Konference Black Hat Europe o ochraně dat

19. 3. 2012

Sdílet

Na bezpečnostní konferenci Black Hat Europe padla řada zajímavých postřehů mapujících nejnovější trendy v ochraně dat.

V poslední době se objevují metody útoků, které počítají se sledováním zaměstnanců firemních IT oddělení, přičemž čas útoku se pak třeba naplánuje na chvíli, kdy jdou zaměstnanci po pracovní době spolu do baru.

Tvrdí to Rafal Los z Hewlett-Packard a Shane MacDougall z konzultační firmy Tactical Intelligence, podle nichž organizace relativně podceňují fyzickou bezpečnost svých systémů na úkor sofistikovanějších technických otázek.

V době, kdy jsou o lidech a jejich rodinách k dispozici mnohdy i komplexní údaje na sociálních sítích, se také velmi zjednodušuje sociální inženýrství, zaměstnance IT oddělení lze klamat, uplácet, vydírat...

SANS Insitute na konferenci zveřejnil výsledky studie, podle níž nejhůře zabezpečené jsou weby státní správy. Důvody jsou podle analýzy pochopitelné, oproti komerční sféře zde schází tlak na efektivitu, když např. špatní vývojáři nejsou vyhazováni ze zaměstnání. Weby státní správy jsou běžně zranitelné zcela rutinními útoky, jako je SQL injection nebo cross-site scripting.

Výzkumníci společností Trail of Bits a Isec Partners prezentovali výsledky studie, podle nichž je mezi mobilními platformami hlavním cílem útočníků i nadále systém Android. Pro útočníky jsou hlavní motivací přístupové údaje k bankovním účtům. Apple iOS chrání především uzavřený ekosystém aplikací, kdy je třeba za registraci v App Store mj. zaplatit. Nedá se sice říct, že by iOS byl zcela bezpečný, ale útočníkům se v současnosti útoky zřejmě nevyplácejí; tedy vyjma telefonů, které těmto hrozbám otevřeli samotní uživatelé, když provedli „odemčení“ (jailbreaking), a tím si otevřeli cestu i k aplikacím, které Apple v rámci svého ekosystému nemá pod kontrolou.

bitcoin školení listopad 24

Odborník na kryptografie Whitfield Diffie se v keynote na Black Hat Europe vyjádřil skepticky k možnosti, že by se podařilo vyvíjet kód obsahující méně bezpečnostních zranitelností. Je to podle něj prostě příliš drahé. Chyby typu přetečení zásobníku jsou navíc „podporovány“ už de facto na úrovni dnes používaných programovacích jazyků. Za současný úspěch hacktivistických skupin Anonymous nebo LulzSec je tak podle Diffieho de facto odpovědný celý IT průmysl.

Steve Lord, odborník na penetrační testování ve společnosti Mandalorian Security Services, zase upozornil na bezpečnostní rizika směrovačů Mi-Fi (mobilní Wi-Fi hotspoty). Tato levná a dnes masově používaná zařízení disponují mj. i funkčností webové serveru, ovšem nemají obvykle implementovány ani základní mechanismy zabezpečení.