Hlavní navigace

Postřehy z bezpečnosti: zadní vrátka v šifrovaných službách?

3. 4. 2017
Doba čtení: 5 minut

Sdílet

V dnešním díle postřehů se podíváme mimo jiné na možná zadní vrátka v šifrovaných službách, zranitelnost zařízení zapojeného do IoT, problémy se SSL certifikáty společnosti Symantec a zranitelnost Moodle.

Britská vláda opět začala žádat o zadní vrátka v šifrovaných službách s tím, že nemůže poskytnout dostatečnou bezpečnost svým občanům, protože teroristé používají šifrované aplikace pro komunikaci a plánování útoků.

Po teroristickém útoku v Londýně vláda obviňuje technologické firmy z toho, že poskytují teroristům „úkryt“ a zároveň říká, že zpravodajské agentury musí mít přístup k aplikacím šifrované komunikace jako WhatsApp, aby se zabránilo podobným útokům.

Nicméně takový požadavek zadních vrátek jen nalil olej do ohně pokračující debatě o tom, zda by technologické firmy jako je Facebook a Apple měly vytvořit zadní vrátka pro vládu do svých šifrovacích služeb. Incident opět upozornil na střet zájmů mezi národní bezpečností a ochranou digitálního soukromí.

Po teroristickém útoku v San Bernardinu v prosinci 2015 americké ministerstvo spravedlnosti učinilo podobný krok, když požádalo Apple o napsání kódu, který by jim měl pomoci odemknout iPhone patřící jednomu z teroristů.

Dokonce i v Brazílii vláda zablokovala WhatsApp při různých příležitostech a zmrazila 11,7 milionů dolarů z fondů Facebooku pro údajný nedostatek spolupráce s vyšetřovateli.

Kromě těchto zemí se také francouzská vláda snažila dát pokutu milion dolarů firmám jako Apple nebo Google pokaždé, když odmítly pomoci vyšetřovatelům extrahovat data z telefonů podezřelých v případech souvisejících s terorizmem.

Zranitelnost zařízení připojeného do IoT

Zařízení IoT obracejí každý průmysl na počítačový průmysl, takže si zákazníci myslí, že jejich život by byl s inteligentními zařízeními mnohem jednodušší. Existuje samozřejmě několik opravdu dobrých důvodů, proč připojit určitá zařízení k Internetu. Například dálkové zapnutí vaší klimatizace o několik minut dříve, než vstoupíte do vašeho bytu, místo volby nechat ji běžet celý den. Ale je potřeba mít vše připojené? Samozřejmě že ne. Jedním takovým příkladem je poslední bug report ve Full Disclosure, zmiňující do internetu připojené mycí a dezinfekční zařízení od německého výrobce Miele.

SSL certifikáty společnosti Symantec

Bezpečnostní výzkumník odhalil kritické problémy v procesech a v API třetí strany používaném prodejci certifikátů společnosti Symantec k vystavení a správě SSL certifikátů. Vada, kterou objevil konzultant informační bezpečnosti Chris Byrne, by mohla umožnit neověřenému vzdálenému útočníkovi získat SSL certifikáty dalších osob, včetně veřejných a soukromých klíčů, stejně jako certifikáty znova vydat nebo zrušit. Dokonce i bez zrušení a znova vydání certifikátu mohou útočníci pomocí ukradených certifikátů provést útok man-in-the-middle. Byrne řekl, že poprvé objevil záležitosti kolem certifikátů v roce 2015 a souhlasil s jejich dočasným nezveřejněním, protože Symantec řekl, že společnosti bude trvat oprava problémů téměř dva roky.

Čtěte také: Symantec chyboval s EV certifikáty, prohlížeče jim přestanou důvěřovat

Apple opravil 223 chyb

Minulé pondělí Apple opravil stovky chyb (celkem 223) ve svých produktech včetně macOS Sierra, iOS Safari, watchOS a tvOS. Apple varoval, že více než čtvrtina chyb, 40 v macOS Sierra a 30 v iOSu, může být zneužita ke spuštění libovolného kódu, v některých případech s právy roota.

Většina chyb (celkem 127) byla opravena v nové verzi macOS Sierra 10.12.4. Verze iOS 10.3 pak opravuje zranitelnost, která je již aktivně využívána v rámci vyděračské kampaně založené na využití javascriptu. Při ní se uživateli zobrazí informace, že jeho prohlížeč Safari byl zablokován, s tím, že za jeho odblokování musí uživatel zaplatit.

Mnoho zranitelností v operačním systému bylo vyřešeno aktualizací open source softwaru, který macOS používá, na další verzi. 41 různých chyb bylo opraveno aktualizací volného paketového analyzátoru tcpdump na verzi 4.9.0, jedenáct zranitelností bylo opraveno aktualizací LibreSSL a PHP na verze 2.4.25 a 5.6.30. Čtyři chyby byly vyřešeny aktualizací OpenSSH v systému macOS na verzi 7.4.

Aktualizace také opravila problém memory corruption, který pocházel z toho, jak byly analyzovány certifikáty. Chyba technicky vzato use-after-free existovala ve funkčnosti ověřování certifikátů X.509 přítomné v macOS a iOS. Podle Aleksandara Nikolice, výzkumníka z Talos Security Intelligence a Research Group společnosti Cisco, který našel chybu, by útočník se speciálně vytvořeným X.509 certifikátem mohl chybu vyvolat a provést vzdálené spuštění kódu. Nikolic tvrdí, že oběť by mohla být napálena několika způsoby – uživatel by mohl dostat škodlivý certifikát prostřednictvím webu, připojením e-mailové aplikace k poštovnímu serveru, který obsahuje škodlivý certifikát nebo otevřením škodlivého certifikátu při jeho importu do úložiště.

Poslední verze iOSu je 10.3
Poslední verze macOS je 10.12.4
Poslední verze tvOS je 10.2
Poslední verze watchOS je 3.2

Kritické zranitelnosti VMware

VMware vydal bezpečnostní oznámení se středními až kritickými zranitelnostmi. Následující produkty jsou ohroženy:

  • ESXi
  • Workstation
  • Fusion

Zranitelnosti dovolují hostu spustit kód na hostiteli, což může vést v závislosti na produktu a verzi na DDoS nebo únik informací. Záplaty jsou dostupné.

Moodle SQL injection

Byla nalezena kritická chyba zabezpečení v systému Moodle, což je open-source Learning Management System (LMS) rozmístěný v desítkách škol a univerzit, která může vystavit server na kterém systém běží kompromitaci. Desítky tisíc univerzit z celého světa včetně California State University, University of Oxford a Stanford University službu LMS používají pro studenty k poskytování kurzů, hodnocení a jiných osobních dat. Netanel Rubin, výzkumník který chybu objevil, říká, že vzhledem k tomu, že je postavena na SQL injection zranitelnosti, může být zneužita ke spuštění libovolného PHP kódu.

UX DAy - tip 2

Policie zatkla muže potenciálně spojeného s vyhrožováním Applu

Britské úřady údajně zatkly dvacetiletého muže, potenciálního člena kybernetického kriminálního gangu „Turkish Crime Family“, který nedávno hrozil Applu vzdáleným vymazáním dat z milionů zařízení s iOS, pokud Apple nezaplatí výkupné 75000 dolarů. Před dvěma týdny hackerská skupina tvrdila, že má přístup k více než 300 milionům účtů iCloud a hrozila firmě Apple, že budou data smazána, pokud nebude zaplaceno výkupné 75000 dolarů v kryptoměně Bitcoin nebo Ethereum nebo sto tisíc dolarů v dárkových kartách iTunes. Hackerská skupina dala Apple lhůtu na zaplacení výkupného do 7. dubna. Co nejdříve změňte svá iCloud hesla, pokud jste již tak neučinili, a přidejte další úroveň zabezpečení povolením dvoufaktorového ověřování kvůli udržení vašeho iCloud účtu v bezpečí před hackery.

DoS zranitelnost protokolu NTP

Jako člen Linux Foundation Infrastructure Initiative Cisco přispívá k úsilí CII vyhodnocením démona Network Time Protocol (ntpd) z pohledu bezpečnostních závad. Dříve byla identifikována řada slabých míst v démonu ntpd, prostřednictvím pokračujícího výzkumu jsou identifikována další zranitelná místa v systému. Tato chyba má za následek útok DoS proti protějšku kvůli kontrole původu časového razítka. Ke zneužití zranitelnosti útočník nemusí být ověřen. Démon ntpd používá Network Time Protocol pro synchronizaci hodin mezi počítačovými systémy a jako takový hraje důležitou roli při zachování systémové integrity.

Pro pobavení

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.