Dnešní další díl našeho pravidelného seriálu SecUpdate proběhne pod mou taktovkou, protože autor Jiří Moos je v aktuálních dnech časově indisponován. Po vzájemné domluvě jsme se tak rozhodli nenarušit pravidelnou dávku bezpečnostních informací a Jirka svolil, že se pro dnešní díl mohu stát jeho suplentem. V úvodu se trochu hned navnadíme na připravovaný Speciál a řekneme si něco k aktualizaci iOSu, čtěte Chyby v softwaru níže v článku. Twitter zažíval tento víkend krušné chvíle, Google experimentuje s hardwarovým klíčem – více se dozvíte v odstavci Události.

Chyby v softwaru

Malware na webu aneb CDR/DIIT stránka byla nahlášena jako útočná

Týká se bohužel nás: CDR.cz a DIIT.cz

Kovářova kobyla chodí bosa. Tak bychom asi ohodnotili incident, který se nám stal ve druhé polovině minulého týdne. Od velké řady z vás jsme dostávali emaily či zprávy o tom, že nás Google blokuje z důvodu přítomnosti malware na webu. Bohužel to skutečně byla pravda. Paradoxně díru v systému způsobila záležitost, která našim čtenářům není úplně neznámá – o tomto bezpečnostním problému jsme informovali napříč oběma našimi weby. Pro tuto chvíli vás nechám napnuté a hádat, co si myslíte, že za problémem stálo. Více přesných informací se dozvíte ve víkendovém vydání Speciálu SecUpdate zase zpět v režii mého kolegy. Aktuálně vás mohu ujistit, že jsme (náš programátorský tým) problém odstranili a situaci tak vyřešili. Za vzniklé komplikace se dodatečně touto cestou omlouváme.

iOS 6.1 vydán, řeší především bezpečnost a LTE

Týká se verzí: iPhone 5, iPhone 4S, iPhone 4, iPhone 3GS, iPad (3. a 4. generace), iPad mini, iPad 2 a iPod touch (4. a 5. generace)

Přesně před týdnem v pondělí spatřil světlo světa upgrade mobilního systému od Apple iOS, který tak povýšil na verzi 6.1. Vzbudil však řadu diskusí a trochu i vášní nad změnami, které přinesl, respektive nepřinesl. Nová verze se spíše soustředí na bezpečnost a příliš neinovuje. Ba dokonce úplně postrádá základní upgrady aplikací – například pro mapy. Řada diskutujících se tak podivuje nad tím, proč se vzhledem k obsahu balíčku nepovýšil systém pouze na verzi 6.0.2, ale rovnou na 6.1. Buď jak buď, Apple se zkrátka takto rozhodl. Významné změny tak v systému nehledejte (namátkou zmiňme podporu LTE pro 36 světových operátorů mimo Česka i Slovenska, úpravu ovládacích prvků hudby na uzamčené obrazovce, pár nových příkazů pro Siri aj.). Dle dlouhého seznamu bezpečnostní oprav je však jasné, na co se v Cupertinu upgradem chtěli zaměřit. Nutno podotknout, že velká většina záplat míří na integrovaný prohlížeč Safari. Určitě aktualizaci neodkládejte.

Události

Hackeři napadli Twitter, stopy vedou do Číny

Začátkem uplynulého víkendu bylo jistě dusno v sídle internetové sociální sítě Twitter. Ta čelila útokům hackerů, kterým se zřejmě podařilo získat přístup k informacím o účtech až čtvrt milionu uživatelů. Z vyjádření zástupců Twitteru je zřejmé, že nešlo o žádné amatéry – útok byl prý realizován sofistikovaně a promyšleně (blog hovoří konkrétně o zneužití Javy). I když Twitter jednoznačně neoznačil epicentrum, ze kterého byly útoky vedeny, přirovnal na druhou stranu rafinovanost a nepřehlédnutelnou podobnost k útokům, kterým čelily nedávno americké listy The New York Times a The Wall Street Journal, které však na rozdíl od Twitteru přímočaře označily jako viníky hackery z Číny. Twitter aktuálně spolupracuje na vyšetřování s americkou vládou a policií a ujišťuje své uživatele, že hesla uživatelů v ohrožení nebyla. Uživatelé, u jejichž účtů nabyli správci sociální sítě dojem z kompromitace, jsou kontaktováni.

Google si pohrává s myšlenkou hardwarového klíče, dotáhne jej do konce?

S aplikacemi v cloudu samozřejmě roste i důraz na jejich ochranu – zabezpečení samotného přístupu pro práci s nimi. Přístup ke službám společnosti Google lze zabezpečit zcela jednoduše pomocí standardního hesla, nebo lépe pokročile pomocí dvouúrovňové autentizace (kombinace s mobilním zařízením). Google však chce jít ještě dál a zkombinovat myšlenku rychlého, avšak bezpečného přihlášení. Zaobírá se tedy projektem hardwarového klíče, který má podobu malé klíčenky (firma Yubico), pomocí kterého by se zcela jednoduše po vložení do počítače spustil automaticky internetový prohlížeč Chrome, který by se sám přihlásil do vybraných služeb Google (Gmail, Drive či samotného prohlížeče Chrome).

Aktuální dispozice prohlížeče tento zásah neumožňuje – Google by rád službu aktivoval automaticky bez potřeby dodatečné instalace. Google nadále uvádí, že podobný styl autorizace se již řadu let používá například v bankovnictví, kde pracovníci disponují speciálními autentizačními tokeny pro přihlášení do svých pracovních účtů. A podobnou myšlenku autorizace by rád Google dostal i mezi obyčejné lidi, běžné uživatele. Koncepce se i zaobírá myšlenkou předání autorizační informace pomocí "chytrého prstenu" či smartphone uživatele (možná pomocí NFC?), který by tak na jedno kliknutí mohl aktivovat přístupy na zvoleném PC. Pro uživatele by to mohlo znamenat konec pamatování složitých hesel, které musí splňovat to či ono bezpečnostní pravidlo. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Autoři speciálního malwaru Gozi dopadeni

• Chyba v Javě druhé kolo - Update 11 nepřežil ani 24 hodin

• Java 2013 - nově objevené chyby a jak se bránit útokům

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace