Týden v bezpečnosti - 49. a 50. týden

(13. 12. 2013) Dnes vám přinášíme dvojnásobný souhrn událostí v internetové bezpečnosti za poslední dva týdny. 

NSA sleduje mobilní telefony a uživatelské cookies

Skandál se sledováním provozu na internetu bezpečnostní agenturou NSA nebere konce a stále se objevují nové detaily sledování uživatelů. Stále se zvětšuje známý rozsah aktivit NSA.

Využívání mobilních telefonů ke sledování se přímo nabízí. Mobilní telefon totiž i ve vypnutém stavu vysílá signály, které mohou být zachyceny mobilními vysílači. Díky tomu vede NSA obsáhlou databázi pohybu milionů zařízení, tvrdí článek NSA tracking hundreds of millions of mobile phone locations worldwide. Zmíněné sledování se má týkat zřejmě jen uživatelů v USA, ale i v našich končinách byly podobné metody sledování pohybu použity. Například při pátrání po Tomáši Pitrovi policie zapojila krom odposlechu i mýtné brány na dálnici a údajně i odposlouchávala Skype.

Hlavním problémem celé kauzy je sledování uživatelů internetu. Nyní byla odhalena nové metoda, která používá informace uložené v cookies v počítači uživatele. NSA nemusí pro sledování uživatelů Googlu spolupracovat s tímto internetovým gigantem. Stačí zneužívat cookies Googlu (či jiných internetových serverů) a získávat z prohlížečů návštěvníků potřebná data, které jsou v nich uložena. Upozorňuje na to uznávaný bezpečnostní odborník Bruce Schneier v článku NSA Tracks People Using Google Cookies.

The Washington Post dokonce v článku NSA uses Google cookies to pinpoint targets for hacking tvrdí, že tyto cookies NSA zneužívá k útokům na konkrétní uživatele. Svoje tvrzení opírá o snímek z interní prezentace NSA, který měl vynést Snowden.

Snímek z interní prezentace NSA. Zdroj: washingtonpost.com

Špehování uživatelů se nevyhýbá ani hráčům her. Postiženi jsou zejména hráči World of Warcraft a jiných masových online multiplayerových her. Tvrdí to opět Bruce Schneier v článku NSA Spying on Online Gaming Worlds.

Únik dat z JP Morgan Chase

Únik dat uživatelů je vždy nepříjemností. Tentokrát ho musí řešit společnosti JP Morgan Chase, která se zaměřuje především na investiční bankovnictví a finanční služby pro spotřebitele. Podle informací v článku JP Morgan Chase owns up to data breach: 465,000 customers at risk došlo k úniku dat v červenci tohoto roku a ke zjištění incidentu v září. Zákazníky banka varuje až nyní.

Článek uvádí, že se únik dat týká 2 % zákazníků jednoho platebního produktu banky. To nevypadá jako velké číslo, ale banka pro dotčený produkt vystavila 25 milionů karet.

Jak uvádí zmíněné zdroje, většina získaných dat byla zašifrována. Mohlo však dojít ke zneužití malé části dat, které byly dočasné. Tyto dočasné soubory banka na svých serverech nešifrovala.

Google objevil falešné důvěryhodné certifikáty

Článek Sophosu Serious Security: Google finds fake but trusted SSL certificates for its domains, made in France hovoří o nálezu Googlu, který na internetu objevil několik SSL certifikátů pro své domény. Nález popisuje i Google na svém bezpečnostním blogu v článku Further improving digital certificate security.

Dotčené falešné certifikáty byly vystaveny Intermediate certifikátem francouzské autority ANSSI. Google po zjištění problému okamžitě updatoval tzv. revocation metadata v prohlížeči Chrome, aby zabránil zneužití těchto SSL certifikátů. Certifikační autorita ANSSI zjistila, že certifikáty byly vystaveny v privátní síti za účelem oznámeného sledování šifrované komunikace uživatelů. To je samozřejmě v rozporu s podmínkami vystavování certifikátů.

Bankovní trojan má spadeno na Bitcoiny

Kurz virtuální měny Bitcoin raketově roste a stává se cílem virtuálních podvodníků. Nedávno jsme informovali o hacku české peněženky Bitcash, nyní byl objeven sofistikovanější způsob, jak k Bitcoinům přijít.

K výdělku podvodníci využívají upravený bankovní malware Hesperbot, jehož modifikaci objevili výzkumníci v ESETu. Upozorňuje na to článek Bankovní trojan řádí i v Česku, spadeno má na bitcoiny. Bankovní malware se šíří prostřednictvím phishingových e-mailů a též za pomocí chytrých telefonů.

Vydána zpráva ke kauze ComodoHacker a návrhy na zlepšení SSL

Certifikační autorita GlobalSign vydává závěrečnou verzi bezpečnostní zprávy ke staré kauze zneužití SSL certifikátů, známé jako ComodoHacker. Kauza je více než dva roky stará, a pokud si už nepamatujete detaily, můžete si je oživit v tomto článku.

Informaci o vydání zprávy a zamyšlení nad systémem certifikačních autorit přinesl článek Google and EFF propose improvements to HTTPS as GlobalSign releases CA breach report.

Google se jako lídr na poli internetových služeb a certifikační autorita snaží přispět k bezpečnosti SSL certifikátů. Spolu s Electronic Frontier Foundation (EFF) navrhují vylepšení současného systému důvěry k certifikátům. Jedním z návrhů je vytvoření více důvěryhodných zrcadel, přes které by bylo možné ověřit pravost SSL certifikátů v kombinaci s DNSSECem. Tento princip EFF označuje jako Sovereign Keys. Detaily o tomto návrhu je možné najít přímo v dvoudílném článku na webu EFF. Fungovat bude na principu umístění klíče v DNSSECu (analogie s DANE).

Přejeme vám krásný a bezpečný týden.

Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět v pondělí.