Hlavní navigace

Postřehy z bezpečnosti: podporujte svobodný internet

Martin Čmelík

V nejnovějším díle Postřehu se podíváme na smutný příběh se šťastným koncem o jediném vývojáři GnuPG, na únik 80 milionů osobních údajů, falešnou aplikaci WhatsApp obsahující malware, XSS 0day chybu v Internet Exploreru 11, jedničku mezi exploit kity Angler a mnoho dalšího.

Werner Koch je 53letý programátor a autor projektu GnuPG (GPG, GNU Privacy Guard) z německého města Erkrath. S projektem začal od roku 1997 a jeho velkým snem je mít možnost najmout k sobě dalšího programátora na plný úvazek.

Projekt GnuPG používají desítky milionů lidí po celém světě pro šifrování emailů, dat, digitální podepisování, ověřování balíčků apod. Od počátků se však potýká s nedostatkem finančních prostředků (cca 25 tisíc dolarů ročně od roku 2001) a v podstatě tým vývojářů tvoří jen Werner. Werner chtěl již několikrát projekt ukončit a začátkem roku 2013 byl už téměř rozhodnutý, ale po zveřejnění dokumentů NSA Edwardem Snowdenem si řekl, že teď není vhodná doba. Navíc Edward Snowden v jednom z videí přímo zmiňoval GPG jako nejvhodnější nástroj pro šifrování komunikace s novináři. To Wernera samozřejmě opět povzbudilo.

Nicméně kvůli neměnné situaci s nedostatkem financí měl v plánu brzy projekt opravdu ukončit a vzít práci programátora u jedné společnosti, protože jeho žena je nezaměstnaná a má osmiletou dceru. Během 24 hodin od zveřejnění článku na portálu ProPublica získal dotace v hodnotě 137 tisíc dolarů (Linux Foundation, Facebook, Stripe) na další rok vývoje a soukromí přispěvatelé doslova zahltili stránku dotací. Facebook a Stripe navíc přislíbili každoročně podporu ve výši 50 tisíc dolarů.

Je to smutné, když vezmete v potaz, že software psaný jedním, špatně placeným, člověkem používají miliardové společnosti pro ochranu svých dat a nedávají za to nic.

Podporujte projekty, na kterých jste závislí, které běžně používáte, nebo ty, které podle vás mají smysl a potřebují dotace pro začátek.

Naše postřehy

Pokud si pamatujete, při útoku na obchodní síť Target (2013) bylo odcizeno 40 milionů osobních údajů zákazníků (včetně karet) a jednalo se o jeden z největších úniků informací. Minulou středu zdravotní pojišťovna Anthem ohlásila únik 80 milionů údajů. Bezpečnostní odborníci odhadují, že se jednalo o čínské útočníky, kteří použili formu cílené spear phishing kampaně a upravený malware. Ve článku se rozebírá nezbytnost šifrování těchto dat v databázi. Až by se mohlo zdát, že to problém vyřeší. I když si zašifrujete celý disk, tak se k datům dostane kdokoliv/cokoliv s přístupem k běžícímu systému. U databází se dají šifrovat jen určité sloupce v tabulkách, čímž omezíte přístup k důvěrným datům, ale logika je stejná, jen potřebujete vědět, kde v paměti serveru je klíč a jaké ochrany obejít (pokud vůbec), abyste se k němu dostali. Všechny krypto-operace by se musely provádět pomocí HSM (bez znalosti soukromého klíče) a byl by nezbytný jasně definovaný přístup k datům, což s sebou samozřejmě nese několik technických úskalí, které musíte řešit.

Služba WhatsApp, kterou používá 700 milionů uživatelů, spustila webovou verzi svého klienta (WhatsApp Web). Toho využili útočníci po celém světě a ohlásili existenci verze pro počítače, která v sobě samozřejmě skrývá škodlivý kód a v některých případech i bankovní trojan.

V populárním pluginu CMS WordPress “FancyBox” byla nalezena 0day zranitelnost a ohroženo je na 70 milionů webů. Aktuální verze pluginu chybu opravuje. Pokud byste měli zájem o zvýšení bezpečnosti vaší instalace, tak si přečtěte článek o modulech pro vyšší bezpečnost WP.

Byla nalezena XSS 0day chyba v Internet Exploreru 11, která umožňuje úplně obejít SOP (Same Origin Policy). Ve zkratce, pokud navštívíte web útočníků, tak ti mohou velmi jednoduše přečíst session cookies ostatních webů a dostat se tak do prakticky jakékoliv služby (Facebook, Twitter, emailový účet, …), nebo přepisovat zobrazované údaje na webu dané služby.

Google ve spolupráci s univerzitou v Pensylvánii pracovaly na studii během které zjistili, že 66 % uživatelů naprosto ignoruje varovná hlášení o SSL komunikaci. Snažily se tedy přijít na to, co dělat pro to, aby výsledky byly lepší a uživatelé lépe pochopili, v čem je problém a jaká rizika s tím souvisí. Ve zkratce je problémem nesrozumitelnost chybových hlášení pro běžného uživatele. Nově se bude jednat o jednoduché věty, které by měl pochopit i žák základní školy a odstraní se technické termíny.

Vývojáři české společnosti Avast na svém blogu popsali, jak karetní hra Durak vystavená na Google Play spolu s dvěma dalšími obsahovaly adware a přitom byly staženy 15 miliony uživateli. Po třiceti dnech od instalace se začaly projevovat a zobrazovaly reklamu hned po odemčení telefonu, která uživatele přesměrovala na další škodlivé weby.

Edward Snowden má stálou zásobu dokumentů a tajných informací o NSA, které postupně uvolňuje. Právě o nich a i o dalších bezpečnostních složkách, alianci “Pěti Očí” a tak dále se věnuje článek na InfoSecu.

Exploit kit Angler je aktuálně světovou jedničkou mezi exploit kity, a to především díky rychlé integraci 0day exploitů pro Adobe Flash, detekcí běžících antivirů, virtuální strojů, silnou obfuskací a šifrováním dropperu (malý, spustitelný soubor, jehož cílem je infikovat systém škodlivým kódem).

Ve zkratce

Pro pobavení

Úspěšný penetrační test :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?