Poslanecká sněmovna schválila zákon, který by měl umožnit cenzuru internetu. Ministerstvo financí má získat pravomoc blokovat přístup na služby nabízející hazardní hry. Podobně hloupé nápady se občas objevují v různých zemích. Zpravidla bývají maskované všeobecně bohulibými účely – boj proti terorismu, zneužívání dětí… V České republice na to jdeme přímočaře: jde jenom o peníze, konkrétně o to, že státu unikají peníze na daních.

Není zřejmé, jak přesně má blokování probíhat. Zákon je v tomto ohledu velmi vágní a dává ministerstvu financí volnou ruku. Metod pro cenzuru je mnoho a v zásadě se dělí na dvě skupiny: nefunkční a prakticky nerealizovatelné v českých podmínkách.

Ale možná se čeští politici, kteří se při nedávné návštěvě čínského prezidenta poučili, jak se „stabilizuje společnost“, inspirují v Číně, kde nová (také velmi vágní) pravidla umožňují takový výklad, že se z tamního internetu stane toliko uzavřený intranet.

Nicméně ani tam to nefunguje úplně bez chybičky. Při veřejné přednášce se ideový otec tamního cenzurního „velkého čínského firewallu“ stal terčem posměchu, neboť jeho dítko mu zablokovalo přístup ke stránce, kterou při přednášce chtěl použít. Nenechal se odradit a cenzuru obešel pomocí VPN.


Když hacknou firmu, je to špatné pro ni i pro její zákazníky. Když hacknou stát, je to ještě mnohem horší, neboť obětí jsou občané, kteří obecně nemají moc na výběr. Už jsme informovali o proslulém hacku Office of Personnel Management v USA, kde unikly citlivé osobní údaje více než 22 milionů občanů.

Nyní se do klubu hacknutých přidalo Turecko, odkud uteklo bezmála 50 milionů sad osobních údajů (tj. nejspíše všech dospělých, protože šlo o databázi osobních dokladů a Turecko má 79 milionů obyvatel). K dispozici jsou osobní údaje momentálního prezidenta Erdogana a ministerského předsedy.

Aktivním členem klubu jsou také Filipíny, kde ze serveru státní volební komise uniklo 55 milionů záznamů o registrovaných voličích, tj. zhruba o polovině populace země. Tamní volební komise se snažila událost bagatelizovat s tím, že v databázi nejsou žádné citlivé údaje. Což poněkud nekoresponduje s tím, že kromě obvyklých údajů typu jméno, adresa, datum narození… byly v databázi uvedeny i biometrické údaje, výška a váha, údaje o zdravotním postižení a podobně.

Čestné členství lze přiznat třeba Švédsku. Tam neunikly údaje o obyvatelstvu, ale zato byly počítače tamní armády zneužity pro útoky proti zhruba dvaceti americkým bankám a finančním institucím, přičemž trvalo několik měsíců, než na to vojáci přišli. Nádavkem se ukázalo, že výpadek systému pro řízení letového provozu v zemi, který nastal loni na podzim a na více než hodinu uzavřel švédský vzdušný prostor, nebyl způsoben solární bouří, jak tamní úřady tvrdily, ale ruským kybernetickým útokem.

Uvážíme-li současnou tendenci naší milované socialistické vlasti sbírat o občanech a podnikatelích velmi podrobná data a zkombinujeme-li ji s legendární neschopností státní správy udělat jakýkoliv větší IT projekt, aniž by z toho byl průšvih, čekají nás nejspíš zajímavé časy.


 

Přesně jak Bezpečnostní svodka několikrát prorokovala, iPhone Sayeda Farooka, střelce z teroristického útoku v San Bernardinu, neobsahoval žádné použitelné informace. Abychom se jen tak neplácali po ramenou, není třeba být Kasandrou, aby jeden dokázal předpovědět, že jestliže někdo před činem rozmlátí svůj i manželčin telefon kladivem a zůstane po něm jenom služební mobil, pak v něm nebude nic podstatného.

FBI se neúspěšně snažilo donutit Apple k vytvoření backdoorovaného operačního systému a nakonec se do telefonu dostalo s pomocí izraelské firmy Cellebrite vinou dosud neznámého backdooru.

Podle hesla „každý chvilku tahá pilku“ se FBI v jiném případu dostala na opačnou stranu barikády: použila chybu v Tor browseru, aby hacknula více než tisíc počítačů při zátahu na server s dětskou pornografií. Nyní federální soudce přikázal, aby FBI vydala obhajobě zdrojové kódy, které použila, aby bylo možné posoudit, zda jednala v souladu s příkazem k odposlechu. FBI se tomuto rozhodnutí brání s argumenty pozoruhodně podobnými těm, které odmítala, když šlo o Apple.


Pokud na svém počítači s Windows máte Apple QuickTime, rychle ho odinstalujte. Apple pro něj ukončil veškerou podporu a zároveň v něm byly nalezeny dvě závažné bezpečnostní díry, na které neexistuje záplata. Návod k odinstalaci najdete na webu Applu.

QuickTime v počítači možná máte a ani o tom nevíte. Instaluje se třeba společně s iTunes, ale tiše si ho s sebou nesou i různé programy pro práci s videem, které mohou přestat úplně nebo částečně fungovat. Pro řešení problémů lze doporučit instalaci vhodného kodek packu (například K-Lite Codec Pack), případně přechod na jiný editační software.

Jisté ovšem je, že QuickTime se spolu s Javou a Flashem zařadil na černou listinu aplikací, které na běžném PC nemají co dělat. Ostatně, jen tak mezi řečí, Adobe nedávno na Flash vydal další nouzovou záplatu.


WhatsApp, populární mobilní IM služba s miliardou uživatelů po celém světě, vlastněná Facebookem, přidala end-to-end šifrování pro všechny uživatele. Znamená to, že ani provozovatel služby nebude mít přístup k obsahu komunikace uživatelů. Je to velice chvályhodný počin, který se ovšem nebude líbit policistům, tajným službám a zákonodárcům v mnoha zemích. Naposledy dostali inovativní a vesměs nevynutitelný nápad zakázat používání bezpečných aplikací zákonodárci Orbánovy strany Fidesz v Maďarsku.

EC-Council je organizace, která se snaží nabízet komerční certifikace v oblasti počítačové bezpečnosti a vystupovat jako autorita v oboru. A dlouhou dobu pomocí svých nakažených stránek šířila ransomware a nebyla schopna jej odstranit ani po upozornění. Což je asi tak všechno, co o tom spolku potřebujete vědět.

Původem česká společnost ESET upozornila na nový malware USB Thief, který má velice zajímavou a sofistikovanou konstrukci a inovativní metody sebeobrany. Je určen pro útoky na air-gapped systémy, tedy počítače fyzicky odpojené od internetu. Ochrana „vzduchovou mezerou“ je často vydávána za univerzální všelék všech bezpečnostních potíží, ale v praxi se nejedná o nepřekonatelnou překážku.

Andrew „Weew“ Auernheimer, známý on-line troll a blackhat hacker, si pohrál s nezabezpečenými tiskárnami volně dostupnými z internetu. A na tisíce z nich poslal k vytištění leták s rasistickým a antisemitským obsahem. Vznikla morální panika, volání po přísných trestech, policejní vyšetřování a podobně. Není ovšem jasné, zda si oběti Weewova vtípku své sítě lépe zabezpečily.

Zen Caret, populární framework pro tvorbu internetových obchodů, obsahuje několik ošklivých XSS chyb. Upgradujte na verzi 1.5.5.

Bezpečnostní díru obsahoval i TrueCaller pro Android. TrueCaller je aplikace pro identifikaci telemarketingu a podobných otravných praktik. Pro autentizaci uživatele používala pouze IMEI, tedy sériové číslo telefonu, což není úplně nejlepší nápad. Útočníci mohli získat osobní údaje uživatelů programu.

Na světlo opět vystrčila hlavu CSRF chyba v modemech Motorola / Arris SurfBoard, která umožňuje jednoduchý DoS útok v podobě odpojení sítě od internetu rebootem routeru. O této chybě jsme psali koncem roku 2014, kdy postižený kus používalo ještě několik stovek klientů českého UPC. Firma tehdy po delším váhání slíbila, že se pokusí zjednat nápravu a případně klientům modemy vymění.

Několik rádií v USA používalo nezabezpečený vysílací software pro syndikaci obsahu a v důsledku toho po útoku neznámého hackera nedobrovolně vysílalo epizodu Furry podcastu FURCAST, což je projekt určený pro dospělé s poněkud neortodoxním a místy sexuálně zaměřeným obsahem.

Znalost kryptografie a výpočetní techniky vám může pomoct vydělat velké peníze. Pomalejší cestou je založení úspěšné firmy, rychlejší cestou třeba nabourání generátoru náhodných čísel v loterii několika států v USA. O tu druhou cestu se s velkým úspěchem pokusil jistý Eddie Raymond Tipton. Nicméně v konečném důsledku byl odsouzen na deset let do vězení, takže je otázkou, zda ji lze obecně doporučit.

Co potřebujete k tomu, abyste mohli hacknout dron v ceně 28 tisíc dolarů? Hardware za 40 dolarů. Nils Rodday z IBM na konferenci Black Hat Asia ukázal, jak lze „unést“ dron stejného typu, jaký často používají policejní složky například v USA.

Vytvoření vlastní falešné základnové stanice pro mobilní síť vás vyjde trochu dráž (zhruba na 500 dolarů), ale zato si s ní užijete více legrace. Budete moci odposlouchávat hovory, SMS a datovou komunikaci všech ve svém okolí. Jde o zařízení podobného typu, jako je proslulá česká Agáta, a o důkaz demokratizace útoků. Co bylo dříve dostupné jenom pro státy a bohaté organizace, to dneska zvládne každý s pár korunami v kapse.

Zařízení s iOS verzí nižší než 9.3.1 mohou být zničena pouze tím, že se dostanou do dosahu sítě se známým názvem, ve které útočník nastavil vlastní NTP server, který posílá datum menší než 1. 1. 1970. K obnovení do funkčního stavu je nezbytný servisní zásah. Ani nejnovější iOS vám nepomůže, pokud máte iPhone 6s nebo 6 Plus. Obsahují zranitelnost, která útočníkovi umožňuje získat přístup k některým údajům (kontakty, fotografie) ze zamčeného telefonu, má-li k němu fyzický přístup.

Téměř 300 populárních webů v Holandsku distribuovalo exploit kit, který útočil na jejich návštěvníky. Jejich provozovatelé tak činili nevědomky – útok byl veden prostřednictvím reklamní sítě.  Jde o další z řady podobných případů, kdy reklama slouží k přímým útokům na uživatele. Používání ad blockerů – o němž provozovatelé médií velice neradi slyší a ještě méně rádi píšou – se tak stává velice důležitým z hlediska osobní bezpečnosti. Jádro problému je na straně provozovatelů reklamních sítí, které jsou často velice špatně zabezpečené a spokojeně umožňují distribuci malwaru komukoliv, kdo zaplatí.

Americký státní zástupce byl suspendován poté, co se pokusil za pomoci falešného profilu na Facebooku zapůsobit na svědkyni obhajoby, vzbudit v ní žárlivost a obrátit ji proti obviněnému. Doufejme, že se to nestane milou inspirací pro naše OČTŘ. Zatímní absolutní nedostatek úspěchů ve velkých politických kauzách by v nich mohl probudit nemístnou kreativitu – pozoruhodnou míru pohrdání právem projevují již nyní.

Proti státu se v dalším případu obrátil i Microsoft. Napadá ústavní konformnost takzvaných „gag orders“, kdy má vydat informace o některém ze svých uživatelů a zároveň o tom nesmí příslušného uživatele informovat. V ČR podobné ustanovení platí také, ale není známo, že by proti němu kdy kdo protestoval.

Zábavu mají i o pár stupňů severněji, v Kanadě. Před několika lety tamní policie získala přístup k „master“ klíčům služby BlackBerry a má tedy neomezený přístup ke všem konverzacím pomocí BlackBerry Messengeru a dalším údajům. To je holt ten problém s univerzálními klíči…

Dimitrij „Paunch“ Fedotov, ruský autor známého exploit kitu Blackhole, byl ruským soudem odsouzen na sedm let do vězení. Ruský trestní systém je celosvětově proslulý tím, že nechává bez potrestání místní kyberkriminálníky, pokud škodí pouze za hranicemi a ne doma. Paunch si tudíž nejspíš nakálel do vlastního hnízda nebo šlápl na kuří oko někomu důležitějšímu.

Britská tajná služba GCHQ se oficiálně omluvila za pronásledování homosexuálů v minulosti a zejména za „příšerné“ zacházení s Alanem Turingem. Turing byl špičkový matematik, který prolomením německých šifer výrazně přispěl k vítězství Spojenců ve druhé světové válce. Byl ovšem také homosexuál, což bylo v padesátých letech v Británii trestné. Za poměr s tehdy devatenáctiletým Arnoldem Murrayem byl odsouzen, propuštěn z GCHQ a „léčen“ z homosexuality hormonální terapií, která mu způsobila zdravotní problémy. Britské státní správě trvalo pouhých 64 let, než se omluvila. Je na tom tedy o něco hůře než Johanka z Arku, která byla nevinnou shledána již pouhých 25 let po své popravě.

Neznámý autor před časem mediálně propíraného hacku společnosti Hacking Team, jejíž podezřelý hackerský software dle názoru autora protizákonně používala (a možná ještě používá) i česká policie, nyní publikoval obsáhlé pojednání o tom, co a jak při svém hacku učinil. Ukazuje se, že zabezpečení Hacking Teamu bylo na úrovni u firem podobné velikosti běžné, tudíž tragické.

Teroristické útoky v Bruselu posloužily jako záminka k dalším snahám o omezování kryptografie. Nyní se ukazuje, že útočníci žádnou kryptografii nepoužili a veškeré své plány měli na nezašifrovaném laptopu v čitelné podobě. V adresáři nazvaném TARGET. Tak si na to vzpomeňte, až vám zase někdo bude tvrdit, že je nutné zakázat šifrování, aby bylo možno efektivně bojovat proti terorismu.