Nová éra v kyberbezpečnosti: Prémie za nalezení chyby v softwaru

Nová éra v kyberbezpečnosti: Prémie za nalezení chyby v softwaru

Kybernetický zločin je to skutečný byznys. Předpokládá se, že do roku 2021 budou úniky dat po celém světě stát celkem 6 trilionů dolarů USA ročně, což je dvakrát více než v roce 2015 (Cybersecurity Ventures). Podle studie Ponemon Institute pro společnost IBM (Ponemonstudy for IBM) hodnota průměrného úniku dat pro společnosti po celém světě tvoří 3,86 miliónů dolarů USA, zatímco čas vynaložený na zjišťování úniku dat činí v průměru 196 dní. Analytická agentura Gartner předpovídá, že do roku 2020 bude asi 60 % firem investovat do vývoje kybernetické bezpečnosti.

Kryptozločin v mnoha podobách

Úniky dat, používání škodlivých programů pro výkupné (ransomware), využívání uživatelských prostředků pro mining kryptoměn (cryptojacking), ohrožení připojených zařízení — to vše je stálým zdrojem příspěvku k vývoji statistik a shromažďování informací o kyberbezpečnosti. Majitelé firem po celém světě musí pochopit, že jejich organizace představují skutečné příležitosti pro hackery, přitom sféra činností není rozhodujícím faktorem. Rozšířený omyl, že kybernetický útok nemá pro malé podniky velký význam, není odůvodněný, protože asi 60% obětí malwarových útoků jsou malé podniky.

Internet poskytl nejen obrovské příležitosti ke zvýšení produktivity a ziskovosti pro podnikání, ale vytvořil také větší zranitelnost vůči kyberútokům. Stejné technologické možnosti, které používají společnosti ke zlepšení ziskovosti a příznivých příležitostí, umožňují útočníkům krást a škodit. Společnosti po celém světě aktivně zavádějí pokročilé technologie do hodnotového řetězce s využíváním AI (umělé inteligence), strojového učení, umělých neurosítí pro jedinečné zkušenosti klientů. Hackeři se vyvíjejí stejným tempem nebo dokonce rychleji, vzhledem k dynamice intenzity útoků.

Rozsah činností hackerů dopadající na různá průmyslová odvětví lze porovnat s živelnými pohromami, které vedou k obrovským destrukcím a stagnaci. Takové porovnání vyvolává dvě důležité otázky: zda může být zajištěna úplná obnova v co nejkratším čase? A jaká reakce na kataklyzma v kyberbezpečnosti by byla vhodná?

Případ Hyatt ukazuje alternativní způsob řešení problému

V roce 2018 společnost Marriott International oznámila, že hackeři nelegálně získali přístup k databázi rezervování Starwood Hotels počínaje rokem 2014, potenciálně prozrazujíce osobní informace o 500 milionech hostů. Společnost uvedla, že odcizené osobní informace o 327 miliónech hostů mohou obsahovat osobní údaje podle pasu, telefonní čísla a e-mailové adresy. Pro ostatní to mohou být informace o kreditní kartě. Vzhledem k takovému obrovskému úniku dat, společnost Hyatt Hotels spustila program pro prémiování za zjištěné chyby programového vybavení, aby se zabránilo kyberútokům.

Program odměn za zjištěné chyby v systému se považuje za proaktivní opatření k boji proti kyberkriminalitě: společnosti nečekají, až dojde k nejhoršímu a utrpí na mnoha úrovních. Firmy spolupracují s loajálními hackery, aby našly zranitelnosti dříve než je objeví útočník. Řešení problému takového rozsahu vyžaduje odezvu stejné intenzity a rozsahu. Podstata programu pro prémiování za zjištěné chyby programového vybavení předpokládá zlepšení dovedností a znalostí hackera a jejich využívání pro dobro.

Jak probíhá spolupráce s bílými hackery

Životní cyklus programu odměn za zjištěné začíná konkrétní společností, která vytváří stručnou sbírku pokynů a popisuje pravidla interakce. Pokud bude stručná sbírka pokynů vytvořena a badatelé ji zvládnou, program se spouští "naživo" na platformě pro hledání chyb. Po oznámení o spuštění programu loajální hackeři pečlivě testují systém všemi možnými způsoby. Všechny zranitelnosti a chyby jsou registrovány ve zprávě, která je dále prověřována interními odborníky v oblasti kyberbezpečnosti pod názvem "skupina posouzení" (TriageTeam).

Nakonec bezpečnostní tým dotyčné firmy obdrží zprávu s podrobnými pokyny k opravám zjištěných zranitelností. A poté, co je oprava zjištěna a prověřena badatelem, který tuto chybu detektoval, badatel obdrží od společnosti předem dohodnutou odměnu.

HackenCup

Během maratonu HackenCup, který se konal v říjnu roku 2018 v Kyjevě, jednou ze zkoumaných společností byla ridesharing-služba Uklon, hlavní konkurent Uber na území SNS (Společenství nezávislých států). Tato akce shromáždila 25 hackerů z celého světa, aby testovali internetovou službu z hlediska existence zranitelností.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
Snímky z podzimního kyjevského HackenCupu

Tým loajálních hackerů objevil celkem 73 zranitelnosti, z nichž 4 představují vážnou bezpečnostní hrozbu. Hlavním problémem Uklon bylo, že chybové hlášení v případě nesprávné adresy, které se zobrazovalo jako záznam na obrazovce, obsahovalo vstup uživatele téměř "jak je", bez filtrace zvláštních symbolů. Zranitelnost umožnila útočníkovi získat přihlašovací jméno (login) a heslo uživatele, unést uživatelskou relaci, nahradit domovskou stránku Uklon jinou webovou stránkou a navíc umístit falešné zprávy, zobrazení a reklamu na webových stránkách Uklon.

Mimo to, badatelé zjistili, že každý uživatel může manipulovat - upravovat, vypouštět a stahovat  - zobrazení nebo soubory kteréhokoli řidiče v databázi Uklon. Každý uživatel může nahradit avatar řidiče a útočník může úspěšně vypustit  avatar tohoto uživatele. Další nebezpečný přímý odkaz na objekt, známý jako IDOR (Another Insecure Direct Object Reference aka IDOR), umožňoval hackerovi měnit a/nebo vypouštět komentáře uživatelů o svých cestách prostřednictvím aplikace Uklon - pozitivní odezvy o konkurentovi by mohly byt nahrazeny negativními nebo naopak.

Nakonec, zranitelnost známá jako Blind XSS umožnila útočníkovi sledovat cizí objednávky, telefonní čísla, IP-adresy a další užitečné informace. Tato zranitelnost umožnila útočníkovi ukrást přihlašovací jméno (login) a heslo správce, nahradit a změnit systémová data, a také hacknout uživatele a webové stránky. Celkem badatelé předložili 73 zprávy o zranitelnostech na HackenProof, evropské platformě hledání chyb programového vybavení.

Hackerské zbraně v rukou firem

Spuštění programu pro zjišťování chyb umožňuje udělat krok kupředu s využíváním vlastní aktivity a předvídavosti. Nikdo nezná hackery, kteří jsou v oblasti podnikání lepší, než jsou oni sami, je to jen otázka výběru. Stejný objem znalostí může být v rukou útočníků přeměnaěn na zbraně hromadného ničení, ale může být použit k vytvoření úspěšného podnikatelského prostředí těmi, u nichž etika a morálka nejsou prázdnými slovy.

Nastal čas, aby se světový podnikatelský ekosystém orientoval na budoucnost a aby udělal programy pro zjišťování chyb programového vybavení hlavním prostředkem boje proti kyberkriminalitě.

Další článek: Samsung zuří. Norové pustili do televize reklamu na Galaxy S10+ o den dříve

Témata článku: Bezpečnost, Podvod, Ochrana, Tiskové zprávy, Soukromí, Malware, Šifrování, Ransomware, Zranitelnost


Určitě si přečtěte

RECENZE: Redmi Note 7 je skvělá volba s jedinou chybičkou

RECENZE: Redmi Note 7 je skvělá volba s jedinou chybičkou

** Ani Note 7 nezlomil kletbu chybějícího NFC ** Drobná vylepšení mezi generacemi přibližují Redmi Note dokonalosti ** 48 MPx nemusí automaticky znamenat marketingový výkřik do tmy

Martin Herodek | 27

RECENZE: Xiaomi Mi 9 SE – odlehčená špička s ještě zajímavější cenovkou

RECENZE: Xiaomi Mi 9 SE – odlehčená špička s ještě zajímavější cenovkou

** Kompromisy ve výbavě nejsou omezující ** Čtečka v displeji překvapí rychlostí i minimem chybných čtení ** Telefonu chybí nějaká specialita, kterou by se dokázal blýsknout

Martin Herodek | 5

Jak správně dobíjet baterie současných mobilů? Pozor na zastaralé návyky

Jak správně dobíjet baterie současných mobilů? Pozor na zastaralé návyky

Baterie v mobilních zařízeních se vyvíjejí, i když možná ne tak rychle jako některé jiné komponenty. Přesto už s dnešními články není žádoucí pracovat jako kdysi s NiCd bateriemi.

Jan Láska | 125