Chyby v softwaru

Java opět na scéně, obě větve zranitelné

Týká se: Java 6u45 a nižší, Java 7u24 a nižší

O Javě jsme ve větším měřítku delší dobu neslyšeli, poslední zajímavá událost může být velká červnová aktualizace záplatující 40 děr. V minulém týdnu se objevily na scéně detaily o chybách publikované na webu bug bounty programu PacketStorm. Chyby se týkají Javy 7 update 24 a také nižších verzí. Detaily publikoval PacketStorm 5 dní po sobě, exploity již obíhají po internetu.

Silně doporučujeme aktualizovat, Java je pro hackery stále atraktivní zboží (na jaře byla dokonce oficiálně nejatraktivnější na internetu, můžeme ji nazývat takovou Miss Vulnerable), protože ji navzdory problémům využívá obrovské množství lidí. Stahujte nejnovější Java 7 update 25 z oficiálních stránek.

Chybám se neubránila ani druhá větev Java 6, kterou v řádu hodin implementovali vývojáři exploit kitů do svých pro běžné uživatele smrtících nástrojů. Do dnešního dne je méně či více upravený exploit minimálně v devíti kitech, které cirkulují po internetu, včetně BlackHole exploit kitu (viz slovník). Chyba cílí na nejnovější Java 6 update 45, doporučujeme pokud je to možné přejít na větev 7 a aktualizovat na update 25. Stejnou díru však obsahuje i sedmá větev v aktualizaci 21 a nižší, důvod k patchům je kvůli tomu o to větší.

Novinky a Události

V kauze Snowden se přiostřuje, novinářská svoboda ohrožena

Londýnské letiště Heathrow není díky své velikosti úplně typické. Denně skrz něj cestuje obrovské množství lidí, díky čemuž je nejvytíženější v Evropě. Má také nejvyšší počet odbavených zahraničních cestujících na světě. Právě tato multikulturnost nutí vládu k důkladným bezpečnostním opatřením, která zahrnují například možnost zadržení osoby bez nějakého zvláštního "teroristického" důvodu. Mohou vás držet až 9 hodin bez nároku na právníka a vaše věci si nechají po dobu až sedmi dní. Londýnské letiště není z tohoto pohledu příjemné místo. Doporučuji neprovokovat až pojedete do Londýna na týdenní dovolenou.

Partner novináře Glenna Greenwalda z The Guardian jménem David Miranda okusil temná místa Heathrow na cestě do Brazílie začátkem srpna, když fungoval pro Greenwalda jako poslíček informací ve věci Edward Snowden. Greenwald píše pro Guardian o odhaleních, které vyplývají z uniklých dokumentů, pracoval v roce 2010 také na kauze WikiLeaks. Nejen Guardian však vidí zásah jako účelový nátlak na média v oblastech vládních špehovacích programů USA a UK. Tuto sobotu se k události vyjádřili redaktoři z Dánska, Švédska, Norska a Finska, kteří ve svých vyjádřeních zadržení Mirandy jednoznačně odsoudili. Vyzývají také britského předsedu vlády Camerona, aby obnovil reputaci Británie ohledně svobody tisku.

Akcí na Heathrow se bude zabývat Nezávislá komise pro policejní stížnosti (IPCC), která dala londýnské Metropolitní policii sedmidenní ultimátum pro vysvětlení svých činů. 

Harddisky s daty o NSA a PRISM na maděru pod dohledem GCHQ

The Guardian je od začátku kauzy Snowden trnem v oku americké i britské vládě. S podobným odhalením nikdo nepočítal a Snowden se rozhodl svěřit hlavní úlohu publikací a investigativní novinařiny právě britskému Guardianu. Redaktor Alan Rusbridger popisuje zkušenosti s vládním nátlakem ve videu níže.

Předně, britská vláda se zástupci Bílého domu se jednoho dne sešla se zástupci Guardianu a oznámila jim: "Tak jste si užili srandu. Teď nám vraťte ty dokumenty." Následovaly pohrůžky, že pokud dokumenty od Snowdena Guardian nezničí nebo je vlády nedostanou zpět, poženou celou věc k soudu. V Británii mají ještě k tomu podle všeho vládní organizace efektivní pravomoc zakázat médiím publikaci, což by podle Rusbridgera v USA "nebylo možné." Vysvětlování, že tím ničemu nepomohou, protože dokumenty jsou samozřejmě rozesety v kancelářích po světě, nebylo k ničemu. Guardian tak přistoupil na nejvýhodnější variantu - zničit vlastní hardware.

V Londýně se tak odehrála scéna téměř z akčního filmu - do kanceláře novin naběhl technik a zástupce firmy a pod dohledem britské GCHQ rozbili harddisky a počítače na malé nepoužitelné kousky. Zástupci vládní organizace si prý dělali poznámky a pořizovali fotografie.

NSA se potácí ve lžích, zachránit vládní programy mohou soudy

Uplynulý víkend přinesl odhalení dalších lží, které americká NSA vypouští i ve velmi ožehavých dobách, jako je ta, kterou právě prožíváme. Pamatujete na výstup generála Alexandera na BlackHat 2013? Ještě pořád mi v uších zvoní jeho důrazné a jednoznačné "zero times that happened ... and thats no bullshit." V sobotu samotná NSA přiznala, že občas docházelo k osobnímu zneužití špehovacích programů, v jednom případě prý sledoval analytik svojí bývalou milenku. Údajně prý zneužití neporušovalo Patriot Act, ale 1981 výkonný rozkaz 12333.

Problémy se nyní zabývají soudy, kterým dochází trpělivost, protože NSA je jednak skoupá na slovo a také kolikrát to, co řekne, není úplně pravda. Porušení ustanovaní například svádí na technologické problémy, soudcům se to však nelíbí a ve vyjádření dávají jasně na jevo, že k porušení procedur musí docházet záměrně, jelikož je procedurální základ programů navržen zcela jednoznačně. 

Na světlo se tyto informace dostaly poté, když soud rozhodl o zveřejnění soudních rozhodnutí z minulosti. Například již v roce 2009 soudce Bates řekl, že standardy pro vyhledávání v telefonních záznamech z důvodu teroristických hrozeb "byly tolikrát a systematicky porušovány, že se dá obecně říci, že tento kritický element celého ... režimu nikdy nefungoval efektivně."

Podle mého názoru aby mohly špionážní programy přežít, bude však nutné znovu probudit důvěru občanů. Tomu mohou přispět soudy svými názory a výsledky. Bude to bezpochyby běh na dlouhou trať a je možné, že se NSA ve svých pavučinách úplně zamotá a nakonec podobné praktiky nevydrží. Nebo také použije represivní moc a zahrabe nakonec vše pod koberec, ale je to v dnešním světě u takto sledované kauzy vůbec možné?

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Aktuální bezpečnostní trendy v kostce: Češi jsou na tom podle očekávání dobře

• Slogan "do naší služby nevidí USA" jako nový marketingový trhák

• Šéf NSA: Šmírujeme vás pro vaše dobro! [video]

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace