Hlavní navigace

Postřehy z bezpečnosti: šifrování včera a dnes

24. 10. 2016
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
Dnes se podíváme na růst využívaní SSL/TLS certifikátů, k certifikátům se vrátíme v souvislosti s GlobalSign, koukneme se ve zkratce na zranitelnost v linuxovém jádře a zmíníme útoky na velkého DNS providera.

Počet znaků ve tweetu nesmí překročit 140. I to však stačí k podání zajímavé zprávy hodné další analýzy. Josh Aas v uplynulém týdnu tweetoval: „Mozilla telemetrie ukazuje, že včera bylo přes HTTPS načteno přes 50 % stránek. To je vůbec poprvé co se tak stalo.“ I když měl Firefox dle portálu statcounter.com v září 2016 podíl na trhu prohlížečů jenom pod 8 %, stále jde o reprezentativní vzorek. Lze to však doplnit další statistikou Google. K 2. říjnu 2016 bylo z celkového počtu požadavků na servery Google vedeno až 85 % přes šifrované spojení. U Google jde o nárůst o 7 % za období od ledna 2016 do září 2016. Za stejné časové období jde u Mozilly o nárůst o 9 %. Když si představíme, kolik provozu se skrývá v jednom procentu například u Googlu, jde za tak krátké časové období o velice výrazný posun.

Nárůst šifrovaného provozu na serverech Google

Za tímto posunem však stojí hlavně u prohlížečů řada certifikačních autorit, které začaly poskytovat bezplatné SSL certifikáty. Jde hlavně o Let’s Encrypt, Cloudflare či Amazon. Ty se podepsaly pod vysoký růst šifrované komunikace. Implementace SSL certifikátů od uznávaných certifikačních autorit byla v minulosti také otázkou zdrojů. S postupným rozvojem bezplatných certifikátů se roztrhl pytel a stejný Josh Aas (Head of Let's Encrypt) jenom o pár dní později tweetoval, že počet platných certifikátů, které vydali, přesáhl 10 000 000.

Nárůst SSL certifikátu u Let's Encrypt

Kromě ceny se výrazně uživatelsky zjednodušilo využívání certifikátů a jejich výměna. Pro samotný Let's Encrypt to je velký úspěch, se kterým při spouštění služby nepočítali.

K výraznému posunu v rychlé implementaci SSL certifikátů přispěly výrazně také světové a domácí hostingové společnosti, které mohly využít nabízení bezplatných SSL certifikátů jako konkurenční výhodu. Společnost Active24 byla jedna z prvních českých hostingových společností, která na tuto možnost zareagovala. V červenci 2015 společnost avizovala, že začíná nabízet všem webům hostovaným na Linux serverech SSL certifikáty automaticky a zdarma. Mezi překážkami, které tomu dříve bránily byl – poplatek na instalaci a provoz SSL/TLS certifikátů, vyhrazené IP adresy a opt-in aktivace služby.

Vzhledem k tomu, jak výrazně snižuje bezpečnostní riziko šifrovaná komunikace mezi klientem a serverem, bezplatné poskytování SSL certifikátů má v tomto ohledu výrazný dopad na zlepšení bezpečnosti velké části webů a služeb. Zda se bavíme o přenosu hesel do administrace stránek, cookies, ale taky znesnadnění vkládaní malwaru do stránek či jiného vstupování do komunikace mezi klientem a serverem.

Naše postřehy

S certifikáty to však není pořád tak růžové, jak se může na první pohled zdát. GlobalSign nedopatřením spustil revokaci zprostředkovatelských certifikátů, což způsobilo narušení řetězce důvěry mezi GlobalSign a jejími zákazníky. Řada provozovatelů webů byla negativně označena, protože uživatelům byla jejich stránka prezentovaná jako nedůvěryhodná nebo prohlížeč odmítal na danou stránku přístup. Pro společnosti, jejichž core business spočívá na webu, to může znamenat veliké ztráty. Zádrhelem při nápravě chyb spojených s certifikáty je taky fakt, že různé aplikace a prohlížeče mají jinak nastavené updaty, a tak to může nějakou dobu trvat, dokud se uživatel na službu bez potíží dostane.

Nový bankovní trojan se nápadně podobá známému bankovnímu trojanu Dyre. Nový malware zvaný TrickBot má mnoho podobností s Dyre, ale obsahuje také dost rozdílů. Vzhledem k tomu, že se předpokládalo, že lidé stojící za Dyrem jsou již za mřížemi, potvrzení, že za TrickBotem stojí stejní lidé, by vzbudilo řadu otázek. V současnosti cílí TrickBot převážně na australské banky.

„Špinavá kráva“ nebo „Dirty Cow“ je název zranitelnosti, která se nachází již devět let ve všech linuxových systémech. Tato chyba umožňuje přes zranitelnou aplikaci získaní práv do zařízení na úrovni roota a kompletně ji tak kontrolovat. Zranitelnost je poměrně jednoduché exploitovat, což vytváří velký tlak na její rychlé záplatování. Několik zneužití této zranitelnosti se již dokonce potvrdilo. Navíc se nachází také v linuxovém kernelu, který je součástí téměř všech distribucí včetně Debianu, Red Hatu či Ubuntu. Kernel byl záplatován a většina distribucí již také vydala záplaty. Detaily naleznete v samostatném článku: „Špinavá kráva“ přepisuje soubory pro čtení, v jádře je 9 let.

V pátek byly služby jako Twitter, GitHub, Reddit, Paypal a různé další na několik hodin nedostupné. Důvodem bylo, že jejich DNS provider byl pod silným DDoS útokem, který mířil na jejich data centra. Na útoku se podílely IoT zařízení, které jsou nakaženy malwarem Mirai. Tento malware je cílen na zařízení jako jsou routery či bezpečnostní kamery, které se po jejich kompromitaci stávají součástí velkého botnetu. Zdrojový kód malwaru Mirai byl zveřejněn před pár týdny.

root_podpora

K LinkedInu, MySpacu, Tumblru či Dropboxu se přidal Weebly. Ze všech těchto sítí unikly tisíce uživatelských údajů. Weebly je platforma na hostování a tvorbu webových stránek a v uplynulém týdnu přišla o údaje 43 430 316 zákazníků. Odcizené údaje obsahují uživatelská jména, emailové adresy, hesla a IP adresy. Hesla byla zahashována hashovacím algoritmem Bcrypt, který by měl získaní skutečných hesel výrazně ztížit. Hashe pravděpodobně využívaly také Salt, což je náhodný řetězec přidaný do hashovacího procesu s cílem posílit heslo a udělat jeho cracknutí ještě náročnější. I když není známo, zda byla hesla cracknuta, Weebly vyzval uživatele k jejich změně.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?

Autor článku

Zuzana Duračinská pracuje ve společnosti CZ.NIC od roku 2013. V rámci týmu CSIRT.CZ se věnuje především penetračním testům webových aplikací, kybernetickým cvičením a spolupráci na bezpečnostních projektech.