Projekt Tor zkoumá možnosti eliminace rizika spojeného s kompromitací jeho klíčů. Jak připomíná Mike Perry, projekt v současné době staví bezpečnost na několika mechanismech. Prvním z nich je samotný fakt, že projekt Tor Browser je kompletně otevřený, updaty jsou stahovány anonymně pomocí sítě Tor a žádosti o update neobsahují žádné identifikátory, které by umožňovaly doručit konkrétním uživatelům podvržené updaty.
Požadavky o update jsou posílány pomocí HTTPS a projekt také využívá pinning certifikátů. Samotné updaty jsou pak také podepsány dalším klíčem. Mike Perry též zmiňuje, že projekt Tor nikdy neobdržel žádost soudu o umístění backdoor do jeho kódu ani žádný požadavek na předání některého z používaných klíčů.
V souvislosti s aktuální hrozbou, které čelí společnost Apple, se v rámci projektu zkoumají možnosti, jak by mohla síť Tor a její uživatelé detekovat případné zneužití kryptografických klíčů, které by se dostaly do rukou zločinců, nebo nějaké vlády. Kromě toho byla také urychlena příprava nového programu odměn za nahlášené zranitelnosti.
Naše postřehy
Nový ransomware, založený na open-source projektu EDA2, se údajně dostal na počítače obětí přes TeamViewer. Poznáte jej podle přípony “.surprise” a pokud takové soubory najdete, tak máme hned dvě špatné zprávy. Ta první je, že C&C servery tohoto „drahouška“ byly v době psaní odkazovaného článku offline, takže nebylo možné soubory dešifrovat, ani pokud by byl uživatel ochotný zaplatit. Druhý problém je, že podle Davida Balabana ze společnosti Privacy PC byl malware na napadených počítačích instalován vzdáleně přes TeamViewer. Na velké části útoků se pak podílel jediný účet s uživatelským ID 479440875.
Na tyto informace reagoval Axel Schmidt z PR oddělení TeamVieweru. Ten je přesvědčený, že nedošlo k narušení bezpečnosti samotného software, ale problém podle něj může být v přístupu uživatelů, hlavně pak v jejich oblíbeném přístupu „jedno heslo vládne všem účtům“. Zároveň doporučil uživatelům, aby stahovali software vždy pouze prostřednictvím oficiálních firemních kanálů, aby používali pro každou službu unikátní hesla a aby pro své TeamViewer účty používali dvoufaktorovou autentizaci. A samozřejmě, aby zkontrolovali, zda už náhodou k infikování jejich zařízení nedošlo.
USB Thief je nový trojský kůň objevený analytiky společnosti ESET. Jak název napovídá, pro svou činnost zneužívá tento trojan USB zařízení, konkrétně pak využívá oblíbenosti různých portable verzí aplikací, jako jsou Firefox, NotePad++ nebo TrueCrypt. Aby nemohl být stažen z USB disku a podroben analýze, šifruje své soubory pomocí AES, přičemž klíč je generován na základě unikátního ID USB disku a některých jeho vlastností. Samotný trojský kůň se pak zaměřuje na kradení informací z počítače, do kterého je USB disk připojen. Na tom však nezůstanou po této akci žádné stopy.
Na světě je další zranitelnost s vlastním logem. Tentokrát se jedná o Badlock Bug a problém by se měl týkat téměř všech verzí Windows a Samby. Vývojáři Samby a Microsoftu již pracují na přípravě záplat, které by měly být k dispozici 12. dubna.
Chyba v rozhraní StartSSL umožňuje zachytit a zmanipulovat požadavek posílaný na server během ověřování vlastníka domény. Konkrétně se podařilo pozměnit informaci o e-mailové adrese, na kterou má být odeslán ověřovací kód. Standardně nabízí rozhraní možnost využít adresy postmaster, hostmaster, nebo webmaster. Nicméně Almanna Osama, který na chybu upozornil, dokázal změnit e-mailovou adresu pro poslání kódu na svou adresu u Yahoo. Podle vyjádření StartSSL však byla Yahoo adresa back-end servery akceptována, neboť byla s doménou, pro kterou byl požadavek na validaci odeslán, spojena pomocí WHOIS záznamů.
Přiznám se, občas se mi zasteskne po časech, kdy ještě nebyl internet masovou záležitostí. Dnešní stoka nenávistných výkřiků a nesmyslných blábolů totiž dokázala proměnit umělou inteligenci Microsoftu, v podobě chatovacího bota, za méně než 24 hodin v „nadrženého sexistického neonacistu s pozitivním vztahem ke konspiračním teoriím“. Vzhledem k tomu, že se umělá inteligence Microsoftu jmenovala Tay a nikoliv Skynet, tak se tentokrát ještě nechala od inženýrů Microsoftu umlčet.
Ve zkratce
- Brazilský trojan ukrývá kód v PNG souboru
- Hlavičku HPKP používá méně než 0,1 procenta HTTPS webů
- Remote Code Execution v DVR více než 70 výrobců
- Stránky EC Council byly napadeny a šířily malware
- Izraelská firma pomáhá FBI s odemčením toho iPhonu
- V roce 2015 poklesl počet napadení bankovním trojanem
- Yahoo upouští v dalších mobilních aplikacích od hesel
- Ransomware Petya už šifruje celý disk
- 18 milionů ukradených přihlašovacích údajů v Japonsku
- Kritická zranitelnost Oracle Java umožňuje vzdálenou manipulaci s obsahem
- Polovina IT profesionálů měla v posledních dvou letech kompromitovaný systém
Pro pobavení
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
