Týden v bezpečnosti - 51. týden

(23. 12. 2013) Přinášíme vám další souhrn událostí v internetové bezpečnosti za minulý týden.

Chyba v pseudonáhodném generátoru čísel v OpenSSL

Generátor pseudonáhodných čísel je program, který generuje posloupnost čísel, která je statisticky náhodná a bez souvislosti. Jedná se o základní prvek kryptografických programů a jakákoliv chyba v takovém generátoru oslabuje použité šifrování a zjednodušuje možné útoky.

Nyní byl jištěn problém v generátoru Dual Elliptic Curve Deterministic RBG (Dual EC DRBG) v OpenSSL. Detailní informace přináší například článek NSA's broken Dual_EC random number generator has a "fatal bug" in OpenSSL nebo The OpenSSL software bug that saves you from surveillance! Byť Dual EC DRBG prošel testy NISTu, prakticky toto řešení (naštěstí) nikdo nepoužívá. Autoři proto ani neuvažují o jeho opravě.

Kauza dostala pikantní nádech po zveřejnění dalších Snowdenových informací obviňujících NSA ze zaplacení 10 milionů dolarů firmě RSA za používání tohoto generátoru v jejich produktech. Informuje o tom například článek Report: NSA paid RSA $10m to use Dual EC DRBG as preferred random number generator. Tento fakt jen posílil dohady o tom, že ve zmíněném generátoru je záměrně přidán backdoor. RSA to však popírá a výběr v roce 2006 prý proběhl nezávisle.

Pět minut pro bezpečnost vašich dětí na internetu

Odborníci ze Sophos připravili seriál několika článků, věnující se zabezpečením operačních systémů pro děti. Stačí pět minut a můžete váš počítač zabezpečit rodičovskou kontrolou daného systému, ať už je to PC, tablet či mobilní telefon.

Návody jsou vytvořeny pro Mac OS X Mavericks, mobilní iOS, Windows 8, Windows 7 a Android. Jedná se o poměrně málo známé funkce; jejich zapnutím však můžete přispět k ochraně vašich dětí na internetu.

Apple aktualizuje Mavericks

Společnosti Apple vydala aktualizaci pro poslední verzi svého operačního sytému zvanou Mavericks. Aktualizace povyšuje systém na verzi 10.9.1.

Z pohledu bezpečnosti je důležitá aktualizace prohlížeče Safari na verzi 7.0.1 a opravení několika bezpečnostních děr. Problémem byla zejména možnost spuštění kódu v prohlížeči, kterou mohl zneužívat malware. Doporučujeme update provést co nejdříve přes aktualizaci systému, nebo samostatným instalátorem. Ten najdete v článku Apple updates Mavericks to 10.9.1, issues security fixes for Safari.

Hackeři pronikli už potřetí na servery Washington Post

Článek Hackers break into Washington Post servers for third time in three years popisuje trable The Washington Post, Tomu se potřetí za poslední 3 roky na servery dostali hackeři a opkakovaně ukradli data a hesla všech zaměstnanců. Naštěstí pro ně unikly v šifrované podobě.

Průnik byl odhalen externím bezpečnostním konzultantem a zatím nejsou důlazy o tom, že by unikly i data předplatitelů a zákazníků.

Přejeme vám krásné a bezpečné Vánoce!