Postřehy z bezpečnosti: nový iOS přináší několik bezpečnostních vylepšení

Martin Čmelík 15. 6. 2015

V nejnovějším díle pondělních bezpečnostních Postřehů se podíváme na nové bezpečnostní funkce a vylepšení iOS 9 a El Capitana, služba umožňující hack Facebook, Google či jiného účtu, malware šířený z webu pražského letiště, Duqu 2 nalezený v síti společnosti Kaspersky a spoustu dalšího materiálu.

Nová verze iOS 9 sebou přinese několik bezpečnostních vylepšení. Bude vyžádována 2FA autentizace v případě registrace nového zařízení, přístupu do iCloudu, apod. Minimální délka hesla bude šest znaků, iOS 9 bude mít nativní podporu VPN API, takže možná bude možné směrovat veškerou komunikaci přes Tor síť (mimo běžných firemních VPN), podpora HSTS pro aplikace, SSLv3 je zakázané, základní sada pro HTTPS je TLS 1.2 a PFS a dále zařízení podporuje OCSP stapling. Samozřejmě mimo bezpečnostní vylepšení přináší iOS 9 stovky jiných, zaměřených na použitelnost, rychlejší odezvu a menší spotřebu energie.

Co se týče OS X 10.11 (El Capitan), tak tam OpenSSL vystřídalo LibreSSL (!!) a ani administrátor se již nedostane k funkcím jádra (ochrana proti pokročilým malwarům).

Pro opravdu podrobný popis změn vás odkáži na developer.apple.com, pro obrázkový přehled na www.apple.com.

Naše postřehy

Nevím, zdali jste někdy dostali mail s žádostí o „hack“ mailového účtu na Seznamu, GMailu, do fóra apod., ale já jeden čas poměrně často. Nakonec bylo nejlepší neodpovídat vůbec, protože i prosté „ne“ vyvolalo jen salvu dalších emailů. V dnešní moderní době však i na toto máme službu. Hackers List je právě jedna z nich. Funguje jednoduše na systému poptávky a kdokoliv z téměř tří tisíc „hackerů“ může nabídnout sumu, za kterou projekt provede. Asi vás nepřekvapí, že nejčastější žádostí je získání přístupu k Facebooku či Google účtu.

Jedna z běžících malware kampaní postihla i web pražského letiště. Revive Adserver je open source technologie (dříve známá jako OpenX Source) pro provozování vlastního reklamního serveru. Výzkumníci ze společnosti Websense zjistili, že Adserver obsahuje chybu, kterou používají útočníci k infikování systému a pak pravě pomocí reklam dále šíří, Angler Exploit kitem, trojského koně Bunitu uživatelům, kterým se reklama z daného serveru zobrazí. Nedivme se, že reklamní servery jsou častým cílem útoků, protože v případě úspěchu je pak možné šířit škodlivý kód mezi desítky až stovky milionů uživatelů.

Zajímá vás jak obejít detekci jailbrakenutého iPhone/iPadu? Většinou to potřebuje uživatel vlastnící zařízení pod správou některého MDM (Mobile Device Management), který se nechce podřídit pravidlům, které nastavil správce tohoto systému. Zkuste xCon. Je schopný skrývat soubory, aplikace, procesy, patchovat ostatní aplikace apod. Na webu máte i seznam aplikací, jejichž detekci jailbrokenutého zařízení je schopen obejít.

Síť společnosti Kaspersky byla (mimo jiné) po několik měsíců infikována malwarem Duqu 2. Tato verze se podle Eugena Kasperskyho chovala jako vetřelec, terminátor a predátor dohromady. Všechny moduly běžely pouze v paměti. Restart systému sice pomohl, ale úplně ho odstranit ze sítě vyžadovalo vypnutí všech systémů najednou. Podle výzkumníků společnosti se jedná o státem sponzorovaný malware. Do sítě se pravděpodobně dostal pomocí spear phishingu a využití 0day chyby. Eugene skončil konferenci slovy: „Don’t hack me! That’s a bad idea“.

Aplikace Mail pro iPhone/iPad obsahuje chybu, která umožňuje během prohlížení emailu stáhnout externí script a případně i oklamat uživatele k zadání iCloud hesla. Je to nedostatečnou filtrací povolených HTML tagů v aplikaci. Tuto chybu objevil a PoC sestavil Jan Souček.

Dokument

Dokumentární cyklus Kmeny se tentokrát zaměřil na subkulturu hackerů. “Důkladné narušení zaběhané představy: Hacker = počítačový pirát, ničitel, sabotér, digitální kriminálník a zloděj dat. Skutečnou spojnicí mezi životy hackerů je pouze zvědavost a tvořivá síla hnaná touhou využít existující kybersystémy, přístroje, součástky nebo fyzikální jevy novým tvůrčím způsobem.” Tady máte přídavek, pokud se vám líbí jak hraje Tesla :]

widgety

Ve zkratce

Pro pobavení

Meeting

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Vitalia.cz: Vím, co se učíš, ale netuším, co piješ

Vím, co se učíš, ale netuším, co piješ

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT