Hlavní navigace

Postřehy z bezpečnosti: soukromí na čínský způsob

18. 5. 2020
Doba čtení: 3 minuty

Sdílet

Tento týden se objevila zajímavá studie čínské cenzury, uživatelé telefonů Samsung mají problém, USA se dále vymezuje proti zbytku světa a byla ukradena data zlodějům i peníze rozvojovým zemím.
Co se dozvíte v článku
  1. WeChat sleduje uživatele
  2. Kritická zranitelnost v telefonech Samsung
  3. USA omezuje používání zařízení vyrobených „nepřátelskými mocnostmi“
  4. Zloději okradli zloděje
  5. Podvůdek za 10 milionů
  6. Ve zkratce
  7. Pro poučení
  8. Pro pobavení(?)

WeChat sleduje uživatele

Experiment, zahrnující několik kanálů mezi čistě čínskými účty a čistě zahraničními zkoumal, zda WeChat (Tencent) analyzuje i provoz nečínských uživatelů a používá ho k tréninku cenzury. Statistické testy zjišťovaly, zda a za jak dlouho se projeví cenzura dříve neznámého obsahu (dokumentů a obrázků), zaslaného různými typy kanálů.

Další druh testů zkoumal totéž na dvojicích neškodných a citlivých obrázků, které ale byly připraveny (díky známým slabostem MD5) tak, aby měly stejný haš, a opět byly zasílány různými typy kanálů.

Třetí test zkoumal funkci smazání zprávy, kdy uživatel může zprávu do dvou minut stáhnout, aby ji adresát neviděl (pokud ji samozřejmě zatím neotevřel). Výsledky jsou jednoduché a statisticky průkazné: i na nečínských účtech probíhá sledování (včetně zkoumání obsahu obrázků), obsah je využíván pro cenzuru na čínských účtech, a využíván je i obsah zpráv, které uživatel následně smazal.

Studie také analyzovala politiky přístupu a soukromí a argumentaci, jakou v nich Tencent tyto techniky obhajuje (rozuměj: zamlžuje).

The Citizen Lab

Cenzura na WeChatu

Kritická zranitelnost v telefonech Samsung

V telefonech Samsung byla nalezena kritická zranitelnost. Dotčeny jsou všechny telefony za posledních šest let. Zranitelnost je v parseru (knihovna Quram) specifického formátu pro obrázky QMG, vytvořeného Samsungem. Chyba umožňuje spustit libovolný kód – zajímavé je, že i v případě, že je QMG soubor poslán MMS zprávou, a tu lze zkonstruovat i tak, aby se uživateli vůbec nezobrazila. Jinými slovy, stačí znát jen telefonní číslo.

Lepší zprávy jsou, že kolem je řádka opatření, které je třeba také prolomit, a je tedy třeba cca 50–300 MMS zpráv. Autoři jsou z Googlího Project Zero, a proof-of-concept nezpřístupnili široké veřejnosti. A ještě – Samsung byl informován už v lednu, takže stihl pro své vlajkové lodě vydat záplaty. Kolik uživatelů ale bude mít i tak smůlu?

USA omezuje používání zařízení vyrobených „nepřátelskými mocnostmi“

Donald Trump podepsal zákon, který dává ministru energetiky pravomoc zakázat státním agenturám a americkým firmám nakupování, přesun či instalaci zařízení elektrické sítě, ve kterých má „zájem“ útočník z nepřátelské mocnosti, přičemž on je ten, kdo definuje whitelist.

Co je to nepřátelská mocnost, není příliš definováno, ale už i nejvyšší místa otevřeně zmiňují například Rusko a Čínu, nejnověji i ve varování před útoky na týmy, zabývající se COVID-19, či Severní Koreu. Jedná se sice o politiku za velkou louží, nicméně třeba u příkladu Huawei jsme se již přesvědčili, že vlivy dosahují i k nám.

Zloději okradli zloděje

Na darknetu se objevila další databáze osobních údajů na prodej. Jedná se o data (a někdy i záznamy komunikace) členů nyní již neexistujícího fóra WeLeakData.com, kde se obchodovalo s uniklými daty a osobními údaji. Ironií situace je to tedy zřejmě velice zajímavá sbírka dat pro policii a různé třípísmenkové agentury.

Podvůdek za 10 milionů

Podvržené maily či dokumenty, které přesvědčí vhodnou zodpovědnou osobu k odeslání obnosu z firemního účtu na lepší cíl, už jsou poměrně známé. Norský národní fond pro rozvojové země (Norfund) si touto zkušeností prochází poměrně tvrdě, protože přišel o 100 milionů norských korun (zhruba 10 milionů eur). Informací je málo, ale zmiňují podvrženou, leč legitimně vypadající komunikaci a falšované dokumenty.

Ve zkratce

GitHub: 500 GB privátního zdrojového kódu

GitHubu údajně uniklo 500 GB zdrojového kódu z privátních repozitářů. Údajně se jedná i o zdrojový kód Azure, Office a některých součástí Windows. Skrovné reakce zatím ukazují, že data jsou nejspíš pravá, ale podle Microsoftu kód „stejně není užitečný“.

Další sada ukradených záznamů o uživatelích

Hackerská skupina Shiny Hunters začala prodávat záznamy 73,2 milionu uživatelů z 11 různých firem.

Facebook Discover proxy

Facebook rozjel vlastní proxy se speciálním zaměřením – u spolupracujících operátorů jde o data zdarma, ovšem s omezením na typ obsahu (žádné audio, video, flash, odpověď max. 1 MB) a s některými technickými omezeními. Cílem jsou hlavně rozvojové země.

Pro poučení

Všichni chceme jednoduše a bezpečně ukládat data. Databáze jsou overkill, máme přece jednoduché bezpečné soubory. Opravdu? Jenže práce se soubory je složitá a plná úskalí.

root_podpora

Pro pobavení(?)

Chcete si přivydělat? Na PasteBin se objevila nabídka a dotazníček. Nemáte nějaký pěkný exploit?

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.