Chyby v softwaru

Chyba na OS X Mountain Lion i přes zamčení systému dočasně zobrazí soukromá data

Týká se: OS X 10.8.4 (s testovanou verzí iPhoto 9.4.3)

OS X ve svém výchozím nastavení evidentně nepracuje, jak bychom očekávali. Obsahuje poměrně nepříjemnou chybu, která může způsobit únik citlivých informací. Sérií kroků je totiž možné dočasně obejít zamčenou obrazovku (lockscreen), která po uživateli vyžaduje přihlášení.

Chybu jsem objevil náhodou při běžné práci se systémem, o to víc mě překvapila a funguje zatím naprosto spolehlivě. Pokud totiž pracujete na jiné ploše než té hlavní (situace naprosto běžná a velmi častá) a zamknete v této chvíli svůj účet ať už zavřením notebooku nebo přes tlačítko zamknout, začnou se dít věci. Při následném otevření po vás bude chtít systém uživatelské heslo a v této chvíli připojíte Apple zařízení s fotoaparátem (testováno s iPhone 5) do USB, spustí se na pozadí v základním nastavení automaticky aplikace iPhoto. To však způsobí chvilkové probliknutí poslední použité plochy a systém tak odhalí soukromá data. Pro ilustraci se můžete podívat na video níže.

Předpokládám, že tento postup nebude fungovat s neautorizovaným Apple zařízením, avšak naopak může fungovat s jakoukoliv kamerou či fotoaparátem. Další a nejdůležitější předpoklad je automatické spuštění iPhoto při připojení kamery (ve výchozím nastavení povoleno). Provedeme ještě dnes odpoledne v redakci pár testů a článek případně doplním. Bug jsem nahlásil Applu 15. srpna pod číslem 14750017.

Novinky a Události

Ohlédnutí za Q2 2013: Češi jsou na tom s bezpečností dobře

Druhé čtvrtletí je sice již delší dobu za námi, neuškodí však se za ním ohlédnout a zhodnotit tak uplynulé události nejen kvůli tomu, abychom efektivně předešli problémům, které můžeme očekávat. Hodnocení se s kvalitní tradicí zhošťuje například Kaspersky, vyjdeme proto z jejich postřehů a statistik.

Uplynulé měsíce podle očekávání přinesly další odhalení v trendu cílených útoků, často zahrnující velmi sofistikované hrozby typu APT. Relativně nové jsou však celé cílové skupiny, které zahrnují důležité státní úředníky, diplomaty, aktivisty a vysoce postavené lidi také v privátním sektoru. Tyto kampaně, ať již jsou státem sponzorované nebo soukromě financované přináší ekonomickou výhodu a schopnost efektivně plánovat a rozhodovat se (tzv. decision making), což jsou pro stát i pro soukromou firmu klíčové hodnoty (například - on vyrábí tohle, já ne, asi bych se mohl podívat do jeho plánů, jak to dělá a případně s tím také začít).

"Příkladem těchto hrozeb může být jak NetTraveler, tak koneckonců i Red October, obě kampaně běžely již několik let a přinesly tedy útočníkům obrovské množství informací." říká Aleš Pikora ředitel divize DataGuard (PCS, spol. s r. o.). Obě také využívaly k infikování chyby v produktech balíčku Microsoft Office (zejména Word a Excel), což poukazuje mimo jiné na chronickou neschopnost organizací implementovat pravidelné aktualizace svých systémů. Jiným směrem byla namířena kampaň skupiny Winnti - týkala se online herního průmyslu, který je zvlášť v oblasti online kasín doslova napěchovaný penězi. S tím souvisí oblíbené výpalné majitelům botnetů, které jsou schopné "vyDDoSovat" službu, která při výpadku automaticky přichází o těžké peníze.

Proto malý tip - pokud jste majitelem online služby, která generuje většinu zisku vaší firmy (e-shopy, online kasína atd.), rozhodně nepodceňujte obranu proti DDoS útokům včetně load balancerů a dedikovaného hardwaru. (A to nejen proto, že budete moc odpovídat na výše zmiňované vydírací hrozby stylem: "Tak pojď k tátovi." :))

Dalším zajímavým kusem malwaru byl Carberp, který se podobá Diovi (dobře asi spíš "malwaru Zeus") zejména svou specializací na tvorbu botnetů. Stejně jako Zeus disponoval modulem pro mobilní zařízení, zejména z důvodu "odposlechu" a následného přeposílání ověřovacích SMS při bankovních transakcích (tzv. TAN). Pro srovnání s APT hrozbami - Carberp i Zeus cílí na většinovou populaci a dělají si otroky z počítačů normálních lidí. 

Paralela mezi Zeusem a Carberpem má ještě jiný zajímavý rozměr. Zdrojové kódy obou softwarů unikly na web a i když za nimi nestojí původní hackeři, stále probíhají kampaně, které používají jejich modifikace. 

Mobily a statistiky

Mobilní malware je stále na vzestupu, když se podíváme na trend růstu, zjistíme, že se objem mobilnímu malwaru oproti první polovině roku 2011 zestonásobil. To je opravdu veliký nárůst. Poprvé také můžeme přirovnat Android svou zajímavostí pro hackery k Windowsu na desktopech.

Online infekce

Když se podíváme na statistiky, největší nebezpečí na internetu hrozí v Arménii, Rusku a Kazachstánu. Lokální infekce jsou nejvíce přítomné ve Vietnamu, Bangladéši a Nepálu. Češi jsou právě na druhé straně tabulky lokálních infekcí, máme pátou nejnižší hodnotu ze všech měřených zemí za Švédskem, Finskem, Dánskem a nejbezpečnějším Japonskem.

Lokální infekce

To přispívá k mému všeobecnému dojmu, že Česká republika na tom není co se týče IT bezpečnosti jednotlivých občanů vůbec špatně. Jiná situace může být (a nejspíš je) například u zabezpečení operátorů a veřejných služeb.

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Slogan "do naší služby nevidí USA" jako nový marketingový trhák

• Šéf NSA: Šmírujeme vás pro vaše dobro! [video]

• Smrtící útok na kardiostimulátory neproběhne, hacker zemřel

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace