Říjen: anonymita Tor sítě ohrožena

NSA samozřejmě anonymizační síť Tor eminentně zajímá. Používají jí aktivisté, diplomaté, byznysmeni a další uživatelé, kteří chtějí na internetu skrýt svou identitu. I uživatele v síti jako Tor je možné do jisté míry odhalit, ať už je to přes cookies v prohlížeči používajícím Tor jen občas nebo přes speciální Tor "otisky". 

Americká NSA měla dokonce připravené servery s krycím názvem FoxAcid, které následně infikovaly systémy obětí pro další špionáž. Metody s popisem použití můžete najít ve článku:

• CDR SecUpdate 40 - NSA dokáže prolomit anonymitu sítě Tor

Donedávna největší webová hrozba Blackhole exploit kit přišla na začátku října o svého hlavního administrátora s přezdívkou Paunch. Byl zatčen v Rusku a od té doby to jde s projektem z kopce - je vidět, že Paunch byl velmi vysoce postavený člen Blackhole týmu.

• Hacker za největší webovou hrozbou zatčen

Před volbami v polovině října jsme se podívali na útoky proti webům politických stran. Na SOOM.cz dokonce za tímto účelem spustili projekt, který lákal uživatele k objevování bezpečnostních trhlin na webech. A sešla se jich opravdu slušná hromádka včetně spoz.cz, karelschwarzenberg.cz, zemanmilos.cz, radekjohn.cz a dalších. Pár jsme jich i vyzkoušeli ;)

Webové bezpečnosti jsme tak věnovali celý díl včetně popisu základních principů webových útoků. Pokračovali jsme zpraávami ohledně prolomení zabezpečení Apple iMessage a srpen zakončila zajímavá analýza nelegálního obchodu se soukromými informacemi:

• CDR SecUpdate 43 - Databáze osobních údajů na prodej - jak se obchoduje se soukromými informacemi?

Listopad: dopaden nebezpečný hacker ze Silk Road

Dávku informací z oblasti IT security začal v listopadu kolega Lukáš Voříšek zajímavým článkem o čínském odposlechu v domácích spotřebičích. Pokračovali jsme zprávou o znovuzrození e-mailových služeb Lavabitu a Open Circle do jedné nabušené služby Dark Mail. Vývojáři službu označují jako e-mail 3.0 a důraz bude od začátku na zabezpečení systému (security by design). Celý projekt bude údajně open-source a mohli bychom se první verze dočkat již v tomto roce.

V polovině listopadu jsme věnovali článek projektu Sweetie, který cílí na internetové predátory zneužívající děti. Uživateli je prezentována počítačová animace a systém slouží jako sběratel důkazů o schopnosti predátorů platit dětem za pornografický materiál. V listopadu také vyšel iOS 7.04, který finálně znemožňuje nákupy aplikací zadarmo. 

Největší listopadovou událostí bylo pravděpodobně zatčení Rosse Ulbrichta, člověka za internetovým obchodem v online podsvětí Silk Road. Na jeho webu návštěvníci mohli nakupovat drogy, hackerské služby a další nelegální zboží. Ulbricht se pravděpodobně připravoval na život na útěku, protože u něj bylo nalezeno 9 různých řidičských průkazů na jeho jméno. 

Ulbricht také údajně objednal celkem 6 vražd, u některých byl však napálen a přišel o peníze. Celkem zainvestoval do nájemných vrahů půl miliónu dolarů a nakonec byl obviněn ze dvou objednávek, ke kterým měla obžaloba velké množství důkazů.

Prosinec: problémy na Androidu

Německá firma Curesec objevila softwarové chyby na rozšířeném Androidu 4.3 Jelly Bean a připravila software, který zbaví Android všech zásadních bezpečnostních mechanismů. Aby mohl útočník zneužít tuto zranitelnost, musel by donutit uživatele ke stažení a instalaci nebezpečné aplikace na systém, doporučujeme tedy věnovat zvýšenou pozornost důvěryhodnosti stahovaných aplikací na Androidu.

Dozvěděli jsme se také ve stejném článku informace o zatčení Paunche z kauzy Blackhole. 27letý Paunch si údajně v přepočtu přišel na zajímavý milión korun měsíčně. S ním šlo do vazby dalších cca 12 spolupracovníků, kteří se podíleli na vývoji a prodeji softwaru.