CDR.cz - Vybráno z IT

CDR SecUpdate 34 - Kauza Snowden: Vzduchem létají harddisky, na Heathrow se zase nelétá

Ovzduší mezi médii a vládou v Británii zhoustlo po zadržení partnera jednoho z redaktorů v Guardianu. Do toho ještě vláda donutila Guardian zničit data od Snowdena i když je to v digitálním světě jen symbolické gesto.
chuck-promo

Chyby v softwaru

Java opět na scéně, obě větve zranitelné

Týká se: Java 6u45 a nižší, Java 7u24 a nižší

O Javě jsme ve větším měřítku delší dobu neslyšeli, poslední zajímavá událost může být velká červnová aktualizace záplatující 40 děr. V minulém týdnu se objevily na scéně detaily o chybách publikované na webu bug bounty programu PacketStorm. Chyby se týkají Javy 7 update 24 a také nižších verzí. Detaily publikoval PacketStorm 5 dní po sobě, exploity již obíhají po internetu.

Silně doporučujeme aktualizovat, Java je pro hackery stále atraktivní zboží (na jaře byla dokonce oficiálně nejatraktivnější na internetu, můžeme ji nazývat takovou Miss Vulnerable), protože ji navzdory problémům využívá obrovské množství lidí. Stahujte nejnovější Java 7 update 25 z oficiálních stránek.

Chybám se neubránila ani druhá větev Java 6, kterou v řádu hodin implementovali vývojáři exploit kitů do svých pro běžné uživatele smrtících nástrojů. Do dnešního dne je méně či více upravený exploit minimálně v devíti kitech, které cirkulují po internetu, včetně BlackHole exploit kitu (viz slovník). Chyba cílí na nejnovější Java 6 update 45, doporučujeme pokud je to možné přejít na větev 7 a aktualizovat na update 25. Stejnou díru však obsahuje i sedmá větev v aktualizaci 21 a nižší, důvod k patchům je kvůli tomu o to větší.

Novinky a Události

V kauze Snowden se přiostřuje, novinářská svoboda ohrožena

Londýnské letiště Heathrow není díky své velikosti úplně typické. Denně skrz něj cestuje obrovské množství lidí, díky čemuž je nejvytíženější v Evropě. Má také nejvyšší počet odbavených zahraničních cestujících na světě. Právě tato multikulturnost nutí vládu k důkladným bezpečnostním opatřením, která zahrnují například možnost zadržení osoby bez nějakého zvláštního "teroristického" důvodu. Mohou vás držet až 9 hodin bez nároku na právníka a vaše věci si nechají po dobu až sedmi dní. Londýnské letiště není z tohoto pohledu příjemné místo. Doporučuji neprovokovat až pojedete do Londýna na týdenní dovolenou.

glenn-greenwald-david-miranda

Partner novináře Glenna Greenwalda z The Guardian jménem David Miranda okusil temná místa Heathrow na cestě do Brazílie začátkem srpna, když fungoval pro Greenwalda jako poslíček informací ve věci Edward Snowden. Greenwald píše pro Guardian o odhaleních, které vyplývají z uniklých dokumentů, pracoval v roce 2010 také na kauze WikiLeaks. Nejen Guardian však vidí zásah jako účelový nátlak na média v oblastech vládních špehovacích programů USA a UK. Tuto sobotu se k události vyjádřili redaktoři z Dánska, Švédska, Norska a Finska, kteří ve svých vyjádřeních zadržení Mirandy jednoznačně odsoudili. Vyzývají také britského předsedu vlády Camerona, aby obnovil reputaci Británie ohledně svobody tisku.

Akcí na Heathrow se bude zabývat Nezávislá komise pro policejní stížnosti (IPCC), která dala londýnské Metropolitní policii sedmidenní ultimátum pro vysvětlení svých činů. 

Harddisky s daty o NSA a PRISM na maděru pod dohledem GCHQ

The Guardian je od začátku kauzy Snowden trnem v oku americké i britské vládě. S podobným odhalením nikdo nepočítal a Snowden se rozhodl svěřit hlavní úlohu publikací a investigativní novinařiny právě britskému Guardianu. Redaktor Alan Rusbridger popisuje zkušenosti s vládním nátlakem ve videu níže.

Předně, britská vláda se zástupci Bílého domu se jednoho dne sešla se zástupci Guardianu a oznámila jim: "Tak jste si užili srandu. Teď nám vraťte ty dokumenty." Následovaly pohrůžky, že pokud dokumenty od Snowdena Guardian nezničí nebo je vlády nedostanou zpět, poženou celou věc k soudu. V Británii mají ještě k tomu podle všeho vládní organizace efektivní pravomoc zakázat médiím publikaci, což by podle Rusbridgera v USA "nebylo možné." Vysvětlování, že tím ničemu nepomohou, protože dokumenty jsou samozřejmě rozesety v kancelářích po světě, nebylo k ničemu. Guardian tak přistoupil na nejvýhodnější variantu - zničit vlastní hardware.

V Londýně se tak odehrála scéna téměř z akčního filmu - do kanceláře novin naběhl technik a zástupce firmy a pod dohledem britské GCHQ rozbili harddisky a počítače na malé nepoužitelné kousky. Zástupci vládní organizace si prý dělali poznámky a pořizovali fotografie.

NSA se potácí ve lžích, zachránit vládní programy mohou soudy

Uplynulý víkend přinesl odhalení dalších lží, které americká NSA vypouští i ve velmi ožehavých dobách, jako je ta, kterou právě prožíváme. Pamatujete na výstup generála Alexandera na BlackHat 2013? Ještě pořád mi v uších zvoní jeho důrazné a jednoznačné "zero times that happened ... and thats no bullshit." V sobotu samotná NSA přiznala, že občas docházelo k osobnímu zneužití špehovacích programů, v jednom případě prý sledoval analytik svojí bývalou milenku. Údajně prý zneužití neporušovalo Patriot Act, ale 1981 výkonný rozkaz 12333.

nsa-hedquarters

Problémy se nyní zabývají soudy, kterým dochází trpělivost, protože NSA je jednak skoupá na slovo a také kolikrát to, co řekne, není úplně pravda. Porušení ustanovaní například svádí na technologické problémy, soudcům se to však nelíbí a ve vyjádření dávají jasně na jevo, že k porušení procedur musí docházet záměrně, jelikož je procedurální základ programů navržen zcela jednoznačně. 

Na světlo se tyto informace dostaly poté, když soud rozhodl o zveřejnění soudních rozhodnutí z minulosti. Například již v roce 2009 soudce Bates řekl, že standardy pro vyhledávání v telefonních záznamech z důvodu teroristických hrozeb "byly tolikrát a systematicky porušovány, že se dá obecně říci, že tento kritický element celého ... režimu nikdy nefungoval efektivně."

obama-prism

Podle mého názoru aby mohly špionážní programy přežít, bude však nutné znovu probudit důvěru občanů. Tomu mohou přispět soudy svými názory a výsledky. Bude to bezpochyby běh na dlouhou trať a je možné, že se NSA ve svých pavučinách úplně zamotá a nakonec podobné praktiky nevydrží. Nebo také použije represivní moc a zahrabe nakonec vše pod koberec, ale je to v dnešním světě u takto sledované kauzy vůbec možné?


Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

Díly CDR Security Update SPECIÁL

Tagy: 
Zdroje: 

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate 34 - Kauza Snowden: Vzduchem létají harddisky, na Heathrow se zase nelétá

Úterý, 27 Srpen 2013 - 20:39 | Shaq | nebo, co neni v dnesni dobe nemozne... )
Úterý, 27 Srpen 2013 - 20:37 | Shaq | tak nebude smet NSA sledovat Americany (to,...
Úterý, 27 Srpen 2013 - 11:09 | randomofamber | A to byste měl vidět pana Zemana, jak se smál,...
Úterý, 27 Srpen 2013 - 07:22 | Ondřej Petrlík | Nechají se v klidu zmasírovat, a co nebude na...
Pondělí, 26 Srpen 2013 - 23:08 | Ondar | Je to v dnešní době možné? Nebo spíš co není v...
Pondělí, 26 Srpen 2013 - 19:08 | Jiří Moos | Zatím se rozhodně nic takového nechystá, ale...
Pondělí, 26 Srpen 2013 - 18:54 | Max Power | Asik nemám všechny informace, ale zatím to na mě...
Pondělí, 26 Srpen 2013 - 18:27 | Trashman | Hezky se směje ten Keňan Americké blbosti.

Zobrazit diskusi