Týden v bezpečnosti - 17. a 18. týden

(29. 4. 2014) Přinášíme vám další souhrn událostí v internetové bezpečnosti za uplynulé dva týdny.

Pozor na český "pohledávkový" trojan

CSIRT.CZ upozornil v článku Pozor na zprávu o údajné neuhrazené pohledávce - jedná se o podvod na e-mail se škodlivou přílohou, který se šíří českým internetem. Možná jste ho obdrželi i vy. Zpráva se tváří důvěryhodně a hovoří o vaší pohledávce, kterou máte u nějaké organizace (typicky banky). V příloze má být v ZIP archivu smlouva, na základě které pohledávka vznikla. Nachází se tam však spustitelný soubor, který zřejmě obsahuje virus. Takto vypadá text zprávy:

Vážený zákazníku,

Jsme velmi rádi, že jste vyuziváli produktu z naší banky.
Dovolujéme Vás upozornit, že k 25.04.2014 dlužné částky na osobní účet ve vysi #926934776855364 9202.70 Kč. Nabízíme vám dobrovolně uhradit pohledávku v plné výši do 10.05.2014.
Dobrovolné uhrazeni pohledávky a dodrženi smlouvy #2A9896F405AA15128 umožňuje Vám:
1) Dodržet pozitivní úvěrovou historii
2) Vyhnout se soudním sporům, placení poplatků a jiných soudních nákladů.

V případě prodlení uhrady pohledávky 9202.70 Kč v souladu s platnými právními předpisy, jsme oprávněni zahájit právní sankci na základe pohledávky.

Kopie smlouvy a platební údaje jsou připojeny k tomuto dopisu jako soubor "smlouva_2A9896F405AA15128.zip"

S pozdravem,
Vedoucí odboru vymahani pohledávek
Alena Hercíková
+420 604 619 950

Opatrnost je na místě, protože spustitelný soubor nedokáže identifikovat většina současných antivirů a před nákazou nemusíte být varování. Vzhledem k důvěryhodnosti e-mailu lze očekávat, že přílohu bude chtít většina uživatelů otevřít.

Článek obsahuje i postup pro smazání aplikace a klíče v registrech, které zaslaný program vytvořil. Pokud jste ho už otevřeli, zkuste postup aplikovat.

Audity a kontroly v reakci na Heartbleed

Kauza zranitelnosti Heartbleed, o které jsme vás už informovali, spustila vlnu auditů softwaru a serverů. K jednomu takovému přistoupil CZ.NIC, který na zranitelnost zkontrolovat weby veřejné správy. Své poznatky zveřejnil na blogu CZ.NIC v článku Klapka! Heartbleed po stopadesáté!. Ze seznamu 369 testovaných webů trpí touto zranitelností pouze 2, což je jistě pozitivní. CZ.NIC má v plánu otestovat celou zónu .CZ domény a zjistit, které všechny weby jsou zranitelné. Může se jednat zejména o různé CMS systémy, jako Wordpress nebo Joomla. Virtuální servery jsou vysoce dostupné a řada uživatelů je volí místo webhostingu, ale dostatečně nepečují o jejich bezpečnost.

Článek Android Heartbleed Alert: 150 Million Apps Still Vulnerable informuje o množství aplikací v Google Play, které jsou zranitelné vůči Heartbleed. Kontrola zranitelnosti proběhla v obchodě Google Play s cílem zjistit, které aplikace mohou být zranitelné. Tento výsledek je výrazně horší než předchozí - odhadem až 150 milionů aplikací v telefonech uživatelů může být zranitelných. Číslo zveřejnila společnost FireEye, která provedla kontrolu Google Play a nalezla 50.000 aplikací, které byly staženy více jak 100.000x. Vývojáře aplikací informovali o použití OpenSSL v jejich aplikacích a ti, doufejme, vydají nové a opravené verze.

Zakladatel OpenBSD vytváří odnož knihovny OpenSSL

Zakladatel a vývojář operačního systému OpenBSD, Theo de Raadt, se rozhodl vytvořit "fork" (odnož) knihovny OpenSSL a vyčistit její kód. Auditem a vyčištěním kódu si slibuje vyšší bezpečnost a přehlednost důležité knihovny. Chyba podobná Heartbleed se podle něj nebude opakovat. Více o jeho ambicích a projektu LibreSSL se dočtete v článku Zakladatel OpenBSD vytváří odnož knihovny OpenSSL nebo LibreSSL: odstraníme balast z OpenSSL.

Viber nedostatečně zabezpečuje data uživatelů

Populární aplikace Viber má na 150 milionů uživatelů. Umožňuje sdílet textové zprávy, obrázky, videa a GPS pozice. Vědci z univerzity New Haven tvrdí, že aplikace nedostatečně šifruje data. Data uložená na serverech poskytovatele navíc nejsou šifrovaná.

Více informací o ohrožení uživatelských dat touto službou naleznete v článku Viber's Poor Data Security Practices Threaten Users' Privacy. Článek obsahuje i video, ve kterém je na testovací síti proveden Man in the middle útok a důkaz, že data nejsou šifrovaná. Výzkumníci své výsledky poslali vývojářům aplikace, ale když neobdrželi odpověď, publikovali je veřejně.

Přejeme vám krásný a bezpečný týden.