Úvodní stránka » Týden v bezpečnosti » Týden v bezpečnosti - speciál o jablečné bezpečnosti

Týden v bezpečnosti - speciál o jablečné bezpečnosti

(7. 3. 2014) Přinášíme vám další souhrn událostí v internetové bezpečnosti za uplynulý týden.

iOS měl problém s ověřením SSL certifikátů

Operační systémy od Apple obsahovaly zranitelnost, která mohla být zneužita k MITM útoku. Apple chybu opravil v aktualizaci iOS 7.0.6, OS X v updatu 10.9.2. Detail chyby včetně ukázky kódu, který ji má na svědomí, najdete v českém článku Podrobnosti k aktualizaci iOS 7.0.6 a SSL.

Chyba v SSL/TLS ověření způsobila ignoraci neplatného certifikátu serveru; tento fakt nemůže standardně operační systém přejít. Neplatný certifikát totiž může být podvržen útočníkem, který s jeho pomocí získá kompletní obsah komunikace.

V iOSu byla též nalezena zranitelnost umožňující keylogging. Na vině je multitaskingová funkce operačního systému. Vývojáři vytvořili proof-of-concept aplikaci, která dokáže monitorovat veškerou činnost uživatele a data posílat na vzdálený server.

Více o této zranitelnosti najdete v článku New Apple vulnerability allows Malicious keylogger App to Record User Inputs. Rozbor zranitelnosti s ukázkou chybného kódu (nejen) programátoři najdou v článcích Anatomy of a "goto fail" a Apple's SSL/TLS bug.

Anatomie ochrany proti krádeži od Apple (a jak ji obejít)

U jablečné společnosti zůstaneme i u další novinky. Odborníci ze Sophos upozorňují v článku Anatomy of an Apple theft protection bypass - and how to avoid it na princip fungování ochrany proti krádeži, která funguje na zařízeních Apple. Upozorňují na nedokonalost ochrany, která útočníkovi umožňuje neomezeně dlouho zkoušet na zamčené zařízení  zadání PINu.

Pokud zařízení od Applu ztratíte, můžete se přihlásit na iCloud a své zřízení na dálku zablokovat. Ztracené zařízení se restartuje a objeví se na něm dialog pro zadání "system lock PINu", který jste zvolili. Pokud ho zaadá špatně, každá další možnost zadání se zpozdí a bude muset čekat. Není možné zadávat jeden pokud za druhým.

Opensource hardwarové zařízení jménem iCloudHacker se zaměřuje právě na tento proces a na automatické zadávání hesla (tzv. brute force útok); slouží k překonání zamčeného zařízení. Tvůrcům se podařilo najít způsob, jak obejít časovou prodlevu při špatném zadání kódu - stačí zařízení restartovat. Celková doba, nutná pro prolomení uzamčeného zařízení, se tak výrazně sníží.

Sophos doporučuje v každém případě používat šifrování disku na vašem Apple zařízení. Tuto funkci najdete pod názvem full-disk encryption (FDE). Útočník bez znalosti hesla systému nemůže získat l datům přístup.

Princip zabezpečení a šifrování iMessage

Logo ImessageDo třetice se vydáme do jablečného světa a téma ukončíme u populárního chatovacího systému iMessage. Ten umožňuje bezplatné posílání zpráv mezi majiteli Apple zařízení. Možná vás někdy napadlo, jak jsou zprávy zabezpečeny.

Článek Jak Apple zabezpečuje iMessage přibližuje uživateli model zabezpečení služby. Šifrování je samozřejmě založeno na šifrovacích klíčích. Při spuštění programu je vaše dva veřejné klíče odešlou do adresářové služby Applu, kde jsou spárovány s telefonním číslem a ostatními identifikačními údaji. Pokud vám někdo píše zprávu, získá jeho zařízení váš veřejný klíč z adresářové služby a odeslaná zpráva je zašifrována a podepsána odesilatelovým privátním klíčem. Zajímavé je, že po doručení jsou zprávy na serveru smazány. Veškerá komunikace probíhá přes TLS.

Pokud by vás problematika zabezpečení iOS zajímala, můžete si prostudovat oficiální dokument Applu s názvem iOS Security, kde všechny informace naleznete.

Tento měsíc končí podpora Windows XP

Jak jistě víte z předchozích dílů našeho seriálu, podpora Windows XP končí tento měsíc. Poslední bezpečnostní update obdrží uživatelé příští úterý a 8. dubna. Pak již žádný update nepřijde. Od zítřka bude systém své uživatele upozorňovat vyskakovacím oknem s informací o blížícím se konci podpory.

Pro stávající uživatele vytvořil Microsoft informační web amirunningxp.comPokud ještě Windows XP používáte, doporučujeme přechod na modernější systém. Windows XP již při svém stáří nejsou bezpečné.

Boing uvedl ultra-bezpečný mobil

Logo BoeingNejvětší světová letecká společnost uvedla ultra-bezpečný mobil na androidu, který se nazývá Boeing Black (H8V-BLK1). Informuje o tom například článek Boeing launches Ultra-Secure 'Black' Smartphone that has Self-Destruct Feature.

Telefon dosahuje bezpečnosti šifrováním; netradiční je však sebedestrukční funkce. Pokud o otevření krytu přístroje zapne tuto funkci, která z telefonu smaže všechny data. Telefon plánuje výrobce nabízet vládním agenturám, nikoliv běžným spotřebitelům.

Reklamy na Youtube šířily bankovní malware Caphaw

Logo youtubeNávštěvníci Youtube bylo ohroženi bankovním malwarem Caphaw, který zneužívá zranitelnosti Javy v prohlížeči. Malware se tam dostal přes reklamní síť Youtube, kterou útočníci zneužili. Detaily o malwaru a princip útoku najdete v článku YouTube ads network serving Caphaw Banking Trojan.

Přejeme vám krásný a bezpečný týden.

Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět v pátek.

Bc. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Přidat komentář

Zvýrazněné položky jsou povinné.


Rubriky

  • Aktuality
  • Novinky ze SSLmarketu
  • Bezpečnost
  • Zajímavosti o SSL
  • Návody k SSL
  • Týden v bezpečnosti
  • Podepisování kódu (Code Signing)
  • Speciály

  • Jak šifrovaně tunelovat s OpenVPN
  • Dvoufaktorová autentizace
  • Spojte se s námi

  • RSS kanál SSL blogu
  • SSLmarket na Facebooku
  • SSLmarket na Twitteru
  • SSLmarket na Google+
  • Kontakt
  • SSL market