Co se dozvíte v článku
WeChat sleduje uživatele
Experiment, zahrnující několik kanálů mezi čistě čínskými účty a čistě zahraničními zkoumal, zda WeChat (Tencent) analyzuje i provoz nečínských uživatelů a používá ho k tréninku cenzury. Statistické testy zjišťovaly, zda a za jak dlouho se projeví cenzura dříve neznámého obsahu (dokumentů a obrázků), zaslaného různými typy kanálů.
Další druh testů zkoumal totéž na dvojicích neškodných a citlivých obrázků, které ale byly připraveny (díky známým slabostem MD5) tak, aby měly stejný haš, a opět byly zasílány různými typy kanálů.
Třetí test zkoumal funkci smazání zprávy, kdy uživatel může zprávu do dvou minut stáhnout, aby ji adresát neviděl (pokud ji samozřejmě zatím neotevřel). Výsledky jsou jednoduché a statisticky průkazné: i na nečínských účtech probíhá sledování (včetně zkoumání obsahu obrázků), obsah je využíván pro cenzuru na čínských účtech, a využíván je i obsah zpráv, které uživatel následně smazal.
Studie také analyzovala politiky přístupu a soukromí a argumentaci, jakou v nich Tencent tyto techniky obhajuje (rozuměj: zamlžuje).
Kritická zranitelnost v telefonech Samsung
V telefonech Samsung byla nalezena kritická zranitelnost. Dotčeny jsou všechny telefony za posledních šest let. Zranitelnost je v parseru (knihovna Quram) specifického formátu pro obrázky QMG, vytvořeného Samsungem. Chyba umožňuje spustit libovolný kód – zajímavé je, že i v případě, že je QMG soubor poslán MMS zprávou, a tu lze zkonstruovat i tak, aby se uživateli vůbec nezobrazila. Jinými slovy, stačí znát jen telefonní číslo.
Lepší zprávy jsou, že kolem je řádka opatření, které je třeba také prolomit, a je tedy třeba cca 50–300 MMS zpráv. Autoři jsou z Googlího Project Zero, a proof-of-concept nezpřístupnili široké veřejnosti. A ještě – Samsung byl informován už v lednu, takže stihl pro své vlajkové lodě vydat záplaty. Kolik uživatelů ale bude mít i tak smůlu?
USA omezuje používání zařízení vyrobených „nepřátelskými mocnostmi“
Donald Trump podepsal zákon, který dává ministru energetiky pravomoc zakázat státním agenturám a americkým firmám nakupování, přesun či instalaci zařízení elektrické sítě, ve kterých má „zájem“ útočník z nepřátelské mocnosti, přičemž on je ten, kdo definuje whitelist.
Co je to nepřátelská mocnost, není příliš definováno, ale už i nejvyšší místa otevřeně zmiňují například Rusko a Čínu, nejnověji i ve varování před útoky na týmy, zabývající se COVID-19, či Severní Koreu. Jedná se sice o politiku za velkou louží, nicméně třeba u příkladu Huawei jsme se již přesvědčili, že vlivy dosahují i k nám.
Zloději okradli zloděje
Na darknetu se objevila další databáze osobních údajů na prodej. Jedná se o data (a někdy i záznamy komunikace) členů nyní již neexistujícího fóra WeLeakData.com, kde se obchodovalo s uniklými daty a osobními údaji. Ironií situace je to tedy zřejmě velice zajímavá sbírka dat pro policii a různé třípísmenkové agentury.
Podvůdek za 10 milionů
Podvržené maily či dokumenty, které přesvědčí vhodnou zodpovědnou osobu k odeslání obnosu z firemního účtu na lepší cíl, už jsou poměrně známé. Norský národní fond pro rozvojové země (Norfund) si touto zkušeností prochází poměrně tvrdě, protože přišel o 100 milionů norských korun (zhruba 10 milionů eur). Informací je málo, ale zmiňují podvrženou, leč legitimně vypadající komunikaci a falšované dokumenty.
Ve zkratce
GitHub: 500 GB privátního zdrojového kódu
GitHubu údajně uniklo 500 GB zdrojového kódu z privátních repozitářů. Údajně se jedná i o zdrojový kód Azure, Office a některých součástí Windows. Skrovné reakce zatím ukazují, že data jsou nejspíš pravá, ale podle Microsoftu kód „stejně není užitečný“.
Další sada ukradených záznamů o uživatelích
Hackerská skupina Shiny Hunters začala prodávat záznamy 73,2 milionu uživatelů z 11 různých firem.
Facebook Discover proxy
Facebook rozjel vlastní proxy se speciálním zaměřením – u spolupracujících operátorů jde o data zdarma, ovšem s omezením na typ obsahu (žádné audio, video, flash, odpověď max. 1 MB) a s některými technickými omezeními. Cílem jsou hlavně rozvojové země.
Pro poučení
Všichni chceme jednoduše a bezpečně ukládat data. Databáze jsou overkill, máme přece jednoduché bezpečné soubory. Opravdu? Jenže práce se soubory je složitá a plná úskalí.
Pro pobavení(?)
Chcete si přivydělat? Na PasteBin se objevila nabídka a dotazníček. Nemáte nějaký pěkný exploit?
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…