Hlavní navigace

Postřehy z bezpečnosti: podporujte svobodný internet

Martin Čmelík 9. 2. 2015

V nejnovějším díle Postřehu se podíváme na smutný příběh se šťastným koncem o jediném vývojáři GnuPG, na únik 80 milionů osobních údajů, falešnou aplikaci WhatsApp obsahující malware, XSS 0day chybu v Internet Exploreru 11, jedničku mezi exploit kity Angler a mnoho dalšího.

Werner Koch je 53letý programátor a autor projektu GnuPG (GPG, GNU Privacy Guard) z německého města Erkrath. S projektem začal od roku 1997 a jeho velkým snem je mít možnost najmout k sobě dalšího programátora na plný úvazek.

Projekt GnuPG používají desítky milionů lidí po celém světě pro šifrování emailů, dat, digitální podepisování, ověřování balíčků apod. Od počátků se však potýká s nedostatkem finančních prostředků (cca 25 tisíc dolarů ročně od roku 2001) a v podstatě tým vývojářů tvoří jen Werner. Werner chtěl již několikrát projekt ukončit a začátkem roku 2013 byl už téměř rozhodnutý, ale po zveřejnění dokumentů NSA Edwardem Snowdenem si řekl, že teď není vhodná doba. Navíc Edward Snowden v jednom z videí přímo zmiňoval GPG jako nejvhodnější nástroj pro šifrování komunikace s novináři. To Wernera samozřejmě opět povzbudilo.

Nicméně kvůli neměnné situaci s nedostatkem financí měl v plánu brzy projekt opravdu ukončit a vzít práci programátora u jedné společnosti, protože jeho žena je nezaměstnaná a má osmiletou dceru. Během 24 hodin od zveřejnění článku na portálu ProPublica získal dotace v hodnotě 137 tisíc dolarů (Linux Foundation, Facebook, Stripe) na další rok vývoje a soukromí přispěvatelé doslova zahltili stránku dotací. Facebook a Stripe navíc přislíbili každoročně podporu ve výši 50 tisíc dolarů.

Je to smutné, když vezmete v potaz, že software psaný jedním, špatně placeným, člověkem používají miliardové společnosti pro ochranu svých dat a nedávají za to nic.

Podporujte projekty, na kterých jste závislí, které běžně používáte, nebo ty, které podle vás mají smysl a potřebují dotace pro začátek.

Naše postřehy

Pokud si pamatujete, při útoku na obchodní síť Target (2013) bylo odcizeno 40 milionů osobních údajů zákazníků (včetně karet) a jednalo se o jeden z největších úniků informací. Minulou středu zdravotní pojišťovna Anthem ohlásila únik 80 milionů údajů. Bezpečnostní odborníci odhadují, že se jednalo o čínské útočníky, kteří použili formu cílené spear phishing kampaně a upravený malware. Ve článku se rozebírá nezbytnost šifrování těchto dat v databázi. Až by se mohlo zdát, že to problém vyřeší. I když si zašifrujete celý disk, tak se k datům dostane kdokoliv/cokoliv s přístupem k běžícímu systému. U databází se dají šifrovat jen určité sloupce v tabulkách, čímž omezíte přístup k důvěrným datům, ale logika je stejná, jen potřebujete vědět, kde v paměti serveru je klíč a jaké ochrany obejít (pokud vůbec), abyste se k němu dostali. Všechny krypto-operace by se musely provádět pomocí HSM (bez znalosti soukromého klíče) a byl by nezbytný jasně definovaný přístup k datům, což s sebou samozřejmě nese několik technických úskalí, které musíte řešit.

Služba WhatsApp, kterou používá 700 milionů uživatelů, spustila webovou verzi svého klienta (WhatsApp Web). Toho využili útočníci po celém světě a ohlásili existenci verze pro počítače, která v sobě samozřejmě skrývá škodlivý kód a v některých případech i bankovní trojan.

V populárním pluginu CMS WordPress “FancyBox” byla nalezena 0day zranitelnost a ohroženo je na 70 milionů webů. Aktuální verze pluginu chybu opravuje. Pokud byste měli zájem o zvýšení bezpečnosti vaší instalace, tak si přečtěte článek o modulech pro vyšší bezpečnost WP.

Byla nalezena XSS 0day chyba v Internet Exploreru 11, která umožňuje úplně obejít SOP (Same Origin Policy). Ve zkratce, pokud navštívíte web útočníků, tak ti mohou velmi jednoduše přečíst session cookies ostatních webů a dostat se tak do prakticky jakékoliv služby (Facebook, Twitter, emailový účet, …), nebo přepisovat zobrazované údaje na webu dané služby.

Google ve spolupráci s univerzitou v Pensylvánii pracovaly na studii během které zjistili, že 66 % uživatelů naprosto ignoruje varovná hlášení o SSL komunikaci. Snažily se tedy přijít na to, co dělat pro to, aby výsledky byly lepší a uživatelé lépe pochopili, v čem je problém a jaká rizika s tím souvisí. Ve zkratce je problémem nesrozumitelnost chybových hlášení pro běžného uživatele. Nově se bude jednat o jednoduché věty, které by měl pochopit i žák základní školy a odstraní se technické termíny.

Vývojáři české společnosti Avast na svém blogu popsali, jak karetní hra Durak vystavená na Google Play spolu s dvěma dalšími obsahovaly adware a přitom byly staženy 15 miliony uživateli. Po třiceti dnech od instalace se začaly projevovat a zobrazovaly reklamu hned po odemčení telefonu, která uživatele přesměrovala na další škodlivé weby.

Edward Snowden má stálou zásobu dokumentů a tajných informací o NSA, které postupně uvolňuje. Právě o nich a i o dalších bezpečnostních složkách, alianci “Pěti Očí” a tak dále se věnuje článek na InfoSecu.

Exploit kit Angler je aktuálně světovou jedničkou mezi exploit kity, a to především díky rychlé integraci 0day exploitů pro Adobe Flash, detekcí běžících antivirů, virtuální strojů, silnou obfuskací a šifrováním dropperu (malý, spustitelný soubor, jehož cílem je infikovat systém škodlivým kódem).

Ve zkratce

Pro pobavení

Úspěšný penetrační test :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

9. 2. 2015 15:58

S tím odklepáváním je to skoro jedno, protože když po nich prohlížeč nic odklepnout nechce, vůbec to neznamená, že se jedná o důvěryhodnou certifikační autoritu. Správně by měl uživatel začínat s prázdným seznamem autorit a přidat tam jen ty, kterým opravdu důvěřuje a jejichž certifikát si ověří. Ty stovky autorit, které jsou automaticky důvěryhodné, to je také bezpečnostní riziko, srovnatelné s tím automatickým odklepáváním.

9. 2. 2015 11:45

U banky by to vyžadovat měl, např. tím, že bude mít HTTPS variantu uloženou v záložkách. Když klikne na odkaz s HTTPS, pak to nepožaduje a prohlížeč by neměl s ničím otravovat.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie