reklama

Bezpečnostní svodka: Únik informací o hackerech v CIA není tak zlý, jako ohrožené e-podpisy

  • Únik dat „Vault 7“ obrací pozornost k útokům nultého dne a nutnosti aktualizovat software.
  • Zkratka SHA-1 děsí odborníky na bezpečnost, i když se tento systém dávno nemá používat.
  • Bezpečnost internetu neohrožují jen zločinci, ale také lidské chyby a koncentrace moci.
CIA, ilustrační foto CIA, ilustrační foto Foto: Wikipedia

WikiLeaks mají další zářez: Pod názvem Vault 7 projekt publikoval obrovské množství dokumentů o činnosti americké CIA v oblasti kybernetické bezpečnosti, zejména kybernetických útoků. Obsah publikovaných zpráv není nijak překvapivý, ve své podstatě jenom potvrzuje to, co bezpečnostní komunita z dosud známých informací předpokládala.

Například: Ač byla Obamova administrativa dotlačena k přijetí pravidel pro nakládání s objevenými bezpečnostními chybami (že by měla informovat výrobce, aby chyba mohla být opravena), tato pravidla byla rutinně porušována. Že CIA má kybernetické ofenzivní kapacity, nebo chcete-li hackery, kteří útočí na cokoliv – na mobily, řídící systémy aut, chytré televize…

Předpoklady tohoto typu byly potvrzeny, samozřejmě jsou-li dokumenty pravé. Je pravděpodobné, že další scénář bude podobný jako v případu úniku podobného druhu informací od NSA: útoky tohoto typu se demokratizují. V následujících týdnech a měsících ty techniky, které nasazovala CIA proti vybraným cílům, uvidíme v rukou běžných kriminálníků. O závažnosti zveřejněných informací svědčí vyjádření velkých firem, které vysvětlují, že většinu útoků už není možné použít, nebo že pracují na co nejlepším zabezpečení svých produktů.

Vault 7 je další důvod, proč ke kybernetické bezpečnosti přistupovat zodpovědně, neboť podobné techniky používají všechny zpravodajské služby všech států světa, které toho jsou jenom trochu schopny. Je ovšem otázkou, nakolik toho české orgány budou schopny, protože se potýkají s nedostatkem lidí, prostředků a zejména politické vůle a odvahy. A mají čím dál tím větší deficit i v oblasti dobrého jména: vojenské zpravodajství, které má být zodpovědné za kybernetickou obranu ČR, si uřízlo ostudu tím, že si nechalo chytit vlastního příslušníka ministerskou ochrankou. To sice s kybernetickou ochranou vůbec nesouvisí, ale dobré jméno této organizace je již dost pošpiněno předchozími aférami a jistě mu nepomůže ani na domácí, ani na zahraniční půdě.

Problémy s šifrováním SHA-1

Bezpečnostní svodka v minulosti opakovaně upozorňovala na to, že se blíží definitivní konec hashovacího algoritmu SHA-1.  Ostatně, nebyla sama - že se blíží nalezení kolizních zpráv bylo jasné všem v oboru. Načež první kolizní zprávu nalezl Google. Vytvořil dva PDF dokumenty s různým obsahem, které ale mají stejný SHA-1 hash. Útok pravda není něco, co byste chtěli počítat doma na koleni: vyžaduje ekvivalent 110 let single-GPU výpočtů. Nicméně z toho vyplývá, že s pronájmem tisícovky GPU dokážete SHA-1 prolomit zhruba za měsíc, a to už je v rámci dosažitelnosti mnoha subjektů.

No a jakmile byla jednou plechovka s červy otevřena, zpátky se dostat nedají, takže máme další hezké demo: dva spustitelné EXE soubory, které mají stejný MD5 i SHA-1 hash, ale dělají různé věci.

Co je SHA-1 algoritmus a proč je důležitý? SHA-1 je hashovací algoritmus, slouží k výpočtu "otisku" nebo "kontrolního součtu" dat. Je to speciální matematická funkce, která funguje jenom jedním směrem: z libovolných dat spočte jejich otisk, který je pro stejná data vždy stejný, ale ze znalosti otisku nelze získat zpátky původní data nebo vygenerovat nová, která budou mít stejný otisk. Tedy - nemělo by to být možné. U SHA-1 nyní dokážeme vytvořit dvě zdrojové zprávy, které mají stejný otisk.

Hashovací algoritmy se používají k ověřování autenticity certifikátů, elektronických podpisů, časových razítek, stahovaných souborů, v systémech pro verzování zdrojového kódu… Na všech těchto místech se počítá s tím, že dvoje různá data nebudou mít tentýž hash.

Algoritmus SHA-1 již léta není doporučeno používat. Měl by být nahrazen algoritmy z rodiny SHA-2 (SHA-256, SHA-512 apod.) nebo zcela novým SHA-3. Nicméně přesto se s ním z historických důvodů setkáte na řadě míst, a proto je současný objev dosti problematický.

Nebezpečný internet v rukou pár firem

Pokud nejste „z oboru“, nejspíše jste jméno americké společnosti CloudFlare nikdy neslyšeli. Je ale téměř jisté, že jste nevědomky využívali jejích služeb. Jejími zákazníky jsou projekty jako Zendesk, DigitalOcean, CoinBase, Patreon, Uber, Yelp, 4chan, Fitbit či zhruba tři tisíce českých domén – včetně většiny projektů autora tohoto článku. CloudFlare nám poskytuje infrastrukturní služby: provoz spolehlivých DNS serverů, ochranu proti nejrůznějším druhům útoků včetně DDoS, HTTPS offloading, cacheování a globální distribuci obsahu nebo třeba podporu IPv6 a HTTP/2. Pro menší projekty dokonce zdarma. Jádro jeho služeb funguje tak, že se celosvětová síť CloudFlare serverů postaví mezi váš server a uživatele, díky čemuž je server chráněn před útoky z Internetu.

Před několika týdny se nicméně v systému CloudFlare objevila z programátorského hlediska vcelku triviální buffer overflow chyba. Jejím důsledkem však bylo, že se za určitých okolností náhodně mohla část HTTP požadavku nebo odpovědi dostat do odpovědi ze serveru jiného zákazníka. Včetně citlivých informací, jako jsou autentizační tokeny, hesla, personalizovaný a důvěrný obsah… Na chybu přišel Google v rámci své iniciativy Project Zero a CloudFlare ji odstranil během několika hodin. Škoda však již byla nadělána: obsah může žít v různých cache po Internetu nekonečně dlouho. CloudFlare se podařilo dohodnout se na odstranění tohoto obsahu z různých high-profile služeb (jako třeba Google cache), ale naprostou jistotu nebudou mít nikdy.

Chyba sama není nijak zvláštní, podobné věci se prostě stávají, ale ohromující je její rozsah. Za CloudFlarem se schovává překvapivě velký kus Internetu. A ukazuje se, že prostředí vzniklé na principech odolnosti a decentralizace je v současnosti překvapivě monokulturní. Internet je dnes fakticky v rukách malého množství velkých poskytovatelů služeb. Google, Amazon, Microsoft, Akamai… Pokud zakolísá kdokoliv z těch velkých, důsledky zasáhnou skoro každého.

Jenom o pár dnů později jsme si zažili něco podobného v trochu jiné podobě, kdy měla výpadek část cloudu Amazonu. Prvotní příčinou byla triviální lidská chyba, v podstatě překlep. Důsledkem byla nedostupnost mnoha webů a webových služeb, které na Amazonu závisí. Paradoxně včetně stránky Amazonu s informacemi o výpadcích. Není tomu tak dlouho, co v ČR vypadly služby Google, včera mělo výpadek datové centrum T-Mobile a autentizační servery Microsoftu.

Koncentrací Internetu do rukou velkých hráčů vzniká nebezpečná monokultura, kdy selhání jednoho hrozí dalekosáhlými následky. Viděli jsme to před třemi lety v případě chyby Heartbleed, která zasáhla OpenSSL, s náskokem nejpoužívanější kryptografickou knihovnu na světě. O pár měsíců později Shellshock, chyba v Bashi, která tam vydržela čtvrt století a která nadále ohrožuje milióny zařízení založených na různých verzích Unixu a Linuxu.

Provoz internetových služeb se vším všudy začíná být natolik náročný, že pro mnoho provozovatelů je nepraktické nebo rovnou nemožné si vše zajišťovat vlastními prostředky. Vypadá to, že jako lidská společnost přirozeně tíhneme k centralizaci. I když technologie umožňuje distribuci, stejně se svěříme do rukou několika velkých. A padnou-li, padneme s nimi.

Krátce ze světa bezpečnosti

Bug bounties, tedy odměny za nalezení a nahlášení bezpečnostních děr, jsou velmi dobrý způsob zvyšování bezpečnosti produktů a služeb. HackerOne, jedna ze společností, která pro firmy podobné programy organizuje, nabídla své služby open source projektům zdarma. Odměny za ně vyplácet nebude, ale zajistí technické a organizační aspekty. Společnosti Google a Microsoft zase rozšířily své bug bounty programy a navýšily odměny v nich.

V Německu před časem zakázali prodej mluvící panenky, která se připojuje k Internetu a využívá analýzu hlasu dítěte. Podle německého práva je klasifikována jako zakázané odposlouchávací zařízení. Tento krok se ukázal jako prozíravý, neboť dalšího výrobce "chytrých" hraček postihl bezpečnostní průšvih. Tentokráte se jedná o značku CloudPets, který vyrábí různé mluvící plyšáky. No a společnost měla do Internetu vystavenou MongoDB databázi zcela prostou jakéhokoliv zabezpečení. A v ní údaje o více než 800 000 uživatelích a přes dva milióny nahraných hlasových zpráv mezi dětmi a rodiči. Rozvinul se okolo toho zajímavý příběh únosů dat za výkupné, tradičního korporátního lhaní o příčinách, následcích a okolnostech… Zájemci si celou story mohou přečíst na webu Troye Hunta.

Bezpečnostní analytici z Cisco Talos popsali zajímavý malware DNSMessenger. Zajímavý je tím, že na počítači přežívá a funguje i bez nutnosti zapisovat soubory na disk a komunikuje pomocí DNS dotazů, které zpravidla nejsou v žádných sítích blokovány.

Společnost Uber provozuje v rámci svého systému projekt Greyball, jehož smyslem je blokovat uživatele, kteří Uberu škodí – porušováním smluvních podmínek, jako zaměstnanci konkurence nebo třeba místních a státních úřadů, které se snaží Uber kontrolovat a zakázat. Uber v rámci projektu Greyball používá metody a algoritmy, které bychom čekali spíše od tajných služeb (a nepochybně jsou jimi i inspirovány).

Geofencing, strojové učení a odhalování souvislostí, kontrola profilů na sociálních sítích… Státy toho o nás vědí čím dál tím více a šance bránit se nejrůznějším elektronickým evidencím je z pohledu běžného občana velmi malá. Ale velká korporace státům připomíná, že tuhle hru mohou hrát dva. Že městské autority sice mohou zkusit řidiče Uberu kontrolovat a pokutovat, ale že Uber zase může kontrolory detekovat a buďto je přímo zablokovat a neumožnit jim objednání, nebo jim zobrazit falešná data.

Může se stát, že korporace typu Uber budou naší jedinou obranou proti státnímu šmírování. Je ovšem také stejně dobře možné, že se jako uživatelé dostaneme do nezáviděníhodné pozice zrnka mezi dvěma mlýnskými kameny.

Na darkwebu jsou k prodeji databáze miliónů e-mailových účtů na službách Yahoo a Gmail včetně hesel v otevřeném tvaru. Jedná se nejspíše o kompilaci dat z různých zdrojů a předchozích úniků. Ceny jsou poměrně nízké, pohybují se v řádu desítek dolarů. Získaná data lze využít ke spamování nebo k dalším útokům na nic netušící oběti.

Bezpečnostní útoky se nevyhýbají ani spammerům samotným. Jednomu z těch největších, známému jako River City Media (RCM) unikla databáze obsahující údaje o 1,4 miliardě uživatelů - e-mailové adresy, ale mnohde i poštovní adresy a občanská jména.

Ve věku nedožitých 41 let při seskoku padákem zemřel Nikolaj Lichačev, známější jako Kris Kaspersky (neměl nic společného s firmou Kaspersky Lab ani jejími zakladateli, svůj pseudonym si zvolil podle ducha Caspera ze stejnojmenného filmu). Kris byl původem ruský hacker ze staré školy, spisovatel a bezpečnostní výzkumník, naposledy pracující pro společnost CheckPoint. Čest jeho památce.

 

Michal Altair Valášek
Přeposlat
Diskuse
reklama
comments powered by Disqus
reklama

Čeští vývojáři lobbují u státu za lepší podmínky. Hry se mohou stát vývozním artiklem jako auta, říká Bělobrádek

Co prosazují na Šumavě ekologové, je úchylka a masochismus, říká největší šumavský hoteliér Talián

Růžová kola přechází z aktivity nadšenců v byznys. Bicykly zdražují a přicházejí o duši

Česku vyhovují změny, kterými má projít Evropská unie. Premiér Sobotka je na summitu v Římě podpoří

České podnikatelské baroko: Paláce s výklenky, věžemi a mansardovými střechami i domy jako ze stavebnice

X
Nemáte-li registraci, pokračujte zde
Nepamatuji si heslo
Potřebujete poradit?
Volejte:233 071 197
e-mail: predplatne@economia.cz