Hlavní navigace

2014: vážné bezpečnostní chyby a konec TrueCryptu

Petr Krčmář

Rok 2014 byl označován rokem hrozivých bezpečnostních chyb, objevila se známá jména jako Heartbleed, Shellshock, POODLE nebo rom-0. Skončil také například vývoj Adobe Readeru pro Linux nebo TrueCryptu.

Heartbleed, Shellshock a POODLE

Rok děsivých bezpečnostních chyb začal objevením chyby Heartbleed, která ohrožovala bezpečnost aplikací používajících OpenSSL. Kvůli špatně ošetřené práci s paměti bylo možné například ze serveru vyčíst velké bloky paměti, které mohly obsahovat uživatelská data nebo privátní klíče k TLS. Útok ale mohl přijít i z druhé strany a server tak mohl z klienta vylákat třeba části komunikace s jinými servery. Chyba byla zrádná hlavně v tom, že její zneužití nezanechávalo stopy.

Další vážná bezpečnostní chyba dostala jméno Shellshock a ukrývala se v bashovské vlastnosti umožňující exportovat funkci do podprocesu. Pokud měl uživatel přístup k proměnným prostředí a mohl třeba prostřednictvím web serveru ovlivňovat jejich obsah, mohl také Bash donutit provést libovolnou akci. Chyba je také kuriózní v tom, že její objevení trvalo 25 let. Objevila se totiž ve verzi 1.03 v roce 1989.

Třetí velká zranitelnost dostala jméno POODLE (a taky logo a web) a šlo o útok na SSL verzi 3, umožňující dešifrovat komunikaci aktivním útočníkem. Slabina zastaralého protokolu by byla jen drobnou kuriozitkou, kdyby velká část serverů ještě stále neumožňovala jeho použití i s moderními klienty. Hlavní poučení tedy znělo: nestačí podporovat nejnovější šifrovací mechanismy, ale je potřeba aktivně blokovat i ty zastaralé.

IBM prodává serverovou divizi

Po deseti letech, kdy IBM prodalo PC divizi tentokrát prodalo také tu serverovou. Kupujícím byla opět společnost Lenovo, která za transakci zaplatila 2,3 miliardy dolarů. Prodána byla většina serverového byznysu, divize síťových prvků i veškerý související software. IBM si nechává jen poměrně malou část, která zahrnuje mainframy, systémy Power a datová úložiště.

Zranitelnost rom-0 ohrožuje routery

Internetem zahýbala také chyba rom-0, která postihla 1,5 milionů domácích routerů po celém světě. Ty totiž používají operační systém ZyNOS od společnosti ZyXEL, který dovoluje komukoliv vzdáleně exportovat a stáhnout obsah konfigurační paměti včetně hesel. Útočník tak může vstoupit do nechráněného administračního rozhraní, změnit používané DNS servery a provádět na uživatele phishingové útoky. Zranitelných routerů v průběhu času ubývá, ale stále ještě všechny nezmizely. Ten svůj můžete prověřit na www.rom-0.cz.

TrueCrypt záhadně končí

Špatná zpráva zasáhla uživatele populárního šifrovacího nástroje TrueCrypt. Jeho autoři velmi stručně oznámili ukončení projektu a uživatelům doporučili výměnu software. Mimo jiné napsali: Používání TrueCryptu není bezpečné, může obsahovat neopravené bezpečnostní chyby. Pozdější bezpečnostní audity ukázaly, že TrueCrypt je bezpečný a dá se stále používat. Vzniklo ale několik jeho forků, nejúspěšnějším je pravděpodobně VeraCrypt.

NIX.CZ spouští projekt FENIX

Jako reakci na březnové DDoS útoky z roku 2013 založili členové sdružení NIX.CZ projekt Bezpečné VLAN. Má jít o skupinu prověřených provozovatelů sítí, kteří si vzájemně věří, mohou si pomáhat v otázkách internetové bezpečnosti a v případě opravdu velkých problémů se odpojit od zbytku internetu a komunikovat skrze oddělenou infrastrukturu. Bezpečná VLAN byla později přejmenována na projekt FENIX.

Adobe Reader pro Linux končí

Společnost Adobe oznámila, že končí s vývojem linuxové verze prohlížečky PDF Adobe Reader. Poslední verzí tak zůstává 9.5.5. Naštěstí existuje celá řada kvalitních linuxových aplikací, které dokáží tuto ztrátu ve většině případů nahradit. Výjimkou jsou bohužel různé státní instituce, které dodávají formuláře v editovatelném formátu PDF, který jinak než Adobe Readerem nevyplníte.

Našli jste v článku chybu?