Autorem odborného článku je Tomáš Přibyl, externí redaktor ICT SECURITY.

Informační bezpečnost se mění často dynamičtěji než počasí. Co platilo včera, bývá často dnes překonané – a co nás děsí dnes, zítra už může být v propadlišti dějin. Každopádně fenoménem dnešní doby jsou hrozby z internetu. Co se ale s tím: web je sice nebezpečné prostředí, ale pracovat s ním alespoň v omezené podobě musíme...

Tři pilíře webové bezpečnosti

Bezpečnost při pohybu na internetu přitom vůbec není jednoduchá, neboť musíme dodržovat hned trojici pravidel. Jednak se musíme snažit, abychom se vyhnuli nebezpečím, která na nás na internetu číhají. Této kategorii věnujeme zpravidla největší pozornost, protože si ji dokážeme představit a protože z jejího nedodržování pro nás plynou nejnepříjemnější důsledky. Také bychom se měli snažit, abychom nebyli nebezpeční druhým. Tedy abychom svým chováním nebo konáním nedělali z internetu ještě nebezpečnější prostředí, než je. Toto pravidlo už nedodržujeme vždy, protože z něj pro nás neplyne prakticky žádné nebezpečí nebo krátkodobý přínos. Jeho smysl je dlouhodobý a dal by se vyjádřit postojem: chovejme se tak, jak bychom si přáli, aby se chovali druzí. Nešiřme hrozby škodlivých kódů, používejme kvalitní software, dbejme na aktualizace a záplatování... A dále je zapotřebí chovat se tak, abychom nebyli nebezpeční sami sobě. Tato kategorie je asi nejvíce přehlíženou, nicméně je příčinou největšího množství problémů. Vlastní neopatrností nebo neznalostí si způsobujeme mnohem více problémů, než kolik nám působí cílené útoky skutečných hackerů. Špatně nastavené servery prozrazující potenciálním útočníkům více, než je zdrávo, nechtěně zveřejněné dokumenty (legendární jsou příběhy o nechtěné indexaci a následném publikování dokumentů díky aplikaci Google Docs), omylem prozrazené citlivé informace apod. To byl jen stručný výčet toho, jak si můžeme celkem snadno a rychle – ehm – zaneřádit vlastní hnízdo. Zajímavé je, že všechny tři kategorie (vyhnout se nebezpečí, nešířit nebezpečí a nebýt nebezpečným sám sobě) se dají léčit prakticky stejným způsobem. Především kvalitní správou a dobře nastaveným systémem, ale také jasně definovanými, vynucovanými a kontrolovanými pravidly.

Plný web malware

V posledních letech také zažívají dramatický rozkvět škodlivé kódy na internetu: zatímco ještě nedávno běhal mráz po zádech administrátorům z červů šířených e-mailem, dnes je ve stejné kategorii (ne-li horší) návštěva nebezpečných webových stránek. Není jich přitom málo: dle různých průzkumů od dvou do pěti procent! Má to svoji logiku: zatímco škodlivý kód v e-mailu se dá relativně snadno odhalit a izolovat, navíc nad ním po vypuštění do světa ztrácí tvůrce kontrolu. Naproti tomu kód umístěný ve webové stránce se často velmi špatně detekuje nebo blokuje – a autor jej může dle potřeby upravovat. Známé jsou také případy kódů, které se po infikaci serveru přidávají do dynamických www stránek jen někdy. Důsledek? Zobrazují se třeba jen uživatelům z některých zemí nebo splňujících určitý profil. Tím ještě roste jejich nebezpečnost: správce pojme podezření, nicméně specialistovi z bezpečnostní firmy se kód ve stránce nevygeneruje a vydá (byť velmi opatrné a alibistické) dobrozdání, že v době jeho návštěvy bylo vše zcela v pořádku. Přitom množství škodlivých kódů nebezpečně narůstá a představuje tak čím dál větší výzvu. Bezpečnostní firmy se shodují (s přesností na procenta), že v roce 2010 spatřila světlo světa plná třetina malware, která kdy byla vytvořena. Ovšem více než polovina „nových“ kódů má životnost kratší než 24 hodin: jedná se o jednoúčelové nástroje vytvořené v duchu „použij a zahoď“. Ostatně, právě kvůli těmto jepičím škodlivým kódům se otevírá prostor pro nové bezpečnostní aplikace, které nespoléhají na databáze, ale snaží se hrozby aktivně vyhledávat – obě kategorie se ovšem doplňují, nevylučují.

Nebezpečné „sociální“ sítě

Kapitolu samu pro sebe pak představuje v posledních letech fenomén tzv. sociálních sítí a Webu 2.0. Ty boří některá dlouhé roky budovaná pravidla z hlediska bezpečnosti: cestu maximálních restrikcí, důkladného testování, minimální interakce s uživateli, izolace. Naproti tomu Web 2.0 se vyznačuje maximální otevřeností (kdekdo může přistupovat a měnit i programovat kdeco), minimem omezení, propojováním na první pohled nepropojitelného i publikováním nezralých projektů. Není tak asi překvapivé, že právě sociální sítě (v čele s tou od „F“) stojí v pozadí velkého množství bezpečnostních problémů v poslední době. Problém sociálních sítí je přitom i ve skutečnosti, že klasické bezpečnostní postupy zde neplatí. A to právě proto, že spoléhají na výše uvedená pravidla – a že jejich tvůrci často záměrně v zájmu rychlosti, inovace či tržního podílu ignorují jeden ze tří pilířů bezpečnosti. Tedy poučku „nebýt nebezpečný okolí“ (viz výše). Sociální sítě bohužel nelze jen tak odstřihnout nebo se tvářit, že vlastně vůbec neexistují (jak spousta správců alibisticky činí). Dnes představují jak důležitý komunikační nástroj, tak neméně důležitý zdroj informací. A bez těch nemůže v informační společnosti přežít žádná organizace. Holt bude nezbytné, aby po fenoménu Web 2.0 nastoupil ještě jeden – jménem Security 2.0