Hlavní navigace

Postřehy z bezpečnosti: HSTS v časech sporů o rozpočet

CSIRT.CZ

Dnes se podíváme na jeden z důsledků „vypnutí vlády” v USA, na zatím nezáplatovanou zranitelnost ve Windows, na jeden únik dat, na další sbírku hesel, zranitelnost účtů hry Fortnite a na další zajímavosti.

Doba čtení: 3 minuty

Sdílet

Server Netcraft upozornil na zajímavý dopad aktuální krize v USA, při které jde o 5,7 miliardy dolarů na stavbu zdi na hranici s Mexikem. Spor o výše uvedenou částku zablokoval schválení rozpočtu. Kvůli tomu má přibližně 800 000 zaměstnanců státu nucenou dovolenou, případně pracují zadarmo.

Zdroj: news.netcraft.com

Část vládních webů je proto nefunkčních, protože od začátku krize expirovalo více než 130 TLS certifikátů, které nikdo neobnovil. Zajímavé je, že některé weby jsou z důvodu expirace certifikátu kompletně nedostupné. Jedná se o stránky, které používají HSTS preload list, který je součástí prohlížečů. V takovém případě prohlížeč neumožní uživateli povolit přidání výjimky, ale stránku natvrdo zablokuje. A bude hůř.

Naše postřehy

Minulý týden se objevila nová sbírka e-mailových adres a hesel. Celý balík o velikosti 87 GB obsahuje 2 692 818 238 řádků a skládá se z tisíce různých úniků dat. Dohromady obsahuje 1 160 253 228 unikátních kombinací „e-malová adresa – heslo”. Přičemž unikátních e-mailových adres je 772 904 991. Diskutuje se o tom, že jako hlavní zdroj posloužila služba MEGA a také o tom, že se jedná o rok stará data. Pokud by vás zajímalo odkud a kdy zrovna vaše e-mailová adresa unikla, doporučujeme službu Have I Been Pwned.

Neopatchovaná zranitelnost, kterou Microsoft plánuje opravit v rámci dubnového updatu, byla zveřejněna i s ukázkovým postupem zneužití. Jedná se o chybu při čtení vCard kontaktu. Ten může obsahovat speciálně připravený hyperlink, který vypadá legitimně, ale při kliknutí na něj se spustí lokální soubor. Tímto způsobem lze spustit program v kontextu přihlášeného uživatele. Zranitelnost však není zneužitelná vzdáleně a vyžaduje uživatelskou interakci.

“Pro zájemce o informační bezpečnost je momentálně k dostání akční balík e-knih věnujících se této problematice. Jedná se o deset knih za celkem 29.99 USD. Případně s použitím slevového kódu GIFTSHOPS15 je cena ještě o 15 % nižší. Nabídka platí do 23. ledna.”

Historicky největší odhalený data leak v Číně obsahuje 202 milionů záznamů uchazečů o práci. Data obsahují poměrně detailní osobní informace: jméno, výška, váha, e-mail, rodinný stav, politické smýšlení, dovednosti, pracovní zkušenosti, telefonní číslo, platová očekávání či řidičský průkaz. Jak k úniku takto citlivých údajů došlo? Mohla za to dostatečně nezabezpečená databáze MongoDB bez jakékoliv autorizace.

Milovníci Fortnitu pozor. Hackeři nikdy nespí a u velmi populárních titulů už vůbec ne. Bylo zveřejněno, že Fortnite obsahoval zranitelnost, díky které útočníci mohli získat přihlašovací údaje k vašemu účtu a nejen to. Kompromitovaný účet mohl být dokonce odposloucháván. Zranitelnost, která by již měla být opravena, byla objevena na webových stránkách společnosti Epic Games, přesněji řečeno ve špatně zabezpečených subdoménách, přes které útočník mohl zachytit komunikaci a získat tak váš autentikační token. V případě, že měl hráč na svém herním účtu uložené platební údaje, mohl útočník nakoupit herní měnu označovanou jako “V-Bucks”, kterou pak mohl prodat dalším hráčům za reálné peníze.

Ve spojitosti s bojem proti dezinformacím se hojně mluví o sociálních sítích Facebook a Twitter. Oproti tomu řada uživatelů věří, že si s pomocí vyhledávače Googlu lze ověřit pravdivost faktů. Nedávno však vyplul na povrch zajímavý způsob, jak podvrhnout vyhledávačem nalezené výsledky. Stačí, aby si šiřitel dezinformace trochu zahrál s URL odkazem na vyhledávanou stránku a ten potom zveřejnil.

Takzvané Knowledge Cards jsou boxy, které se objevují na pravé straně obrazovky a přináší relevantní výtah informací. Tyto boxy však nezveřejňují, odkud informace berou (byť často je to např. Wikipedie). A co hůř, lze je podvrhnout pomocí URL parametru. Threatpost zveřejnil ukázku, jak k výsledkům vyhledávacího dotazu „kdo může za 11. září“ lze přilepit medailonek George Bushe. Uživatelé jsou naučeni jenom přelétnout informace v boxu a po dalších informacích nepátrat. Vůbec jim však nemusí dojít, že vidí upravený link, nikoli skutečné výsledky vyhledávače.

Ve zkratce

Pro pobavení

www.facebook.com/securmagazin.cz

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…