Týden v bezpečnosti - 46. týden

(18. 11. 2013) Přinášíme vám další souhrn událostí v internetové bezpečnosti za minulý týden. 

Česká bitcoin peněženka Bitcash byla hacknuta

Jistě vaší pozornosti neunikla hlavní událost českého internetu, kterou byl hack české bitcoin peněženky Bitcash a krádež bitcoinů uživatelů. Dle aktuálního kurzu bitcoinu způsobená škoda za ukradených 500 bitcoinů přesahuje 5 milionů korun. Bitcoiny byly následně převedeny na podvržený účet bitcoin-charity.info, který se tváří jako sbírka příspěvků pro Wikileaks.

Hack byl proveden díky prolomení zabezpečení serveru, nikoliv díky slabině bitcoinu. Uživatelé serveru byli navíc po krádeži osloveni cynickým phishingovým e-mailem, který chtěl příspěvek 2 BTC na vymáhací agenturu, která by prostředky navrátila.

Vzhledem k nemalé hodnotě ukradených prostředků se bude incidentem zabývat policie a v budoucnu se jistě dozvíme, zdali bylo zabezpečení serveru dostatečné, či zda bylo naopak příčinou incidentu. Bude zajímavé sledovat, jak si s tímto fenoménem poradí orgány činné v trestním řízení a naše justice.

Hacku se věnují zejména blogy, z nichž mohu doporučit článek Tak nám ukradli všechny Bitcoiny, paní Müllerová; kromě fundovaného popisu události článek obsahuje i zamyšlení nad současným povědomím veřejnosti o Bitcoinu a bezpečnostní doporučení. Detailnější analýzu události najdete v článku serveru Root s názvem Rekonstrukce případu Bitcash.cz: jak se kradou bitcoiny.

Microsoft zlepší bezpečnost Windows

Minulý úterý Microsoft zveřejnil kromě záplat i plán na zvýšení bezpečnosti systému Windows. Zřejmě si uvědomil odpovědnost vyplývající z dominantní pozice na trhu, a snaží se přispět k vyšší bezpečnosti používaného šifrování. Informaci přináší článek Microsoft leads the way, setting new cryptographic defaults.

Microsoft plánuje ukončit podporu hašovacího algoritmu SHA-2 od 1. 1. 2016. Po tomto datu nebude systém podporovat SSL certifikáty a certifikáty na podpis kódu, které byly vystaveny a podepsány algoritmem SHA-2. Pokud budete mít certifikát od SSLmarketu, můžete si ho nechat před tímto datem zdarma přegenerovat a v nově vystaveném certifikátu nechat použít bezpečnější algoritmus. Microsoft dále plánuje ukončit podporu šifry RC4, kterou po tomto datu nebude považovat za bezpečnou.

S vydáním systému Windows 8.1 a prohlížeče Internet Explorer 11 používají jejich produkty jako výchozí protokol TLS 1.2; tedy nejmodernější verzi šifrovacího protokolu. Ostatní prohlížeče TLS 1.2 podporují také, ale ne všechny ho mají ve výchozím nastavení zapnutý.

Google doporučuje bezpečné šifrovací algoritmy

Google stejně jako Microsoft v předchozí zprávě přehodnotil v současnosti používané šifrovací algoritmy a na svém Google Security Blogu publikuje článek s doporučeními A roster of TLS cipher suites weaknesses. V něm odsuzuje některé šifry jako slabé, například se shoduje spolu s Microsoftem na nutnosti náhrady šifry RC4.

Šifra RC4 byla populárním lékem proti útoku typu BEAST, nyní se však ukazuje jako slabší, než se dříve předpokládalo. Praktický útok je však nemožný; jak uvádí Google v článku, útočník na RC4 šifru přes HTTPS by musel poslat 10 bilionů kopií cookie prohlížeče a vygeneroval by tak zhruba 7 TB přenosu. Takový útok si lze těžko představit.

Na konci článku Google doporučuje vhodnou kombinaci pro bezpečné šifrování - TLS 1.2, AES-GCM a ChaCha2uvedomil 0-Poly1305. Seznam šifer používaných na internetu spravuje IANA a nazývá se TLS Cipher Suite Registry.

Na Pwn2Own předveden hack Internet Exploreru 11 a Chrome

Pwn2Own je hackerská soutěž, jejíž výherce je odměněn finanční výhrou a jejíž výsledky pomáhají odhalovat zranitelnosti současného softwaru. Aktuální soutěž proběhla na konferenci PacSec Applied Security Conference v Tokyu. 

Článek Researchers hack Internet Explorer 11 and Chrome at Mobile Pwn2Own přináší informaci o hacku provedeném přes internetové prohlížeče. Přes Internet Explorer 11 se výzkumníkům Abdul Aziz Haririmu a Mattu Molinyaweovi podařilo hacknout tablet Surface Pro a Windows 8.1. Demonstrace však byla edukativní a nebyla součástí soutěže.

Druhý zajímavý hack byl proveden přes Google Chrome na Androidu. Demonstroval ho hacker s přezdívkou Pinkie Pie a podařilo se mu hacknout Nexus 4 a Samsung Galaxy S4. Na hack těchto dvou zařízení vypsal Google speciální odměnu 10 tisíc dolarů, kterou si Pinkie Pie připsal k vyhraným 40 tisícům dolarů.

Celkově účastníci soutěže vyhráli 117 tisíc dolarů z celkových 300 tisíc. Detaily útoků najdete v citovaném článku.

Přejeme vám krásný a bezpečný týden.

Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět v pondělí.