Hlavní navigace

Postřehy z bezpečnosti: nešťastný Android a nepřehlédnutelná novinka ve Windows 10

Zuzana Duračinská

Nové objevy, které se k nám postupně dostávaly díky Hacker teamu, nás zaměstnaly na pár týdnů. Díky nim byly posunuty hranice vnímání bezpečnosti. Spolupráce Hacker teamu s vládami jednotlivých států občany asi moc nepotěšila. Už teď víme, že jde o bezpečnostní událost roku 2015. Co přinesl uplynulý týden?

Velmi významnou událostí minulého týdne byla určitě konference IETF 93, která se po čtyřech letech vrátila do Prahy. Když přijede na takovouto akci 1384 účastníků, můžeme si být jisti, že se jedná o mimořádné setkání. Praha nehostí světové odborníky na tvorbu standardů každý den. I když je sledování práce jednotlivých WG poměrně náročné, najdou se skupiny, jejichž činnost se z pohledu bezpečnosti sledovat vyplatí. Konkrétně mám nyní na mysli například Domain Boundaries (DBOUND), DANE či DNS PRIVates Exchange (DPRIVE). Schválení těchto bezpečnostních standardů je ale jen jedním krokem v procesu, na jehož konci bude bezpečnější Internet; bez vůle operátorů a správců se o moc dál neposuneme. Třešničkou na dortu pražského IETF byl určitě Edward Snowden. O velké postavě, která v dobrém i zlém zahýbala bezpečností, jste si mohli přečíst i na Rootu.

K velkým společnostem vydávajícím pravidelné reporty, v nichž se ohlíží do minulosti a snaží se předpovídat nové trendy, se přidává také CISCO. Právě v tom posledním [PDF], který hodnotí první půlrok 2015, upozorňuje na téměř 100% nárůst zranitelností (dle počtu CVE) v Adobe Flash. Řada z nich byla odhalena i díky Hacker teamu. Za pozornost jistě stojí, že nové zranitelnosti v Adobe Flash jsou využívány v exploit kitu Angler [PDF]. Prodleva mezi vydáním updatu a skutečným upgradem na straně uživatele dává dostatek času na jeho využití. Naopak počet zranitelností v Javě mírně poklesl. Pozitivní správou je, že bezpečnosti si začínají všímat také autoři open-source projektů. Čas mezi zjištěním zranitelnosti a její opravou se u těchto případů v prvním půlroce snížil. Zvýšená pozornost s ohledem na bezpečnost v open-source projektech se připisuje například i loňským případům, mezi něž patřil například také Heartbleed bug.

Pod Androidem se zatřásla země, když se objevila zranitelnost v jedné komponentě určené na přehrávání videa. Na rozdíl od jiných zranitelností může Stagefright importovat škodlivý kód do zařízení bez interakce uživatele. Pro zaslání upraveného videa tak stačí útočníkovi telefonní číslo. Zda se videosoubor spustí, záleží na tom, jak telefon multimediální zprávy zpracovává. Problém nastává v aplikacích jakou je například Hangouts, který po přijetí ve výchozím nastavení obsah souboru stáhne. Zranitelnost se týká přibližně 95 % všech zařízení s operačním systémem Android, avšak nejzranitelnější by měly být Froyo 2.2 a Gingerbread 2.3, které disponují několika metodami, jak získat rootovská práva. Informace o počtech zneužití zatím dostupné nejsou. Než se však patche dostanou na všechny zařízení, útočníci mají ještě dost času. Na nejbližší Black Hat konferenci se o této zranitelnosti jistě dozvíme víc.

Společnost Trend Micro přidělala v závěru minulého týdne na čele Androidu ještě jednu vrásku. Na rozdíl od Stagefright je však v tomto případě potřebná menší interakce uživatele (což by vzhledem k pokročilým phishingovým útokům neměl být problém). Přes škodlivou aplikaci nebo upravenou webovou stránku je možné telefon uvést do stavu, kdy se jeví jako úplně vypnutý. Zranitelnost se týká asi poloviny všech zařízeních s Android, od verze 4.3 (Jelly Bean) a vyšší. Proof of concept najdete na TheHackerNews. Co má však tato záležitost společného s Stagefrigtem? Google byl na obě zranitelností upozorněn před zveřejněním, a to v dostatečném předstihu. Vytvořit a rozdistribuovat záplaty však „nestihl“.

Uživatelé Windows 7 a Windows 8 mohou zadarmo upgradovat na Windows 10, který vyšel minulý týden. Nové Windows mají však něco navíc. Jejich Wi-Fi Sense totiž automaticky sdílí přístup k vaší síti s kontakty v Outlooku a Skype. Pokud by se vám to zdálo málo, je možné připojit i kontakty z Facebooku. Jako majitel sítě musíte takovéto sdílení však povolit. Heslo je zasílané na server Microsoftu šifrovaně a následně je uloženo v šifrovaném souboru. Heslo v plaintextu však osoba, která se bude chtít připojit do vaší sítě, neuvidí. Je to však poněkud zvláštní řešení. I když je vyptávání se na heslo v kavárnách občas otravné, určitě si dokážeme představit lepší řešení, jak sdílet přístup k sítím přes kontakty na Facebooku. Panují tak oprávněné obavy o ochranu soukromí (sdílenou síť je možné vysledovat).

Pro paranoidnější uživatele je zdarma ke stažení doplněk do Chrome DMAIL. Ten umožňuje uživatelům Gmailu zbavit se zpráv, i když to pomocí „Undo sent“ do 30 sekund od odeslání e-mailu nestihnou. Tento doplněk byl přitom u Gmailu představen teprve (nebo až) před měsícem. S DMAILem se zpráv nezbavíte úplně, jen k nim omezíte přístup. Zprávy jsou totiž šifrovány pomocí 256bitového algoritmu a zašifrované se zašlou na DMAIL. Na Gmail je odeslána zpráva s odkazem na zprávu na DMAILu a šifrovací klíč, takže otevřením dané URL si příjemce může zprávu přečíst, pokud ji odesilatel ještě nesmazal. Zatím se jedná o beta verzi a proto je počet e-mailů, které je možné tímto způsobem šifrovat, omezený. Tvůrci asi mají zkušenosti se zasíláním e-mailů a s následným bitím se do hlavy.

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

3. 8. 2015 5:22

Jenda (neregistrovaný)

> Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Tipy jsem ochoten zasílat, ale tyhle dva komunikační kanály fakt nemám. Mám to posílat autorům mailem, šéfredaktorovi, psát to do diskuze nebo tak něco?

3. 8. 2015 12:26

To je ale chyba v tom, že připojujete neznámé uživatele do WiFi, která má přístup k citlivým datům. Windows 10 v tomhle nepřinášejí žádnou novou hrozbu, akorát vy jste si uvědomil hrozbu, kterou jste dříve neviděl. Přece už dřív nic nebránilo tomu pojišťovákovi, aby vaše heslo zveřejnil – nebo mohl být dokonce zavirované zařízení, které to heslo zjistilo a předalo někam dál, a ten pojišťovák o tom ani nemusel vědět. Takže nikdo neví, kdo všechno to heslo má, a nevěděl to ani dříve.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Brněnský radní chce zničit kartel operátorů. Uspěje?

Brněnský radní chce zničit kartel operátorů. Uspěje?

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Jedlé kaštany jsou trpké, je třeba je tepelně upravit

Jedlé kaštany jsou trpké, je třeba je tepelně upravit

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR