Nebezpečný svět dnešního IT

Je na čase provést každodenní zamyšlení, jak je online svět špatný... Nebo firmy jej provozující neopatrné a lhostejné...

Nebezpečný svět dnešního IT


Podívejme se na výběr ze zpráv z uplynulých třech dnů.

Sobota. Služba s diskusemi pro uživatele systému Linuxu Ubuntu byla úspěšně napadena a útočníci získali přístup k lokálnímu souboru se jmény uživatelů, hesly a emailovými adresami. Soubor byl šifrován, ale uživatelům bylo doporučeno předpokládat, že tyto informace byly prozrazeny...

Neděle. Apple připouští, že web pro vývojáře, který není od čtvrtka dostupný, byl úspěšně napaden. A informace byly ukradeny. Pravděpodobně nějaké fyzické adresy, možná emaily a můžeme se jen modlit, aby nebyly kompromitovány digitální certifikáty, kterými vývojáři podepisují své aplikace...

Pondělí. Potvrzuje se, že miliony, možná miliardy telefonů lze zdálky ovládnout pomocí speciální SMS. Podle nového výzkumu, který bude 31. července prezentován na konferenci Black Hat security, existuje jednoduchá metoda, jak zdálky získat přístup k lokaci telefonu, SMS a dalším funkcím. Podle všeho jsou sice karty SIM chráněny šifrováním, ale po celé desetiletí obsahují některé typy SIM „drobnou“ chybu. Na určitý typ příchozí SMS odpovídají chybovým hlášením, které obsahuje hash vlastního 56bitového privátního klíče. K jeho převedení do použité podoby stačí 2 minuty výpočtů běžného osobního počítače...

V současném digitálním světě se můžeme spolehnout na jedinou věc... že naše osobní data nejsou v suchu a bezpečí. Možná jsme uživateli zkušenými a opatrnými a naše vlastní počítače jsou šifrovány, za firewally, zálohovány dvěma různými metodami na různá média. Pracujeme pod účtem bez administrátorských práv, náš souborový systém dozoruje nějaké pokročilejší řešení zabraňující „silent bit rotting.“ Systém je od „značkového výrobce“ a pravidelně aktualizován „značkovými aktualizacemi“. Antivirus je tak dobrý, a tak se na pozadí usilovně něčím zaměstnává, že se na počítači prakticky nedá pracovat v reálném čase. Před dětmi a útočníky jsou fyzicky chráněny elektrickým ohradníkem.

Ale je to všechno k něčemu? Každodenní selhání ochran obrovských společností, které si mohou dovolit používat to nejlepší zabezpečení, mají vlastní týmy až na dno certifikovaných expertů na bezpečnost, naznačují něco jiného.

Pro někoho je uklidňující myšlenka, že jeho samotný počítač nemůže být pro profesionální kyberzločince jako cíl zajímavý, zejména pokud vezme v potaz stav svého bankovní konta. Ale to nic neznamená. Většina útoků funguje na bázi automatizovaného kobercového „bombardování“ a útočnici berou vše, co jim přijde pod ruku, s tím, že se to může hodit později a celý balík informací stejně předávají třetím stranám.

Stále ještě platí, že víceméně bezpečný počítač je ten vypnutý, umístěný v zatopeném sklepním trezoru. (Doporučuje se ionizovaná voda a uzemněná vodivá vana bazénu, aby se zabránilo některým „induktivním technikám“).

Ale co z toho, pokud stále více dat migruje od bezmocných uživatelů do online serverů a technologií, které je zpřístupňují i té nejvzdálenější čínské vesnici (která má občas k dispozici lepší konektivitu, než průměrná česká korporace)? A provozovatelů serverů a služeb budou vždy preferovat kompromisní přístup k bezpečnosti, pokud tedy sami rovnou naše data nepředprodávají dalším stranám. Ale i to je stále ještě zbytečně optimistické tvrzení. Naše data jsou zapomínána na barových stoličkách, darována cizím státním agenturám výměnou na uvolněnější přístup k cizímu trhu atd...

 

Úvodní foto: © Tommi - Fotolia.com










Komentáře