Hlavní navigace

Postřehy z bezpečnosti: Edward Snowden a NSA

Martin Čmelík 15. 7. 2013

Když už si člověk myslí, že o projektu PRISM a jemu podobných přečetl snad téměř vše, tak se najednou veřejně objeví Edward Snowden a máme tu další nové informace. O tom jak NSA mohla odposlouchávat právě probíhající šifrovanou komunikaci uživatele se službou Microsoftu, o botnetech/virech z dílny NSA apod.

Po dlouhé době promluvil Edward Snowden veřejně na tiskové konferenci na moskevském letišti. Kromě lidí z organizace WikiLeaks se Snowden setkal s mnoha lidmy z organizací pro ochranu lidských práv a svobod. Článek obsahuje přepis Snowdenových poznámek k proslovu. Velice zajímavé čtení.

Microsoft umožnil NSA v rámci projektu PRISM neomezený přístup k datům služeb jako Outlook.com, Hotmail, SkyDrive, Skype atd. Nešlo však jen o přístup k datům, ale NSA mohlo i odposlouchávat právě přenášenou (šifrovanou) komunikaci uživatele se serverem. Microsoft toto samozřejmě odmítá, kdy prý nešlo o nekontrolovaný přístup ke všem datům, ale vše podléhalo zákonům a interním postupům.

Edward Snowden potvrdil, že Stuxnet byl napsán ve spolupráci NSA a Izraele. Vzhledem k tomu, že Stuxnet společně s komplexním virem Flame sdílel jeden modul (podle zprávy od Kaspersky), byl zřejmě i celý Flame ze stejné dílny. A pak kdo je tu kyberzločinec.

Podle tajné dohody z roku 2001 mezi DOJ (Department of Justice), FBI a největší australskou telekomunikační společností Telstra, mají americké úřady v rámci projektu Reach již 12 let přístup ke všem datům přenášeným přes podmořské kabely (propojující kontinenty).

Naše postřehy

BSA opět přichází s dalším nápadem, jak snížit množství pirátského softwaru v Česku. Po vzoru jiných evropských států začne nabízet finanční odměnu každému, kdo nahlásí ilegální používání softwaru. Podmínkou je, že takový člověk musí vystoupit z anonymity a musí se podílet na vyšetřování v plném rozsahu, pokud o to bude požádán. Lidem s dobrými výsledky dokonce BSA nabídne možnost stát se profesionálním lovcem. Nezapomeňme, že BSA nemá již sídlo v České republice, nemá žádnou soudní ani výkonnou moc a je v zastoupení jen advokátní kanceláří. Nemusíte na jejich dopisy ani reagovat a na jejich výzvy k udávání už vůbec ne.

Brian Krebs odhaluje zajímavé informace o lidech za exploit packem Styx-Crypt. Stopy míří na Ukrajinu.

Ať už jste penetrační tester, nebo prostě jen chcete čas od času prověřit bezpečnost svých webových aplikací, může se vám hodit některý z uvedených rozšíření pro Firefox.

Také narážíte na nepochopení ze stran vašich přátel, příbuzných, či kolegů, při diskuzi ohledně napadení počítače a nebezpečích z toho plynoucích? Většinou oponují tím, že na počítači žádná důležitá nemají, že jejich počítač nikoho nezajímá apod. Vůbec si neumí představit, co vše se vlastně v počítači ukrývá a k čemu všemu je možné ho zneužít. Brian Krebs sestavil pěknou mind mapu, která by jim mohla otevřít oči. 

Microsoft minulý týden zveřejnil 34 kritických updatů, kdy chyby v implementaci TrueType fontů jsou asi nejvážnější, protože postihují XP/Vista/Win7/Win8+Server a pro napadení počítače stačí jen otevřít škodlivou webovou stránku. 17 chyb bylo opraveno v prohlížeči Internet Explorer.

Jako bonus zde máte PoC na využití chyby CVE-2013–1347 v Internet Explorer 8, umožňující vzdálené spuštění kódu.

Roberto Salgado bude na konferenci Black Hat USA 2013 přednášet o nové metodě optimalizace a obfuskace SQL útoků, která je nerozeznatelná web application firewally, či intrusion prevention systémy. Na Black Hat USA bude opět očividně výběr toho nejlepšího.

Minulý týden jsme informovali o chybě v implementaci komunikačního programu Cryptocat, kdy bylo možné, kvůli chybám v implementaci, rekonstruovat šifrovanou komunikaci. Pokud byste chtěli znát více detailů a vysvětlit celý problém, přečtěte si článek od Sophos Labs.

Populární botnet Zeus je nebezpečný především kvůli svým schopnostem v oblasti bankovních transakcí. Zaznamenává stisknuté klávesy, mění formuláře, odesílaná data a skrývá vlastní transakce v bankovním výpisu. Pokud vás botnety zajímají, přečtěte si tento ucelený popis schopností a fungovaní botnetu Zeus.

Jeden z autorů The Pirate Bay a známé uložiště Mega, ohlásili, nezávisle na sobě, plán nabídnout uživatelům klienta pro šifrovanou komunikaci, která by neměla být odposlechnutelná agenturou NSA. Pěkný nápad s nejasným výsledkem. Mně osobně vyhovuje OTR (Off-the-Record Messaging). Pokud by vás zajímalo v čem je oproti PGP lepší, přečtěte si tento dokument. Jeden příklad za všechny: při použití OTR nebude nikdo schopen dešifrovat již proběhlou komunikaci, ani pokud by měl soukromý klíč uživatele.

Spoluzakladatel The Pirate Bay vyslovil názor, že by měla být pirátská zátoka co nejdříve uzavřena. Svůj názor obhajuje tvrzením, že států a poskytovatelů, kteří jsou ochotni hostovat TPB stále ubývá až nakonec nezůstane nikdo. Tobias Andersson však v uzavření TPB vidí možnost a příležitost, od které si slibuje, že by v budoucnu mohla přinést stejně průlomovou věc, jakou byl před deseti lety protokol BitTorrent. Tentokrát snad mnohem vyspělejší a hlavně plně decentralizovaný.

Sítí aplikace WhatsApp (převážně na platformě Android) se šíří škodlivý kód Priyanka, který po infikování přepíše všechny vaše kontakty na jméno “Priyanka”. Nepřijímejte soubory od tohoto kontaktu.

Pořadatelé konference DEF CON oficiálně požádali americké bezpečnostní služby, aby se neúčastnily konference. Důvodem jsou především nové poznatky o programu PRISM, které pobouřily hackerskou komunitu.

Narendra Bhati (R00t Sh3ll) objevil chybu na webu LinkedIn umožňující clickjacking. Pomocí ní bylo možné, pod účtem uživatele, šířit odkazy na jeho profilu.

Dan Melamed publikoval CSRF exploit umožňující zresetovat heslo libovolného Facebook účtu. Chyba se nachází v komponentě “claim email address”. Ke článku je přiloženo rovněž ukázkové video.

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište naFB stránku, případně naTwitter

Děkujeme

Našli jste v článku chybu?

16. 7. 2013 19:21

Jirka1 (neregistrovaný)

Všechny země, které jmenujete, by odposlouchávaly a dělaly další věci, kdyby to bylo v jejich technických možnostech, Čína k tomu má blízko.
Problém USA je, že na to technicky a vojensky mají.


17. 7. 2013 15:52

Kterou z uvedenych zemi byste si Vy sam vybral, kdybyste v ni mel stravit pristich deset let sveho zivota? Vase zivotni zkusenost nejspis jeste neobsahla vyznam slova totalita. Budte rad.
PRISM je samozrejme pruserem demokracie, ale prave ze demokracie.


Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

DigiZone.cz: Sat novinky: Fransat UHD Demo

Sat novinky: Fransat UHD Demo

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte