Počet útoků na PC bude nadále kopírovat stávající trend, ovšem výrazný nárůst zaznamenají především útoky na uživatele mobilních zařízení. Nejvíce ohrožení budou uživatele s operačním systémem Android, ale ani uživatelé ostatních platforem jako je iOS nebo Windows Phone se nebudou moci cítit o mnoho bezpečněji. Útoky vedené prostřednictvím sociálních sítí budou nadále slavit svůj úspěch.

Stále vice útoků bude vedeno již nikoliv pouze na finanční instituce a velké organizace, ale i na malé a střední podniky (Small and Medium Business, zkr. SMB). Pro průnik do systémů velkých společností bude vzhledem k jejich poměrně kvalitnímu zabezpečení stale častěji používáno sofistikovaných technik sociálního inženýrství. A SMB, které doposud stály spíše stranou zájmu organizovaného zločinu, budou nuceni se více zajímat o bezpečnost, a to pro většinu z nich bude představovat značný problém. (Mimochodem, první útoky na SMB jsme mohli zaznamenat již letos.)

Především proto, že vlastnící a manažeři těchto firem jsou stále přesvědčeni, že nejsou pro hackery a organizovaný zločin dostatečně zajímaví, a tak bezpečnost nikdy systematicky nebudovali. Bohužel až s prvními útoky si uvědomí, že se jedná o jejich přežití a začnou překotně investovat do bezpečnostních technologií. Ovšem bez zavedení odpovídajících procesů nesplní tyto technologie svůj účel a tak se dost těchto firem stane obětí rozličných útoků. To následně vyvolá poptávku po službách bezpečnostních expertů, kteří by byli schopni tuto problematiku řešit, nicméně v mnoha případech už bude pozdě.

K útokům bude mimo jiné využíváno i soukromých mobilních zařízení, na kterých nejsou mnohdy aplikovány vůbec žádné bezpečnostní politiky, a které budou v mnoha firmách využívány v rámci programu Bring Your Own Device, zkr. BYOD, od kterého se očekává, že přinese větší spokojenost na straně zaměstnanců, zvýší efektivitu práce a především sníží náklady na nákup těchto koncových zařízení. V souvislosti s nezvládnutím deprovisioningu však lze očekávat, že těch citlivých informací, které si zaměstnanci na svých zařízeních odnesou, bude podstatně vice než dřív. Kromě toho je zřejmé, že zaměstnanci budou na svá zařízení instalovat nejrůznější aplikace a spolu s nimi se na ně dostane i malware.

Pokud jde o malware pro smartphony jako takový, tak i nadále se budou objevovat na marketu aplikace, které se budou snažit uživatele okrást o jeho peníze, ale stále častěji se bude moci setkat i s malwarem, který bude cílen na konkrétní firmy a bude se snažit získat přístupové údaje, kontakty, seznam klientů, citlivé dokumenty a know-how. Tento malware bude velice obtížné odhalit, neboť bude využívat zranitelností nultého dne (zero day vulnerability) a jeho komunikace s řídícím serverem (Command and Control, zkr. C&C) se na první pohled nebude příliš lišit od běžného provozu. Pokročilá inspekce odchozích paketů a nasazení nástrojů umožňující analýzu chování síťového provozu (Network Behaviour Analysis, zkr. NBA) se tak stane nutností

Pokud jde o zcela nové hrozby, tak musíme konstatovat, že pravděpodobně zaznamenáme první útoky na NFC. Jednoduše proto, že tato technologie je poměrně nová a zdá se, že je o ní docela zájem.

Related posts:

1. Identifikace: Jaké zvolit uživatelské jméno?
2. Můžeme věřit certifikačním autoritám?
3. Filtrování webu: Jaké weby zakázat a proč?

Nejprve si ale povězme, co je ten QR kód vlastně zač a k čemu slouží. Vězte, že QR kód, plným názvem Quick Response code, je 2D kód vyvinutý společností Denso Wave, který má oproti klasickým čárovým kódům hned několik podstatných výhod.

Výhody QR kódu

Předně takový QR kód může nést mnohem více informací, a to až 4296 alfanumerických znaků nebo 7089 číslic. Dále Informace v něm uložená může být díky opravnému kódu zobrazena i v případě, že je QR kód zašpiněn nebo jinak poškozen, což je obzvlášť užitečné, pokud je umístěn na místech, kde je vystaven nepřízni počasí a dalším vlivům, které mohou zhoršit jeho čitelnost. A konečně, jeho sejmutí a dekódování proběhne velice rychle, bez ohledu na to pod jakým úhlem byl sejmut, neboť čtečka QR kódů (QR code reader) se orientuje podle čtverců umístěných v jeho rozích.

Verze QR kódu

Celkem je definováno 40 verzí QR kódů, přičemž nejmenší má velikost 21×21 modulů a největší 177×177 modulů. Modulem se v tom případě rozumí čtverec o rozměrech 4×4, 5×5 nebo 6×6 bodů. Čím větší modul je, tím rychlejší je jeho načtení a také šance, že bude spolehlivě načten i v případě poškození. Opravný kód (Error Correction Code, zkr. ECC), který se v rámci QR kódu používá, se nazývá Reed-Solomon. Rozlišují se 4 úrovně L, M, Q, H, přičemž čím klademe větší důraz na možnost správného rozpoznání QR kódu v případě jeho poškození, tím méně prostoru nám pak zbývá na vlastní informace. Úroveň L je vhodná pro prostředí, kde nehrozí poškození nebo znečištění, H zase naopak tam, kde ano.

Využití QR kódu

QR kódy můžete najít na plakátech, billboardech, v tištěných mediích, na webu, ale i na nejrůznějších výrobcích. Nejčastěji se QR kódy používají k zakódování adresy webu, na kterém se nachází popis produktu nebo služby, a kterou by uživatel musel jinak do svého smartphonu ručně přepsat. Obrovský přínos QR kódu tedy spočívá v tom, že uživateli stačí jen aktivovat čtečku QR kódu, zamířit kamerou na QR kód, stisknout tlačítko, QR čtečka oskenuje kód a dekóduje informaci, která je v QR kódu uložena. QR kód ale nemusí obsahovat jen URL, ale jakýkoliv text a ten může být třeba i zašifrovaný. To, jak bude s informací uloženou v QR kódu nakonec naloženo, záleží jen na použité QR čtečce. Mimochodem, jakou čtečku QR kódů používáte?

Rizika QR kódu

Uživatel do poslední chvíle neví, jakou informaci QR kód nese a co s ní čtečka po dekódování provede. Jsou čtečky, které např. uživatele ihned po dekódování QR kódu přesměrují na URL, které je v QR kódu zakódováno. Uživatel smartphonu tak může být snadno přesměrován na stránku se škodlivým obsahem. Dokonce se pro tento typ útoku začal používat i vlastní termín, tzv. Attaging. Možná si teď říkáte, že je totéž, jako když uživatel ručně přepíše adresu webu  do svého smartphonu.

Ano, jenže právě skutečnost, že na QR kód stačí jen namířit a není nutné nic přepisovat, se zvyšuje pravděpodobnost, že spousta uživatelů smartphonů závadný QR kód oskenuje a obětí tak bude podstatně více. Kdyby totiž bylo místo QR kódu uvedeno jen klasické URL, tak by se ho většina uživatelů do svého smartphonu nejspíš nenamáhala ručně přepisovat a danou informaci by si raději našla na webu. Můžete namítnout, že vaše čtečka QR kódů vám URL nejprve zobrazí a teprve po vašem potvrzení vás přesměruje na danou adresu. Jistě, ale pokud bude použito zkrácené URL, tak vám jeho zobrazení moc nepomůže.

Útočník může svůj QR kód umístit v podstatě kamkoliv, na billboard nebo web, na kterém se nachází reklama na nějaký důvěryhodný produkt nebo službu a nikdo nemusí pojmout ani žádné podezření. Uživatel smartphonu totiž neví, zda na billboardu, plakátu, nebo webové stránce předtím nějaký QR kód vůbec byl, anebo zda nebyl původní QR kód nahrazen QR kódem útočníka.

A nemusí si toho všimnout ani zadavatel reklamy nebo provozovatel daného webu, protože rozeznat prostým okem od sebe jednotlivé QR kódy není snadné, neboť všechny vypadají více méně stejně. Možností zneužití QR kódů je spousta. Např. v jakémkoliv médiu se může snadno objevit kód, který bude uživatele přesměrovávat na web konkurence. Věřím, že na další možné způsoby zneužití přijdete sami a nebudete váhat před nimi ostatní čtenáře varovat v diskusi pod článkem.

No related posts.

Problém je, že pokud je daná certifikační autorita (Certification Authority, zkr. CA) kompromitována, může certifikáty jejím jménem vydávat i útočník a pokud se navíc daná CA nachází na seznamu kořenových certifikačních autorit, jsou i všechny jí vydané certifikáty považovány automaticky za důvěryhodné a tedy i servery, kterým tato nebo jí podřízené CA certifikát vydaly.

Z pohledu uživatele to pak funguje tak, že v okamžiku, kdy se uživatel připojí přes HTTPS (v adresním řádku je napsáno https:// a je zobrazena ikona visacího zámku) na nějaký web, který si nechal od libovolné CA vystavit certifikát, tak se jeho internetový prohlížeč pokusí zkontrolovat atributy daného certifikátu, a pokud je vše v pořádku, nezobrazí žádnou varovnou hlášku, neboť certifikát považuje za platný. Kromě toho může prohlížeč ještě podbarvit adresu v prohlížeči modrou nebo zelenou barvou (v případě, že se jedná o EV certifikát).

Prohlížeči se však nemusí podařit certifikát vůbec ověřit, např. proto, že certifikát vydala CA, kterou prohlížeč ve svém seznamu důvěryhodných CA nemá. Je tomu tak proto, že prohlížeč obsahuje jen certifikáty těch CA, které se výrobce prohlížeče rozhodl, že bude podporovat. Uživatel si však může certifikát CA do seznamu kořenových CA přidat sám. Prostě si stáhne z webové stránky dané CA její certifikát a ručně ho pak přidá prostřednictvím dialogu ve svém prohlížeči k ostatním CA. A stejně tak může uživatel i certifikát CA, které nedůvěřuje, z tohoto seznamu odstranit a nemusí čekat, zda ho daná CA sama prohlásí za neplatný.

První, co asi každého napadne, je zda by neměly CA projít nějakým procesem certifikace. Jistě, proč ne, ale bude certifikát o tom, že daná CA splňuje ta nejpřísnější kritéria, dostatečnou zárukou? Nebude. Je třeba si uvědomit, že ať už nastavíme podmínky, za jakých může CA nabízet své služby, jakkoliv, otevírá se zde prostor pro korupci. A i kdyby tomu tak nebylo, tak certifikát nám poskytuje informaci pouze o tom, že v době certifikace byl daný subjekt plně v souladu s požadavky, které někdo stanovil. Tedy že odpovídající opatření na úrovni fyzické, logické a administrativní bezpečnosti byla v době certifikace zavedena a plně funkční.

Úroveň bezpečnosti dané CA se však bohužel může velice rychle změnit, neboť i prostředí, ve kterém CA svoje služby nabízí a poskytuje, se velice rychle mění. Stačí, když jednoho krásného dne někdo objeví novou zranitelnost systému, který CA používá a hned ji zneužije. Ale stejně tak může dojít i k selhání lidské obsluhy. Z tohoto důvodu by měl být aplikován security in depth přístup, aby když selže opatření na jedné vrstvě, tak aby byl útok zachycen na vrstvě druhé. Žádné opatření však není stoprocentní a určité riziko kompromitace dané CA zde bude existovat vždy.

Zastánci klasické ekonomie budou možná tvrdit, že jakákoliv regulace je špatná, a to že daná CA zkrachovala, je v pořádku, že je to jen důkaz toho, jak trh dobře funguje, a že je správné, že ti, co nejsou schopni nabídnout kvalitní služby, ztratí důvěru domácností a firem a zmizí v propadlišti dějin. Jsou ale případy, kdy není možné umožnit komukoliv vykonávat určitou činnost, a kdy je nějaká regulace prostě nutná, protože jedině tak lze zabránit škodám, a tohle je jeden z nich. Jak často by se ale měla úroveň bezpečnosti v dané CA kontrolovat? Kdo by měl onu kontrolu provádět? Co dělat, když bude shledán nějaký nedostatek? Měly by být vůči provinilé CA uplatňovány nějaké sankce a v jaké výši?

Related posts:

1. IT hrozby: Jaké hrozby můžeme očekávat v roce 2012

Počet nakažených webů rok od roku roste. Není výjimkou, že na mnoha webech je zobrazován obsah až od několika desítek partnerů. Na těchto webech jsou také často zobrazovány widgety, aplikace a reklama třetích stran, které tvoří obsah samotného webu. V těchto widgetech, aplikacích nebo reklamě se však může nacházet i škodlivý kód, o čemž provozovatel daného webu zpravidla neví, a který je v okamžiku, kdy uživatel zavítá na daný web spuštěn a to bez jakékoliv interakce s uživatelem. Jedná se tedy o drive-by download malware.

Útočníci by sice mohli teoreticky napadnout nějaký hodně navštěvovaný web, ale vzhledem k jeho často velice dobrému zabezpečení není tato varianta možná, a proto na to jdou jinak. Vědí totiž, že jim stačí ukrýt škodlivý kód (malware) do na první pohled zcela neškodné reklamy (advertisement), kterou zpravidla bývá nějaká pěkná flashová animace nebo hra, kterou málokdo analyzuje, a kterou může být i problém otestovat, protože škodlivý kód se může spustit, až po splnění určitých podmínek.

Útočníci se proto vydávají za zadavatele reklamy (advertisers) nebo reklamní agenturu (advertising agencies). Právě proto se tomuto škodlivému kódu říká malicious advertisement (zkr. malvertisement) a této činnosti pak zcela logicky malvertising. Každému, kdo na takový web zavítá, se reklama, pokud ji nemá blokovanou, spustí. Pak už jen záleží na tom, zda škodlivý kód, který je v reklamě ukryt, dokáže zneužít zranitelnosti systému nebo aplikace, kterou uživatel používá.

Malwaru, který se spouští již při pouhé návštěvě stránky, se uživatel může jen velice obtížně bránit. Uživatel by se měl přesto snažit udržovat svůj operační systém a aplikace aktuální, především prohlížeč internetu včetně posledních patchů a pokud možno s minimem pluginů, neboť i ty mohou obsahovat zranitelnosti, kterých může být zneužito. Dále by měl používat nějaké antimalware řešení, protože ve většině případů útočník nevyužívá nějaké zcela nové zranitelnosti (zero day vulnerability), nýbrž zranitelností, které jsou známé již delší dobu.

Netřeba snad dodávat, že by uživatel měl na internet přistupovat pod účtem, který v systému disponuje pouze omezenými právy, a tím např. účet administrator v systému Windows opravdu není. Dalším zajímavým řešením, o kterém se moc často nemluví, je spouštění prohlížeče v sandboxu. Ano, ale kolik uživatelů se výše uvedenými doporučeními opravdu řídí?

Odpovědnost by měli nést nejen provozovatelé reklamní sítě, ale i reklamní agentury a ti, co reklamu na svých stránkách zobrazují, protože jejich dobré jméno bude v takovém případě poškozeno, nehledě na to, že se mohou dostat na blacklist, což má okamžitý dopad na návštěvnost a příjmy. Útočník také může hacknout počítač nebo server, na kterém je reklama uložena. Poté mu již stačí zaměnit schválenou reklamu za reklamu se škodlivým kódem a nikdo si zpravidla ničeho nevšimne.

OTA (Online Trust Alliance) proto doporučuje ve své příručce mimo jiné ověřovat i důvěryhodnost protistrany, která obsah poskytuje. V tom však obvykle problém nebývá, neboť spousta organizací spolupracuje s jednou či několika reklamními či mediálními agenturami, které zná, a se kterými má uzavřený kontrakt. Problém daleko spíš spočívá v tom, že tyto agentury obvykle nejsou příliš dobře zabezpečeny.

A není se čemu divit, oni v podstatě jen vytvářejí a dodávají z jejich pohledu neškodný multimediální obsah a jediné riziko, kterého se obávají, že by nemusely daný obsah svému klientovi dodat včas, takže většina z nich řeší jen dostupnost (rozuměj, zálohují jako diví) a jen část z nich řeší nějak důvěrnost (rozuměj, aby se reklama nezačala šířit dřív, než má začít daná kampaň oficiálně začít), ale kdo z nich řeší integritu a neodmítnutelnost?

A co vy? Už vám snad vaše agentura dodala reklamní klip s kontrolním součtem nebo podepsaný? Že ne? A co když ta úžasná flashová animace obsahuje škodlivý kód, který jen čeká na vhodnou příležitost a pak na pozadí dělá ještě něco jiného, přijdete na to vůbec?

Poznámka: Malvertisement se může klidně nacházet i na webech s EV certifikátem. Pro útočníka je obzvlášť lákavé na takový web škodlivý kód umístit, protože vzhledem k tomu, že přenos mezi serverem a klientem je šifrován, škodlivý obsah projde skrz případné zařízení zajišťující ochranu na perimetru až na koncové zařízení uživatele.

No related posts.

Všechny servery této CA byly součástí jedné Windows domény a na všechny se dalo přihlásit pomocí stejného jména a hesla, které se navíc dalo poměrně snadno prolomit pomocí běžně dostupných nástrojů jako je např. Cain & Abel, který byl na těchto serverech nalezen, a který útočník nejspíš použil a získal tak heslo doménového administrátora a neomezený přístup na všechny servery v doméně.

Způsob, jakým se útočníkovi podařilo na tyto servery proniknout, není zatím znám, ale vzhledem k tomu, že webové servery této certifikační autority nebyly aktualizované, síť byla nevhodně segmentovaná, servery byly součástí jedné domény, byla použita stejná hesla, které šlo snadno prolomit, a na kritických serverech této CA se nacházel malware, který je normálně detekován antivirovými programy, který však na těchto serverech nebyl nainstalován, není se čemu divit.

Hacker, který hacknul certifikační autoritu DigiNotar, vydal několik set certifikátů, mimo jiné i pro Google, přes který většina uživatelů zahajuje své surfování po internetu. Nutno podotknout, že vydat certifikát pro falešný web nestačí, neboť útočník musí oběť na falešný web přesměrovat, ale to může udělat např. hacknutím DNS serveru a pozměněním příslušného záznamu. Uživatelé, kteří na těchto podvodných webech skončí, a zadají na nich své přihlašovací údaje, umožňují jejich provozovateli zcizit jejich identitu a získat tak přístup k jejich datům. V následující tabulce je uveden seznam pravděpodobně podvodně vydaných certifikátů.

Již teď můžeme prohlásit, že DigiNotar jako důvěryhodná certifikační autorita prostě skončila. Je otázka, jaký bude mít tento incident dopad na společnost Vasco Data Security International, Inc., jež tuto společnost 10. ledna 2011 koupila za 10 miliónů EUR, a která je mimochodem přímým konkurentem RSA (jejíž pověst byla nedávno též pošramocena) v oblasti autentizačních předmětů (mezi její nejznámější produkty patří např. DIGIPASS).

No related posts.

Nyní se pojďme společně zamyslet nad tím, kam všude se běžný uživatel hlásí a kolik různých uživatelských jmen a hesel je nucen si pamatovat. A nezapomínejme na to, že nejen prací je člověk živ, ale že má i nějaký soukromý život. Skutečnost je taková, že uživatel musí často zadávat heslo minimálně k těmto službám nebo prostředkům:

• PC (v práci a doma)
• mobilní telefon
• platební karta
• e-mail (zpravidla dva a více)
• sociální síť (Facebook, LinkedIn aj.)
• instant messaging, IP telefonie (ICQ, Skype apod.)
• komunitní web (každý má nějaký koníček nebo zájem)
• E-shop (zpravidla není jen jeden)
• Aukce
• internetové bankovnictví
• nejrůznější aplikace (často několik)

Těch uživatelských jmen a hesel je skutečně mnoho, je s podivem, že naprostá většina organizací tuto problematiku neřeší a spoléhá na to, že zaměstnanci budou pravidla uvedená v bezpečnostní politice dodržovat, tj. budou si vytvářet silná hesla, pravidelně je měnit a nikam si je nebudou zapisovat. Zaměstnanci však dříve či později začnou bezpečnostní politiku porušovat a pro správu svých přístupových údajů začnou používat nejrůznější řešení od těch bezpečných až po ta nejméně bezpečná.

Je otázka, jak bezpečná, použitelná a cenově dostupná ta nejrůznější SW a HW řešení pro správu hesel vlastně jsou, a zda by se jejich zavedení organizaci vyplatilo či nikoliv. Vidíte, opět se dostáváme ke známému problému bezpečnost x náklady x použitelnost. Mimochodem, jak vy sami spravujete své přihlašovací údaje?

Related posts:

1. Autentizace: mnoho hesel uživatelova smrt
2. Autentizace: politika účtů a hesel
3. Autentizace: správa hesel

Uživatel se může do svého smartphonu hlásit různými způsoby. O autentizaci pomocí gesta po nainstalování aplikace AndroidLock však nebudeme uvažovat, protože zjistit jaké gesto uživatel používá pro odemykání svého zařízení, by bylo stejně jednoduché jako v případě Android password pattern, kterým se odemyká zařízení s operačním systémem Google Android. Vzhledem k tomu, že aplikace pro iPhone pracuje na úplně stejném principu, bylo by i zde možné realizovat tzv. šmouhový útok.

Společnost Apple usiluje o to, aby její zařízení byla nejen použitelná, ale i bezpečná a tomu pak odpovídá i jejich cena. Podívejme se nyní, jakým způsobem iOS chrání data, která jsou na daném zařízení uložena. iPhone obsahuje čip, který provádí kvalitní hardwarové šifrování algoritmem AES-256. Každý soubor je zašifrován vlastním klíčem svázaným s daným zařízením. Bez znalosti šifrovacího klíče se útočník dostane jen k názvům souborů. (I to může útočníkovi někdy stačit.) Některé soubory navíc mohou být dešifrovány pouze po zadání vstupního hesla, tzv. passcode.

Aby se uživatel dostal ke svým datům, musí se nejprve úspěšně autentizovat. Budeme předpokládat, že uživatel iOS se do svého zařízení autentizuje prostřednictvím 4ciferného PINu. Dále budeme předpokládat, že na daném zařízení nebyl proveden jailbreak, ani na něm nebyla nainstalována aplikace, jejíž zranitelnosti by se dalo zneužít a konečně, že dané zařízení je uzamčené a k dispozici máme jen několik málo pokusů, které když vyčerpáme, tak se k datům nedostaneme, neboť budou nevratně smazána. Předpokládejme, že tato možnost byla aktivována.

Aby se útočník dostal k datům uživatele, musel by se fyzicky zmocnit jeho zařízení a uhádnout PIN. Z informací, které zveřejnila společnost Elcomsoft vyplývá, že na iPhonu je možné přímo volat funkci ověřující, zda bylo zadáno správné heslo, a že vzhledem k tomu, že je tato funkce volána přímo, nikoliv přes API, tak nedojde k vyčerpání počtu povolených pokusů. Přímým voláním této funkce lze vyzkoušet přibližně 4 hesla za sekundu. Prostým výpočtem (stačí jen dosadit ty správné hodnoty) zjistíme, že 4ciferný PIN by byl prolomen průměrně do 20 minut.

Je zřejmé, že 4ciferný PIN, na iOS nejběžnější metoda autentizace, neposkytuje dostatečnou ochranu, protože v případě, že se útočník daného zařízení fyzicky zmocní, je schopen prolomit toto heslo hrubou silou během několika málo minut. Prohlášení, že Elcomsoft svůj nástroj, který se k lámání používá, poskytuje jen vládním organizacím, je sice hezké, ale samotná skutečnost, že se touto cestou lze poměrně snadno dostat k citlivým datům, by měla být pro všechny dostatečným podnětem k tomu, aby pro přihlašování místo PINu používali raději komplexní hesla.

Jestliže budeme i nadále předpokládat, že na daném zařízení lze vyzkoušet 4 hesla za sekundu, dospějeme prostým výpočtem k závěru, že heslo do iOS by mělo být rozhodně delší než 4 znaky. Volba 6místného komplexního hesla, které by obsahovalo velká a malá písmena a čísla, by pro většinu uživatelů iOS mohla být dostačující, neboť prolomení takového hesla by trvalo kolem 200 let, tedy pokud by nebyla použita nějaká jiná mnohem efektivnější metoda.

Nyní si popišme způsob jak se dostat k datům uživatele, která iOS tak důkladně chrání. V zásadě máme dvě možností. Zařízení je možné připojit jako disk a zkopírovat soubor po souboru za použití Apple iTunes, k tomu je však potřeba znát heslo do zařízení (passcode) nebo mít k dispozici escrow keys. Výsledkem jsou pak dešifrované soubory, neboť k dešifrování souborů dochází on-line již při jejich kopírování. Tímto způsobem se však nemusíme dostat ke všem souborům, protože některé soubory mohou být uzamčené.

Útočník navíc zpravidla nemá přístup k počítači, se kterým si uživatel data synchronizuje, a proto bude ve většině případů muset zkopírovat zašifrovaný oddíl pomocí nějakého dd nástroje a vytvořený raw image (přesnou bitovou kopii) dešifrovat off-line. A takovým nástrojem je např. ElcomSoft iOS Acquisition Toolkit, který slouží k vytvoření přesné bitové kopie a vyextrahování hesel a šifrovacích klíčů. Tímto způsobem je možné získat přístup ke všem datům, která má uživatel uložena na svém zařízení. Tedy i k těm, která se nenachází v záloze na počítači, kde běží Apple iTunes.

Mimochodem heslo, kterým je záloha, která se vytváří automaticky při každé synchronizaci iPhonu s počítačem aplikací Apple iTunes, chráněna, lze lámat za použití nástroje Elcomsoft Phone Password Breaker. Na výkonném počítači s GPU, kde se rychlost lámání pohybuje kolem 30.000 hesel za sekundu (s uvolněním iOS verze 4 se již nepoužívá device-specific hardware key) prostým výpočtem opět dospějeme k závěru, že pokud by byla záloha chráněna 6místným komplexním heslem, došlo by k jeho prolomení do 11 dnů.

Budeme tedy předpokládat, že útočník má k dispozici jen iPhone, protože kdyby měl přístup i k počítači oběti, nemusel by PIN vůbec lámat, protože by pro dešifrování mohl použít escrow keys, které vytváří iTunes, na počítači, ke kterému bylo toto zařízení připojeno. Tuto možnost nebudeme vůbec uvažovat, protože by se jednalo spíš o útok na konkrétní osobu, neboť není tak časté, aby útočník našel/ukradl iPhone a zároveň i počítač, ke kterému se uživatel s daným zařízením připojoval. Snad jedině, že by oběť převážela vše v jednom zavazadle a byla okradena.

Dobře, máme tedy zařízení s běžícím iOS, co tedy uděláme? Zařízení vypneme a propojíme kabelem s počítačem a spustíme ElcomSoft iOS Acquisition Toolkit. V menu vybereme volbu č. 1 a poté na zařízení stiskneme a držíme tlačítko Sleep a Home, řídíme se instrukcemi na obrazovce, po chvíli uvolníme tlačítko Sleep za stálého držení tlačítka Home. Vaše zařízení by se mělo nyní nacházet v DFU (Device Firmware Upgrade) módu, ve kterém je možné s ním komunikovat.

V nabídce ElcomSoft iOS Acquisition Toolkit vybereme typ zařízení, které máme připojeno, následně proběhne kontrola, zda je na daném zařízení možné použít připravený exploit. Pokud ano, dojde k jeho spuštění a k zavedení vlastního iOS kernelu a Ramdisku, který slouží k pořízení obrazu daného zařízení. Pokud všechno proběhne v pořádku, zařízení se restartuje a na obrazovce se objeví známé logo Applu. Nyní můžeme vyextrahovat klíče a pořídit image souborového systému.

Nás bude zajímat zašifrovaný oddíl, který obsahuje uživatelská data. Zadáme název obrazu a nyní nám nezbývá nic jiného, než čekat, neboť pořízení obrazu 32GB iPhone 4 trvá přibližně 2 hodiny. Pokud na daném zařízení nebylo nastaveno žádné heslo pro odemčení, bude možné soubory snadno dešifrovat. Spustíme iOS Secrets Dumper a vyextrahujeme šifrovací klíče.

V našem případě je však nastaven PIN. Pokud bychom měli přístup k počítači oběti, mohli bychom spustit iOS Secrets Dumper a poskytnout mu Escrow file, který se nachází na Max OS X v adresáři /var/db/lockdown. Ten my ale nemáme a tak musíme PIN prolomit hrubou silou. V menu proto zvolíme položku Recover iOS device passcode, a zase čekáme, pokud byl použit 4ciferný PIN, máme ho po několika minutách k dispozici. Se znalostí PINu jsme získali ničím neomezený přístup k datům a funkcím telefonu.

Poznámka: Na tomto případě je krásně vidět, že použití kvalitního šifrovacího algoritmu, kterým AES-256 bezesporu je, není zárukou, že dané řešení bude bezpečné. Vždy záleží na konkrétní implementaci. Slabinou iPhonu byla v tomto případě samotná správa šifrovacích klíčů a také použití 4ciferného PINu.

Závěr: Bez znalosti vstupního kódu nebo escrow keys se k datům, jež jsou šifrována a uložena ve vašem iOS, nikdo nedostane, tedy pokud používáte komplexní heslo. Volba bezpečného hesla a správné zacházení s ním je tedy klíčové a především na něm závisí bezpečnost vašich dat. Doporučujeme vám proto používat komplexní hesla a smartphone a počítač nepřepravovat v jednom zavazadle.

Related posts:

1. Apple iOS: Uživatelé iPhonu používají slabá hesla
2. Apple iOS: zrádný Smart Cover
3. Apple iOS: Virtuální asistentka Siri představuje vážnou hrozbu

Běžně se uvádí, že více než 80% bezpečnostních incidentů mají na svědomí vlastní zaměstnanci. Nikde se však ji nedočtete, že většina těchto incidentů nebyla spáchána úmyslně, nýbrž z nedbalosti či neznalosti. Na vině je především nízké bezpečnostní povědomí zaměstnanců těchto organizací. Nemyslíme si, že hlavní příčinou tohoto stavu je skutečnost, že by se organizace snažily na školení zaměstnanců ušetřit.

Ne, problém daleko spíš spočívá v tom, že tato školení prostě neplní svůj účel. Jak by také mohla, když mnohé organizace nevědí, jak by takové školení mělo vypadat a neví to často ani firmy, které tato školení zajišťují, ty si to jen myslí. Nejčastější chybou je, že zaměstnancům je sice sděleno co, musí a co naopak nesmí, ale už jim není na konkrétních příkladech vysvětleno, proč je po nich takovéto chování požadováno a k čemu může dojít, pokud nebudou tato pravidla dodržovat.

Mnohé organizace tato pravidla sepsala ve formě několikastránkové bezpečnostní politiky, která je závazná pro všechny zaměstnance. Znají však vaši zaměstnanci bezpečnostní politiku a dodržují zásady v ní uvedené? Obávám se, že nikoliv a troufám si dokonce i tvrdit, že vaše bezpečnostní politika, na které jste si dali tolik záležet, je v praxi nepoužitelná, bohužel.

Pokud chcete, aby vaši zaměstnanci dodržovali nějaké bezpečnostní zásady, měli byste je sepsat tak, aby pro ně byly naprosto srozumitelné, snadno zapamatovatelné a mohli se jimi opravdu řídit. Na následujících řádcích jsme se pokusili sepsat bezpečnostní zásady, které by měl dodržovat každý zaměstnanec bez ohledu na to, v jaké organizaci pracuje. Jednotlivým bodům vždy předchází stručné vysvětlení, proč je takové chování vyžadováno.

Komunikace

Uvědomte si, že při své práci přijdete do styku s informacemi, které mohou být předmětem obchodního tajemství, nebo se může jednat o osobní údaje apod. V okamžiku, kdy se tyto informace dostanou k osobě, která není oprávněna se s nimi seznamovat, můžete svému zaměstnavateli způsobit značnou škodu. Vždy byste proto měli vědět, s kým komunikujete, co můžete komu sdělit a jakou formou. V případě pochybností se obraťte na svého nadřízeného.

• Nebavte se na veřejnosti o pracovních záležitostech, nikdy nevíte, kdo vás může slyšet.
• Ověřte si, s kým komunikujete, zda je daná osoba opravdu tím, za koho se vydává.
• Ověřte si, zda osoba požadující po vás nějakou informaci, je oprávněna se s ní seznamovat.

Zacházení s informacemi

Nezapomínejte, že citlivé informace, se kterými můžete přijít do styku, se mohou nacházet nejen v elektronické, ale i v papírové podobě. Pokud máte pochybnosti, zda se jedná o citlivé informace, poraďte se svým nadřízeným.

• Nenechávejte na stole citlivé dokumenty.
• Citlivé dokumenty nevyhazujte do koše, ale skartujte je.
• Když tisknete, zkontrolujte, zda se vám vytisklo všechno.

Přístup do systému

Přístup k informacím je obvykle řízen na základě oprávnění, které je vám přiděleno po přihlášení do systému. Přihlášení nejčastěji spočívá v zadání uživatelského jména a hesla. Uvědomte si, že pokud někdo zneužije vaše jméno a heslo nebo přístup do systému, budete vy hnáni k odpovědnosti.

• Heslo zadávejte tak, aby ho nikdo nemohl odpozorovat.
• Heslo nikomu nesdělujte.
• Heslo si nikam nezapisujte.
• Nepoužívejte stejné heslo do více systémů.
• Pokud se od počítače musíte vzdálit, uzamkněte obrazovku.

Internet

Když surfujete po internetu, zanecháváte po sobě stopy a administrátor a někdy i ostatní návštěvníci daného webu jsou schopni podle IP adresy rozpoznat, z jaké firmy na daný webový server přistupujete. Svým nevhodným chováním na internetu tak můžete snadno poškodit dobré jméno svého zaměstnavatele.

• Nesurfujte po pochybných stránkách.
• Nestahujte z internetu SW, hudbu a filmy.
• Nepřispívejte do diskusních fór na internetu.

E-mail

E-mail je úžasný komunikační prostředek, ale v e-mailu také může být příloha, která obsahuje škodlivý kód a spuštěním přílohy dojde k zavlečení škodlivého kódu do systému. E-mail se škodlivým kódem navíc zpravidla přijde od osoby nebo organizace, kterou znáte. Vlastní kód pak může dělat cokoliv, rozeslat svou kopii na všechny adresy ve vašem seznamu, přeposílat dokumenty z vašeho počítače na adresu útočníka, rozesílat SPAM apod.

• Neotvírejte bez rozmyslu každou přílohu v e-mailu, který vám přijde.
• Buďte obezřetní při zadávání údajů do webového formuláře, na který je odkaz v mailu.
• Citlivé informace zasílané e-mailem mimo společnost šifrujte.

Mobilní zařízení

Pokud vám váš zaměstnavatel přidělil nějaké mobilní zařízení, autentizační předmět nebo nosič informací, měli byste ho odpovídajícím způsobem chránit.

• Mobilní zařízení a autentizační předmět mějte vždy u sebe.
• Autentizační předmět nikomu nepůjčujte.
• Mobilní zařízení, autentizační předměty a nosiče informací ukládejte na bezpečné místo.

Vzdálený přístup

Pokud využíváte služeb, které se nacházejí na internetu, nebo často cestujete a musíte se do informačního systému vaší společnosti připojovat vzdáleně, měli byste být obzvlášť obezřetní.

• Nepřipojujte se k nezabezpečeným Wi-Fi sítím.
• Dávejte si pozor, k jaké službě se vzdáleně hlásíte, kontrolujte URL, certifikát, apod.

Prostředky zaměstnavatele

Prostředky výpočetní techniky, které vám byly svěřeny vaším zaměstnavatelem, jsou nakonfigurovány tak, aby byla zaručena požadovaná funkčnost a zajištěna odpovídající úroveň bezpečnosti.

• Nepřipojujte do sítě organizace svá soukromá zařízení.
• Nezasahujte do konfigurace počítačů.
• Neinstalujte na počítačích žádný SW.

Hlášení nestandardních stavů

Jakékoliv nestandardní chování operačního systému nebo aplikace může znamenat, že došlo k zavlečení škodlivého kódu do vašeho systému nebo probíhá kybernetický útok na vaši organizaci.

• Vždy oznamujte nefunkčnost či nestandardní nebo podezřelé chování informačních systémů.

Schází vám zde nějaké pravidlo? Napište.

Related posts:

1. Bezpečnostní politika
2. BYOD: bezpečnostní politika
3. Bezpečnostní incident: stanovení závažnosti incidentu

Ano, může tomu tak opravdu být, ale také nemusí. Měli byste si uvědomit, že mnozí zaměstnanci používají sociální sítě ve svém soukromém životě již teď a budou je používat i nadále, bez ohledu na to, jestli jim přístup na ně povolíte nebo ne. Mohou se do nich totiž pohodlně přihlašovat ze svého smartphonu a to v podstatě kdykoliv a kdekoliv. Z tohoto pohledu otázka, zda zaměstnancům povolit přístup na sociální sítě či nikoliv, dostává trochu jiný rozměr.

Pokles produktivity

Dost často se uvádí, že kvůli sociálním sítím dochází k určitému poklesu produktivity, neboť se zaměstnanci věnují hraní her, chatují s přáteli, prohlíží si fotky, upravují si svůj profil apod. Opravdu si myslíte, že když sociální sítě zakážete, že zaměstnanci, kteří byli dříve schopni strávit celý den dojením krav a sklízením úrody ve FarmVille, si nenajdou jinou podobně bohulibou činnost? Nebylo by v takovém případě spíš vhodnější se zamyslet nad tím, jaká je ve vaší organizaci efektivita práce, zda vedoucí pracovník dokáže zaměstnancům přidělit smysluplnou práci, kontrolovat její plnění a motivovat je.

Únik informací

Další problém, který se v souvislosti se sociálními sítěmi zmiňuje, je únik citlivých informací. Zaměstnanec např. může na sociální síti prozradit, na čem pracuje nebo jaký problém jeho společnost momentálně řeší. Tahle hrozba je již o poznání závažnější než ztráta produktivity. Případů, kdy zaměstnanec na sociální síti publikoval nějaké firemní dokumenty nebo jejich obsah, je sice o poznání méně, než těch, kdy zaměstnanec nevybíravým způsobem okomentoval situaci, která panuje ve společnosti, kde je zaměstnán, ale přesto bychom toto riziko neměli podceňovat.

Šíření malwaru

No a konečně poslední hrozba, která se sociálními sítěmi úzce souvisí, je šíření malwaru přes tyto sítě. A tato hrozba je možná mnohem závažnější než ty předchozí. Je zvláštní, že ačkoliv zaměstnanci za léta pochopili, že nemají stahovat a instalovat z internetu na firemní počítač žádný software a nemají spouštět podezřelé přílohy, které jim přišly v mailu, tak v okamžiku, kdy jim přijde od důvěryhodné osoby, kamaráda nebo kolegy z Facebooku zpráva, tak jí bezmezně věří. A přesně na to spoléhají tvůrci malwaru a zdá se, že jim to zatím skvěle vychází.

Firemní kultura

Rozhodnutí zda přístup na sociální sítě v pracovní době svým zaměstnancům povolit či nikoliv není jednoduché. Jsou organizace, kde lidé přicházejí o práci kvůli tomu, jak se na sociálních sítích chovají, jinde zase že tam vůbec jsou v pracovní době připojeni. A pak zde máme organizace, které v sociálních sítích vidí potenciál a zapojení zaměstnanců do dění v sociálních sítích dokonce podporují. Dost zaleží na firemní kultuře a je na vás, jakou firemní kulturu chcete ve vaší organizaci budovat.

Horké hlavy

Pokud chcete přístup na sociální sítě svým zaměstnancům zakázat jen proto, že se obáváte, že by zaměstnanci mohli o vaší společnosti něco nežádoucího napsat, nespoléhejte příliš na to, že než dojdou domu, tak vychladnou a rozmyslí si to. Ano, může to tak fungovat, ale v okamžiku kdy bude mít za chvíli skoro každý svůj vlastní smartphone s konektivitou do internetu, tak to na ten Facebook nebo Twitter prostě napíše a nic mu v tom nezabrání.

DLP

Dokonce ani DLP řešení vás před touto hrozbou neochrání, byť se vás jeho výrobci budou možná snažit přesvědčit o opaku. DLP řešení by se mohlo uplatnit jen v případě, že by se zaměstnanec pokusil na Facebook nebo Twitter zkopírovat nebo napsat z firemního počítače něco, co by DLP řešení vyhodnotilo jako citlivou informaci. Pokud by tomu tak skutečně bylo, poukazovalo by to spíše na neznalost nebo nedbalost zaměstnance, než úmysl svého zaměstnavatele tímto způsobem poškodit. Pokud zaměstnanec přístup do sociální sítě z firemního počítače nemá, můžete jen doufat, že se mu danou informaci již nevyplatí ručně přepisovat do svého smartphonu jen proto, aby ji mohl následně vystavit na internet.

Závěr: V okamžiku, kdy se rozhodujete, zda přístup na sociální sítě svým zaměstnancům povolit nebo zakázat, a vaší největší obavou je ztráta produktivity, únik informací a šíření malwaru ve vaší síti, měli byste se vážně zamyslet nad tím, zda by vaši zaměstnanci měli mít vůbec přístup na internet a k e-mailu. V případě, že přístup na sociální sítě povolíte, nic vám nebrání blokovat vybrané funkce, např. chat, hraní her nebo povolit jen pasivní přístup. Stejně tak můžete přístup k sociálním sítím povolit jen těm zaměstnancům, kteří jej skutečně potřebují ke své práci.

Related posts:

1. Laxní přístup k zabezpečení virtualizovaného prostředí
2. Vícefaktorová autentizace a vzdálený přístup do systému
3. DLP: krádež dat

A pokud máme hovořit o rizicích, která na nás v cloudu číhají, musíme provést analýzu rizik. A začít bychom měli jak jinak než identifikací a kvantifikací aktiv. V tomto případě budeme za aktiva považovat data, která klient (Cloud Subscriber, zkr. CS) poskytovateli cloudu (Cloud Provider, zkr. CP) svěřuje. Položme si proto otázku, co by se stalo, resp. jaký dopad by to mělo na váš business, kdyby byla narušena důvěrnost, integrita nebo dostupnost těchto dat.

Dostupnost

Dostupnost dat je pro business obvykle kritická. CP však nemůže dostupnost dat uložených v cloudu dost dobře garantovat, protože přístup k datům je realizován přes internet, který není pod jeho správou. Můžete také zjistit, že kvůli rychlé odezvě je žádoucí, aby byl cloud relativně blízko k vašim uživatelům. Také dostupnost síťové infrastruktury je v nejrůznějších zemích světa různá, takže je dost podstatné, kde se CP, kterému jste svěřili svá data, nachází. Připomeňme, že politicky motivované DDoS útoky vedené proti Estonsku a Gruzii nebo DDoS útok na cloud botnetem Bredolab, který zahltil více než 700 000 uživatelů Facebooku, se mohou kdykoliv opakovat. Toho, že vám CP nebude schopen včas poskytnout požadované zdroje, bych se ale nebál.

Důvěrnost

V okamžiku, kdy svá data umístíte do cloudu, tak k nim CP sice získá přístup, ale bývají to stejně vlastní zaměstnanci, kteří mají na svědomí únik většiny informací, neboť mají k těmto datům zcela legitimní přístup bez ohledu na to, kde jsou umístěna. K datům by proto měl být řízen přístup, v úložišti i při přenosu by měla být šifrována a měl by se vytvářet log o činnostech uživatele v systému. Otázka je, co se s daty stane v okamžiku, kdy se rozhodnete ukončit smlouvu? Budou data v cloudu opravdu bezpečně smazána? To jest, budou smazána z disku a bude prostor označený jako volné místo přepsán náhodnými daty nebo bude jen zrušen link do úložiště a smazán účet CS? Zde vám nezbývá nic jiného, než CP věřit.

Integrita

Data v cloudu nebo i aplikace samotné mohou být pozměněny neoprávněnou osobou a stejně tak může dojít k nežádoucí modifikaci dat v důsledku selhání HW nebo SW. Rozhodně bych ale nepodezíral zaměstnance CP, že budou do systému implementovat nějakou logickou bombu. S takovým jednáním se můžeme daleko spíše setkat ve firmách, které služeb CP nevyužívají.

Závěr: V poslední době se jasně ukazuje, že nejčastější příčinou narušení důvěrnosti, integrity a především dostupnosti dat, která jsou v cloudu uložena a služeb, které cloud poskytuje, nejsou hackeři, ale chyby samotných zaměstnanců, kteří nedodržují bezpečnostní předpisy, chovají se nezodpovědně, ztrácejí mobilní zařízení a autentizační předměty. Další nejčastější příčinou je pak samotná aplikace, která bývá z relativně bezpečného prostředí intranetu přesunuta do cloudu, aniž by byla nejdříve důkladně otestována, zda neobsahuje známé zranitelnosti.

Related posts:

1. Cloud computing: soukromý a veřejný cloud
2. Cloud computing: prognóza vývoje v nejbližších letech
3. Cloud computing