Postřehy z bezpečnosti: Edward Snowden a NSA

Martin Čmelík 15. 7. 2013

Když už si člověk myslí, že o projektu PRISM a jemu podobných přečetl snad téměř vše, tak se najednou veřejně objeví Edward Snowden a máme tu další nové informace. O tom jak NSA mohla odposlouchávat právě probíhající šifrovanou komunikaci uživatele se službou Microsoftu, o botnetech/virech z dílny NSA apod.

Po dlouhé době promluvil Edward Snowden veřejně na tiskové konferenci na moskevském letišti. Kromě lidí z organizace WikiLeaks se Snowden setkal s mnoha lidmy z organizací pro ochranu lidských práv a svobod. Článek obsahuje přepis Snowdenových poznámek k proslovu. Velice zajímavé čtení.

Microsoft umožnil NSA v rámci projektu PRISM neomezený přístup k datům služeb jako Outlook.com, Hotmail, SkyDrive, Skype atd. Nešlo však jen o přístup k datům, ale NSA mohlo i odposlouchávat právě přenášenou (šifrovanou) komunikaci uživatele se serverem. Microsoft toto samozřejmě odmítá, kdy prý nešlo o nekontrolovaný přístup ke všem datům, ale vše podléhalo zákonům a interním postupům.

Edward Snowden potvrdil, že Stuxnet byl napsán ve spolupráci NSA a Izraele. Vzhledem k tomu, že Stuxnet společně s komplexním virem Flame sdílel jeden modul (podle zprávy od Kaspersky), byl zřejmě i celý Flame ze stejné dílny. A pak kdo je tu kyberzločinec.

Podle tajné dohody z roku 2001 mezi DOJ (Department of Justice), FBI a největší australskou telekomunikační společností Telstra, mají americké úřady v rámci projektu Reach již 12 let přístup ke všem datům přenášeným přes podmořské kabely (propojující kontinenty).

Naše postřehy

BSA opět přichází s dalším nápadem, jak snížit množství pirátského softwaru v Česku. Po vzoru jiných evropských států začne nabízet finanční odměnu každému, kdo nahlásí ilegální používání softwaru. Podmínkou je, že takový člověk musí vystoupit z anonymity a musí se podílet na vyšetřování v plném rozsahu, pokud o to bude požádán. Lidem s dobrými výsledky dokonce BSA nabídne možnost stát se profesionálním lovcem. Nezapomeňme, že BSA nemá již sídlo v České republice, nemá žádnou soudní ani výkonnou moc a je v zastoupení jen advokátní kanceláří. Nemusíte na jejich dopisy ani reagovat a na jejich výzvy k udávání už vůbec ne.

Brian Krebs odhaluje zajímavé informace o lidech za exploit packem Styx-Crypt. Stopy míří na Ukrajinu.

Ať už jste penetrační tester, nebo prostě jen chcete čas od času prověřit bezpečnost svých webových aplikací, může se vám hodit některý z uvedených rozšíření pro Firefox.

Také narážíte na nepochopení ze stran vašich přátel, příbuzných, či kolegů, při diskuzi ohledně napadení počítače a nebezpečích z toho plynoucích? Většinou oponují tím, že na počítači žádná důležitá nemají, že jejich počítač nikoho nezajímá apod. Vůbec si neumí představit, co vše se vlastně v počítači ukrývá a k čemu všemu je možné ho zneužít. Brian Krebs sestavil pěknou mind mapu, která by jim mohla otevřít oči. 

Microsoft minulý týden zveřejnil 34 kritických updatů, kdy chyby v implementaci TrueType fontů jsou asi nejvážnější, protože postihují XP/Vista/Win7/Win8+Server a pro napadení počítače stačí jen otevřít škodlivou webovou stránku. 17 chyb bylo opraveno v prohlížeči Internet Explorer.

Jako bonus zde máte PoC na využití chyby CVE-2013–1347 v Internet Explorer 8, umožňující vzdálené spuštění kódu.

Roberto Salgado bude na konferenci Black Hat USA 2013 přednášet o nové metodě optimalizace a obfuskace SQL útoků, která je nerozeznatelná web application firewally, či intrusion prevention systémy. Na Black Hat USA bude opět očividně výběr toho nejlepšího.

Minulý týden jsme informovali o chybě v implementaci komunikačního programu Cryptocat, kdy bylo možné, kvůli chybám v implementaci, rekonstruovat šifrovanou komunikaci. Pokud byste chtěli znát více detailů a vysvětlit celý problém, přečtěte si článek od Sophos Labs.

Populární botnet Zeus je nebezpečný především kvůli svým schopnostem v oblasti bankovních transakcí. Zaznamenává stisknuté klávesy, mění formuláře, odesílaná data a skrývá vlastní transakce v bankovním výpisu. Pokud vás botnety zajímají, přečtěte si tento ucelený popis schopností a fungovaní botnetu Zeus.

Jeden z autorů The Pirate Bay a známé uložiště Mega, ohlásili, nezávisle na sobě, plán nabídnout uživatelům klienta pro šifrovanou komunikaci, která by neměla být odposlechnutelná agenturou NSA. Pěkný nápad s nejasným výsledkem. Mně osobně vyhovuje OTR (Off-the-Record Messaging). Pokud by vás zajímalo v čem je oproti PGP lepší, přečtěte si tento dokument. Jeden příklad za všechny: při použití OTR nebude nikdo schopen dešifrovat již proběhlou komunikaci, ani pokud by měl soukromý klíč uživatele.

Spoluzakladatel The Pirate Bay vyslovil názor, že by měla být pirátská zátoka co nejdříve uzavřena. Svůj názor obhajuje tvrzením, že států a poskytovatelů, kteří jsou ochotni hostovat TPB stále ubývá až nakonec nezůstane nikdo. Tobias Andersson však v uzavření TPB vidí možnost a příležitost, od které si slibuje, že by v budoucnu mohla přinést stejně průlomovou věc, jakou byl před deseti lety protokol BitTorrent. Tentokrát snad mnohem vyspělejší a hlavně plně decentralizovaný.

Sítí aplikace WhatsApp (převážně na platformě Android) se šíří škodlivý kód Priyanka, který po infikování přepíše všechny vaše kontakty na jméno “Priyanka”. Nepřijímejte soubory od tohoto kontaktu.

Pořadatelé konference DEF CON oficiálně požádali americké bezpečnostní služby, aby se neúčastnily konference. Důvodem jsou především nové poznatky o programu PRISM, které pobouřily hackerskou komunitu.

Narendra Bhati (R00t Sh3ll) objevil chybu na webu LinkedIn umožňující clickjacking. Pomocí ní bylo možné, pod účtem uživatele, šířit odkazy na jeho profilu.

Dan Melamed publikoval CSRF exploit umožňující zresetovat heslo libovolného Facebook účtu. Chyba se nachází v komponentě “claim email address”. Ke článku je přiloženo rovněž ukázkové video.

widgety

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište naFB stránku, případně naTwitter

Děkujeme

Našli jste v článku chybu?
Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Ve sběru baterií jsme pilní

Ve sběru baterií jsme pilní

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje