Ve středu 11. dubna se v pražském hotelu Diplomat uskutečnila konference Kongres bezpečnosti sítí. Jednotlivé příspěvky věnované bezpečnosti, přednášené pozvanými zástupci firem a odborníky, si přišlo poslechnout téměř tři sta zájemců. Jaké jsou aktuální trendy v oblasti bezpečnosti? Útočníci poslední dobou spíše využívají počítače k oklamání uživatele. Velkou hrozbu představují online webové aplikace. Tímto způsobem je ohroženo až 70 procent internetových aplikací.
Bezpečnostní konzultant Miroslav Ludvík ve své přednášce představil různé druhy útoků. V poslední době se uživatelé a správci mohou stále častěji setkávat se sociálním inženýrstvím. Útočník v tomto případě zkouší získat přístup k citlivým údajům prostým oklamáním vybrané oběti. Takto postupoval například slavný cracker Kevin Mitnick. Některé své postupy popsal v knize Umění klamu.
Získat od nového zaměstnance firmy přístup k uživatelskému účtu nebyl většinou žádný problém. Útoku předcházelo zjištění podrobných informací o struktuře a fungování firmy. Cracker posléze zavolal novému zaměstnanci, přivítal ho ve firmě a po telefonu s ním vyřídil nastavení hesla, zabezpečení sítě nebo instalaci docházkového softwaru. Nováček byl příjemně překvapen vstřícným přístupem správce IT a ochotně splnil všechny požadavky. Nevědomky si přitom nainstaloval do počítače trojského koně nebo počítačový virus, který později crackerovi umožnil získat přístup k důležitým dokumentům firmy.
Je také možné požádat vybranou osobu, aby zanesla nějaký důležitý dokument na recepci, kde si jej „technik“ později vyzvedne. Na místo pochopitelně falešný technik nikdy nedorazil. Naopak zavolal slečně na recepci a poprosil jí, aby vytištěnou stránku poslala faxem. Mohl přitom ještě upozornit, že řeší závažný problém na firemních serverech a bez zmíněného dokumentu nemůže vzniklé potíže opravit. Přátelsky pronesená poznámka o tom, jak se ředitel potřebuje co nejrychleji dostat ke své e-mailové schránce, ještě zvýšila důvěryhodnost žádosti. Který pracovník by chtěl riskovat naštvaného šéfa?
Vyhrajte krádež identity
Jindy mohl cracker rozeslat na všechny firemní e-maily dopis o smyšlené soutěži, která umožní nejrychleji registrovaným uživatelům získat lístek do kina zdarma. Součástí registračního formuláře bude také požadavek na zadání hesla. V tomto případě se útočník spoléhá, že lidé používají stále stejné přihlašovací údaje. Elektronickou poštu zneužívají také podvodníci v případě falešných e-mailů bankovních institucí.
„Banka“ v takovém e-mailu většinou oznamuje klientovi nasazení vyšších bezpečnostních prvků, spuštění testovacího provozu nové verze online bankovnictví a zároveň požaduje zaslání klientského čísla i hesla. Jestliže není heslo zasláno, hrozí „banka“ zablokováním účtu a příchozích plateb.
Miroslav Ludvík také prakticky ukázal, jak je možné odposlouchávat vzájemnou komunikaci počítačů v síti, která je vybavena switchem. Celý útok zneužívá slabinu protokolu ARP, který byl navržen v době, kdy se o bezpečnosti příliš nemluvilo. Představte si tři počítače v místní síti, které využívá Mirek, Helena a Zdeněk. Ten nemá příliš čestné úmysly, a tak se rozhodne odposlouchávat počítače svých přátel. Směrem k počítači Mirka vyšle falešný ARP request s podvrženou MAC adresou. Následně zašle podobný požadavek na počítač Heleny, takže si i tento počítač pro vzájemnou komunikaci dosadí MAC adresu útočníka a switch pošle data ke Zdeňkovi. Jedná se přitom o poměrně starý způsob útoku.
Jeden z mnoha dalších typů útoků zneužívá certifikáty a zabezpečené SSL připojení. Uživatel navštíví webovou stránku s nabídkou obsahu pro dospělé. Pro vstup na tento web je ovšem nutné nainstalovat do webového prohlížeče certifikát. Většina uživatelů tak ochotně učiní a certifikát od nedůvěryhodné autority si instalují. Později mohou obdržet podvodný e-mail, který je odkazuje na webovou stránku banky. Tato stránka běží na zabezpečeném (SSL) připojení, což u nezkušeného uživatele vytvoří falešný pocit bezpečí. Protože již dříve zařadil certifikát „banky“ mezi důvěryhodné, nezobrazí se žádné další varování. Zároveň je zobrazena žádost o nahrání certifikátu klienta a zadání hesla. Tyto cenné údaje okamžitě putují k podvodníkům.
Ludvík rovněž upozornil přítomné na zranitelnost současných šifer. Stále převládá rozšířená hashovací funkce MD5. První slabiny v návrhu této funkce se objevily již v roce 1996, o osm let později byly nalezeny daleko větší chyby, a tak se od používání algoritmu upouští. Přesto však některé státní autority ve svých certifikátech používají MD5. Vyřešit problémy s prolomenými šiframi může podle Ludvíka kvantová mechanika.
Útok pomocí webového prohlížeče
Pavol Lupták ze společnosti ICZ svoji prezentaci zahájil citátem Jeremiaha Grossmana, bývalého bezpečnostního auditora portálu Yahoo! a zakladatele firmy WhiteHat Security. Ten prohlásil, že začíná doba, kdy se Cross-site scripting (XSS) stává v podstatě stejně závažnou chybou, jako bylo v historii přetečení zásobníku (buffer overflow), a novou hrozbou je kód jazyka JavaScript.
XSS je metoda narušení webových stránek, která útočníkům umožňuje zneužít bezpečnostní chyby ve skriptech. Pokud je webová aplikace takto zranitelná, lze uživatelům v lepším případě podstrčit falešnou informaci a v horším dokonce získávat citlivé informace. Bezpečnostní expert Grossman odhaduje, že je tímto způsobem ohroženo až 70 procent internetových aplikací.
Universal Cross Site Scripting (UXSS) využívá slabých míst v zásuvných modulech, mezi které patří například oblíbený prohlížeč PDF dokumentů Acrobat Reader. Jedna z objevených chyb umožňovala útočníkovi pouze odkázat na již existující dokument a do odkazu připojit kód JavaScriptu. Postiženi byli uživatelé s operačním systémem Windows a webovými prohlížeči Internet Explorer i Mozilla Firefox.
Dalším typem útoku je Cross Site Request Forgery (CSRF). Cílem mohou být aplikace, které pro uchovávání informací o přihlášení uživatele používají cookies. Když uživatel navštíví webovou stránku napadené aplikace, dojde k načtení vzdáleného kódu pomocí vloženého rámce (iframe), skriptu nebo obrázku.
V současnosti je možné zneužít již zmíněné chyby webových aplikacích a zjistit informace o přihlášení uživatele, zaútočit tvrdou silou na jméno a heslo, získat přehled používaných zásuvných modulů, zjistit navštívené webové stránky, skenovat intranet, zaútočit na internetové servery, upravovat nastavení směrovače a zobrazit uživateli podvržený obsah. Obecně lze říci, že každou webovou stránku zranitelnou na XSS bude možné zneužít pro další typy útoků. Kromě již zmíněných bezpečnostních slabin aplikací lze rovněž s „úspěchem“ využít SQL injection, při které jsou pomocí neošetřených skriptů pokládány další dodatečné dotazy databázovému serveru a útočník může získat přístup k jinak nedostupným údajům.
Terabajty spamu v bance
O své zkušenosti s nasazením komerčního řešení Symantec Mail Security 8260 se za firmu EMM přišel podělit Ján Kvasnička. Nejmenovaná banka s pěti tisíci e-mailových účtů se potýkala se záplavou nevyžádaných e-mailů, které skončily v poště vedení. Možná proto bylo velmi rychle a pružně rozhodnuto o výměně předchozího antispamového řešení. Během testovacího provozu byl hardware Symantecu zařazen v síti za stávající ochranu proti spamu. Dodavatel tím chtěl ukázat zákazníkovi, kolik spamů zařízení dokáže zachytit.
Symantec Mail Security 8260 přitom testuje e-maily již na úrovni síťového rozhraní, což podle údajů firmy umožňuje snížit náklady na infrastrukturu. Využívají se také informace z center Symantec BLOC (Brightmail Logistics and Operations Center) v San Franciscu, Dublinu, Sydney a Taipei. Firma provozuje dva miliony fiktivních poštovních serverů, které se svými 300 miliony účty slouží jako lákadlo pro spammery. Zachycené spamy jsou zkoumány v dohledových centrech, dochází k vydávání automatických aktualizací a filtry nevyžádané pošty jsou aktualizovány každých deset minut.
Správce může pomocí webové konzoly nastavovat různé zásady pro uživatele nebo skupiny a sledovat trendy a statistiky útoků. Vybrané e-mailové schránky je navíc možné přidat mezi důvěryhodné a tak se zaručí, že nebude zpráva nesprávně rozpoznána jako spam (false positive). Podle informací firmy dokáže řešení spolehlivě rozpoznávat také nevyžádanou poštu ve formě obrázků. Za jeden rok provozu v bance bylo tímto způsobem zachycen až jeden terabajt spamu.
Na konferenci představili své bezpečnostní řešení také zástupci společnosti Soft-tronik. Luděk Hrdina, marketingový manažer, ukázal přítomným hardwarovou bezpečnostní bránu UTM-1. Bezpečnostní brány Check Point UTM-1 obsahují standardní bezpečnostní výbavu zahrnující stavový firewall, IPSec VPN, antivir a antispyware pro brány a intrusion prevention systém. Výbava je rozšířa o nástroje pro ochranu webových serverů, zajištění bezpečného průběhu VoIP komunikace a podporu systémů pro výměnu dat v P2P sítích.
Michal Zlesák z firmy Enterasys hovořil o produktu Dragon Network Defense, který je určen především pro podnikové sítě. Za společnost SODATSW vystoupil se svým příspěvkem produktový manažer Martin Ondráček. Účastníkům představil komerční řešení OptimAccess pro ochranu koncových stanic.
Můj názor
Prohlášení Jeremiaha Grossmana je docela šokující. Nečekal jsem, že bude až 70 procent webových aplikací zranitelných na Cross-site scripting. Uživatelé si sice mohou vypnout JavaScript, ale tím přijdou o většinu výhod, které dnes Internet nabízí. Navíc takové nastavení lze snadno obejít.
Otisk prstu zatím vede
Zástupce vysokoškolské sféry Martin Drahanský z Fakulty informačních technologií VUT v Brně se ve své prezentaci věnoval přehledu biometrických systémů a testování jejich spolehlivosti. Podle výzkumu Mezinárodní skupiny pro biometrii (IBG) z roku 2004 je na trhu zastoupeno celkem 48 % zařízení pro čtení otisku prstů, dvanáct procent čteček obličeje a jen o procento méně skenerů ruky. Jen dvě procenta zařízení jsou určena pro skenování podpisu, analýzu hlasu (6 %) a duhovky (9 %).
Biometrický systém se vždy skládá ze dvou součástí. Registrační modul slouží pro vložení vzorové identity uživatele. Ověřování probíhá pomocí čtečky, která získává potřebné údaje a porovnává je s uloženým vzorkem. Není žádným tajemstvím, že je možné některé snímače obelstít například želatinovou kopií prstu. Proto také dochází k ověřování živosti měřením teploty pokožky, krevního tlaku nebo pulsu. Běžná teplota pokožky je kolem 30°C, takže by kopie musely být na stejnou teplotu zahřáty. Další možností ověření je snímání povrchového napětí prstu, které je u každého člověka rozdílné. Větší jistotu poskytuje měření pulsu, ale v tomto případě mohou být naměřené hodnoty zkresleny emocionálním stavem snímaného člověka.
Současné technologie dokáží také rozpoznávat obličej ve 2D a 3D. V prvním případě hledá speciální software hlavní rysy. Následně dochází k učení obočí, uší a rtů. Porovnání s uloženým vzorkem probíhá na základě vzdáleností mezi jednotlivými body. Další možností rozpoznávání je termosnímek, který odhalí různé teploty obličeje.
Souvislosti
Kongres bezpečnosti sítí 2007 (názory návštěvníka)
Nebezpečí červů stále roste
Windows Vista jsou zřejmě stále nebezpečné
Čtyřicet procent útoků je z USA
Server napaden bankovními podvodníky dva dny po instalaci
České firmy zaplatí za spam 316 tisíc korun