Na úvod dobrá zpráva z domácích zdrojů. Seznam.cz konečně naimplementoval HTTPS tak, že je to v praxi k něčemu dobré. Tedy je zapnuté by default a s podporou HTTP Strict Transport Security. To je dobrá zpráva pro jeho uživatele a špatná pro mne, protože SSL stripping útoky budu muset předvádět na nějaké jiné freemailové službě. Třeba na Centrum.cz, Volny.cz… No, v podstatě každé druhé, která vás napadne.
Z Česka je i druhá zpráva: Česká spořitelna je cílem phishingového útoku, zaměřeného na mobilní zařízení, telefony a tablety. Mnoho informací nezveřejnila, ale malware údajně umí přeposílat autorizační SMS. Není to poprvé a nejspíše ani naposled.
Záhadná bezpečnostní zakázka: Vnitro chce dekódovat šifrované informace - čtěte ZDE
Bezpečnostní svodka: Údajný keylogger ve Windows 10 a kybersoukromí v USA - čtěte ZDE
Pudl a SSL
Po Heartbleedu a Shellshocku tady máme další pěkně pojmenovaný problém: Poodle. Nejedná se o žádného roztomilého psíčka, ale o zkratku z Padding Oracle On Downgraded Legacy Encryption a týká se protokolu SSL verze 3.0. SSL (Secure Sockets Layer) je služebně nejstarší protokol pro provoz šifrovaných webů (HTTPS). Je 18 let starý, což není právě málo. Dnes většina klientů podporuje novější standard zvaný TLS (Transport Layer Security), který se ze SSL vyvinul. Reálně jediný problematický standardní browser představuje IE 6 na Windows XP.
Obrana na straně serveru a klienta je jednoduchá: vypněte podporu pro SSL (všech verzí, SSL 2 obsahuje sbírku mnoha jiných problémů a má být všude zakázaný už dávno) a ponechte pouze pro podporu TLS. Další informace najdete v původním paperu nebo na blogu Google Online Security.
Drupal, populární open source content management systém, obsahuje ve verzích 7.x (kde x<32) závažnou bezpečnostní chybu typu SQL injection. Ta umožňuje útočníkovi celou škálu nepříjemných útoků. Pokud tedy máte Drupal, neprodleně upgradujte.
Trapas v Microsoftu
Trapné okamžiky se nevyhnuly ani Microsoftu, který vydal opravu na tři zero-day záplaty ve všech podporovaných verzích Windows, které byly aktivně zneužity pro útoky. Jedná se o chyby CVE-2014-4114 (při otevření speciálního Office dokumentu se může vykonat kód zvolený útočníkem, v kontextu aktuálního uživatele), CVE-2014-4148 (chyba při parsování TrueType fontů, zneužitelná pro útok) a CVE-2014-4113 (elevation of privilege). Všechny podporované verze Windows (od Windows Vista / Windows Server 2008 výše) mají na Windows Update opravu, s jejíž instalací rozhodně neotálejte. Ve Windows XP jsou tyto chyby také, ale opraveny nebudou.
Syrian Electronic Army, skupina hackerů podporujících režim Bashara al-Assada na svém twitterovém účtu oznámila, že se vbrzku chystá vydat vlastní distribuci Linuxu jménem SEANux. Není jasné, zda se má jednat o běžnou distribuci, nebo o nějaký speciální toolkit pro elektronický boj, jako je například Kali Linux.
Údajně došlo k úniku jmen a hesel uživatelů služby DropBox. Hovoří se o sedmi miliónech účtů, ale zveřejněn byl zatím jenom zlomek z nich. Vypadá to nicméně, že DropBox je v tom nevinně, že hesla unikla odjinud. Buďto přímo od uživatelů, nebo protože uživatelé používali stejné jméno a heslo na jiných službách, jejichž data unikla už dříve, a jedná se jen o kompilát a propojení.
S již zmíněným Shellshockem si ještě užijeme spoustu zábavy, protože se objevují nové a nové kreativní způsoby, jak jej zneužít. V konferenci Full Disclosure se objevil nadmíru zábavný způsob, který umožňuje napadnout OS X pomocí chytře vymyšlených reverzních DNS záznamů.
Nebyla by to správná týdenní svodka, abychom v ní neměli nějakou díru v Androidu. Tentokrát se jedná o chybu v populární distribuci CyanogenMod, která útočníkovi umožní man in the middle attack.
Malware v pokladnách
Na blogu GData se nachází zajímavý článek, který popisuje kreativní metodu, jakou malware v POS (Point Of Sale) zařízeních předával svým operátorům informace o ukradených číslech platebních karet. Taková zařízení se (obvykle, pokud je síť dobře nastavená) nedostanou na internet, a nemohou tedy nasbíraná data jednoduše odeslat pryč. Ale DNS dotazy, kterými se překládají doménová jména na IP adresy, většinou nikdo nehlídá a přímá konektivita k nim není potřeba. A potřebná informace může být zakódována v názvu, na který se malware ptá. Velice chytré řešení.
Nedávné komunální volby v mnoha obcích vynesly k moci rozličné spolky, které se zaštiťují bojem proti hazardu. Je pravda, že herny a kasina hráče o peníze většinou systematicky připravují. Nicméně dvěma lidem se před pěti lety podařilo najít chybu ve výherním automatu a obrat provozovatele kasin v USA o pěkné peníze. Podrobnosti najdete v článku Kevina Poulsena pro Wired.
- První 2 měsíce za 40 Kč/měsíc, poté za 199 Kč měsíčně
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Všechny články v audioverzi + playlist
Přidejte si Hospodářské noviny mezi své oblíbené tituly na Google zprávách.