Chyby v softwaru

Facebook hacking - techniky falšování identity aplikací

Týká se verzí: Facebook k datu vydání dnešního dílu

Technika injekce parametrů do kódu generujícího příspěvek na zeď, kterou jsme popisovali v minulém díle, stále funguje. Facebook zatím tedy nezareagoval, metoda si však přímo říká o masivní phishing a šíření mezi profily po celé síti.

Novinky a Události

Čínští hackeři z Googlu vytáhli v roce 2009 i databázi sledovaných osob

V roce 2009 proběhla operace Aurora mimo jiné cílená proti firmě Google. Během ní se skupina podle všeho čínských hackerů dostala do interní sítě a ukradla zdrojové kódy vyhledávače. Již v té době Google zveřejnil informaci, že útočníci šli mimo jiné po účtech čínských aktivistů a novinářů zaměřených proti čínskému režimu.

Nové informace však odhalují kompromitaci databáze sledovaných osob vládou Spojených států na americké půdě. Jak je možné, že se pro kontrašpionáž tak kritická databáze nacházela na serverech Googlu zatím zůstává záhadou, incident však poukazuje na zjevné nebezpečí míchání citlivých dat z veřejného a privátního sektoru.

Další nezodpovězenou otázkou zůstává, zda se čínští hackeři dostali k databázi záměrně nebo zda to byla jen náhoda. Zájem na zisku dat o sledovaných diplomatech a pro USA potenciálně nebezpečných osobách Čína bezpochyby může mít.

"Z kontrašpionážního pohledu je zjišťování, zda byli agenti odhaleni, výborná ofenzivní strategie. [...] Vypadalo to, že cíl byla krádež intelektuálního vlastnictví. A teď po těch letech vyšlo na jevo, že dostali i tu databázi se soudními příkazy od soudu FISA [Foreign Intelligence Surveillance Act]. Nevím, jestli to byla kontrašpionážní operace nebo na ní jen náhodou přišli,"

komentuje situaci Anup Ghosh z bezpečnostní firmy Invincea, která se pravděpodobně podílela na vyšetřování. V obou případech se jedná o citelnou ztrátu, která bezpochyby narušila chod utajených protišpionážních operací organizovaných vládou USA. Nejen pro ČR by tato událost mohla sloužit k poučení z chyb jiných a k přehodnocení rizik nakládání s citlivými údaji v soukromém sektoru.

Ghosh vyjadřuje názor, že Čína jen tak s podobnými pokusy nepřestane. Čínským kybernetickým skupinám se totiž po světě poměrně daří, což dokládá i v poslední době diskutovaná kauza Mandiant:

• Čína špehuje strategické cíle po celém světě v obřím měřítku - nyní existují i důkazy
• Mandiant pomůže ekonomice - naleje milióny do bezpečnostního průmyslu

Soukromá firma Mandiant analyzovala několik let aktivity čínských internetových útočníků a přišla s možná překvapivě konkrétními důkazy. Z mých rozhovorů se zástupci předních antivirových firem je však zřejmé, že podobné odhalení může mít na svědomí pouze podobná menší firma, která si chce vybudovat jméno. Větší vendoři totiž nestojí o přílišné zpolitizování celé situace - mohlo by to ohrozit jejich byznys.

Zákon o kybernetické bezpečnosti - pomalu, ale jistě se hýbeme k legislativě

Nově vzniklé národní centrum kybernetické bezpečnosti (NCKB) připravuje v čele s Vladimírem Rohelem již delší dobu nový legislativní počin - první zákon o kybernetické bezpečnosti (ZKB). Na konci května minulého roku proběhlo usnesení vlády, na jehož základě byly následně vypracovány první verze. Na začátku roku 2013 proběhlo první připomínkové kolo pro odbornou veřejnost, od 15. dubna do 10. května pak běželo mezirezortní připomínkové řízení.

NBÚ (pod které NCKB spadá) by měl předložit koncem června tento návrh vládě. Pokud se podaří schválit zákon do konce léta a podepíše jej nakonec i prezident, začne platit od 1. ledna 2015.

Povinnými osobami v oblasti kybernetické bezpečnosti jsou
a) poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací, pokud nespadá pod písmeno b),
b) subjekt zajišťující významnou síť, pokud nespadá pod písmeno d),
c) správce informačního systému kritické informační infrastruktury,
d) správce komunikačního systému kritické informační infrastruktury a
e) správce významného informačního systému.

Pro výše zmíněné subjekty bude zákon představovat především povinnost ustanovit do třiceti dnů od nabytí platnosti zákona nějakou styčnou osobu, která bude v případě krize komunikovat s centrem, potažmo s CSIRTem. Dále bude muset detekovat a hlásit kybernetické incidenty, komunikovat postup řešení a výsledek. Osoby c) až e) musí přijmout v zákoně specifikované technické a organizační opatření a to do jednoho roku od nabytí platnosti zákona.

Zákon v aktuálním znění ke stažení zde [PDF].

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Na Facebooku se objevuje nebezpečí pod identitou důvěryhodných aplikací

• Velká bankovní loupež - hackeři ukradli 45 milionů dolarů

• Povedený Google Glass jailbreak a nová Apache hrozba pro Linux

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace