Postřehy z bezpečnosti: nešťastný Android a nepřehlédnutelná novinka ve Windows 10

Zuzana Duračinská 3. 8. 2015

Nové objevy, které se k nám postupně dostávaly díky Hacker teamu, nás zaměstnaly na pár týdnů. Díky nim byly posunuty hranice vnímání bezpečnosti. Spolupráce Hacker teamu s vládami jednotlivých států občany asi moc nepotěšila. Už teď víme, že jde o bezpečnostní událost roku 2015. Co přinesl uplynulý týden?

Velmi významnou událostí minulého týdne byla určitě konference IETF 93, která se po čtyřech letech vrátila do Prahy. Když přijede na takovouto akci 1384 účastníků, můžeme si být jisti, že se jedná o mimořádné setkání. Praha nehostí světové odborníky na tvorbu standardů každý den. I když je sledování práce jednotlivých WG poměrně náročné, najdou se skupiny, jejichž činnost se z pohledu bezpečnosti sledovat vyplatí. Konkrétně mám nyní na mysli například Domain Boundaries (DBOUND), DANE či DNS PRIVates Exchange (DPRIVE). Schválení těchto bezpečnostních standardů je ale jen jedním krokem v procesu, na jehož konci bude bezpečnější Internet; bez vůle operátorů a správců se o moc dál neposuneme. Třešničkou na dortu pražského IETF byl určitě Edward Snowden. O velké postavě, která v dobrém i zlém zahýbala bezpečností, jste si mohli přečíst i na Rootu.

K velkým společnostem vydávajícím pravidelné reporty, v nichž se ohlíží do minulosti a snaží se předpovídat nové trendy, se přidává také CISCO. Právě v tom posledním [PDF], který hodnotí první půlrok 2015, upozorňuje na téměř 100% nárůst zranitelností (dle počtu CVE) v Adobe Flash. Řada z nich byla odhalena i díky Hacker teamu. Za pozornost jistě stojí, že nové zranitelnosti v Adobe Flash jsou využívány v exploit kitu Angler [PDF]. Prodleva mezi vydáním updatu a skutečným upgradem na straně uživatele dává dostatek času na jeho využití. Naopak počet zranitelností v Javě mírně poklesl. Pozitivní správou je, že bezpečnosti si začínají všímat také autoři open-source projektů. Čas mezi zjištěním zranitelnosti a její opravou se u těchto případů v prvním půlroce snížil. Zvýšená pozornost s ohledem na bezpečnost v open-source projektech se připisuje například i loňským případům, mezi něž patřil například také Heartbleed bug.

Pod Androidem se zatřásla země, když se objevila zranitelnost v jedné komponentě určené na přehrávání videa. Na rozdíl od jiných zranitelností může Stagefright importovat škodlivý kód do zařízení bez interakce uživatele. Pro zaslání upraveného videa tak stačí útočníkovi telefonní číslo. Zda se videosoubor spustí, záleží na tom, jak telefon multimediální zprávy zpracovává. Problém nastává v aplikacích jakou je například Hangouts, který po přijetí ve výchozím nastavení obsah souboru stáhne. Zranitelnost se týká přibližně 95 % všech zařízení s operačním systémem Android, avšak nejzranitelnější by měly být Froyo 2.2 a Gingerbread 2.3, které disponují několika metodami, jak získat rootovská práva. Informace o počtech zneužití zatím dostupné nejsou. Než se však patche dostanou na všechny zařízení, útočníci mají ještě dost času. Na nejbližší Black Hat konferenci se o této zranitelnosti jistě dozvíme víc.

Společnost Trend Micro přidělala v závěru minulého týdne na čele Androidu ještě jednu vrásku. Na rozdíl od Stagefright je však v tomto případě potřebná menší interakce uživatele (což by vzhledem k pokročilým phishingovým útokům neměl být problém). Přes škodlivou aplikaci nebo upravenou webovou stránku je možné telefon uvést do stavu, kdy se jeví jako úplně vypnutý. Zranitelnost se týká asi poloviny všech zařízeních s Android, od verze 4.3 (Jelly Bean) a vyšší. Proof of concept najdete na TheHackerNews. Co má však tato záležitost společného s Stagefrigtem? Google byl na obě zranitelností upozorněn před zveřejněním, a to v dostatečném předstihu. Vytvořit a rozdistribuovat záplaty však „nestihl“.

Uživatelé Windows 7 a Windows 8 mohou zadarmo upgradovat na Windows 10, který vyšel minulý týden. Nové Windows mají však něco navíc. Jejich Wi-Fi Sense totiž automaticky sdílí přístup k vaší síti s kontakty v Outlooku a Skype. Pokud by se vám to zdálo málo, je možné připojit i kontakty z Facebooku. Jako majitel sítě musíte takovéto sdílení však povolit. Heslo je zasílané na server Microsoftu šifrovaně a následně je uloženo v šifrovaném souboru. Heslo v plaintextu však osoba, která se bude chtít připojit do vaší sítě, neuvidí. Je to však poněkud zvláštní řešení. I když je vyptávání se na heslo v kavárnách občas otravné, určitě si dokážeme představit lepší řešení, jak sdílet přístup k sítím přes kontakty na Facebooku. Panují tak oprávněné obavy o ochranu soukromí (sdílenou síť je možné vysledovat).

Pro paranoidnější uživatele je zdarma ke stažení doplněk do Chrome DMAIL. Ten umožňuje uživatelům Gmailu zbavit se zpráv, i když to pomocí „Undo sent“ do 30 sekund od odeslání e-mailu nestihnou. Tento doplněk byl přitom u Gmailu představen teprve (nebo až) před měsícem. S DMAILem se zpráv nezbavíte úplně, jen k nim omezíte přístup. Zprávy jsou totiž šifrovány pomocí 256bitového algoritmu a zašifrované se zašlou na DMAIL. Na Gmail je odeslána zpráva s odkazem na zprávu na DMAILu a šifrovací klíč, takže otevřením dané URL si příjemce může zprávu přečíst, pokud ji odesilatel ještě nesmazal. Zatím se jedná o beta verzi a proto je počet e-mailů, které je možné tímto způsobem šifrovat, omezený. Tvůrci asi mají zkušenosti se zasíláním e-mailů a s následným bitím se do hlavy.

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Český podnikatel a #brexit. Co nastane?

Český podnikatel a #brexit. Co nastane?

DigiZone.cz: Boj Markízy a Novy o federální trh vrcholí

Boj Markízy a Novy o federální trh vrcholí

Vitalia.cz: 3× o tucích: proč je potřebujeme?

3× o tucích: proč je potřebujeme?

DigiZone.cz: Prima Max bude mít letní kino. Na střeše...

Prima Max bude mít letní kino. Na střeše...

Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

Vitalia.cz: Vědci: Hnojení chemií je zbytečné

Vědci: Hnojení chemií je zbytečné

DigiZone.cz: ČTÚ květen: rušení TV vysílání narůstá

ČTÚ květen: rušení TV vysílání narůstá

120na80.cz: Cestovní lékárnička: na co nezapomenout

Cestovní lékárnička: na co nezapomenout

120na80.cz: Léky a dietní opatření při kopřivce

Léky a dietní opatření při kopřivce

Podnikatel.cz: Chce s trdelníky ovládnout Asii. Poznejte ho

Chce s trdelníky ovládnout Asii. Poznejte ho

Vitalia.cz: Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Lupa.cz: Jaké IoT tarify nabízejí mobilní operátoři?

Jaké IoT tarify nabízejí mobilní operátoři?

DigiZone.cz: Robinsonův ostrov moderuje Novotný

Robinsonův ostrov moderuje Novotný

Lupa.cz: U Chomutova vyroste dotované datacentrum

U Chomutova vyroste dotované datacentrum

Měšec.cz: Vyplatí se spořit přes DPS?

Vyplatí se spořit přes DPS?

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Podnikatel.cz: Takhle si Babiš představuje nové daně

Takhle si Babiš představuje nové daně