06.10.2017

TOP 5: Bashware, WeChat a práva komárů

Internetové prohlížeče se předhánějí v novinkách kvalitnějšího zabezpečení, naopak operační systémy se předhánějí v kvalitě a množství chyb. A Čína s Ruskem se spolu předhánějí v tom, kdo kvalitněji posílí cenzuru. Pravidelný přehled toho nejzajímavějšího z oblasti bezpečnosti za uplynulý měsíc.

Cover 24

01: Sociální sítě v centru dění

Podvodníci všeho druhu mají silný zájem o to prezentovat (se) na sociálních sítích. Ukazuje to například nedávno odhalený černý trh s verifikacemi na Instagramu, na němž jsou zájemci ochotni zaplatit tisíce dolarů za jednu modrou značku. Někteří si s tím však hlavu nelámou a rovnou Instagram hacknou.

Ani ostatní sítě na tom ale nejsou lépe - uvnitř Facebooku byla odhalena “lajkovací farma” čítající zhruba milion reálných i falešných účtů, které dohromady vygenerovaly více než 100 milionů falešných “lajků” a komentářů. Facebook také oznámil, že během zářijových voleb v Německu smazal desetitisíce falešných účtů, které se snažily volby mediálně ovlivnit. A Twitter vydal nový Transparency Report, v němž mimo jiné přiznal, že pouze za tento rok zrušil téměř 300 000 účtů spojených s terorismem, z nichž tři čtvrtiny zrušil ještě dříve, než vytvořily svůj první tweet.

Není se tedy čemu divit, že se pak v takovém množství falešných účtů občas stane přešlap a sociální síť omylem smaže zprávy aktivistů pomáhajících v Barmě utlačovanému muslimskému kmeni Rohingyů nebo vám zablokuje účet, pokud vyhrožujete smrtí komárům.

02: Čína a Rusko dále přitvrzují

Čína přemýšlí o přísnější regulaci kryptoměn. Pro Bitcoin je Čína důležitým trhem - po vydání původní zprávy Bitcoin ihned poklesl o jednotky procent a celkově v září v jednom okamžiku klesl z necelých $5000 až pod hranici $3000, tedy téměř na polovinu své hodnoty.

V Číně již delší dobu nefunguje Facebook, nyní však vláda zablokovala i samotný komunikátor WhatsApp. To neznamená, že by spolu Číňani nesměli nijak komunikovat - naopak. Čína více než doporučuje používat jejich vlastní alternativu, WeChat. Pokud vám ovšem nevadí, že váš osobní komunikátor předává všechna vaše soukromá data čínské vládě. (Pokud vám to skutečně nevadí, pak svá soukromá data můžete výhodně prodat zde!) A Rusko má vlastní sociální síť VKontakte, takže vlastně Facebook taky nepotřebuje.

03: Bezpečnostní novinky webových prohlížečů

V posledních několika týdnech proběhla spoušť oznámení o různých vylepšeních jak ve Firefoxu tak v Chrome. Nový Firefox 57 má jako první prohlížeč formálně ověřené kryptografické algoritmy a novou ochranu proti slídícím aplikacím. Mozilla také zkouší ve spolupráci s Yubico implementovat novou dvoufaktorovou autentizaci FIDO U2F, která byla doposud v prohlížeči pouze formou doplňku. Firefox také nově umožňuje tzv. Víceúčtové kontejnery, díky nimž můžete např. v rámci jedné instance prohlížeče oddělit práci a volný čas nebo jednodušeji omezit svůj digitální otisk napříč vámi navštěvovanými weby.

Google zase ve verzi 63 svého prohlížeče Chrome zavede ochranu proti útokům typu MitM (Man in the Middle), která v případě opakovaného pokusu o narušení spojení uživateli zobrazí varování. Dále také bude nově označovat veškerá FTP spojení jako Nezabezpečená. A nové Safari má inteligentní mechanismus, který bude pomocí strojového učení analyzovat a případně mazat či limitovat přijaté “tracking cookies”. Což se samozřejmě nelíbí tvůrcům reklam.

04: Bezpečnostní selhání operačních systémů

Microsoft do svého nejnovějšího systému přidal podporu linuxového terminálu prostřednictvím vrstvy WSL (Windows Subsystem for Linux). Což je více než chvályhodná věc. Stalo se to ovšem tak rychle a nečekaně, že antivirové společnosti na tuto zásadní změnu ještě nestačily dostatečně zareagovat, a tak se zrodil Bashware, potenciální linuxový malware, který je možné díky WSL spouštět v prostředí Windows 10, aniž by jej detekoval jakýkoliv antivir.

Apple bojuje se svým vlastním neduhem - pokud totiž v nejnovějším iOS 11 “vypnete” Wi-Fi nebo Bluetooth, tak se tato připojení ve skutečnosti nevypnou, pouze zneviditelní a systémové aplikace je mohou i nadále používat. Apple tuto vlastnost zatvrzele obhajuje, BlueBorne si však přitom spokojeně mne ruce. Aby toho nebylo málo, dlouhodobě přehlížená zranitelnost LeakyX je v iOS 11 stále přítomna.

A abychom nezapomněli na macOS, jinak skvělá funkce Find my Mac v tomto systému byla zneužita jako ransomware.

05: Zprávy z domova

Nakonec se podívejme, co se událo v oblasti bezpečnosti u nás. Předně, v Brně proběhla konference CyberCon 2017 pod záštitou nově vzniklého centra NÚKIB. Bezpečnostní expert Michal Špaček se podíval na uniklá hesla ze srpnového úniku serverů Mall.cz a sepsal zajímavou esej o tom, jak se v dnešní době taková hesla prolamují. Úřad vlády ČR ve spolupráci s firmou ČD Telematika posílil svou ochranu proti útokům DDOS (přestože náš prezident dříve prohlásil, že jsou to jen žvásty a móda).

Dále, Policie ČR vysvětlila, proč na svém webu nemá a nebude mít HTTPS, ministerstvo financí zablokovalo hazardní stránku WebMoneyCasino a na stránkách Okamurovy politické strany SPD se zobrazoval Hitler.



Nalezli jste nějakou zajímavou událost, která nám v seznamu chybí? Podělte se o ni s námi na našich sociálních sítích!

Kam dál?