facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přihlášení SystemNEWSPřehledy
 
Tematické seriály

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 
Nové!

RPA - automatizace procesů

Softwaroví roboti automatizují obchodní procesy.

články >>

 
Nové!

IoT – internet věcí

Internet věcí a jeho uplatnění napříč obory.

články >>

 
Nové!

VR – virtuální realita

Praktické využití virtuální reality ve službách i podnikových aplikacích.

články >>

 
Nové!

Bankovní identita (BankID)

K službám eGovernmentu přímo z internetového bankovnictví.

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
 
Partneři webu
IT SYSTEMS 7-8/2015 , IT Security

Největší únik vládních dat v historii USA



AECInformace je již od prvopočátku nejhodnotnější komoditou a neplatí to pouze pro komerční sféru. I vlády různých zemí již před lety pochopily, že kybernetický prostor je živnou půdou pro rozličné formy průmyslové špionáže. Zda je to případ i události, o které hlásá titulek, ponechám čistě na úsudku čtenáře, za sebe doplním pouze fakta obohacená vlastními postřehy.


Začátkem června letošního roku byl oznámen masivní útok na servery amerického úřadu Office of Personnel Management (OPM), při kterém byla odcizena osobní data 4,2 milionu federálních činitelů. OPM spravuje data všech státních zaměstnanců vyjma vojáků, agentů tajných služeb či například kongresmanů. Mezi uniklými daty nechyběly vedle jména a adresy i vysoce citlivé informace, jako jsou čísla kreditních karet, výše platů, pojistek atp. Mimo to zmíněný úřad vydává bezpečnostní prověrky, jedná se tedy o obdobu našeho NBÚ.

Spojené státy z úniku dat neoficiálně obvinily Čínu, neboť stejně jako v případě loňského neúspěšného útoku na totožný cíl byl i ten letošní, vydařený, veden z čínských serverů. Nikoho asi nepřekvapí, že Peking daná nařčení rezolutně odmítá. Zde bych rád připomněl nedávný útok na společnost Sony Pictures vedený ze severokorejských serverů. USA tehdy rovněž obvinily tento nedemokratický stát, a to bez předložení jakýchkoli důkazů. Buď si jsou hackeři stojící za danými útoky sebou tak jisti, že neskrývají svoji identitu, nebo není vůle dopátrat se skutečných pachatelů, neboť současný stav více odpovídá západní propagandě.

Po několika dnech přišel prezident odborové organizace vládních zaměstnanců s tvrzením, že byla odcizena databáze všech současných, milionu bývalých a potenciálně nových federálních zaměstnanců. Podle vyšetřování FBI mohl útok postihnout až 18 milionů lidí. To nakonec po důkladném vyšetřování přiznalo i samotné OPM a všem poškozeným nabídlo na 18 měsíců zdarma služby společnosti CSID zabývající se ochranou před zneužitím soukromých dat.

Podíváme-li se zběžně na zabezpečení webových služeb úřadu OPM, zjistíme, že hlavní stránky jsou minimálně v současné chvíli chráněny kvalitně, to se ovšem nedá říci o více jak tuctu mnohdy neudržovaných či dokonce zapomenutých subdomén z minulých let. Tyto subdomény jsou o poznání hůře zabezpečené a i při nevinném oťukávání lze narazit na kritické zranitelnosti, jako jsou SQL Injection nebo Stored XSS. Na adrese listserv.opm.gov se nachází mailing list, kam se může zaregistrovat kdokoliv i mimo úřad OPM a sbírat tak nejen informace z interního prostředí, ale i kontaktní údaje zaměstnanců. Na fedscope.opm.gov se pro změnu nachází volně dostupná starší verze aplikace IBM Cognos pro tvorbu OLAP kostek nad databází všech federálních zaměstnanců do roku 2014. Pokud aplikace nepracuje nad anonymizovanými daty, pak i ona skýtá potenciální riziko. Navíc lze ve většině aplikací OPM vložit do vyhledávacího pole metaznak „%“, který se v databázi interpretuje jako libovolný řetězec a na výstup vrátí všechny řádky, které jsou v tabulce uloženy. I to by mohl být vektor útoku, jak se dostat k více než jednomu záznamu při vyhledávání osob. Ostatně, podobný trik funguje ve vyhledávacích polích i na stránkách rozličných českých úřadů.

Žádná webová aplikace není dokonale zabezpečena a o těch patřících zpravidla zkostnatělým státním institucím to platí dvojnásob. Nabízí se proto otázka, zda za útokem musela nutně stát vládou placená skupina hackerů, nebo se jen Spojené státy snaží skrýt svoji neschopnost zabezpečit vládní servery mediálně výživnějším příběhem o průmyslové špionáži cizího státu.

Závěrem připomeňme, že podobně masivní úniky citlivých dat nejsou ve světě ničím neobvyklým. Vloni došlo hned ke dvěma úspěšným útokům na vládní servery v Srbsku a Jižní Koreji, při kterých byly odcizeny národní databáze obyvatel obsahující nacionálie 80 % obyvatelstva těchto dvou států.

Ing. Martin Klubal, AEC Ing. Martin Klubal
Autor článku působí jako IT Security Consultant ve společnosti AEC, spol. s r.o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

VMware Experience Day ve vánočním duchu: diskuze s největšími cloud providery i stand up!

VMware Experience DayZajímaví hosté zastupující AWS, Microsoft, Google Cloud nebo Geetoo, zásadní témata i vystoupení populární komičky. To vše na online semináři VMware v úterý 7. prosince.