Datové skandály
V roce 2011 hackeři definitivně zničili iluzi bezpečného internetu a odstartovali novou éru - éru datových úniků.
Dominik Hoferer, Petr Kratochvíl
Stěží uplyne týden, aniž by se objevil skandál týkající se úniku dat nebo útok na známé cíle - údaje o kreditních kartách, bezpečnostní certifikáty a uživatelské profily s kontakty. Pod palbou jsou jak malé firmy, tak nadnárodní bezpečnostní giganty, a stranou zájmu hackerů nezůstávají ani průmyslové či vládní servery. V současné době si svou bezpečností nemůže být jist nikdo, kdo je připojen k internetu. Kroutíte hlavou, jak je něco takového možné? Důvodů je celá řada…
Vývojáři s mezerami ve znalostech
Typickou ukázkou jedné z příčin těchto problémů může být letošní červencový útok hackerů na policejní servery našich německých sousedů. Celý incident byl o to trapnější, že několik týdnů před incidentem ministr vnitra Hans-Peter Friedrich představil v Bonnu Úřad pro národní kybernetickou obranu (Nationale Cyber-Abwehrzentrum), který měl za úkol sledovat hackery. Avšak místo toho, aby se úřad zabýval ochranou jiných státních institucí a firem, museli se jeho zaměstnanci zabývat analýzou zhroucení jejich vlastního systému. Co se vlastně stalo? Skupině hackerů NN-Crew se podařilo proniknout na federální policejní server, který byl zřízen pro sledovací systém PATRAS. Některé úřady tento server používají pro ukládání profilů podezřelých. Podle policie jsou škody nízké, protože prý „zvenčí“ nemohl nikdo s daty manipulovat.
Nenávratně však byla poškozena image nově zřízeného úřadu, a ostuda se stala ještě pikantnější, když se zjistila příčina incidentu: vzhledem ke snižování nákladů na správu byl na policejním serveru použit bezplatný balíček XAMPP, který umožňuje bleskově nainstalovat Apache, PHP nebo MySQL. Podle expertů byl cílem hackerů právě Apache, který byl implicitně nakonfigurován s aktivací zbytečně velkého množství funkcí. Dalo by se tedy říci, že implicitní instalace není pro reálný provoz použitelná a pro bezpečné fungování je potřeba software nakonfigurovat. To ale správci policejního serveru neudělali a kvůli tomu se stal úřad pro „kybernetickou obranu“ terčem posměchu IT světa. Podle Marka Semmlera, bezpečnostního experta firmy Antago, jsou příčinou takovýchto incidentů častokrát nedostatky ve vzdělání a zkušenostech vývojářů: „Mnoho programátorů nemá ponětí ani o SQL injection, přesto ale nastavují kritické aplikace.“ Pečlivou a promyšlenou práci vyžaduje také ukládání citlivých dat - na což, jak Semmler podotýká, při bezpečnostních testech narazí jen málokdy. „Když u velkých či malých firem analyzujeme aplikace, obvykle zjistíme, že v 98 procentech obsahují závažné, nebo dokonce kritické chyby.“
Kritické chyby kvůli nedbalosti
Nedostatek znalostí a nedbalá práce vyústily v jeden z nejzajímavějších hacků v roce 2011, který lze označit i jako nejhorší možný scénář pro oblast zabezpečení webu. Cracker jménem Ichsun pronikl na server firmy DigiNotar, která je digitální certifikační autoritou pro správu SSL, a umožnil „vydání“ přibližně 500 bezpečnostních klíčů. Mimo jiné certifikátu * google. com, který může umožnit „odposlouchávat“ poštu uživatelů GoogleMailu pomocí útoku Man-in-the-middle. Následně by se mohlo hackerům podařit pomocí padělaných stránek on-line služeb obejít surfaře a získat jeho heslo, což už se stalo v Íránu.
Známý SSL certifikát byl až donedávna zárukou bezpečnosti (přenosu dat) a uživatelé nemuseli váhat se zadáváním údajů z kreditních karet nebo přihlašovacích údajů, nyní už však tento certifikát zcela ztratil svou důvěryhodnost. Otázkou tedy zůstává, jak bylo možné hacknout firmu, která stojí za jedním z klíčových bezpečnostních prvků internetu (certifikáty vydané firmou DigiNotar používali nizozemští občané k on-line daňovému přiznání).
Předběžná zpráva bezpečnostní firmy Fox-IT ale přinesla smutné odhalení: server DigiNotar nebyl chráněn ani jednoduchým antivirovým softwarem, kvůli čemuž mohli vetřelci snadno do sítě nainstalovat program Cain & Abel, obsahující sniffer pro odposlouchávání většiny síťových protokolů. Vzhledem k tomu, že program podporuje i šifrované protokoly SSH-1 a HTTPS, mohli hackeři bez problémů získávat přístupové údaje a hesla. Nikoho asi nepřekvapí, že firma DigiNotar několik měsíců po hackerském útoku zkrachovala. Zajímavé je také to, že k útoku se přihlásil íránský hacker ComodoHacker, který prý také hacknul" celou řadu jiných certifikačních autorit, včetně známého serveru GlobalSign. Tato aféra měla i jedno pozitivní hledisko OE experty příjemně překvapila rychlost Mozilly a Microsoftu, které bleskově aktualizovaly své produkty, aby nedůvěřovaly ukradeným certifikátům.
Hack serveru DigiNotar však ukazuje na mnohem větší problém, který úspěšně přispívá k mnoha hackům jiných serverů: Většina programátorů a webových správců pracuje v časové tísni," žíká Mark Semmler. Ten, kdo instaluje kritické webové aplikace ve vysoké rychlosti", jednou za čas určitě udělá zásadní chybu. Problém je, že vývojáři také častokrát nemají na výběr, protože jsou pod tlakem zákazníků OE musí své projekty dokončit za co nejkratší dobu. A pak už jen stačí, aby se v aplikaci objevila drobná chyba OE napžíklad na jednom místě ve webové aplikaci nebylo uživatelské heslo použito v zakódované podobě OE, a bezpečnostní mezera je na světě.
Nedostatečné povědomí o bezpečnosti
Dalším problémem je to, že mnoho společností navíc vidí bezpečnost jako zbytečné náklady, které chce co nejvíce snížit. I to mohl být jeden z důvodů, které vedly k jednomu z nejvážnějších digitálních útoků v historii firmy Sony, jehož podrobnosti drží firma stále pod pokličkou.
Ponemon Institut ale shrnul průnik do sítě Sony PlayStation následovně: sedmdesát sedm milionů ukradených uživatelských dat, odcizená hesla a údaje o kreditních kartách. Z hlediska financí byly škody vyčísleny asi na 24 miliard USD. A to nebyly vzaty v úvahu ztráty způsobené nefunkční sítí, která byla v off-line režimu" přibližně měsíc.
Pravděpodobnou příčinou hackingu této platformy, která je od roku 2006 zodpovědná za správu hraní na konzolích, byl nedostatek povědomí o bezpečnosti IT.
Už na webových stránkách, které byly vyvinuty v letech 2006 a 2007, byla bezpečnostní situace úplnou katastrofou," žíká Johann-Peter Hartmann, IT specialista společnosti Mayflower. V době, kdy síť pro PlayStation začínala, bylo mnoho uživatelských informací uloženo v databázích bez jakéhokoliv šifrování. To je podle IT odborníků důležitá ochrana a některé servery ji využívají již více než deset let OE umožňuje totiž minimalizovat hrozby" i v případě, že hackeži získají pžístup do databází. Pravda sice je, že v té době byl počet kybernetických útoků (ve srovnání se současností) relativně nízký, zabezpečení citlivých dat by ale mělo být vždy prioritou.
V minulosti se také hackeži bavili" pouze získáním přístupu do systému, v nejhorším případě smazáním údajů z databáze (kterou bylo možné obnovit ze záloh). Nyní je stále častější odcizení dat a vydírání firem, nebo přímo prodej citlivých údajů (napžíklad čísel kreditních karet) na černém trhu.
Zlodějské a vyděračské gangy dnes pracují velmi profesionálně a nepodceňují ani přípravu OE vetřelci používají sofistikované hackerské nástroje nebo výkonné botnety. Zároveň pro ně platí pravidlo, že čím větší a známější společnosti, tím větší prestiž v hackerských fórech. Podle Hartmana sice došlo po výše uvedených letech 2006 a 2007 ke změně v bezpečnostním myšlení", pžesto ale bývají hackeži častokrát o krok napřed". O tom svědčí i zisky počítačových podvodníků, které se pohybují v řádech miliard dolarů a rok od roku stoupají.
Zoufalé hledání řešení
I pžesto, že prozatím k žádné závažné digitální katastrofě" nedošlo, prozíravé státy po celém světě vyvíjejí koncepce obrany proti hackerům. Odborníci ale odhadují, že za posledním mediálně známým případem v podobě malwaru Stuxnet nestojí organizovaní kriminálníci, ale spíše tajné služby.
Hrozba pro internet může přijít z úplně jiné strany OE jak vlády, tak nadnárodní koncerny bojují o ovládnutí internetu. Důvodů kontroly" uživatelů a proudících dat je prý celá řada - porušování autorských práv, pedofilové, teroristé OE a kdo může vědět, zda nejste hrozbou pro svět" právě vy? Nereálné tak nejsou ani digitální hraniční kontroly", které by prověřovaly, co je správné a co ne. Jediné, co tyto snahy brzdí, je enormně rostoucí datový provoz, který takovéto kontroly znesnadňuje.
Zjistili jsme, že 98 procent všech případů mají na svědomí kritické chyby"
MARK SEMMLER, bezpečnostní expert firmy Antago
Druhým radikálním řešením je zrušení celosvětové sítě. Internet, jak ho známe dnes, by se rozdělil na samostatné a soběstačné zahraniční intranety, bez připojení do zahraničí. Z jednotlivých oblastí se tak stanou zabezpečené WWW oblasti. Pokud si myslíte, že něco takového není možné, stačí se podívat například na Čínu nebo na Írán. Islámská republika už připravuje v této oblasti konkrétní kroky a chce vytvořit svou vlastní síť. Toto rozhodnutí ale bylo kritizováno íránskou opozicí, protože by nejen omezilo svobodu uživatelů při surfování, ale také by představovalo problémy pro globálně působící firmy. Napžíklad bezpečnostní expert Sandro Gaycken ale věží, že k tomu nedojde: Tento scénář by byl jen stěží akceptovatelný pro obchod a průmysl." Podle jeho návrhu by bylo vhodné provést odpojení pouze specifických oblastí: Ten, kdo požaduje větší bezpečnost, by měl odpojit kritickou infrastrukturu napžíklad v některých oblastech armády či ekonomiky OE tedy oddělit je od běžného internetu." Tento scénář by byl napžíklad vhodný i pro energetické firmy nebo pro oblast zdravotnictví - běžné surfaře by vůbec zasáhl a hackerům by podstatně ztížil práci.
Není vůbec pochyb o tom, že se z internetu brzy stane digitální bojiště. Problémem ale je, že celá řada zkušených čtenářů Chipu si svůj domácí počítač a data na něm uložená chrání lépe než některé firmy, nebo dokonce státní správa. Své o tom ví i britské ministerstvo obrany, kterému unikl na internet interní bezpečnostní manuál Jak zabránit úniku informací na internet".
autor@chip.cz
ČESKÁ REPUBLIKA NENÍ VYJÍMKOU
Na počátku září roku 2009 unikla pojišťovně Uniqa na internet data tisíců klientů, kteří si v letech 2005OE2007 zařizovali po internetu cestovní pojištění. Hackeži z databáze získali telefony, rodná čísla a informace o pojištěné cestě klientů. Aplikaci napadenou hackery spravovala firma Kaktus Software. Viníka se odhalit nepodařilo. Na konci loňského roku došlo k úniku dat také z ministerstva školství, kdy se na webu objevily citlivé údaje o žácích, kteří dostali dotaci na studium.
Časová osa
17. BŘEZEN 2011
RSA
Obětí útoku hackerů se stala firma RSA, jeden z nejznámějších celosvětových výrobců hardwarových tokenů, pomocí kterých se uživatel například může přihlásit do své firemní sítě z domácího počítače. Bezpečnostní systém firmy s názvem SecureID byl tak vážně poškozen, že společnost vyměnila na celém světě 40 000 000 tokenů, které ho používaly.
24. BŘEZEN
COMODO
Průnik do bezpečnostní firmy Comodo, která kromě bezpečnostních balíků nabízí také digitální SSL certifikáty, ohrozil úroveň zabezpečení webu. Hackeři ukradli certifikáty pro přihlášení na celou řadu webů, mimo jiné na Google, Yahoo a Skype. Pomocí nich mohli nachytat uživatele na kopii stránek a mohli získat miliony přihlašovacích údajů.
16. DUBEN
SONY PSN
Skupina hackerů LulzSec několikrát pronikla do sítě Sony a ukradla více než milion údajů o zákaznících. Zjistilo se, že hodně informací je na serveru uloženo nešifrovaných. Po útoku trvalo Japoncům přibližně měsíc, než se PlayStation Network vrátila do provozuschopného stavu.
17. DUBEN
APPLE
Z ostudy kabát si Apple připravil sledováním uživatelů iPhonu. Firma evidovala údaje o poloze Wi-Fi routerů a bezdrátových přípojných bodů, u kterých se uživatel pohyboval. Apple navíc přiznal nedbalé naprogramování příslušné aplikace, protože data byla uložena v telefonu v nezakódované podobě a po zálohování dat v počítači byla přístupná komukoliv.
21. DUBEN
AMAZON EC2
Se sloganem „Cloud, na který se můžete spolehnout“ propagovala firma svou novou službu on-line úložiště EC2 (Elastic Compute Cloud). Nečekaná „datová nehoda“ však způsobila, že velké množství uložených dat zákazníků - velkých i malých podniků - zmizelo. Všechny pokusy o obnovení dat selhaly.
21. KVĚTEN
LOCKHEED MARTIN
Jedna z největších amerických firem zabývajících se zbraňovými technologiemi pravděpodobně podlehla vytrvalému útoku. Podle několika prohlášení firma útok odrazila a nemohly být prý ani odcizeny žádné údaje. Nicméně několik zaměstnanců nemělo po dlouhou dobu přístup ke specifickým systémům. Vetřelci zřejmě získali přístup přes hacknutý SecureID hardware (viz 17. březen).
17. ČERVEN
DIGINOTAR
Další hrubá chyba v zabezpečení SSL: byl hacknut server holandské společnosti CA, sloužící pro ověření digitálních certifikátů. Podle zprávy bezpečnostní firmy Fox-IT nebyl na serveru nainstalován ani jeden antivirový software, a tak mohli útočníci na server bez problémů propašovat škodlivý software. Navíc byl pžístup na server zajištěn jen pomocí velmi jednoduchého hesla.
19. ČERVEN
DROPBOX
Žádný hacking, ale nedbalost: služba pro ukládání dat obsahovala chybu v ověřování autentizace. Na základě toho se mohl každý uživatel i bez znalosti hesla přihlásit k existujícímu účtu a získat pžístup k uloženým datům. Vývojáři chybu vytvořili" při aktualizaci, o čtyři hodiny později byla chyba objevena a rychle odstraněna.
7. ČERVENEC
NĚMECKÁ POLICIE
Hackerská skupina NN získala pžístup na server spolkové policie a celních orgánů a umístila zde trojského koně za účelem získání údajů. Ty se týkaly sledování podezřelých osob. Problém byl v použití balíčku XAMPP pro vytvoření serveru. Všechny nástroje z tohoto softwarového balíku byly ponechány bez zabezpečení jen v základní konfiguraci.
17. ČERVENEC
REWE
Hacknuty byly webové stránky známé obchodní firmy, která na svých stránkách umožňovala výměnu kartiček WWF a Football League. Hackeži získali jména, e-mailové adresy a hesla. Podle zprávy společnosti nebyly odcizeny žádné údaje o kreditních kartách. Chybu, která hack" umožnila, již firma REWE opravila.
2. SRPEN
OSCOMMERCE
Neznámé osoby využily zranitelnosti v Open Source Shop softwaru OSCommerce a do zdrojového kódu propašovaly vir. Nakaženou verzi s označením 2.2 používá více než milion on-line obchodníků. Mezera, která je známá již od listopadu 2010, byla nyní odstraněna. Pžesto mnoho uživatelů neprovedlo aktualizaci svého obchodu.
26. ŘÍJEN
IZRAEL
Tento čin byl spáchán již před delší dobou, ale teprve nyní vyšel najevo. Bývalý zaměstnanec izraelského ministerstva sociálních věcí v roce 2006 zkopírovat data z registru, ve kterém byly uvedeny osobní a rodinné informace devíti milionu Izraelců. Zloděj prodal data firmám. Skandál vyšel najevo až tehdy, když se hacker priznal na internetu.