Postřehy z bezpečnosti: Edward Snowden a NSA

Martin Čmelík 15. 7. 2013

Když už si člověk myslí, že o projektu PRISM a jemu podobných přečetl snad téměř vše, tak se najednou veřejně objeví Edward Snowden a máme tu další nové informace. O tom jak NSA mohla odposlouchávat právě probíhající šifrovanou komunikaci uživatele se službou Microsoftu, o botnetech/virech z dílny NSA apod.

Po dlouhé době promluvil Edward Snowden veřejně na tiskové konferenci na moskevském letišti. Kromě lidí z organizace WikiLeaks se Snowden setkal s mnoha lidmy z organizací pro ochranu lidských práv a svobod. Článek obsahuje přepis Snowdenových poznámek k proslovu. Velice zajímavé čtení.

Microsoft umožnil NSA v rámci projektu PRISM neomezený přístup k datům služeb jako Outlook.com, Hotmail, SkyDrive, Skype atd. Nešlo však jen o přístup k datům, ale NSA mohlo i odposlouchávat právě přenášenou (šifrovanou) komunikaci uživatele se serverem. Microsoft toto samozřejmě odmítá, kdy prý nešlo o nekontrolovaný přístup ke všem datům, ale vše podléhalo zákonům a interním postupům.

Edward Snowden potvrdil, že Stuxnet byl napsán ve spolupráci NSA a Izraele. Vzhledem k tomu, že Stuxnet společně s komplexním virem Flame sdílel jeden modul (podle zprávy od Kaspersky), byl zřejmě i celý Flame ze stejné dílny. A pak kdo je tu kyberzločinec.

Podle tajné dohody z roku 2001 mezi DOJ (Department of Justice), FBI a největší australskou telekomunikační společností Telstra, mají americké úřady v rámci projektu Reach již 12 let přístup ke všem datům přenášeným přes podmořské kabely (propojující kontinenty).

Naše postřehy

BSA opět přichází s dalším nápadem, jak snížit množství pirátského softwaru v Česku. Po vzoru jiných evropských států začne nabízet finanční odměnu každému, kdo nahlásí ilegální používání softwaru. Podmínkou je, že takový člověk musí vystoupit z anonymity a musí se podílet na vyšetřování v plném rozsahu, pokud o to bude požádán. Lidem s dobrými výsledky dokonce BSA nabídne možnost stát se profesionálním lovcem. Nezapomeňme, že BSA nemá již sídlo v České republice, nemá žádnou soudní ani výkonnou moc a je v zastoupení jen advokátní kanceláří. Nemusíte na jejich dopisy ani reagovat a na jejich výzvy k udávání už vůbec ne.

Brian Krebs odhaluje zajímavé informace o lidech za exploit packem Styx-Crypt. Stopy míří na Ukrajinu.

Ať už jste penetrační tester, nebo prostě jen chcete čas od času prověřit bezpečnost svých webových aplikací, může se vám hodit některý z uvedených rozšíření pro Firefox.

Také narážíte na nepochopení ze stran vašich přátel, příbuzných, či kolegů, při diskuzi ohledně napadení počítače a nebezpečích z toho plynoucích? Většinou oponují tím, že na počítači žádná důležitá nemají, že jejich počítač nikoho nezajímá apod. Vůbec si neumí představit, co vše se vlastně v počítači ukrývá a k čemu všemu je možné ho zneužít. Brian Krebs sestavil pěknou mind mapu, která by jim mohla otevřít oči. 

Microsoft minulý týden zveřejnil 34 kritických updatů, kdy chyby v implementaci TrueType fontů jsou asi nejvážnější, protože postihují XP/Vista/Win7/Win8+Server a pro napadení počítače stačí jen otevřít škodlivou webovou stránku. 17 chyb bylo opraveno v prohlížeči Internet Explorer.

Jako bonus zde máte PoC na využití chyby CVE-2013–1347 v Internet Explorer 8, umožňující vzdálené spuštění kódu.

Roberto Salgado bude na konferenci Black Hat USA 2013 přednášet o nové metodě optimalizace a obfuskace SQL útoků, která je nerozeznatelná web application firewally, či intrusion prevention systémy. Na Black Hat USA bude opět očividně výběr toho nejlepšího.

Minulý týden jsme informovali o chybě v implementaci komunikačního programu Cryptocat, kdy bylo možné, kvůli chybám v implementaci, rekonstruovat šifrovanou komunikaci. Pokud byste chtěli znát více detailů a vysvětlit celý problém, přečtěte si článek od Sophos Labs.

Populární botnet Zeus je nebezpečný především kvůli svým schopnostem v oblasti bankovních transakcí. Zaznamenává stisknuté klávesy, mění formuláře, odesílaná data a skrývá vlastní transakce v bankovním výpisu. Pokud vás botnety zajímají, přečtěte si tento ucelený popis schopností a fungovaní botnetu Zeus.

Jeden z autorů The Pirate Bay a známé uložiště Mega, ohlásili, nezávisle na sobě, plán nabídnout uživatelům klienta pro šifrovanou komunikaci, která by neměla být odposlechnutelná agenturou NSA. Pěkný nápad s nejasným výsledkem. Mně osobně vyhovuje OTR (Off-the-Record Messaging). Pokud by vás zajímalo v čem je oproti PGP lepší, přečtěte si tento dokument. Jeden příklad za všechny: při použití OTR nebude nikdo schopen dešifrovat již proběhlou komunikaci, ani pokud by měl soukromý klíč uživatele.

Spoluzakladatel The Pirate Bay vyslovil názor, že by měla být pirátská zátoka co nejdříve uzavřena. Svůj názor obhajuje tvrzením, že států a poskytovatelů, kteří jsou ochotni hostovat TPB stále ubývá až nakonec nezůstane nikdo. Tobias Andersson však v uzavření TPB vidí možnost a příležitost, od které si slibuje, že by v budoucnu mohla přinést stejně průlomovou věc, jakou byl před deseti lety protokol BitTorrent. Tentokrát snad mnohem vyspělejší a hlavně plně decentralizovaný.

Sítí aplikace WhatsApp (převážně na platformě Android) se šíří škodlivý kód Priyanka, který po infikování přepíše všechny vaše kontakty na jméno “Priyanka”. Nepřijímejte soubory od tohoto kontaktu.

Pořadatelé konference DEF CON oficiálně požádali americké bezpečnostní služby, aby se neúčastnily konference. Důvodem jsou především nové poznatky o programu PRISM, které pobouřily hackerskou komunitu.

Narendra Bhati (R00t Sh3ll) objevil chybu na webu LinkedIn umožňující clickjacking. Pomocí ní bylo možné, pod účtem uživatele, šířit odkazy na jeho profilu.

Dan Melamed publikoval CSRF exploit umožňující zresetovat heslo libovolného Facebook účtu. Chyba se nachází v komponentě “claim email address”. Ke článku je přiloženo rovněž ukázkové video.

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište naFB stránku, případně naTwitter

Děkujeme

Našli jste v článku chybu?
120na80.cz: V těhotenství nohy lehké jako pírko

V těhotenství nohy lehké jako pírko

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: ČTÚ červenec: rušení trochu vzrostlo

ČTÚ červenec: rušení trochu vzrostlo

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí karta

Do ostravské MHD bez jízdenky. Stačí karta

120na80.cz: Kam umístit silikony?

Kam umístit silikony?

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Podnikatel.cz: Týká se vás EET? Chtějte od berňáku posudek

Týká se vás EET? Chtějte od berňáku posudek

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

DigiZone.cz: Další rána pro piráty: 6 měsíců

Další rána pro piráty: 6 měsíců

Podnikatel.cz: Youtuber? Za 15 tisíc dělat nebude

Youtuber? Za 15 tisíc dělat nebude

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

Vitalia.cz: Je bílý kokos fakt tak úžasný? Ano, je!

Je bílý kokos fakt tak úžasný? Ano, je!

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

DigiZone.cz: Evropa 2: od září nové vedení

Evropa 2: od září nové vedení

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny