Hlavní navigace

Bezpečnost a marný boj s nahodilostí

Pavel Houser 6. 3. 2008

Na počítačovou bezpečnost jsme si zvykli nahlížet jako na souboj bezpečnostních firem s autory těch nejrozšířenějších červů a virů. Co když ale skutečné hrozby nepřichází přes tuto hlavní bitevní linii, ale objevují se nahodile, v podobě, v jaké bychom je nečekali? Veškeré obvyklé způsoby obrany jsou nám potom k ničemu.

Pavel Houser - karikatura

Ilustrace: Nenad Vitas

Když se začtete do tiskových zpráv a studií firem působících v oblasti bezpečnosti IT, najdete zde v poslední době několik evergreenů, v souvislosti s nimiž se mluví o vzrůstajících rizicích: Web 2.0, P2P sítě, mobilní zařízení, koncové body, VoIP…

Ne snad, že by to nebyla pravda, je to ale podle mého názoru jenom jedna její část. Pokud existují viditelné trendy, jde proti nim postupovat celkem standardními prostředky. Tomu konec konců odpovídají i nově uváděné produkty a služby, které si u jednotlivých dodavatelů bývají docela podobné. Do balíčků z firewallů, antivirů, antispamů a podobných nástrojů přibývají webové štíty, řešení, které mají chránit tisk citlivých dat či jejich kopírování na zařízení USB, ochranu pro uživatele firemních notebooků…

Potíž je však v tom, že celá řada bezpečnostních hrozeb se objevuje spíše náhodně, bez výrazného trendu.

Pokud čtete zahraniční servery, vyskočí nějaký problém prakticky každý den. Teď byla třeba na univerzitě v Cambridge demonstrována chyba zabezpečení transakcí prostřednictvím platebních karet (New Scientist; obdobné fígle s upravenými bankomaty se objevily i u nás, novou vlastností podvodné metody reportované z Británie má být její jednoduchost). Současně se podle amerického Computerworldu objevila k prodeji nabízená databáze hromady přístupových hesel k FTP serverům, přičemž postiženy mají být i velké společnosti a často navštěvované weby.

Krátce předtím zase přišli výzkumníci z Indiana University s tím, že útočníci by mohli převzít kontrolu nad většinou routerů v sítích WiFi. A před pár dny ukázali vědci z Princetonské univerzity, že paměť DRAM notebooků uchovává data i krátce po vypnutí přístroje. Pokud je tedy zloděj notebooku dostatečně rychlý, dostane se k obsahu této paměti včetně šifrovacích klíčů. Dobu, po níž zůstanou data dostupná, lze zvýšit třeba zchlazením čipu. A tak dále.

Jak si lze všimnout, tato oznámení jsou často publikována v rámci univerzitního výzkumu, může jít tedy spíše o teoretické zranitelnosti Tím by se dalo vysvětlit, že i když je potenciálních netěsností tolik, skutečných bezpečnostních pohrom zase tak mnoho nenastává.

Hlavní problém těchto každodenně oznamovaných chyb je podle mého názoru ale v tom, že s tímhle vším se dá těžko co dělat. Problémy jsou to strašně heterogenní, rozumně se lze zabezpečit proti rizikům, které jsou součástí nějakého obecnějšího trendu nebo postihují stále tytéž konkrétní aplikace.

Spousta drobných děr prakticky na každém stupni počítačové infrastruktury sice sotva způsobí nějakou celosvětovou kalamitu (na to jsou zase nepříliš lukrativní pro narušitele, zisk ze zneužití nejistý), ale v úhrnu se takhle mohou nasčítat větší škody, než by způsobila kritická chyba v nejrozšířenějším operačním systému nebo prohlížeči.

Navíc tahle selhání postihují spíše mezery mezi jednotlivými úrovněmi infrastruktury, u kterých není ani jasné, kdo by za ně měl být zodpovědný. Vezměme si třeba případ s kradenými notebooky a možností získat z nich obsah paměti DRAM. Kdo by s tímhle měl vlastně něco dělat?

Návrh „řešení“: V některých zemích nutí legislativa firmy či instituce, aby samy oznámily, pokud došlo ke ztrátě zařízení obsahujícího citlivá data, může zde však existovat výjimka pro případ, kdy jsou použity šifrovací technologie. Je tedy možné prostě pokrčit rameny, vzít vše na vědomí a výjimku zrušit. Už to, že objevitelé bezpečností díry navrhují právě takovéhle řešení, svědčí o jisté bezradnosti.

WT100

Zvykli jsme si žít s tím, že mezi obránci a útočníky probíhá nepřetržitá válka, závody ve zbrojení, kde lze zvítězit pouze dočasně. Když přestane fungovat textový spam, nastoupí obrázkový nebo PDF nebo kdovíjaký jiný. V tomhle případě se ale bojuje stále na určitém konkrétním, poměrně definovaném poli. Výše popsané incidenty představují spíše drobné šarvátky, krátké střety, které vyzní nejspíš do ztracena a za chvíli k nim dojde někde úplně jinde. Z jednoho incidentu neplyne žádné poučení, nelze z něj odhadovat, co se stane příště. Možné škody se dají predikovat de facto jen statisticky, nevyplatí se proti nim vyvíjet specializované a sofistikované nástroje, na to jsou příliš krátkodobé a proměnlivé.

Nakonec asi nezbývá než si připustit, že od určité úrovně složitosti systému nad ním nikdo nemá detailní přehled (což naštěstí platí i pro útočníky) a i v oblasti počítačové bezpečnosti hraje velkou roli náhoda. A snad bychom měli zapomenout i na přesvědčení, že všechno, co se stane, je nutně „užitečnou zkušeností“, z níž je třeba odvozovat nějaké hluboké poučení a obecné zákonitosti. Kromě jediné: stoprocentně bezpeční nebudeme nikdy.

Našli jste v článku chybu?
Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

DigiZone.cz: Slovensko: startuje sportovní TV 213

Slovensko: startuje sportovní TV 213

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma