CDR SecUpdate 16 - Google aktualizoval podmínky a veřejně přiznal šmírování
Google v posledních dnech objasnil uživatelům, zda analyzuje e-mailovou komunikaci za účelem cílené reklamy. | Nechvalně známá chyba Hearbleed se týká také anonymizační sítě Tor, došlo dokonce k odstranění několika serverů ze sítě.
Chyby v softwaru a malware
Čtečka otisků prstů u Galaxy S5 prolomena
týká se verzí: Samsung Galaxy S5
Od minulého září se ve světě bezpečnosti otisků na mobilních telefonech evidentně nic nezměnilo. Tuto technologii implementoval Samsung do své nové vlajkové lodě Galaxy S5 a stejně jako u iPhonu 5S je technologie velmi snadno prolomitelná. Dokonce to vypadá, že je situace ještě horší než u nejnovějšího iPhonu. K odemčení telefonu opět postačí lepidlo na dřevo, vytvořený falešný prst a otisk, kterých zanecháváme kolem sebe denně mraky. S podobnou napodobeninou nejen že odemknete samotný telefon, ale můžete následně potvrzovat identitu také například u finančních transakcí v platebních aplikacích telefonu.
Dalším failem je možnost zkoušet otisk několikrát bez nutnosti zadávat heslo (nebo PIN kód), potenciálně by tak útočník mohl zkoušet otisky dokud nenajde shodu. Heslo údajně nemusíte zadávat dokonce ani při restartu zařízení, což je jednak nebezpečné a také mnohem snadněji heslo zapomenete. Po určité době tak můžete zůstat odkázáni pouze na otisk a snadno se tak dostanete do problémů - například po zranění ruky.
Jak již poukazoval německý Computer Chaos Club, otisk prstu jako biometrická technologie ověřování má dlouhou řadu nevýhod a dá se říci, že v moderních telefonech pouze usnadňuje přihlašování. Jsme velmi zvědaví na první vlaštovky mobilních zařízení s biometrickou technologií založenou na otisku krevního řečiště PalmSecure, které by mělo Fujitsu uvést na trh již v brzké době. Novou techniku klasického dotykového přihlašování z uzamčené obrazovky chystá také LG.
Heartbleed: problém se týká také anonymizační sítě Tor
Chyba Heartbleed, která se údajně týkala necelých dvou třetin celosvětového internetu, postihuje také cibulovitou síť pro ochranu soukromí Tor. Síť spoléhá na přesměrovávání komunikace přes různé servery v různých zemích, což téměř znemožní vystopovat zdroj dat. Poslední v řetězci těchto serverů jsou tzv. exit nodes, kteří následně poskytují svou identitu jako zdroj komunikace pro cílový server. Podle lídra projektu Tor, Rogera Dingledina, na některých exit nodech běží zranitelné verze OpenSSL, což umožňuje útočníkům získat obsah skryté komunikace.
V odpovědi na tuto skutečnost Dingledine zakázal komunikaci s 380 napadnutelnými servery a odmítl je vzít zpět “na milost” i kdyby chybu záplatovaly. “Chvíli jsem přemýšlel o atualizacích otisků serverů (že bych odstranil řádek !reject až by si opravily openSSL), ale na druhou stranu pokud byly včera stále zranitelné, opravdu nechci podobné identity v Tor síti, i kdyby měly aktualizované openSSL,” říká Dingledine.
Funkcionalita Tor sítě, zdroj: catlingmindswipe.blogspot.cz
Minulý týden se objevily také zprávy o hackingu VPN sessions a kterak devátenáctiletý chlapec z Kanady zneužil Heartbleed k zisku dat z Canada Revenue Agency. Oracle také nedávno vydal záplaty na 14 produktů, kterých se tato chyba týká.
Zprávy o Heartbleed zaplavují všechna celosvětová média, minulý týden se o chybě mluvilo také v pořadu @Online České televize, kam si mě pozvali jako hosta.
Novinky a události
Google aktualizoval podmínky a veřejně přiznal šmírování
Internetový gigant Google zveřejnil obecný koncept praktik svých systémů pro sbírání dat v nově vydaných podmínkách používání Google služeb. Mimo jiné z nich vyplývá, že Google čte každý e-mail, který odesíláte nebo přijímáte. Google tedy veřejně přiznává, že "váš obsah (včetně e-mailů) analyzují naše automatizované systémy, abychom vám mohli nabídnout funkce služeb relevantní přímo pro vás, například přizpůsobené výsledky vyhledávání, personalizované reklamy a detekci spamu a malwaru. K této analýze dochází při odeslání, přijetí a uložení obsahu.”
Je také dobré si občas připomenout, že "pokud nahrajete, odešlete, uložíte nebo přijmete obsah do nebo prostřednictvím našich služeb, poskytujete společnosti Google (a subjektům, se kterými společnost Google spolupracuje) celosvětově platnou licenci k užití, hostování, uchovávání, reprodukování, upravení, vytvoření odvozených děl (například děl, jež jsou výsledkem překladu, přizpůsobení/adaptací či úprav provedených za účelem jeho lepšího fungování v rámci našich služeb), komunikaci, publikování, provozování a zobrazování na veřejnosti a distribuci takového obsahu."
Gram - první vyhledávač v internetovém podsvětí
V internetové anonymizační síti Tor se objevila beta verze vyhledávače Gram, který umí hledat mimo jiné na ilegálních obchodech se zbraněmi a drogami. Autor projektu se v současné době snaží spolupracovat s administrátory takových subjektů, aby mu dovolili indexovat obsah svých obchodů. Podle Wired si autor všiml, že uživatelé internetového podsvětí (tzv. Dark netu) často poptávají spolehlivé služby a přitom mají problém s jejich nalezením, proto vytvořil řešení.
V současné době indexuje vyhledávač Gram osm obchodů díky naprogramovanému API, mimo jiné také obchod SilkRoad2, který se objevil na scéně brzy po zatčení administrátora proslulého obchodu SilkRoad.
Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.
Minulé díly CDR Security Update
Díly CDR Security Update SPECIÁL
Zdroje:
thn #1, #2, #3, theguardian, news.en.softonic.com, torproject.com
Jiří Moos (Google+)
Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.
Diskuse ke článku CDR SecUpdate 16 - Google aktualizoval podmínky a veřejně přiznal šmírování
