Twitter zjistil ve svém systému závažnou bezpečnostní chybu – za určitých okolností totiž ukládal kopie nešifrovaných hesel svých uživatelů. Ano, pochopili jste správně, hesla byla na disk ukládána v textové podobě. Zajímavá zpráva s ohledem na Světový den hesel, který připadá na 3. května.

Každý, kdo se alespoň trochu zajímá o bezpečnost na internetu ví, že ukládání nešifrovaných hesel ve formě prostého textu se zásadně nedoporučuje. Se surovou podobou hesla by měl systém pracovat pouze na úrovni operační paměti, a to jen v případě vytváření či změny uživatele nebo během ověřování v rámci přihlašovacího procesu.

Textová podoba hesla by neměla být ukládána ani do dočasných souborů, které jsou později smazány. Ještě před korektním smazáním totiž může dojít k chybě v programu, k odpojení disku nebo k jiným neočekávaným stavům a soubor s heslem či hesly na disku zůstane.

Hesla by neměla být uchovávána ani ve virtuální paměti, protože se velmi snadno mohou ocitnou v odkládacím souboru na disku. V operačním systému Windows v tomto případě pomůže funkce VirtualLock(),  která zajistí „uzamčení“ příslušných bloků paměti ve fyzické RAM – a ty tak neskončí v odkládacím souboru (swapfile).

Opravdu je nutné vyvarovat se jakékoli činnosti, která by vedla k trvalému uložení hesel v prosté textové podobě. A součástí příslušných opatření musí být i jasné NE ukládání hesel do souborů s protokoly. Bohužel přesně toto pravidlo Twitter porušil.

Dobrou zprávou je, že samotná databáze obsahující hesla byla v případě Twitteru naimplementována bezpečně. Twitter využívá hashovací algoritmus bcrypt, který pro zvýšení bezpečnosti i znesnadnění útoků hrubou silou používá opakované pře-hashování s využitím saltů (náhodných posloupností znaků). Díky hashovacím mechanismům, jako je právě bcrypt, je možné do databáze ukládat místo hesel jejich vypočítané hashe a přihlašovací údaje ověřovat právě proti těmto otiskům. Z hashe však nelze získat původní textovou podobu hesla.

Kybernetickým zločincům dokonce příliš nepomůže ani to, pokud se jim soubor nebo databázi s hashovanými hesly podaří ukrást. Musí totiž spočítat hashe pro každé možné heslo (nebo použít slovníky pravděpodobných hesel), výsledky porovnávat se zcizenými otisky a doufat ve štěstí, že takto hesla „uhodnou“ alespoň u některých uživatelů.

Špatnou zprávou v případě Twitteru je, že vysoká míra bezpečnosti poskytovaná funkcí bcrypt byla degradovaná zapisováním původní textové podoby hesel do systémových logů. A pokud se útočníci podívali místo do databáze s hesly do souborů s těmito protokoly, nemuseli nic dešifrovat ani provádět „slovníkové útoky.“

Co s tím?

Twitter tvrdí, že chyba je již opravena a že nic nenasvědčuje tomu, že by došlo k nějakému zneužití nebo narušení dat. Doporučuje pouze, aby uživatelé „změnu svého hesla zvážili.“ Nicméně společnost Sophos je konzervativnější a vyzývá k okamžité změně hesla – ostatně i z toho důvodu, že Twitter nesdělil žádné informace o délce trvání popisovaného bezpečnostního problému, ani o počtu takto omylem shromážděných hesel. Nelze tedy nijak posoudit, kolika hesel se mohl případný únik týkat.

Svoji bezpečnost na Twitteru můžete zvýšit používáním tzv. dvoufaktorové autentizace, kterou možná znáte i pod označením ověřené přihlášení. Pro úspěšné přihlášení je nutné zadat i speciální kód na jedno použití, který je zasílán na mobilní telefon uživatele, případně jen tento ověřovací kód na mobilním či jiném zařízení vypočítán. Jinými slovy, samotné heslo pro úspěšné přihlášení nestačí.

Možná se teď ptáte: mám přestat Twitter kvůli této neopatrnosti používat? Takové rozhodnutí je na vás.  My si ale myslíme, že okamžitá změna hesla je dostačující.

To je ovšem nelehký úkol, především kvůli stále častějším zero-day hrozbám, na které jsou běžné postupy ochrany založené na již známých útocích krátké. Shodli se na tom účastníci setkání Security Club s podtitulem Strach z neznámého, které pořádaly společnosti Dimension Data a Palo Alto. Prezentující zdůraznili nutnost komplexní proaktivní ochrany, která zahrnuje nejen bezpečnostní technologie, ale i procesy a školení zaměstnanců.

Setkání Security Clubu

„Pokud nespolupracuje ochrana koncových bodů, cloudová bezpečnost a ochrana sítí, schopný hacker vždy najde nechráněnou mezeru mezi těmito částmi. Zvláště bych zdůraznil ochranu cloudů, protože mnoho firem spoléhá, že poskytovatel cloudu se o bezpečnost postará, což je bohužel pravda jenom částečně,“ řekl na setkání Fred Streefland, senior Product Marketing Manager EMEA společnosti Palo Alto Networks

Pozitivní je, že důležitost proaktivní ochrany si uvědomuje stále více organizací. Tedy alespoň podle zprávy s názvem 2017 Global Threat Intelligence, ve které společnost Dimension Data uvádí 11% meziroční nárůst počtu firem s aktivním přístupem k počítačové bezpečnosti. Nicméně podle stejné zprávy nemá žádné oficiální plány ani postupy, jak na bezpečnostní incidenty reagovat, celých 68 procent společností.

Fred Streefland

Vstříc hrozbám

Důležitou součástí přístupu k hrozbám je skutečné pochopení rizik, které konkrétní organizaci hrozí. Ne všechna nebezpečí představují stejnou hrozbu pro všechny firmy. Posuzování samozřejmě záleží na řadě okolností, a to včetně míry vlivu tzv. lidského faktoru. Ano, i nadále platí, že nejslabším článkem v kybernetické bezpečnosti jsou právě lidé, převážně pak zaměstnanci dané společnosti.

„Společnosti nyní stále častěji aplikují přístup Zero Trust, ve které je přístup zaměstnanců k důležitým datům a aplikacím možný pouze po vícefaktorovém přihlášení. Všechna mobilní zařízení navíc firmy kontrolují, ideálně z jedné platformy,“ dodává Fred Streefland.

Proaktivní ochrana by ale neměla být chápána pouze z pohledu informačních technologií, ale komplexně jako nastavení procesů pro práci s daty. Tento rok v květnu vstupuje v platnost nařízení známé jako GDPR a procesy a školení zaměstnanců budou důležitou součástí strategie pro její naplnění.

„Celé GDPR je hlavně o procesech nakládání s informacemi, až v druhé řadě je možné případně cíleně nakupovat potřebné nástroje, nebo jejich úpravy. Firmy by se neměly nechat dotlačit do zbytečných a předražených řešení, které jim stejně nepřinesou kýžený výsledek,“ říká Petr Zemánek, Solution Manager Security ve společnosti Dimension Data Czech Republic

Petr Zemánek

Ačkoli primární motivací ochrany proti kybernetickým zločincům by mělo být zachování dobré pověsti firmy a ochrana cenných dat svých zákazníků, některé firmy stále bezpečnost podceňují a ani blížící se hrozba vysokých sankcí na tom nic nemění.

„Z osobních zkušeností mohu říct, že hlavně finanční organizace se snaží, i bez donucení regulativy, nasazovat nejnovější bezpečnostní technologie, a to bez ceny jako hlavního kritéria. Reputace je to nejcennější, co mají a dobře si to uvědomují. Oproti tomu v oblasti průmyslu je to úplně jiná situace. Výroba je zde na prvním místě a dokud nedojde k nějakému závažnému incidentu, tak se bezpečnost řeší většinou jen na základní úrovni (firewall, antivir). Nechci však paušalizovat, protože ve všech oblastech podnikání se setkáváme s oběma extrémy,“ dodává Petr Zemánek.

Prezentující na závěr setkání připomněli, že zajištění kybernetické bezpečnosti je nikdy nekončící proces. Bez neustálého rozvoje a přizpůsobování novým trendům bude pocit bezpečí bohužel falešný.  A to si vyjma kybernetických zločinců nikdo nepřeje.