Hlavní navigace

Postřehy z bezpečnosti: nový iOS přináší několik bezpečnostních vylepšení

15. 6. 2015
Doba čtení: 3 minuty

Sdílet

V nejnovějším díle pondělních bezpečnostních Postřehů se podíváme na nové bezpečnostní funkce a vylepšení iOS 9 a El Capitana, služba umožňující hack Facebook, Google či jiného účtu, malware šířený z webu pražského letiště, Duqu 2 nalezený v síti společnosti Kaspersky a spoustu dalšího materiálu.

Nová verze iOS 9 sebou přinese několik bezpečnostních vylepšení. Bude vyžádována 2FA autentizace v případě registrace nového zařízení, přístupu do iCloudu, apod. Minimální délka hesla bude šest znaků, iOS 9 bude mít nativní podporu VPN API, takže možná bude možné směrovat veškerou komunikaci přes Tor síť (mimo běžných firemních VPN), podpora HSTS pro aplikace, SSLv3 je zakázané, základní sada pro HTTPS je TLS 1.2 a PFS a dále zařízení podporuje OCSP stapling. Samozřejmě mimo bezpečnostní vylepšení přináší iOS 9 stovky jiných, zaměřených na použitelnost, rychlejší odezvu a menší spotřebu energie.

Co se týče OS X 10.11 (El Capitan), tak tam OpenSSL vystřídalo LibreSSL (!!) a ani administrátor se již nedostane k funkcím jádra (ochrana proti pokročilým malwarům).

Pro opravdu podrobný popis změn vás odkáži na developer.apple.com, pro obrázkový přehled na www.apple.com.

Naše postřehy

Nevím, zdali jste někdy dostali mail s žádostí o „hack“ mailového účtu na Seznamu, GMailu, do fóra apod., ale já jeden čas poměrně často. Nakonec bylo nejlepší neodpovídat vůbec, protože i prosté „ne“ vyvolalo jen salvu dalších emailů. V dnešní moderní době však i na toto máme službu. Hackers List je právě jedna z nich. Funguje jednoduše na systému poptávky a kdokoliv z téměř tří tisíc „hackerů“ může nabídnout sumu, za kterou projekt provede. Asi vás nepřekvapí, že nejčastější žádostí je získání přístupu k Facebooku či Google účtu.

Jedna z běžících malware kampaní postihla i web pražského letiště. Revive Adserver je open source technologie (dříve známá jako OpenX Source) pro provozování vlastního reklamního serveru. Výzkumníci ze společnosti Websense zjistili, že Adserver obsahuje chybu, kterou používají útočníci k infikování systému a pak pravě pomocí reklam dále šíří, Angler Exploit kitem, trojského koně Bunitu uživatelům, kterým se reklama z daného serveru zobrazí. Nedivme se, že reklamní servery jsou častým cílem útoků, protože v případě úspěchu je pak možné šířit škodlivý kód mezi desítky až stovky milionů uživatelů.

Zajímá vás jak obejít detekci jailbrakenutého iPhone/iPadu? Většinou to potřebuje uživatel vlastnící zařízení pod správou některého MDM (Mobile Device Management), který se nechce podřídit pravidlům, které nastavil správce tohoto systému. Zkuste xCon. Je schopný skrývat soubory, aplikace, procesy, patchovat ostatní aplikace apod. Na webu máte i seznam aplikací, jejichž detekci jailbrokenutého zařízení je schopen obejít.

Síť společnosti Kaspersky byla (mimo jiné) po několik měsíců infikována malwarem Duqu 2. Tato verze se podle Eugena Kasperskyho chovala jako vetřelec, terminátor a predátor dohromady. Všechny moduly běžely pouze v paměti. Restart systému sice pomohl, ale úplně ho odstranit ze sítě vyžadovalo vypnutí všech systémů najednou. Podle výzkumníků společnosti se jedná o státem sponzorovaný malware. Do sítě se pravděpodobně dostal pomocí spear phishingu a využití 0day chyby. Eugene skončil konferenci slovy: „Don’t hack me! That’s a bad idea“.

Aplikace Mail pro iPhone/iPad obsahuje chybu, která umožňuje během prohlížení emailu stáhnout externí script a případně i oklamat uživatele k zadání iCloud hesla. Je to nedostatečnou filtrací povolených HTML tagů v aplikaci. Tuto chybu objevil a PoC sestavil Jan Souček.

Dokument

Dokumentární cyklus Kmeny se tentokrát zaměřil na subkulturu hackerů. “Důkladné narušení zaběhané představy: Hacker = počítačový pirát, ničitel, sabotér, digitální kriminálník a zloděj dat. Skutečnou spojnicí mezi životy hackerů je pouze zvědavost a tvořivá síla hnaná touhou využít existující kybersystémy, přístroje, součástky nebo fyzikální jevy novým tvůrčím způsobem.” Tady máte přídavek, pokud se vám líbí jak hraje Tesla :]

root_podpora

Ve zkratce

Pro pobavení

Meeting

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?