Bezpečnostní perličky – říjen 2009

Obvykle tento příspěvek najdete v Technet Flash zpravodaji. Bohužel do posledního vydání, které bylo rozesíláno trochu dříve, nestihly perličky dorazit. A protože nám přijde škoda je jen tak vypustit, publikujeme je přímo na blogu.

- KFL

---- 

: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti :

• Co ukázalo deset tisíc „profláknutých“ hesel? Když se na internetu nedopatřením objevilo deset tisíc hesel ke službám Hotmail, MSN a Live.com, zajásali nejen hackeři, ale také bezpečnostní specialisté. Kde jinde by se dostali k takto rozsáhlé databázi reálně používaných hesel? A tak ji hned statisticky zpracovali. Nejčastějším heslem bylo „123456“ (ve vzorku deseti tisíc kousků se vyskytlo hned 64krát). Dále: 42 procent hesel používalo jen malá písmena, jen šest procent kombinovalo písmena a číslice. Přibližně pětina hesel měla jen šest a méně znaků, takže byla nedostatečně dlouhá. Mezi dvaceti nejpoužívanějšími hesly bylo mnoho křestních jmen, což také asi nepatří mezi nejbezpečnější chování. Na druhé straně: mezi hesly se našly i skutečné kuriozity a nejdelší mělo třicet znaků. Znělo „lafaroleratropezoooooooooooooo“.
• Outsourcing technických služeb má negativní dopady na bezpečnost. Je to nekonečný argumentační boj „pro“ a „proti“: převažují u outsourcingu pozitiva či negativa? A jak je to z pohledu informační bezpečnosti? Pochopitelně, že univerzální a jednou provždy platné rozhřešení dát nelze a je zapotřebí tuto otázku řešit případ od případu. Každopádně pro ustanovení obecného trendu může být užitečný i průzkum vypracovaný na zakázku společností VanDyke Software, do něhož se zapojilo 350 síťových administrátorů a IT manažerů. Plných 69 procent z nich je toho názoru, že outsourcování technických služeb a činností má negativní dopad na bezpečnost. Jen devět procent se domnívá, že dopad je pozitivní. A podle 22 procent nedochází k žádné změně. Ovšem pozor: toto jsou jen dojmy. Pokud se podíváme na reálná čísla těch, kteří mají s outsourcingem praktické zkušenosti, pak o negativním dopadu hovoří „jen“ padesát procent („jen“ je ve srovnání s dojmem). Pozitivní dopad zaznamenalo 24 procent a zbývajících 26 procent nevidělo posun ani k lepšímu, ani k horšímu.
• Nepříliš účinné kladivo na spammera. Jedna z historicky největších pokut dopadla na rozesílatele nevyžádané elektronické pošty. Sanford „Spamford“ Wallace byl odsouzený k zaplacení náhrady ve výši 711,2 mil. dolarů firmě Facebook, kterou (a jejíž klienty) svým jednáním opakovaně a dlouhodobě poškozoval. „Nabourával“ se do účtů klientů Facebooku, aby pak odcizené přihlašovací údaje používal k rozesílání odkazů tisícům uživatelům na „úžasné stránky“ (kde pak pochopitelně nabízel své produkty). Podotýkáme ovšem, že Wallace nemá příliš vypěstovaný respekt k právu: už dříve byl za podobné prohřešky odsouzený k pokutě 234 mil. dolarů ve prospěch serveru MySpace. A to hovoříme jen o dvou největších rozsudcích – menších (v řádu miliónů až desítek miliónů dolarů) má Wallace už několik tuctů. Právníci postižených firem se nechali slyšet, že jejich cílem nyní není ani tak získat vysouzené peníze (beztak nikdo nepočítá, že je kdy uvidí), ale dostat Wallaceho za mříže.
• Používáme málo hesel. Jedním z typů útoků proti heslům je jejich přenesení: uživatel je přiměn k tomu, aby sdělil či vytvořil heslo (třeba pod záminkou přístupu k nějakým www stránkám). Útočník přitom vychází z předpokladu, že lidé často používají v různých aplikacích právě a jen jedno heslo. Nový průzkum společnosti ElcomSoft přitom ukazuje, že tento předpoklad je celkem správný: 77 procent respondentů připustilo, že používá jedno heslo pro různé aplikace, dokumenty či weby. Neznamená to ale, že tyto téměř čtyři pětiny uživatelů používají jen jedno heslo: padesát procent respondentů používá více než deset různých hesel, 29 procent používá čtyři až deset hesel a jedenáct procent jen jedno až tři hesla. Minimálně poslední číslo ale na pováženou je, protože použití tří hesel absolutně negarantuje jakoukoliv úroveň bezpečnosti.
• Méně zranitelností, více problémů. IBM vydala zprávu o stavu informační bezpečnosti v první polovině letošního roku – a není to věru radostné čtení. Zpráva nazvaná „X-Force 2009 Mid-Year Trend and Risk Report“ mimo jiné upozorňuje, že meziroční nárůst škodlivých webových stránek představuje hrozivých 508 procent! Přitom problém už dávno není limitovaný jen na škodlivé domény nebo na nedůvěryhodné stránky: čím dál více škodlivého obsahu se agresorům daří vkládat do oblíbených webů, blogů, diskusních fór či osobních stránek. Schopnost získat k nim přístup a manipulovat s jejich obsahem je přitom důsledkem zneužití zranitelností. Zpráva dále upozorňuje, že narůstá počet útoků pomocí zranitelných PDF dokumentů: jejich počet je za první polovinu letošního roku vyšší, než za celý rok loňský! Přitom je zajímavé, že absolutní počet zranitelností má už od roku 2007 klesající tendenci: meziroční pokles byl v první polovině letošního roku osm procent. Ovšem pozor: 49 procent objevených zranitelností zůstává dlouhodobě nezáplatováno ze strany výrobců!