Chyby v softwaru

0-day zranitelnost v kernelu Windows - Google nově zveřejňuje detaily o chybách po týdnu

Týká se: kernel Windows

Známý bezpečnostní výzkumník Googlu Travis Ormandy zveřejnil na webu Full-Disclosure detaily a proof-of-concept kód nové chyby v kernelu Windows. Microsoft oznámil, že si není vědom jakéhokoliv zneužívání nové díry kyberkriminálníky na internetu.

Google se zveřejněním této chyby již 7 dní po odhalení a následném odeslání Microsoftu razí nový přístup ke zveřejňování informací o chybách. V původním schématu dával Google celých 60 dní vývojářům na vývoj aktualizace před zveřejněním detailů chyby. Nyní snížil dobu na týden a tlačí tak na vývojáře i když je chyba aktivně zneužívána na internetu. Podle Googlu mají vývojáři čas vydat alespoň akutní záplaty děr, které jim následně připraví trochu více času pro vývoj plnohodnotné aktualizace.

Tato novinka sice nejspíš nepotěší developery, kteří budou pracovat pod větším tlakem, ale na druhou stranu tímto krokem Google přitáhne pozornost k problematice bezpečného kódu. Manažeři firem budou muset chtě nechtě najmout více lidí, zkvalitnit a zefektivnit psaní kódu nebo alespoň platit přesčasy vytíženým záplatovačům.

Novinky a Události

Spojené království má jednoduchý přístup k datům uživatelů internetu

Britská špionážní agentura GCHQ má podle všeho vytvořený komunikační kanál s americkou NSA určený pro zisk informací o lidech využívajících velké internetové služby. Deník The Guardian informoval o tomto tajném programu označovaném jako Prism, který umožňuje britským složkám přístup k soukromým datům již od roku 2010. Z tohoto obrovského množství informací vypracovala GCHQ jen za minulý rok 197 výzvědných zpráv.

Detaily o programu Prism obsahují například dokumenty z dubna tohoto roku připravené pro analytiky NSA (National Security Agency - podle Guardianu dokonce největší špionážní agentura na světě). Prism umožňuje FBI a CIA jednoduchý a rychlý přístup k datům uživatelů devíti největších poskytovatelů internetových služeb - Facebooku, Googlu, Microsoftu, Applu, Yahoo, Skypu a dalším.

Google a další firmy odmítly účast na takovém projektu, prý nemají "ve firmě zadní vrátka". Guardian však říká, že o existenci Prism nemůže být pochyb, odkazuje například na vyjádření šéfa zpravodajů USA Jamese Clappera:

"Informace posbírané během tohoto programu jsou jedny z nejdůležitějších a nejcenějších zpravodajských informací, které sbíráme, a používáme je pro ochranu naší země proti nejrůznějším hrozbám."

Prism byl vytvořen v roce 2007 díky změnám v americkému zákoně o dohledu, které provedl George W. Bush a obnovil Barack Obama v prosinci 2012. Umožňuje velmi detailní sledování komunikace v reálném čase a zaznamenává informace o cizincích. Zákon umožňuje sledovat zákazníky amerických firem, kteří jsou cizinci, nebo Američany, kteří komunikují se zbytkem světa. Podle dokumentů má NSA možnost získat a ukládat data v reálném čase za posledních šest let bez souhlasu uživatele, který má často za to, že zůstávají soukromá.

Britové mají s USA uzavřenou vzájemnou dohodu o právní podpoře a dostanou se tedy k datům převážně amerických firem přes zdlouhavé právní procesy. To však stejně nezabránilo minulý rok třem tisícům žádostí jen ke Googlu. Prism má celou operaci zrychlit a umožnit jednoduchý a rychlý přístup k datům. Výzvědné zprávy, kterých bylo v minulém roce o 37 % více než v roce 2011, jsou ve většině případů rovnou posílány MI5 a MI6. GCHQ podle oficiálního vyjádření bere své zákonné povinnosti velmi vážně, avšak "nekomentuje zpravodajské záležitosti".

Situaci z našeho evropského pohledu příliš neuklidňují ani slova nejmenovaného amerického administrativního úředníka:

Program podléhá dohledu ze strany soudu pro zahraniční zpravodajství, výkonné moci americké vlády a kongresu. Zahrnuje důkladné procedury specificky odsouhlasené soudem, aby bylo zajištěno, že budou cílem sledování pouze neameričtí občané mimo území Spojených států a že je minimalizován zisk, uchovávání a šíření náhodně získaných informací ohledně neamerických občanů.

Opravdu děkujeme za toto ujištění vládo Spojených států!

Obama připravuje seznam cílů pro kyberválku

Podle přísně tajné prezidentské směrnice mají členové bezpečnostních a zpravodajských složek USA vypracovat seznam cílů po celém světě určených pro plánované státem sponzorované počítačové útoky. Nikdy nepublikovaná směrnice byla vypracována v říjnu minulého roku a definuje útočné kyberoperace (Offensive Cyber Effect Operations - OCEO), které "nabízejí jedinečné a nekonvenční možnosti prosazování amerických cílů po celém světě s malým varováním nebo úplně bez varování protivníka nebo cíle a s výsledky pohybujícími se od lehkého až po těžké poškození."

• Čína špehuje strategické cíle po celém světě v obřím měřítku - nyní existují i důkazy
• Flame a Stuxnet jsou z USA a Izraele

Ještě před publikací směrnice reagovala Čína na věčné "kyber strkanice" s USA stylem, že má Čína "hory dat" dokazujících americkou špionáž, která je prý do posledního bitu stejně závažná jako údajná špionáž čínská. Zdroj z americké NSA popisuje americké praktiky slovy: "Hackujeme všechny a všude. Otravujeme Čínu s tím, co děláme sami každý den."

OCEO má "vytvořit nástroje a framework, aby vláda mohla dělat rozhodnutí." Dokument může souviset s nedávným odhalením firmy Mandiant, která přinesla důkazy o čínské špionáži ve světě.

To bych komentoval trochu pozměněnými slovy Kocoura z Červeného trpaslíka: "Nerad bych se tu vyskytoval až bude americká vláda 'dělat rozhodnutí'."

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Praxe zlodějů platebních karet - rozhovor s profesionálním hackerem

• Čína hrozí kyberútoky, Česko připravilo zákon o kyberbezpečnosti

• Na Facebooku se objevuje nebezpečí pod identitou důvěryhodných aplikací

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace