. Na letošních konferencích Black Hat a Defcon v Las Vegas za tímto účelem popsali experti několik nově vznikajících ohrožení, která mohou odsát vaše intelektuální vlastnictví, odhalit korporátní tajemství nebo provést totální rozvrat vašich korporátních sítí.

Zneužití Javy ve dni nula se šíří jako oheň v divočině

Zneužití Javy ve dni nula (Java zero-day exploit) napojené na asijskou hackerskou skupinu Nitro je podle Anupa Ghoshe, výkonného ředitele společnosti Invincea, jež podniká v oblasti bezpečnostního softwaru, příběhem s největším dopadem, který se na letošním Black Hatu objevil.

Chyba v Javě umožňuje využít techniku phishingu na specifické společnosti. Stačí, když hackeři v internetovém prohlížeči prolinkují několik webů, u nichž využijí zranitelnosti v prostředí Java. Ghosh odhaduje, že aktuálně hostí škodlivé kódy tohoto typu minimálně 100 známých webů. Tyto útoky jsou zahrnuty taktéž ve velice proslulém souboru nástrojů BlackHole, který kyberzločinci používají k distribuci svých produktů.

„Zneužití Javy prochází napříč platformami. Oracle údajně o chybě věděl již od dubna, ale záplatu naplánoval až do pravidelného říjnového cyklu,“ říká Ghosh. „Počet zranitelných uživatelů je proto extrémně vysoký.“

Ghosh dodává, že někteří bezpečnostní odborníci radí lidem odinstalovat Javu. On sám s tímto přístupem nesouhlasí. „Odinstalování Javy či zákaz využívání její funkcionality nejsou těmi správnými řešeními. Začne se s Javou, a co přijde potom? Flash, JavaScript, HTML5, internetový prohlížeč, web jako takový?“

Vstup zadními vrátky síťové karty

Jedno nově objevené ohrožení souvisí také s hardwarovými produkty, které běžně využíváme. Steve Weis, spoluzakladatel bezpečnostně konzultační firmy PrivateCore, říká, že do síťové karty mohou být naprogramována zadní vrátka, jež mohou být zneužita pro přístup hackerů do sítě vaší společnosti. Tento přístup na fyzické úrovni může obejít jakákoliv bezpečnostní opatření, která máte v rovině softwaru. Experti na konferenci dokonce jmenovali specifické výrobce a modely karet, které zde ovšem nebudeme z pochopitelných bezpečnostních důvodů zmiňovat. Pro velký podnik je podle Weise řešením komplexní audit dodavatelského řetězce hardwaru.

Levný hack silně zastaralého VPN softwaru

Bezpečnostní experti již celé roky vědí o možnosti zneužití MS-CHAPv2. Tento VPN nástroj pocházející již z roku 1999 existoval dříve než dnes běžné šifrovací technologie. Má známé slabiny, nicméně i přesto zůstává nadále v provozu. Možná i proto, že za normálních okolností vyžaduje využití této zranitelnosti expertní hackerské schopnosti a intenzivní výpočetní výkon.
    Nicméně Joe Levy, ředitel pro technologie bezpečnostní firmy Solera Networks, poukazuje na to, že nástroj představený na Defconu nazvaný ChapCrack může prostřednictvím této zranitelnosti „otevřít“ citlivá data do 24 hodin, a to za pouhých 200 dolarů. No nekupte to!

Pokročilé techniky pro komplexní obcházení firewallů

Jednou z nejproblematičtějších oblastí moderního hackingu je pokročilá technika obcházení bezpečnosti (AET). „Technicky nejde o nové zneužití nebo útok, ale o způsob vyhnutí se existujícím bezpečnostním praktikám,“ říká Richard Benigno, viceprezident Stonesoft Americas, společnosti zaměřené na bezpečnost sítí.

Při použití AET útočník svůj útok rozdělí na několik fragmentů, obejde firewall a poté znovu poskládá kód pro započetí útoku. Podle Benigna je tato technika raritní, neboť hacker musí napsat komplexní kód určený pro specifický útok. Nicméně riziko tohoto typu reálně existuje a postupně roste. Jeden nástroj představený na Black Hatu kupříkladu obsahuje hned 150 způsobů, jak obejít firewally webových aplikací.

Sociální inženýrství ukradne data v minutách

Na Defconu byla Chrisem Hadnagym, který vede web Social-Engineer.org, zorganizována akce, v níž soutěžící volal do podniku, přičemž tvrdil, že je z IT oddělení. Volající si vymyslel příběh o tom, jak je jako zaměstnanec IT na narozeninové párty svého syna, ale potřebuje si přes víkend dodělat nějakou práci. Po deseti minutách soutěžící zjistil o firmě spoustu zajímavých věcí, třeba kdo pro ni odváží odpad či jaký operační systém společnost používá. Zaměstnanec organizace, kterému bylo voláno, dokonce navštívil fiktivní stránky společnosti.

„Šlo pouze o cvičení. Ale podobné útoky dělají škodící sociální inženýři, kteří získávají informace od svých obětí,“ říká Hadnagy.

Otevření zámku hotelových dveří

Na výše uvedených akcích bylo diskutováno i bezpečnostní ohrožení, které přidělá vrásky na čele lidem v cestovním průmyslu. Podle Cheta Wisniewského, vedoucího bezpečnostního poradce v bezpečnostní společnosti Sophos, mu jeden z hackerů vyprávěl, jak využil notebook k odemčení zámků hotelových dveří. Tato osoba dále odhaduje, že se dnes používají asi 4 miliony zámků, jež se mohou stát jednoduchým cílem těchto typů vloupání, kdy je přečten dešifrovací klíč zámku stejně jako jeho firmware, načež se spustí příkaz k otevření. Vše přitom probíhá v řádu sekund. Zajímavý na celé věci je fakt, že výrobce zámků nyní chce po hotelech peníze za bezpečnostní záplatu.

Účastníci Black Hatu slyšeli také několik přednášek zaměřených na bezpečnostní selhání NFC, bezdrátového protokolu, který využívají high-endové smartphony jako Google Galaxy Nexus k finančním transakcím. Existují i spekulace o hackerech, kteří dokážou napadnout systémy kontroly letového provozu a sledovací kamery, nicméně takové dohady se pravidelně objevují každým rokem. Ještě se však neukázal nikdo, kdo by úspěšnou prezentaci takového útoku předvedl.


Úvodní foto: Fotolia © ktsdesign

Vyšlo v CIO Business World 11/2012
Časopis lze koupit se slevou 20 %





Komentáře