Velmi významnou událostí minulého týdne byla určitě konference IETF 93, která se po čtyřech letech vrátila do Prahy. Když přijede na takovouto akci 1384 účastníků, můžeme si být jisti, že se jedná o mimořádné setkání. Praha nehostí světové odborníky na tvorbu standardů každý den. I když je sledování práce jednotlivých WG poměrně náročné, najdou se skupiny, jejichž činnost se z pohledu bezpečnosti sledovat vyplatí. Konkrétně mám nyní na mysli například Domain Boundaries (DBOUND), DANE či DNS PRIVates Exchange (DPRIVE). Schválení těchto bezpečnostních standardů je ale jen jedním krokem v procesu, na jehož konci bude bezpečnější Internet; bez vůle operátorů a správců se o moc dál neposuneme. Třešničkou na dortu pražského IETF byl určitě Edward Snowden. O velké postavě, která v dobrém i zlém zahýbala bezpečností, jste si mohli přečíst i na Rootu.
K velkým společnostem vydávajícím pravidelné reporty, v nichž se ohlíží do minulosti a snaží se předpovídat nové trendy, se přidává také CISCO. Právě v tom posledním [PDF], který hodnotí první půlrok 2015, upozorňuje na téměř 100% nárůst zranitelností (dle počtu CVE) v Adobe Flash. Řada z nich byla odhalena i díky Hacker teamu. Za pozornost jistě stojí, že nové zranitelnosti v Adobe Flash jsou využívány v exploit kitu Angler [PDF]. Prodleva mezi vydáním updatu a skutečným upgradem na straně uživatele dává dostatek času na jeho využití. Naopak počet zranitelností v Javě mírně poklesl. Pozitivní správou je, že bezpečnosti si začínají všímat také autoři open-source projektů. Čas mezi zjištěním zranitelnosti a její opravou se u těchto případů v prvním půlroce snížil. Zvýšená pozornost s ohledem na bezpečnost v open-source projektech se připisuje například i loňským případům, mezi něž patřil například také Heartbleed bug.
Pod Androidem se zatřásla země, když se objevila zranitelnost v jedné komponentě určené na přehrávání videa. Na rozdíl od jiných zranitelností může Stagefright importovat škodlivý kód do zařízení bez interakce uživatele. Pro zaslání upraveného videa tak stačí útočníkovi telefonní číslo. Zda se videosoubor spustí, záleží na tom, jak telefon multimediální zprávy zpracovává. Problém nastává v aplikacích jakou je například Hangouts, který po přijetí ve výchozím nastavení obsah souboru stáhne. Zranitelnost se týká přibližně 95 % všech zařízení s operačním systémem Android, avšak nejzranitelnější by měly být Froyo 2.2 a Gingerbread 2.3, které disponují několika metodami, jak získat rootovská práva. Informace o počtech zneužití zatím dostupné nejsou. Než se však patche dostanou na všechny zařízení, útočníci mají ještě dost času. Na nejbližší Black Hat konferenci se o této zranitelnosti jistě dozvíme víc.
Společnost Trend Micro přidělala v závěru minulého týdne na čele Androidu ještě jednu vrásku. Na rozdíl od Stagefright je však v tomto případě potřebná menší interakce uživatele (což by vzhledem k pokročilým phishingovým útokům neměl být problém). Přes škodlivou aplikaci nebo upravenou webovou stránku je možné telefon uvést do stavu, kdy se jeví jako úplně vypnutý. Zranitelnost se týká asi poloviny všech zařízeních s Android, od verze 4.3 (Jelly Bean) a vyšší. Proof of concept najdete na TheHackerNews. Co má však tato záležitost společného s Stagefrigtem? Google byl na obě zranitelností upozorněn před zveřejněním, a to v dostatečném předstihu. Vytvořit a rozdistribuovat záplaty však „nestihl“.
Uživatelé Windows 7 a Windows 8 mohou zadarmo upgradovat na Windows 10, který vyšel minulý týden. Nové Windows mají však něco navíc. Jejich Wi-Fi Sense totiž automaticky sdílí přístup k vaší síti s kontakty v Outlooku a Skype. Pokud by se vám to zdálo málo, je možné připojit i kontakty z Facebooku. Jako majitel sítě musíte takovéto sdílení však povolit. Heslo je zasílané na server Microsoftu šifrovaně a následně je uloženo v šifrovaném souboru. Heslo v plaintextu však osoba, která se bude chtít připojit do vaší sítě, neuvidí. Je to však poněkud zvláštní řešení. I když je vyptávání se na heslo v kavárnách občas otravné, určitě si dokážeme představit lepší řešení, jak sdílet přístup k sítím přes kontakty na Facebooku. Panují tak oprávněné obavy o ochranu soukromí (sdílenou síť je možné vysledovat).
Pro paranoidnější uživatele je zdarma ke stažení doplněk do Chrome DMAIL. Ten umožňuje uživatelům Gmailu zbavit se zpráv, i když to pomocí „Undo sent“ do 30 sekund od odeslání e-mailu nestihnou. Tento doplněk byl přitom u Gmailu představen teprve (nebo až) před měsícem. S DMAILem se zpráv nezbavíte úplně, jen k nim omezíte přístup. Zprávy jsou totiž šifrovány pomocí 256bitového algoritmu a zašifrované se zašlou na DMAIL. Na Gmail je odeslána zpráva s odkazem na zprávu na DMAILu a šifrovací klíč, takže otevřením dané URL si příjemce může zprávu přečíst, pokud ji odesilatel ještě nesmazal. Zatím se jedná o beta verzi a proto je počet e-mailů, které je možné tímto způsobem šifrovat, omezený. Tvůrci asi mají zkušenosti se zasíláním e-mailů a s následným bitím se do hlavy.
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
