Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
30 TÉMA BEZPEČNOST<br />
<br />
účinnými metodami, které umožňují ochranu<br />
webových aplikací. Ne každý programátor<br />
však ví, jak tyto prostředky použít. Spotřebitelům<br />
každopádně nezbývá nic jiného než<br />
schopnostem vývojářů důvěřovat.<br />
Info: http://www.0x90.org<br />
7<br />
MOBILY POD PALBOU:<br />
BLUESNARFING<br />
„Nokia 6310 a 8910 plus Sony Ericsson T610<br />
jsou nejvíce postižené mobilní telefony.<br />
V Evropě představují dohromady více než<br />
70procentní tržní podíl.“ Říkají to hackeři,<br />
jimž se před nedávnem podařily útoky na<br />
mobily s rozhraním Bluetooth – ze vzdálenosti<br />
i přes dva kilometry!<br />
Jako základní vybavení stačí notebook<br />
nebo PDA komunikující přes Bluetooth.<br />
S těmito prostředky hackeři nejraději napadají<br />
mobilní telefony. Jejich metoda využívá ke<br />
spojení často špatně nakonfigurované profily<br />
sériových portů. Ty mají u mobilů sloužit<br />
k propojení s „headsety“ či jiným příslušenstvím<br />
přes Bluetooth. Objeví-li útočník takový<br />
mobil ve svém dosahu, vyšle řadu speciálních<br />
AT povelů (příkazů pro Hayes modem), čímž<br />
nad mobilem získá plnou kontrolu. Může tak<br />
posílat SMS, přečíst data ze SIM karty,<br />
a dokonce i telefonovat. Je přitom lhostejné,<br />
zda byl přístroj prostřednictvím nastavení<br />
Bluetooth skryt, nebo ne; překážka pro hackery<br />
je pak jen o málo vyšší. Ani autentizace,<br />
jak je známa z regulérní komunikace přes<br />
Bluetooth, není při takovém útoku nutná.<br />
Že tato forma útoku není jen pouhou<br />
teorií, už bylo mnohokrát a velmi efektně<br />
dokázáno. Na významných veletrzích, jako<br />
ÚTOČNÍK JE VŽDY VE VÝHODĚ.<br />
AGENT FBI PŘI „MEET THE FEDS“<br />
byl CeBIT 2004 v Hannoveru nebo Electronic<br />
Entertainment Exposition 2004 v Los<br />
Angeles, bylo málo odolných přístrojů k vidění<br />
hned stovky. Ale i britský House of Parliament<br />
už se stal obětí „bluesnarfingu“. Vybaveni<br />
jedním laptopem v ruksaku objevili<br />
hackeři během čtvrthodiny 46 mobilů<br />
s „modrým zubem“, z nichž osm bylo tímto<br />
útokem zranitelných. Tak by si hackeři mohli<br />
zjistit třeba adresy členů královské rodiny či<br />
nahlédnout do jejich termínových kalendářů.<br />
Info: http://agentsmith. salzburgresearch.at<br />
SHRNUTÍ<br />
„Útočník je vždy ve výhodě.“ Těmito slovy<br />
uhodil hřebík na hlavičku jeden z přítomných<br />
agentů FBI. Vyzval proto experty shromážděné<br />
na DefCon k pozitivnímu využívání<br />
kreativity. Ale nové metody útoků, předvedené<br />
na letošní konferenci, svědčí o něčem<br />
jiném. Pravděpodobně bude i Longhorn,<br />
následovník Windows XP, ještě napadnutelný<br />
přes „Shatter Attack“ a určitě bude<br />
i nadále existovat mnoho webových stránek,<br />
které dokáže ochromit „SQL Injection<br />
Attack“. „Google Hacking“ se může stát oblíbeným<br />
sportem, dobrodružnějším povahám<br />
pak přinese čistou radost „Bluesnarfing“.<br />
Chip doporučuje: Nepřistupujte na kompromisy<br />
tam, kde jde o bezpečnost nebo o ochranu<br />
dat. Je pravda, že proti mnoha z uvedených<br />
nebezpečí ještě obrana neexistuje.<br />
Přesto byste se neměli dát odradit a všemi<br />
dostupnými prostředky – jako jsou firewally,<br />
antivirové programy a service packy – hackerům<br />
ztěžovat život. Valentin Pletzer<br />
MICROSOFT SE BRÁNÍ<br />
Microsoft to nemá lehké. Jeho produkty<br />
jsou tak rozšířené a hojně používané, že<br />
i začínající hacker bere „kreknutí“ Windows<br />
nebo MS Office jako jasnou výzvu a otázku<br />
cti. Hlavní (tehdy ještě nečekaný) nápor<br />
útoků přišel po uvedení Windows 2000.<br />
Postupem času v Redmondu zjistili, že situace<br />
se dramaticky mění a že je životně<br />
důležité se hrozbami nelegálních útoků,<br />
virů, červů nebo spamu vážně zabývat.<br />
Bezpečnost vlastních produktů se stává<br />
hlavní prioritou Microsoftu.<br />
BEZPEČNOSTNÍ MOBILIZACE<br />
Na podzim 2003 v Microsoftu oficiálně<br />
vyhlásili celosvětovou „Bezpečnostní mobilizaci“.<br />
V praxi už však nový přístup začal<br />
o něco dříve, s vývojem MS Windows 2000<br />
Server, kdy se už při zrodu nového operačního<br />
systému braly v úvahu současné a především<br />
budoucí možné bezpečnostní mezery<br />
a slabiny. Celkově však Bezpečnostní<br />
mobilizace zahrnuje několik hlavních bodů:<br />
Bezpečnostní vývoj – prvním krokem při<br />
vývoji nového komponentu je vytvoření modelu<br />
možných hrozeb a útoků, který je pak zahrnut<br />
do procesu vlastního vývoje, bezpečnostních<br />
analýz a bezpečnostních auditů.<br />
Bezpečnostní nástroje a bezpečnostní<br />
management – zahrnuje vytvoření bezpečnostních<br />
postupů pro vývojáře, administrátory<br />
i uživatele, vznik týmů připravených<br />
pomoci zákazníkům v případě bezpečnostních<br />
hrozeb a bezplatné vyškolení IT<br />
specialistů.<br />
Vlastní bezpečnostní technologie – nový<br />
ISA Server 2004 je už na světě, Active Protection<br />
Technology se brzy objeví a je tu především<br />
Windows XP Service Pack 2. „Na<br />
vývoji SP2 pracovalo rok 7000 vývojářů,“<br />
říká Detlef Eckert, Chief Security Advisor pro<br />
oblast EMEA. „Nepředpokládali jsme nutnost<br />
bezpečnostního updatu Windows XP,<br />
dokud se neobjevil Blaster,“ dodává. „Blaster<br />
byl pro nás velký impuls k jeho uvedení.“<br />
KOLIK TO STOJÍ?<br />
Častá otázka, kterou představitelé<br />
Microsoftu dostávají, je, kolik všechna tato<br />
bezpečnostní opatření skutečně stojí.<br />
„Pravdivá odpověď zní: Nevíme. Bezpečnostní<br />
hlediska se stávají natolik integrální<br />
součástí vývoje softwaru, že už nejsme<br />
schopni je oddělovat. Je to něco, co už<br />
nemůžeme vykazovat jako oddělené investice,“<br />
říká Eckert. „Není už možné říci, že<br />
například bez bezpečnostních záležitostí<br />
by byl vývoj Longhornu řekněme o 10 %<br />
levnější. Je to něco, co už by bylo mimo<br />
současnou realitu.“<br />
VŠECHNO CHCE SVŮJ ČAS<br />
V květnovém Chipu jsme psali o novém<br />
konceptu Microsoftu, nazvaném Next<br />
Generation Secure Computing Base<br />
(NGSCB). Operační systém Longhorn má<br />
počítač rozdělit na dvě oddělené části: na<br />
nechráněnou a chráněnou oblast. V ní<br />
právě poběží programy kompatibilní<br />
s NGSCB, z hardwarové stránky má funkci<br />
NGSCB zajistit speciální čip TPM (Trusted<br />
Platform Module). K tomu je však nutná<br />
spolupráce vývojářů protokolů, softwaru<br />
a výrobců hardwaru. Microsoft by samozřejmě<br />
podobné mechanismy „totální“<br />
ochrany zavedl co nejdříve, na druhou stranu<br />
na to zatím nejsou připraveni ani ostatní<br />
partneři, ani samotní uživatelé. Vypadá<br />
to, že tady Microsoft čeká ještě dlouhá<br />
cesta. Jako (možná prozatímní) řešení se<br />
nabízí využití virtuálního stroje, na kterém<br />
poběží všechny současné aplikace jako<br />
doposud, ale v bezpečném prostředí.<br />
-mk<br />
C H I P L E D E N 2 0 0 5