Magazín o bezpečnosti

Magazín o SSL certifikátech a certifikačních autoritách pro Vás píší odbornící z SSLmarketu.

Týden v bezpečnosti - 29. týden

(22. 7. 2013) Přinášíme vám další souhrn událostí v internetové bezpečnosti.

Ubuntu fórum hacknuto, ukradeny údaje uživatelů

Fórum operačního systému Ubuntu, který vznikl ve společnosti Canonical založené Markem Shuttleworthem, bylo o víkendu hacknuto. Na fóru byl umístěn obrázek tučňáka (symbol Linuxu) nesoucího AK-47. Zprávu přináší článek Gun-wielding penguin takes over Ubuntu Forums, waves AK-47 at Linux users everywhere.

Tučňák s AK-47 umístěný na fórum Ubuntu

Tučňák s AK-47 umístěný na fórum Ubuntu. Zdroj: Nakedsecurity.com

Provozovatel oznámil, že byly ukradeny přihlašovací údaje ke skoro dvěma milionům účtů. Hesla byly v databázi samozřejmě zahešované, ale e-mailové adresy nikoliv; lze tedy očekávat, že budou prodány a poslouží k zasílání spamu. Důvod hacku není znám a je v tomto případě zcela nelogický, protože obsahem fóra jsou užitečné rady pro používání Ubuntu a Linuxu obecně.

V současnosti je fórum odstaveno z důvodu údržby. Pokud jste jeho uživateli, doporučujeme změnit své heslo.

Vývojářský portál Apple hacknut

Logo ApplePodobný problém jako Canonical musel řešit i Apple. Jak uvádí zpráva Apple reveals that developer portal was hacked, vývojářský portál společnosti byl několik dní mimo provoz z důvodu bezpečnostního průniku. Dle oznámení provozovatele byly všechny osobní informace šifrované a nedošlo k jejich kompromitaci, tuto možnost však nemohou úplně vyloučit.

Společnost bere incident vážně a již oznámila kompletní přebudování celé vývojářské databáze a update systému. Cílem těchto opatření je omezit podobným incidentům v budoucnu.

V Google Play nalezeny aplikace s "MasterKey" zranitelností

Logo Google PlayV minulém dílu Týdnu v bezpečnosti jsem informoval o zranitelnosti Androidu umožňující do balíku umístit duplicitní soubory a zneužít je k šíření malwaru. Nedávno byly na Google Play nalezeny dvě aplikace, které tuto chybu zneužívají, ale zřejmě nevědomě.

Článek MasterKey Hack Applications Spotted in the Play Store upozorňuje na dvě aplikace Rose Wedding Cake Game a Pirates Island Mahjong Free, které obsahují duplicitní soubory. Aplikace nejsou prakticky nebezpečné (duplicitní soubory jsou PNG obrázky), ale "MasterKey" chybu využívají.

Je s podivem, že se tyto aplikace do Google Play vůbec dostaly. Opatchované distribuce Androidu, jako například CyanogenMod, zakazují instalace těchto aplikací; standardní distribuce však ne. Doporučuji proto používat nějaký bezpečností program, například Zoner AntiVirus pro Android.

Android zálohuje hesla k WiFi jako plaintext

Logo WifiOperační systém Android bude tématem i poslední zprávy. Článek Android Backup Option Sends WiFi Passwords in Plaintext to Google upozorňuje na nález organizace Elecontric Frontier Foundation, který tvrdí, že hesla k WiFi jsou na Androidu odesílána a  zálohována jako plaintext. Google má tedy v důsledku nezašifrovaná hesla k většině WiFi sítí světa.

Micah Lee, technik Elecontric Frontier Foundation, Googlu doporučuje umožnit šifrování záloh stejným způsobem, jak je to možné u Google Chrome. Zde jsou hesla šifrovány přihlašovacími údaji je Google účtu a navíc je možné zvolit jiné vlastní heslo.

Elecontric Frontier Foundation samozřejmě nezapomnělo upozornit na možnost získání těchto osobních údajů vládami, které si vynucují přístup k datům poskytovatelů elektronických služeb (kauza PRISM). Se znalostí hesla k WiFi je možné bezdrátovou síť odposlouchávat zvenčí a získat kompletní bezdrátovou komunikaci uživatele. Můžete také zasahovat do nezašifrovaných přenosů, nebo sledovat data stažená z internetu.

Blíží se aktualizace kryptografických knihoven NSS

Kryptografické knihovny NSS (Network Security Services) slouží k šifrování v mnoha aplikacích, které je využívají. Asi nejznámější aplikací NSS využívající je Firefox (a ostatní aplikace Mozilly). NSS používá s vlastními úpravami i Google v Chrome.

Dle informací budou knihovny v poslední verzi podporovat protokol TLS 1.2 a díky záplatě v AES by mělo být zabráněno útokům BEAST a Lucky 13.

Přejeme vám krásný a bezpečný týden.

Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět v pondělí.

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Pole s hvězdičkou * jsou povinná.

Přidat komentář

Přehled komentářů

    Napište první komentář!