Postřehy z bezpečnosti: Edward Snowden a NSA

Martin Čmelík 15. 7. 2013

Když už si člověk myslí, že o projektu PRISM a jemu podobných přečetl snad téměř vše, tak se najednou veřejně objeví Edward Snowden a máme tu další nové informace. O tom jak NSA mohla odposlouchávat právě probíhající šifrovanou komunikaci uživatele se službou Microsoftu, o botnetech/virech z dílny NSA apod.

Po dlouhé době promluvil Edward Snowden veřejně na tiskové konferenci na moskevském letišti. Kromě lidí z organizace WikiLeaks se Snowden setkal s mnoha lidmy z organizací pro ochranu lidských práv a svobod. Článek obsahuje přepis Snowdenových poznámek k proslovu. Velice zajímavé čtení.

Microsoft umožnil NSA v rámci projektu PRISM neomezený přístup k datům služeb jako Outlook.com, Hotmail, SkyDrive, Skype atd. Nešlo však jen o přístup k datům, ale NSA mohlo i odposlouchávat právě přenášenou (šifrovanou) komunikaci uživatele se serverem. Microsoft toto samozřejmě odmítá, kdy prý nešlo o nekontrolovaný přístup ke všem datům, ale vše podléhalo zákonům a interním postupům.

Edward Snowden potvrdil, že Stuxnet byl napsán ve spolupráci NSA a Izraele. Vzhledem k tomu, že Stuxnet společně s komplexním virem Flame sdílel jeden modul (podle zprávy od Kaspersky), byl zřejmě i celý Flame ze stejné dílny. A pak kdo je tu kyberzločinec.

Podle tajné dohody z roku 2001 mezi DOJ (Department of Justice), FBI a největší australskou telekomunikační společností Telstra, mají americké úřady v rámci projektu Reach již 12 let přístup ke všem datům přenášeným přes podmořské kabely (propojující kontinenty).

Naše postřehy

BSA opět přichází s dalším nápadem, jak snížit množství pirátského softwaru v Česku. Po vzoru jiných evropských států začne nabízet finanční odměnu každému, kdo nahlásí ilegální používání softwaru. Podmínkou je, že takový člověk musí vystoupit z anonymity a musí se podílet na vyšetřování v plném rozsahu, pokud o to bude požádán. Lidem s dobrými výsledky dokonce BSA nabídne možnost stát se profesionálním lovcem. Nezapomeňme, že BSA nemá již sídlo v České republice, nemá žádnou soudní ani výkonnou moc a je v zastoupení jen advokátní kanceláří. Nemusíte na jejich dopisy ani reagovat a na jejich výzvy k udávání už vůbec ne.

Brian Krebs odhaluje zajímavé informace o lidech za exploit packem Styx-Crypt. Stopy míří na Ukrajinu.

Ať už jste penetrační tester, nebo prostě jen chcete čas od času prověřit bezpečnost svých webových aplikací, může se vám hodit některý z uvedených rozšíření pro Firefox.

Také narážíte na nepochopení ze stran vašich přátel, příbuzných, či kolegů, při diskuzi ohledně napadení počítače a nebezpečích z toho plynoucích? Většinou oponují tím, že na počítači žádná důležitá nemají, že jejich počítač nikoho nezajímá apod. Vůbec si neumí představit, co vše se vlastně v počítači ukrývá a k čemu všemu je možné ho zneužít. Brian Krebs sestavil pěknou mind mapu, která by jim mohla otevřít oči. 

Microsoft minulý týden zveřejnil 34 kritických updatů, kdy chyby v implementaci TrueType fontů jsou asi nejvážnější, protože postihují XP/Vista/Win7/Win8+Server a pro napadení počítače stačí jen otevřít škodlivou webovou stránku. 17 chyb bylo opraveno v prohlížeči Internet Explorer.

Jako bonus zde máte PoC na využití chyby CVE-2013–1347 v Internet Explorer 8, umožňující vzdálené spuštění kódu.

Roberto Salgado bude na konferenci Black Hat USA 2013 přednášet o nové metodě optimalizace a obfuskace SQL útoků, která je nerozeznatelná web application firewally, či intrusion prevention systémy. Na Black Hat USA bude opět očividně výběr toho nejlepšího.

Minulý týden jsme informovali o chybě v implementaci komunikačního programu Cryptocat, kdy bylo možné, kvůli chybám v implementaci, rekonstruovat šifrovanou komunikaci. Pokud byste chtěli znát více detailů a vysvětlit celý problém, přečtěte si článek od Sophos Labs.

Populární botnet Zeus je nebezpečný především kvůli svým schopnostem v oblasti bankovních transakcí. Zaznamenává stisknuté klávesy, mění formuláře, odesílaná data a skrývá vlastní transakce v bankovním výpisu. Pokud vás botnety zajímají, přečtěte si tento ucelený popis schopností a fungovaní botnetu Zeus.

Jeden z autorů The Pirate Bay a známé uložiště Mega, ohlásili, nezávisle na sobě, plán nabídnout uživatelům klienta pro šifrovanou komunikaci, která by neměla být odposlechnutelná agenturou NSA. Pěkný nápad s nejasným výsledkem. Mně osobně vyhovuje OTR (Off-the-Record Messaging). Pokud by vás zajímalo v čem je oproti PGP lepší, přečtěte si tento dokument. Jeden příklad za všechny: při použití OTR nebude nikdo schopen dešifrovat již proběhlou komunikaci, ani pokud by měl soukromý klíč uživatele.

Spoluzakladatel The Pirate Bay vyslovil názor, že by měla být pirátská zátoka co nejdříve uzavřena. Svůj názor obhajuje tvrzením, že států a poskytovatelů, kteří jsou ochotni hostovat TPB stále ubývá až nakonec nezůstane nikdo. Tobias Andersson však v uzavření TPB vidí možnost a příležitost, od které si slibuje, že by v budoucnu mohla přinést stejně průlomovou věc, jakou byl před deseti lety protokol BitTorrent. Tentokrát snad mnohem vyspělejší a hlavně plně decentralizovaný.

Sítí aplikace WhatsApp (převážně na platformě Android) se šíří škodlivý kód Priyanka, který po infikování přepíše všechny vaše kontakty na jméno “Priyanka”. Nepřijímejte soubory od tohoto kontaktu.

Pořadatelé konference DEF CON oficiálně požádali americké bezpečnostní služby, aby se neúčastnily konference. Důvodem jsou především nové poznatky o programu PRISM, které pobouřily hackerskou komunitu.

Narendra Bhati (R00t Sh3ll) objevil chybu na webu LinkedIn umožňující clickjacking. Pomocí ní bylo možné, pod účtem uživatele, šířit odkazy na jeho profilu.

Dan Melamed publikoval CSRF exploit umožňující zresetovat heslo libovolného Facebook účtu. Chyba se nachází v komponentě “claim email address”. Ke článku je přiloženo rovněž ukázkové video.

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište naFB stránku, případně naTwitter

Děkujeme

Našli jste v článku chybu?
Podnikatel.cz: AČTO: Výjimka u EET pro farmáře? Nepřijatelné

AČTO: Výjimka u EET pro farmáře? Nepřijatelné

Podnikatel.cz: Profese budoucnosti? Úředník nepřežije

Profese budoucnosti? Úředník nepřežije

120na80.cz: Jak se zbavit nadměrného pocení?

Jak se zbavit nadměrného pocení?

Měšec.cz: Banky umí platby na kartu, jen to neříkají

Banky umí platby na kartu, jen to neříkají

120na80.cz: I tuto vodu můžete pít

I tuto vodu můžete pít

120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

DigiZone.cz: Skylink: do pátku může docházet k výpadkům

Skylink: do pátku může docházet k výpadkům

Vitalia.cz: Taky je nosíte? Barefoot není pro každého

Taky je nosíte? Barefoot není pro každého

Vitalia.cz: Jak může být v uzenině 150 % masa?

Jak může být v uzenině 150 % masa?

Měšec.cz: Investice do drahých kovů - znáte základní chyby?

Investice do drahých kovů - znáte základní chyby?

Lupa.cz: Tudy proudí váš hlas i data. V zákulisí CETINu

Tudy proudí váš hlas i data. V zákulisí CETINu

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí vaše karta

Do ostravské MHD bez jízdenky. Stačí vaše karta

Vitalia.cz: Největší chyby při podávání vína?

Největší chyby při podávání vína?

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: Android TV: s jakým pracuje rozlišením?

Android TV: s jakým pracuje rozlišením?

Root.cz: Bitcoin začal vyplácet jen půlku odměn

Bitcoin začal vyplácet jen půlku odměn

Lupa.cz: Změňte si výchozí heslo u routeru od UPC

Změňte si výchozí heslo u routeru od UPC

DigiZone.cz: Samsung uvolnil nástroj pro Tizen

Samsung uvolnil nástroj pro Tizen