Postřehy z bezpečnosti: nešťastný Android a nepřehlédnutelná novinka ve Windows 10

Zuzana Duračinská 3. 8. 2015

Nové objevy, které se k nám postupně dostávaly díky Hacker teamu, nás zaměstnaly na pár týdnů. Díky nim byly posunuty hranice vnímání bezpečnosti. Spolupráce Hacker teamu s vládami jednotlivých států občany asi moc nepotěšila. Už teď víme, že jde o bezpečnostní událost roku 2015. Co přinesl uplynulý týden?

Velmi významnou událostí minulého týdne byla určitě konference IETF 93, která se po čtyřech letech vrátila do Prahy. Když přijede na takovouto akci 1384 účastníků, můžeme si být jisti, že se jedná o mimořádné setkání. Praha nehostí světové odborníky na tvorbu standardů každý den. I když je sledování práce jednotlivých WG poměrně náročné, najdou se skupiny, jejichž činnost se z pohledu bezpečnosti sledovat vyplatí. Konkrétně mám nyní na mysli například Domain Boundaries (DBOUND), DANE či DNS PRIVates Exchange (DPRIVE). Schválení těchto bezpečnostních standardů je ale jen jedním krokem v procesu, na jehož konci bude bezpečnější Internet; bez vůle operátorů a správců se o moc dál neposuneme. Třešničkou na dortu pražského IETF byl určitě Edward Snowden. O velké postavě, která v dobrém i zlém zahýbala bezpečností, jste si mohli přečíst i na Rootu.

K velkým společnostem vydávajícím pravidelné reporty, v nichž se ohlíží do minulosti a snaží se předpovídat nové trendy, se přidává také CISCO. Právě v tom posledním [PDF], který hodnotí první půlrok 2015, upozorňuje na téměř 100% nárůst zranitelností (dle počtu CVE) v Adobe Flash. Řada z nich byla odhalena i díky Hacker teamu. Za pozornost jistě stojí, že nové zranitelnosti v Adobe Flash jsou využívány v exploit kitu Angler [PDF]. Prodleva mezi vydáním updatu a skutečným upgradem na straně uživatele dává dostatek času na jeho využití. Naopak počet zranitelností v Javě mírně poklesl. Pozitivní správou je, že bezpečnosti si začínají všímat také autoři open-source projektů. Čas mezi zjištěním zranitelnosti a její opravou se u těchto případů v prvním půlroce snížil. Zvýšená pozornost s ohledem na bezpečnost v open-source projektech se připisuje například i loňským případům, mezi něž patřil například také Heartbleed bug.

Pod Androidem se zatřásla země, když se objevila zranitelnost v jedné komponentě určené na přehrávání videa. Na rozdíl od jiných zranitelností může Stagefright importovat škodlivý kód do zařízení bez interakce uživatele. Pro zaslání upraveného videa tak stačí útočníkovi telefonní číslo. Zda se videosoubor spustí, záleží na tom, jak telefon multimediální zprávy zpracovává. Problém nastává v aplikacích jakou je například Hangouts, který po přijetí ve výchozím nastavení obsah souboru stáhne. Zranitelnost se týká přibližně 95 % všech zařízení s operačním systémem Android, avšak nejzranitelnější by měly být Froyo 2.2 a Gingerbread 2.3, které disponují několika metodami, jak získat rootovská práva. Informace o počtech zneužití zatím dostupné nejsou. Než se však patche dostanou na všechny zařízení, útočníci mají ještě dost času. Na nejbližší Black Hat konferenci se o této zranitelnosti jistě dozvíme víc.

Společnost Trend Micro přidělala v závěru minulého týdne na čele Androidu ještě jednu vrásku. Na rozdíl od Stagefright je však v tomto případě potřebná menší interakce uživatele (což by vzhledem k pokročilým phishingovým útokům neměl být problém). Přes škodlivou aplikaci nebo upravenou webovou stránku je možné telefon uvést do stavu, kdy se jeví jako úplně vypnutý. Zranitelnost se týká asi poloviny všech zařízeních s Android, od verze 4.3 (Jelly Bean) a vyšší. Proof of concept najdete na TheHackerNews. Co má však tato záležitost společného s Stagefrigtem? Google byl na obě zranitelností upozorněn před zveřejněním, a to v dostatečném předstihu. Vytvořit a rozdistribuovat záplaty však „nestihl“.

Uživatelé Windows 7 a Windows 8 mohou zadarmo upgradovat na Windows 10, který vyšel minulý týden. Nové Windows mají však něco navíc. Jejich Wi-Fi Sense totiž automaticky sdílí přístup k vaší síti s kontakty v Outlooku a Skype. Pokud by se vám to zdálo málo, je možné připojit i kontakty z Facebooku. Jako majitel sítě musíte takovéto sdílení však povolit. Heslo je zasílané na server Microsoftu šifrovaně a následně je uloženo v šifrovaném souboru. Heslo v plaintextu však osoba, která se bude chtít připojit do vaší sítě, neuvidí. Je to však poněkud zvláštní řešení. I když je vyptávání se na heslo v kavárnách občas otravné, určitě si dokážeme představit lepší řešení, jak sdílet přístup k sítím přes kontakty na Facebooku. Panují tak oprávněné obavy o ochranu soukromí (sdílenou síť je možné vysledovat).

Pro paranoidnější uživatele je zdarma ke stažení doplněk do Chrome DMAIL. Ten umožňuje uživatelům Gmailu zbavit se zpráv, i když to pomocí „Undo sent“ do 30 sekund od odeslání e-mailu nestihnou. Tento doplněk byl přitom u Gmailu představen teprve (nebo až) před měsícem. S DMAILem se zpráv nezbavíte úplně, jen k nim omezíte přístup. Zprávy jsou totiž šifrovány pomocí 256bitového algoritmu a zašifrované se zašlou na DMAIL. Na Gmail je odeslána zpráva s odkazem na zprávu na DMAILu a šifrovací klíč, takže otevřením dané URL si příjemce může zprávu přečíst, pokud ji odesilatel ještě nesmazal. Zatím se jedná o beta verzi a proto je počet e-mailů, které je možné tímto způsobem šifrovat, omezený. Tvůrci asi mají zkušenosti se zasíláním e-mailů a s následným bitím se do hlavy.

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 1,50

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: Poznáte, který z léků je pravý?

Poznáte, který z léků je pravý?

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

DigiZone.cz: Změní se veřejnoprávní status ČT?

Změní se veřejnoprávní status ČT?

Vitalia.cz: Tři sta kilogramů tuňáka obsahovalo histamin

Tři sta kilogramů tuňáka obsahovalo histamin

Lupa.cz: Zaplatíme ti, když ti seženeme práci

Zaplatíme ti, když ti seženeme práci

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

Podnikatel.cz: Myšlenky Henryho Forda. Berte je za své

Myšlenky Henryho Forda. Berte je za své

Lupa.cz: Přenos hokeje padal kvůli útoku, tvrdí O2

Přenos hokeje padal kvůli útoku, tvrdí O2

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

Podnikatel.cz: Když už je sexy, tak ať taky funguje

Když už je sexy, tak ať taky funguje

120na80.cz: 5 triků, jak zastavit krvácení po holení

5 triků, jak zastavit krvácení po holení

Vitalia.cz: Sója a rakovina

Sója a rakovina

DigiZone.cz: Konec geoblokace online médií?

Konec geoblokace online médií?

120na80.cz: 10 dezinfekcí: Vede „starý dobrý“ peroxid

10 dezinfekcí: Vede „starý dobrý“ peroxid

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

Lupa.cz: Schváleno: Rockaway může převzít Heureku

Schváleno: Rockaway může převzít Heureku

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Vitalia.cz: Dnešní patolog o mrtvolu téměř nezavadí

Dnešní patolog o mrtvolu téměř nezavadí

Podnikatel.cz: Různé podoby lahve Coca–Coly. Úchvatné

Různé podoby lahve Coca–Coly. Úchvatné