CDR.cz - Vybráno z IT

CDR SecUpdate 44 - Zabezpečený e-mail 3.0 - budoucnost komunikace?

dark_mail
Smrtící polibek Eda Snowdena způsobil konec několika firem zprostředkovávajících šifrovanou e-mailovou komunikaci. Ty však nyní chystají velkolepý comeback, ve kterém zužitkují léta zkušeností, bude se jmenovat Dark Mail. Prostě e-mail 3.0.

Chyby v softwaru

Nový OS X Mavericks již není v základním nastavení náchylný k BEAST útokům

Týká se: OS X 10.9 Mavericks

Nejnovější desktopový systém Applu přinesl mimo jiného i připravenost prohlížeče Safari proti BEAST útokům. Do vydání nového systému byl Safari posledním z velkých prohlížečů, který neměl proti BEAST implementovanou ochrannou techniku. BEAST je dva roky starý nástroj, který zneužívá zranitelnost v TLS 1.0 a SSL 3.0 a může způsobit krádež HTTPS cookies nebo browser session hijack.

Obranná technika 1/1-n znemožní útočníkům správně si tipnout, které bloky inicializačního vektoru budou použité k maskování čistého textu před tím, než bude zašifrován. Ivan Ristic, director of application research ve firmě Qualys, řekl ThreatPostu, že man-in-the-middle útok umožní předpovídat tyto bloky a ovlivnit, co bude zašifrované. Šikovný útočník by tak prý mohl během dostatečného počtu tipů skončit na tom správném a pro něj zajímavém bloku. Získal by tak malé fragmenty dat, ale pokud to budou zrovna přihlašovací údaje, HTTPS session cookies nebo další věci, má uživatel problém.

os-x-mavericks

Ristic si prý nejprve nemyslel, že v Mavericksu bude přítomná oprava. Safari sice nyní podporuje TLS 1.2, ale to samo o sobě nic neznamená. Jednak prý pouze 20 % serverů podporuje tuto verzi TLS a také údajně všechny velké prohlížeče umožňují přes MitM útočníkům protocol downgrade útok. Když se však Ristic pustil do pár zdrojových kódů Mavericksku, které Apple pustil do světa jako open source, nakonec zjistil, že proti BEAST již nyní existuje na novém systému Applu dostatečná ochrana.

BEAST může být namířen napříkad proti uživatelům internetového bankovnictví. Pokud získá útočník pozici uprostřed (MitM), BEAST vyčká až oběť přejde na web bankovnictví, přihlásí se a dostane session cookie. BEAST pak vloží do stránky svůj kód pomocí iFramu nebo přes javascript. Malware následně sniffuje síťový provoz, hledá TLS připojení a umí dešifrovat HTTPS cookies, což dále využije k dešifrování plaintext dat a k zisku kontroly nad sešnou.

BEAST se využívá obvykle v cílených útocích, protože je vyžadován man-in-the-middle.

Novinky a Události

Exploit kity se perou o nástupnictví BlackHole

Je to již téměř měsíc od doby, kdy se objevilo oficiální vyjádření, že byl zatčen hlavní vývojář ve své době největší webové hrozby BlackHole exploit kit. Zatčení se okamžitě projevilo na chodu byznysu celé skupiny za tímto projektem a BlackHole velmi výrazně ztrácí podíl na trhu s malwarem. Exploity jsou zastaralé, což opět ubírá na konkurenceschopnosti.

Blackhole Exploit Kit statistika

Konkurence tedy může považovat potvrzení Evropského centra kyberbezpečnosti o zatčení Pauncha jako dar z nebes. Kit Sweet Orange například podle Sourcefire VRT zaznamenal nárůst 214 %, během druhé půlky října však zase přepustil místo dalším. Koncem října byl na první místě Magnitude/Popads, který sdílí podobné funkcionality jako konkurence. Tento kit získal velkou pozornost zejména po hacku php.net, kde napadené stránky odkazovali právě na Magnitude/Popads. Zajímavý je mimo jiné i tím, že během své existence často mění komunikační porty na systému.

Lavabit a Open Circle spustí Dark Mail - e-mail 3.0

Kauza Snowden má mimo jiné na svědomí dvě oběti v podobě firem poskytujících šifrované e-mailové služby - Lavabit a Silent Circle. Obě se rozhodly raději se vším skoncovat, než na základě soudního příkazu předat americké vládě šifrované dokumenty zákazníků. Dalo se však čekat, že lidé za podobnými kvalitními službami nemohou skončit nadobro, a je to tu - chystá se velké znovuzrození, které bude mít název Dark Mail.

lavabit-konec

Služba prý vytvoří nový pohled na e-mailovou komunikaci, sami zakladatelé projektu ji pojmenovali směle e-mail 3.0. Vychází z předpokladu, že e-mailové protokoly byly navrhované s důrazem na funkčnost, ne na bezpečnost. To by se nyní mohlo změnit (vznikne pravděpodobně koncept Security by design). Službu chtějí spustit na začátku roku 2014 a do té doby očekávají podporu ze strany bezpečnostní komunity, která by mohla pomoci dořešit problematické oblasti.

Celý projekt by měl být open source, každý tedy bude moci nějakým způsobem přispět. Že by se blížil čas popularizace anonymních komunikačních nástrojů? Snowden s NSA rozhodně dává takovým službám potenciál.


Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

Díly CDR Security Update SPECIÁL

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate 44 - Zabezpečený e-mail 3.0 - budoucnost komunikace?

Žádné komentáře.