Bohdan Vrabec, PCS: chytrých mobilů přibývá, malware taky
Malware určený pro mobilní telefony není žádnou novinkou, setkáváme se s ním téměř deset let. Rok 2009 byl ale z hlediska mobilní bezpečnosti přelomový, protože v tom roce začaly prudce růst prodeje chytrých telefonů. Zároveň začal analogicky růst zájem o vývoj malware pro tato zařízení.
Bohdan Vrabec začal některými zajímavými čísly. Více než 250 000 zařízení je ročně ztraceno na letištích v USA. Celosvětově se ročně ztratí asi 30 % mobilních zařízení a asi čtvrtina uživatelů v nich má citlivá data,
varoval Vrabec.
Zajímavé je rozložení malware podle platforem, na které útočí. Přesun z těch starých na nové je velmi pozvolný. Nejvíce je stále napadána platforma J2ME a na druhém místě je Android. Předpokládám ale, že Android se letos dostane na první místo.
Škodlivých aplikací jsou tisíce a každým rokem přibudou stovky dalších. Celkem detekujeme asi 5000 mobilních hrozeb, jen vloni se jich objevilo rekordních 680.
Zdaleka nejde jen o viry, které se šíří přes webové stránky nebo WiFi sítě. Velkou část škodlivých aplikací si do telefonu zavlečou sami uživatelé. Jen na Android marketu se v loňském roce objevilo asi 50 aplikací, které byly totožné s běžnými aplikacemi, ale obsahovaly navíc zákeřný kód,
popsal Vrabec poměrně běžnou praxi, kdy se v marketech objevují kopie programů pod mírně pozměněným názvem, které ale navíc jako „bonus“ obsahují malware.
Čím dál častěji se hrozbou stávají také QR kódy, které byly dříve doménou několika nadšenců a dnes je zná celý svět. Objevuje se jich čím dál více, lidé si na ně začínají zvykat a běžně je používají. Jedná se přitom o efektivní metodu, jak napadnout uživatele. Stačí si vytvořit nebezpečnou stránku a přelepit QR kódy třeba na reklamách v metru. První takový útok byl zaznamenán v Jižní Korei a poté v Rusku,
varuje Bohdan Vrabec.
Po napadení si uživatel obvykle ničeho nevšimne, ale telefon je už plně v rukou útočníka. Jeho možnosti jsou přitom neomezené. Pokud se vám takový malware dostane do mobilu, je možné s ním toho dělat poměrně dost. Je možné posílat SMS, tajně vytáčet placená telefonní čísla, blokovat instalaci antivirů nebo se otevřou dveře pro další hrozby.
Útoky na mobilní zařízení jsou nepříjemné pro uživatele, ale velmi nebezpečné pro firmy. Uživatelé dnes velmi často přistupují k firemním datům z mobilů, tabletů a dalších mobilních zařízení. Tudy je pak možné data odcizit. Naštěstí už si to administrátoři uvědomují a začínají se proti tomu bránit. Ať už instalací antivirů nebo osvětou uživatelů.
Ivo Rosol, OKsystem: česká elektronická občanka je k ničemu
Všichni jsme zvyklí používat takzvané chytré čipy, které najdeme v SIM kartě, platební kartě nebo třeba v set-top-boxu pro satelitní televizi. V posledních letech ale nastupuje plošná aplikace v nových oblastech. Prvními pionýry byly cestovní pasy, dnes se rozšiřuje i do občanských průkazů a dalších karet,
řekl na úvod své přednášky Ivo Rosol.
Hlavní funkcí čipu v dokladu je zlepšení odolnosti proti padělání. Kromě samotné papírové nebo plastové kartičky je v případě padělání třeba vytvořit také obsah čipu, který je chráněn elektronickým podpisem. Kromě toho je ale možné elektronický doklad využít také ke zcela novým účelům. Novou funkcí je využití při on-line službách, kdy zatím nemáme možnost se prokázat identifikačním dokladem.
Stále častěji se nasazují bezkontaktní karty místo kontaktních. Bezkontaktní karta je spolehlivější, protože se nemohou poškodit kontakty ani se nevylomí čip na jejím povrchu. Pracuje se s ní lépe, protože ji stačí přiložit a nemusíme ji nikam přesně zasouvat. Navíc, což je překvapivé, je možné přenášet data rychleji. Nevýhodou je, že nemusíme udělat vůbec nic a stejně je možné kartu v naší kapse použít..
Lidé se často bojí, že jim z karty někdo vyčte data na dálku. Ivo Rosol připomněl, že energie pole ubývá s třetí mocninou vzdálenosti. Norma definuje možnost čtení bezkontaktních karet na 10 cm. Když zvýšíme vzdálenost na 30 cm, sníží se intenzita pole tisíckrát. Myslet si, že s kartou je možné komunikovat na deset metrů, je absurdní,
uklidňuje Rosol. Potvrzuje ovšem, že je možné odposlouchávat komunikaci karty se čtečkou.
Od začátku letošního roku je vydáván český občanský průkaz se strojově čitelnými údaji. Volitelně je možné mít v kartě i kontaktní čip, což slibuje velmi široké využití v elektronické komunikaci, zabezpečení, uložení klíčů a podobně. Praxe je ovšem bohužel jiná. Čip není prakticky možné využít k ničemu. Je možné do něj nahrát kvalifikovaný certifikát, to je všechno.
Naopak nahrání nekvalifikovaného certifikátu je trestným činem se sazbou až tři roky. Uživatel tedy nemá ze zákona možnost využít kartu k uložení svých certifikátů. Dle zákona se jedná o pozměňování dokladu, takže to nedoporučuji dělat, i když to technicky není problém,
varuje Rosol.
Na čipu občanského průkazu jsou nahrané jen dva aplety – jeden umožňuje zmiňované nahrávání kvalifikovaného certifikátu a druhý zjišťuje, kolik je na čipu volného místa. Nic víc čip neumí. Hlavně na něm není ta samotná občanka! To, co máme na plastové kartě, vůbec není na čipu,
rozčiloval se oprávněně Ivo Rosol. Stejně tak na čipu chybí jakákoliv aplikace pro autentizaci.
Ivo Rosol dále hovořil o tom, jak Němci zvládli své elektronické občanky bravurně a bez chyb, kterých se dopustili Češi. Kdybychom jen převzali německou občanku, udělali bychom líp. Oni by byli rádi, my bychom nemuseli nic draze vyvíjet a fungovalo by to. U nás je to celé hodně amatérsky udělané,
povzdechl si na závěr Rosol.
Ondrej Mikle, CZ.NIC: autoritám je třeba odebrat jejich moc
Poslední rok byl poměrně bohatý na různé události okolo SSL certifikátů. Před rokem si Comodo hacker vydal certifikáty pro Gmail, Mozillu a mnoho dalších. Ty pak byly použity ke sledování 300 000 íránských IP adres. Letos se autorita Trustwave přiznala k vydávání MitM certifikátů. To jsou jen ty mediálně známé případy,
řekl na úvod Ondrej Mikle.
Případů napadení různých autorit nebo jejich nebezpečného chování je daleko více. Dělal jsem analýzu CRL revokačních seznamů a našel jsem 14 autorit, které revokovaly certifikáty z důvodu kompromitace,
řekl Mikle. Ani to zdaleka nejsou všechny případy. Některé autority se nepřiznají a navíc se staré revokace časem mažou, takže už o nich nevíme.
Protože klesá důvěra v tyto autority, je tu pochopitelná snaha autoritám odebrat alespoň část jejich moci. Vznikají proto nové způsoby ověřování pravosti certifikátů. Klasickou metodou je hlídání certifikátu z různých nezávislých stran. Uživatel se tak dotáže nějakého prostředníka, jestli na serveru vidí stejný certifikát jako on. Problém ale nastává u různých cloudových systémů, kde každý uzel má vlastní certifikát. Při každém dotazu tak můžete dostat odpověď z různých uzlů,
vysvětlil Mikle.
Je třeba vymyslet nové protokoly pro výměnu informací o pravostech certifikátů. Nejnadějnější je protokol DANE, na jehož vývoji se podílí i český CZ.NIC a Google. Pravděpodobně bude brzy k dispozici RFC, které urychlí praktické nasazování. DANE umisťuje do DNS nový záznam, který obsahuje otisk certifikátu, který je zabezpečený DNSSEC podpisem. Klient po připojení klasicky ověří celý řetězec a navíc se podívá, zda je v DNS otisk některého certifikátu z tohoto řetězce. Pokud tam není nebo není správný, spustí aplikace poplach, vysvětluje Mikle princip DANE.
Google představil vlastní řešení zvané Certificate Transparency. Všechny certifikáty vydané od CA budou ve veřejně přístupném logu. Jsou uspořádány do takzvaného Merkleho stromu, jehož výhodou je, že stačí podepsat jen část větve nebo jen kořen.
Nevýhodou je, že správce každého serveru musí sám kontrolovat, jestli se tam neobjevil certifikát, který si nenechal vydat. Navíc musí autority spolupracovat, aby tento log doopravdy fungoval. Na druhou stranu, kdo by si dovolil odporovat Google,
přiznává Mikle.
Existují další návrhy na řešení, jako například Sovereign certificate, či Mllutually Endorsing CA Infrastructure. Podle Ondreje Mikleho jsou tyto metody ale příliš komplikované, než aby se v praxi skutečně ujaly. Mě nejvíce se líbí DANE, protože je jednoduchý a funkční, ale nic nebrání v nasazení všech čtyř technologií najednou,
uzavřel Mikle.
Daniel Dočekal: z internetu se nedá nic smazat
Daniel Dočekal je předním českým odborníkem na sociální sítě a na konferenci přišel s pomyslným zdviženým prstem. Sociální sítě toho o nás chtějí vědět co nejvíce. A čím více toho vědí, tím méně jim to přijde použitelné a chtějí toho vědět ještě více. Došlo to už do neuvěřitelných podob, kdy se kradou osobní údaje a identity,
začal Dočekal. Dění podle něj překvapilo uživatele, ale i samotné provozovatele a státní aparát.
Dnes jsme na sociálních sítích prakticky od narození a ony o nás tak vědí i ty nejintimnější detaily. Na Facebooku jsou dnes běžně desetileté děti. Jsou i takoví „magoři“, kteří založí dítěti Facebook hned po narození. A dají mu tam fotku, kde poprvé čůrá, dělá bábovičku a jde do školy. Až dítě dospěje, bude mít krásnou digitální stopu, které se nezbaví ani po smrti. Otázka zní, jestli o ni stojí.
Odhaduje se například, že na Facebooku je už několik milionů mrtvých lidí, jejichž profily už nikdo nikdy nesmaže. Z Facebooku se tak stává „sociální hřbitov“.
Bezpečnostní gramotnost uživatelů navíc paradoxně klesá, i když je jim stále vtloukáno, jak se mají na síti chovat. Člověk by řekl, že s přibývající zkušeností jsou uživatelé čím dál chytřejší. Mně připadá, že jsou čím dál blbější,
říká ironicky Dočekal. Dokládají to také nejoblíbenější české facebookové stránky. Z první desítky není podvodná jen jedna. Ostatní jsou nesmysly jako „Vytvoř si svou fotku z Avataru a podívej se, jak bys vypadal“. A tomuhle věří půl milionu lidí,
kroutí hlavou.
Soukromí se na Facebooku nenápadně vytrácí, pravidla se stále uvolňují. Dnes je standardně vše nastaveno tak, že většinu informací z profilu už vidí celý internet. Trend je takový, že všechno co uděláte, bude mít k dispozici kdokoliv, aby je nějak využil. Pohnutky jsou za tím zcela mrzké, protože oni doufají, že to dokáží nějak zpeněžit,
říká Dočekal, ale sám pochybuje o tom, že je to vůbec možné. Považuji to za naprosto absurdní, nikdo nedokáže z 800 skupin, kde jsem fanoušek, vydedukovat, co se mi líbí.
Přestává být jasné, kde začíná a kde končí naše soukromí. Za pomyslná cukrátka vyměňujeme stále více a více svého soukromí. To je moderní web – poskytujeme vám služby zdarma, které jsou ale jen zdánlivě zdarma. Soukromí se stalo zpeněžitelnou komoditou. Nikomu nedělá problémy nás sledovat, agregovat, dolovat informace.
Na internetu po sobě neustále zanecháváme digitální stopu. Zůstanou po nás terabajty osobních informací, fotografií, údajů, statusů, komentářů, citací a dalších informací. Tato stopa je navíc čím dál více nesmazatelnější,
varuje Dočekal a poukazuje na to, že často ani nevíme, co se s našimi daty děje a nemůžeme je ani smazat.
Facebook například nikdy doopravdy nemaže fotografie, které jste už odstranili. Jako důvod uvádí, že to z technických důvodů nejde.
Stejně tak pomocí cookie sleduje uživatele i po odhlášení z profilu. Tvrdí, že je to pro bezpečnost uživatele, aby mu nikdo neodcizil účet. Stejný nesmysl jako v předchozím případě.
Internet se stává více „sociálním“, což ale neznamená, že je společenštější. Znamená to, že o vás více firem má více informací. Vítejte na sociálním internetu, kde si nesmíte ani upšouknout, aby o tom nevěděli vaši přátelé. A vždycky k tomu bude nějaká aplikace.
ČLÁNKY DO MAILU