CDR SecUpdate 32 - Slogan "do naší služby nevidí USA" jako nový marketingový trhák
Chyby v softwaru
Exploit napadl anonymní síť Tor, podezřelá je vláda USA
Týká se: Mozilla Firefox nižší, než FF 22, zejména Firefoxu 17 na všech platformách (tato verze je přítomná v Tor balíčku)
Útočníci zneužívají pomocí Javascriptu chybu v internetovém prohlížeči Firefox. Útok se zdá být cílen na anonymizační síť Tor, protože zneužívá Firefox 17, který je součástí starších verzí oblíbené služby. Exploit (kód zneužívající zranitelnost) cílí na Firefox pod Windows, avšak zranitelnost je multiplatformní.
Zajímavé je, že funkce exploitu se nepodobají standardní funkcionalitě kódu, který píše typický hacker. Kód totiž pouze odhaluje identitu skrytou anonymizérem Tor. Indicie napovídají, že jde o projekt FBI, který odhaluje podezřelé v kauze dětské pornografie na serverech Freedom Hosting (služby běžící jako "hidden service" v síti Tor).
Zapojení služeb americké vlády napovídá i fakt, že byl ve spojitosti s dětskou pornografií zatčen 28letý Eric Eoin Marques, který Freedom Hosting vedl a byl dokonce agentem FBI označen za "největšího zprostředkovatele dětské pornografie na světě." Pravděpodobně v této souvislosti následně zmizelo velké množství adres skrytých služeb v síti Tor.
"Protože tenhle kód nestahuje ani nespouští další backdoor nebo příkaz, je velmi pravděpodobné, že jej ovládá nějaká vládní agentura," komentuje kód Vlad Tsrklevich, který se analýzou zabýval.
Exploit samotný pouze posílá vaše hostname a MAC adresu na nějaký server do Virginie. Lze jej však upravit, aby stahoval do systému trojské koně a další havěť a jelikož jeho kód již obíhá po internetu, je tato možnost zcela reálná. Kód je také upraven pro použití proti strojům s Windows, zranitelnost se však týká Firefoxu na všech platformách.
Doporučujeme aktualizovat na nejnovější verzi Firefox 23 a pokud používáte Tor, aktualizujte na nejnovější 2.3.25-11 pro Windows, případně zvažte použití celého systému přímo určeného k anonymní práci a procházení internetu, jako je například Tails.
Novinky a Události
Marketing bezpečnostních služeb staví na ochraně proti vládním špionážním programům
Události posledních dnů ukazují, jak obrovskou moc má Edward Snowden a jeho akce. Ukázalo se, že když na moskevském letišti Sheremetyevo odesílal e-maily aktivistům ohledně lidských práv, zatloukal tím hřebíčky do rakve e-mailové službě Lavabit, jejichž zabezpečené servery pro poštu použil.
Svolávací e-maily prý přišly z adresy edsnowden@lavabit.com, což na chvíli přineslo Lavabitu silnou vlnu pozitivních reakcí na jejich šifrovací služby. Ani ne do měsíce však Snowdenův "polibek smrti" donutil provozovatele službu uzavřít.
"Byl jsem donucen udělat těžké rozhodnutí: buď se stát komplicem v zločinech proti americkému lidu nebo opustit téměř deset let tvrdé práce a vypnout Lavabit," říká vlastník Ladar Levison. "Přeji si, abych s vámi mohl legálně sdílet události, které mě vedli k tomuto rozhodnutí. Nemohu," pokračuje a nakonec varuje: "Zkušenost mě naučila jednu důležitou lekci: _silně_ nedoporučuji svěřovat svá soukromá data komukoliv, který má fyzické spojení se Spojenými státy."
Neuplynulo však ani 24 hodin a "dolů" šla další služba Silent Mail, která se specializuje na bezpečnou elektronickou poštu. Prý je k tomu nedonutil žádný soudní příkaz, ale údajně mají na serverech citlivá data hlav států, organizací podporujících lidská práva a dalších důležitých lidí a potenciálních cílů americké vlády. Prý věděli, že by po nich stejně vláda šla, tak raději kompletně službu zrušili. "Nic od nás již nemůžou dostat, doopravdy nikde nic nemáme," zní oficiální vyjádření. Podle New York Times firma kompletně zničila servery s e-maily. Radikální, ale nejspíš nevyhnutelné řešení.
Na jedné straně tu máme hromadné ničení serverů, na straně druhé situace evidentně nahrává některým ostatním firmám, které se snaží profitovat ze strachu o data, kterého údajně zákazníky zbaví. Jedním z příkladů může být Peter Sunde z PirateBay, který pracuje na vývoji "superbezpečné chatovací aplikace."
Němci se rozhodli jít ještě dál a tři hlavní provozovatelé e-mailových služeb v Německu se spojují ve své ideologii umístit data pouze na své německé servery a použít u přenosu SMTP TLS. Říkají tomuto projektu "e-mail vyrobený v Německu" a získávají tak velkou pozornost médií. Technické kluby, jako je například respektovaný Chaos Computer Club jsou však k tomuto přístupu skeptické a považují jej za pouhý marketing. Poukazují například na to, že e-mail bude šifrovaný pouze po dobu přenosu, o šifrování samotných disků s uloženými daty se zatím nemluví.
Tato e-mailová trojka staví na názoru, že jsou Němci hluboce nespokojení s odhaleními ohledně aktivit americké NSA. "Nabídneme klid v duši, že se s daty zachází podle německých zákonů." oznamuje Deutsche Telekom ve společnosti GMX a Web.de na svém webu.
Chaos Computer Club komentuje slovy: "Co měli konkurenti po léta za standardy - vynucené šifrování při přístupu k soukromému e-mailovému účtu - je dnes přednostně prodáváno jako nové a efektivní technologické vylepšení. Skandál NSA ukázal, že na centralizované služby není možné hledět jako na důvěryhodné v případě přístupu vládních agentur."
Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.
Minulé díly CDR Security Update
Díly CDR Security Update SPECIÁL
arstechnica #1, #2, torproject.org, arstechnica #3
Diskuse ke článku CDR SecUpdate 32 - Slogan "do naší služby nevidí USA" jako nový marketingový trhák