Ovládne kyberterorismus naše životy?

Ve světě bezpečnosti jsme za uplynulý rok mohli být svědky mnoha událostí, to nejdůležitější bylo počátkem srpna probíráno v americkém Las Vegas. Kromě rekapitulace letošního útoku na estonské počítačové systémy a představení pestré škály hackerských nástrojů tam vystoupila také řada předních odborníků, aby se podělila o své nejnovější poznatky.

Pozor na Ajax

Společnosti využívající Ajax (Asynchronous JavaScript and XML) ke tvorbě svých webů, údajně čelí zvýšenému riziku útoků. Se zdviženým prstem takto na letošní konferenci Black Hat 2007 varovali vědci z firmy SPI Dynamics. Ajax nabízí spoustu možností, jak vylepšit internetové stránky. Jednou z hlavních je například možnost obnovit obsah na webu bez nutnosti reloadu stránky. I to je důvod, proč jej webdesignéři často používají. Problém je, že při kódování často nevěnují pozornost základním bezpečnostním principům.

V rámci své prezentace Hoffman také předvedl dvě názorné ukázky zneužití nedokonale zabezpečeného kódu Ajaxu. V prvním případě dokázal pomocí manipulace s JavaScriptem na stránkách jedné letecké společnosti snížit cenu objednané letenky na pouhý dolar. Ve druhém se mu podařilo uskutečnit jednoduchý DoS (Denial-of-Service) útok, když zablokoval všechna dostupná sedadla v letadle.

„Mezi hlavní hrozby,“ říká vývojový inženýr z SPI Dynamics Billy Hoffman, „patří to, že špatně naprogramované stránky s Ajaxem otevírají útočníkům možnost změnit posloupnost spouštění různých funkcí. Díky tomu se mohou zmocnit čehokoli uloženého v JavaScriptu, a následně to zneužít.“ Zabezpečit stránku vytvářenou pomocí Ajaxu je přitom těžší než u tradičních webových aplikací. Ajaxové weby totiž spolupracují s klientem (internetovým prohlížečem uživatele) v mnohem větší míře,. „Aplikace Ajax klientský počítač využívají pro spouštění i ukládání dat. Zmocnit se jich, je tedy jednoduší, než když vše probíhá na straně serveru,“ dodává Hoffman.

Nebezpečí kriminalistiky

Software využívaný například policií a bezpečnostními týmy ke zjišťování průniků do počítačových systémů údajně není tak spolehlivý, jak by měl. Tvrdí to alespoň výzkumníci ze společnosti Isec.

Firma trávila posledních šest měsíců zkoumáním dvou takovýchto investigativních programů. Konkrétně jde o EnCase společnosti Guidance Software a o open source produkt s názvem The Sleuth Kit. V průběhu šetření pak vědci v obou nalezli několik kritických, zneužitelných chyb. Ty kromě krachu programu na daném systému umožňují dokonce i instalaci neautorizovaného softwaru.

Výzkumníci zkoušejí bezpečnost forenzního softwaru již dlouho, většinou se však soustředí na zkoumání technik, které by útočník mohl využít k zamaskování své činnosti a zahlazení stop. Vědci z firmy Isec se soustředili na jiný úhel pohledu, když hledali bezpečnostní díry umožňující neoprávněnou instalaci softwaru. Nakonec dospěli k tomu, že forenzní software není tak bezpečný, jak by měl. Údajně našli i takovou chybu, která jim umožnila úplně znemožnit přístup k disku. Informace byly již předány výrobcům relevantních produktů, kteří okamžitě sjednávají nápravu. „Světlým bodem však zůstává fakt, že systémy s forenzním softwarem většinou nejsou součástí externích sítí (internetu), takže, i přes chyby je riziko ovládnutí někým zvenku poměrně nízké,“ dodávají vědci.


Estonsko příkladem
Série on-line DoS (Denial-of-Service) útoků, které vážně ohrozily celou infrastrukturu Estonska (napadeny byly např. bankovní a vládní organizace), byla nejspíše dílem ruské skupiny hackerů, jejichž motivy byly převážně politického rázu. „Událost, která začala kolem 27. dubna a trvala necelý měsíc, byla odstrašujícím příkladem toho, jak mohou velkoplošné internetové útoky paralyzovat klidně celý stát,“ říká bezpečnostní guru Gadi Evron z firmy Beyond Security, „který se obává, že nešlo o poslední obdobnou událost.“

Mnohé ruské blogy publikovaly detailní návod pro účast na útoku, a byly průběžně aktualizovány podle momentálního vývoje. Vše začalo u jednotlivých uživatelů, postupně do hry však vstoupily i celé botnety, které byly zaměřeny na konkrétní cíle. Celá akce přitom ani nezahrnovala žádné nové či příliš sofistikované postupy. „Důležité však je, co z toho vyplývá. Hlavní ponaučení je, jak důležitá je rychlá a cílená odezva. Když útoky začaly, soustředili se Estonci chybně na oběti útoku nikoli na jejich zdroje. Důležité však bylo, že poté učinili rychlá rozhodnutí o prioritě ochrany konkrétních systémů, k nimž okamžitě zamezili přístup z IP adres mimo Estonsko. Dále se snažili nastrčit množství „volavek“, s cílem odlákat pozornost od důležitějších strojů. Nakonec vše tedy dobře dopadlo, v budoucnu však již nemusí...“ dodává Evron.

Wi-fi a aplikace

Uživatelé Wi-Fi přistupující k internetovým aplikacím, jako je Google Gmail, se vystavují vysokému riziku. Podle společnosti Errata Security, je takto totiž poměrně snadné zcizit jejich uživatelské účty.

Jde údajně o problém všech RIA (Rich Internet Application), které zahrnují uživatelské účty. Nebezpečí tedy skýtají i stránky s blogy typu Blogspot, a dokonce i weby poskytující software ve formě služeb (např. Salesforce.com). Většina internetových stránek při zadávání hesla využívá šifrování, ale kvůli úspoře nákladů provozovatelé většinou již nešifrují zbylé informace, tzn. ty, které si stránka vyměňuje s prohlížečem uživatele.

Pomocí odchytávače packetů (tzv. packet sniffer), který dokáže zachytit tekoucí data, je možné získat důvěrné informace přenášené bezdrátovou cestou. Konkrétně jde o zisk personálií z přeposílaných cookies. Cookies obsahují data, jako např. poslední zalogování uživatele, či osobní nastavení. Krom toho mohou zahrnovat také unikátní identifikátor (tzv. session identifier), který je po zalogování automaticky generován.


Získáním těchto informací a jejich následným importem do vlastního prohlížeče může útočník proniknout pod napadený uživatelský účet. Ačkoli je pravděpodobné, že nebude schopen změnit heslo, neboť internetové aplikace k tomu většinou vyžadují jeho opětovné, manuální zadání, může se tak dostat např. k citlivým informacím z e-mailu či pod cizím jménem páchat škodu. V Errata Security doporučují jediné: „Uživatelé by se nikdy neměli připojovat přes veřejnou síť Wi-Fi, bez využití zabezpečného přístupu s VPN (Virtual Private Network) či SSL (Secure Socket Layer).“


Evropa vs. hrozby
Vědci pracující na projektu WOMBAT (Worldwide Observatory for Malicious Behavior and Attack Tools) na konferenci Black Hat uvedli, že budou nově sponzorováni také orgány Evropské unie. WOMBAT je projekt, jehož cílem by mělo být sledování on-line hrozeb a který je nyní zaštiťován několika evropskými společnostmi a výzkumnými institucemi. Mezi sponzory zatím patří například France Telecom či institut Eurocom.

K čemu by měl WOMBAT sloužit, je poskytování včasných varování bezpečnostním expertům o rodících se rizicích. Krom toho vědci, kteří jsou součástí projektu budou pracovat na nových technologiích určených k automatizaci sběru a analýzy malwaru. Některé z dat pak budou dostupné i veřejnosti, přístup ke kompletním datasetům však dostanou jen zúčastnění profesionálové.