Vývoj technologií nás může překvapit. Často rozhoduje detail.

Je 26. srpna roku 1346 a jsme v severní Francii poblíž města Kresčak. Schyluje se k bitvě mezi vojsky anglického krále Edvarda III. a početnějšími armádami francouzského krále Filipa VI. a jeho spojenců. Francie vede s Anglií válku už od roku 1337 a netuší, že bude nazývána „Stoletou válkou“. A právě, když se chystali bitvu zahájit janovští střelci z kuší (spojenci Filipa VI.), byl děj přerušen krátkou prudkou bouřkou. Po jejím odeznění útok pokračoval. A zatímco angličtí lučištníci sejmuli během deště ze svých dlouhých luků tětivy a schovali je před deštěm pod své přilby, tětivy janovských namokly (asi nebylo tak snadné sundat tětivy kuší). Mokré tětivy neposkytovaly dostatečné napětí a tak šípy janovských neměly odpovídající dostřel a ani přesnost. Výsledkem bylo, že angličtí lučištníci rozstříleli nejprve „janovské“ a posléze i útok francouzské jízdy. Mezi mrtvými rytíři byl i český král Jan Lucemburský. Nedovolím si tvrdit, že tento detail, ochrana tětiv před namoknutím, byl jediný a bitvu rozhodující faktor, ale byl to další dílek do skládačky.
 

Taky jste si všimli jak „chytrá zařízení“ stále více a více penetrují bezpečnostní perimetry našich sítí? Tzv. chytré hodinky dnes údajně má k dispozici mezi 25-30 % dospělé populace. „Chytré hodinky“ jsou chytré, když jsou spárovány se služebním mobilem, umějí zrcadlit e-maily, chat, SMS atd. Souhlasíte, když majitelé služebních mobilů párují tyto se svými soukromými hodinkami? Pokud ano, myslíte, že je na tyto „chytré hodinky“ nějakým způsobem aplikována bezpečnostní politika organizace? Slyšeli jste o tom, že by někdy někdo prováděl bezpečnostní nastavení hodinek a že by se v nějaké organizaci něčím takovým vůbec zabývali?

Scénáře potenciálního útoku vypadají zatím relativně komplikovaně, nicméně vývoj technologií nás může nemile překvapit. Ponechání takových hodinek bez dozoru (můžeme si představit spoustu situací, kdy k tomu může dojít) je celkem reálné a riziko úniku zrcadlených údajů má celkem slušnou hodnotu pravděpodobnosti. Mimochodem výzkumníci z Cornell University se zabývali možností zneužití a prokázali, že data z akcelerometru a gyroskopu mohou být zneužita k identifikaci čísel, která uživatel zapisuje – např. PIN kódy, a to s téměř 100% úspěšností.
 

Jako bezpečáci bychom neměli a vlastně nesmíme podceňovat detaily ani nové technologie, protože právě v nich se často skrývá největší riziko. Útočníci využívají i zdánlivě nepodstatné chyby. Špatně nastavený účet, zapomenutý port či zastaralý firmware mohou být vstupní branou do celé sítě. Stejně tak nové technologie, jako jsou chytré hodinky, IoT zařízení nebo umělá inteligence, přinášejí nejen užitek, ale i nové způsoby útoků, pokud nejsou správně ošetřeny. Bezpečnostní řetěz je vždy tak silný, jak silný je jeho nejslabší článek – a ten se často ukrývá právě v detailu.

Pokud chcete poradit ohledně vašeho IT nebo jeho zabezpečení, klidně se obraťte na Aricomu. Rádi vám poradíme a jak se říká, za zeptání nic nedáte :-)