Snowden je opravdu neuvěřitelným zdrojem informací o tajných praktikách NSA a dalších vládních skupin. Vlastně potvrzuje všechno to, co jsem si myslel a za což jsem byl označován za paranoika. Teď nám sdělil, že NSA a britská GCHQ pracují po mnoho let na tom, aby měli v aplikacích a systémech zadní vrátka, případně pak, že společnost s NSA přímo spolupracuje na designu aplikace a jejího šifrování, aby se tak v případě potřeby mohli k datům dostat. Jako třeba Microsoft při vývoji Windows. Na tento program je vyhrazeno ročně 250 milionů dolarů. Podobných metod je velká spousta avšak mít v programu přímo zadní vrátka celou situaci dost zjednodušuje. Myslíte si například, že vaše nastavení HTTPS je bezpečné? Zkuste si tento test SSL nastavení a možná budete nemile překvapeni.
Dokumenty zmiňují, že NSA a GCHQ jsou schopny dešifrovat HTTPS (SSL/TLS), VPN, IM a VoIP komunikaci. Podle Roba Grahama i Tor. Čili to nejběžnější, co dnes používáme a čemu například při komunikaci s bankou pevně důvěřujeme.
Jestli jsem to dobře pochopil, tak systém na louskání komunikace má název BULLRUN a nikdo o něm nesmí moc vědět, ani se na něj ptát. Navíc ze článku byly vypuštěny některé údaje na žádost bezpečnostních složek, takže možná, že šlo právě o tyto specifikace. Já si upřímně myslím, že mají backdoor přímo v AES, ale to samozřejmě nejsem schopen prokázat, nicméně NSA má ve svých řadách takové mozky, že by to mohlo ostatním kryptoanalitikům uniknout. Nicméně řekněme, že tento systém provádí jen brute force útok. Na strojích, které nebudou podobné serverům, které známe, ale bude se jednat spíš o farmu na zakázku postavených serverů s tisícovkou ASIC čipů s HW akcelerací lámání šifer v každém z nich, což je samozřejmě několika (tisíci?) násobně rychlejší než na konvenční architektuře. Jedná se pouze o mé spekulace. Třeba si o tom, jak to skutečně je, přečteme později.
Naše postřehy
Budou útočníci v budoucnu napadat auta? Bezpečnostní specialisté ukazují, že to rozhodně není nereálné. Rostoucí závislost automobilů na počítačích se může ukázat rozhodující v tomto nerovnocenném souboji.
Na Facebooku existovala bezpečnostní chyba umožňující smazat libovolnou fotografii z libovolného účtu. Arul Kumar si nahlášením této chyby přišel díky programu Bug Bounties na pěkných 12500 dolarů.
Naopak Ehraz Ahmed, který našel chybu umožňující smazat jakýkoliv účet na Facebooku ostrouhal a nedostal nic. Podle vyjádření Facebooku šlo o hoax a reportovaná chyba nikdy neexistovala.
Nebojme se upravovat PE soubory. Cílem toho seriálu je popsat techniky úpravy PE kódu. V prvním díle se seznámíme s nezbytnou strukturou PE souboru. Popíšeme si jak vytvořit v souboru novou sekci pomocí editoru a jak zajistit vykonání našeho kódu uloženého v této sekci.
Toto úterý vydá Microsoft opravu na kritickou chybu umožňující spuštění útočného kódu už jen při náhledu emailu v programech Outlook 2007 a 2010. Předpokládá se, že útočníci na základě analýzy tohoto opravného balíčku vytvoří velmi rychle funkční exploit (nazývaný jako 0.5 day exploit), který se začne masově šířit. Další kritickou, vzdáleně zneužitelnou, chybu postihuje SharePoint server 2003, Internet Explorer 6+, Windows XP a Windows Server 2003. Jasným cílem útočníků tak budou především korporátní uživatelé.
Během několika posledních týdnů bylo možné pozorovat masivní nárůst Tor klientů. Předpokládalo se, že se jedná o reakci uživatelů na informace ohledně špionážních programů NSA, ale šlo o botnet využívající Tor pro komunikaci. Botnet existuje podle analytiků společnosti Fox-IT již od roku 2009 a má název SBC. Tento botnet primárně komunikuje přes HTTP protokol a před pár týdny začal používat i síť Toru. Pochází nejspíše z Ruska a orientuje se především na finanční kyberzločiny. Výhodou této komunikace je z pohledu operátorů botnetu především anonymizace C&C serveru pomocí hidden služeb.
Nový bankovní trojan má název Hesperbot a na stanicích instaluje i VNC službu. Byl objeven vývojáři společnosti ESET a má označení Win32/Spy.Hesperbot. Je velmi podobný Zeusu a SpyEye. Na cílové stanici odposlouchává stisknuté klávesy, vytváří screenshoty a video z dění na obrazovce, instaluje proxy a skrytou VNC službu, hledá v systému emailové adresy a je prý schopen i vložit HTML do probíhající síťové komunikace. Cílem je zaznamenat heslo při přístupu do systému banky a jiných hesel k populárním službám. Tento trojan byl šířen v České republice phishingovými emaily od České Pošty.
Mobilní trojan Obad (Android) jako první začal šířit přes cizí mobilní botnet síť. Primárně zasílá z telefonu premium SMS na číslo útočníka a pomocí chyby v Androidu beží pod právy administrátora, takže není lehké ho smazat. Do mobilu se dostane většinou pomocí příchozí SMS s tímto textem “MMS message has been delivered, download from www[.]otkroi[.]com.” Při navštívení této stránky se stáhne mms.apk aplikace obsahující malware Opfake. Další informace na blogu Kaspersky.
Světoznámý server GitHub nabízející hosting pro ukládání/verzování zdrojových kódů nyní nabídnul všem svým uživatelům možnost dvoufaktorové autentizace (2FA). Jedním z podporovaných programů pro generování autentizačního kódu je i Google Authenticator. 2FA používejte všude, kde je to jen možné.
Startup bugcrowd získal od ICON Partners, Paladin Capital a Square Peg Capital 1,6 milionů dolarů, aby se stal centrálním místem pro ohlašování a vyplácení odměn za nalezenou chybu v komerčních programech. Takové centrální místo Bug Bounty programů, kdy ohlásíte nalezenou chybu a dále za vás jedná tato společnost.
Silent Circle, společnost zabývající se bezpečnou komunikací vydala aplikaci pro Android, která by měla bezpečně šifrovat komunikaci a soubory a dále je také bezpečně mazat. Jedním ze zakladatelů je známá legenda Phil Zimmerman.
Dle mého názoru nejlepší seriál o aplikační bezpečnosti Apple iOS a aplikací. Popisuje struktury a architekturu iOS, jak psát bezpečné programy, jak je analyzovat, debugovat a jak nabourávat/testovat.
Dva indičtí hackeři napsali exploit, který je schopen vytvořit ve známém softwaru pro fóra vBulletin nový účet s oprávněním administrátora. Verze 4.x.x.x jsou tímto postihnutelné. Updatujte na poslední verzi.
Ve zkratce
- Nejbezpečnější mobil na světě? Na webu Kickstarter ho prý za 2,1 milionů dolarů vyvine společnost QSAlpha. Už to, že na něm poběží Android, naznačuje nesmyslnost konceptu.
- Microsoft koupil Nokii
- Byla vydána nová verze Bitcoin-QT 0.8.4 opravující kritickou chybu umožňující odepření služby
- Pět tipů pro vyšší bezpečnost vašeho Facebook účtu
- Penetrační testování FTP služby
- Několik informací o Remote Access Trojanovi njw0rm
- Vyzkoušejte přednastavené ISO fungující jako SNORT IDS sonda, obsahující Sguil a další potřebné aplikace
- Hledání malwaru v paměti počítače. Pěkný tutorial na dané téma s konkrétními příklady.
- Chyba v novém Google Authenticatoru smazala předchozí synchronizaci se službami. Mohli jste tak být odříznuti od služby, která tuto aplikaci používala pro dvoufaktorovou autentizaci.
Závěr
Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter
Děkujeme
