Bezpečnost narušovali kostlivci ve skříni i lhostejní uživatelé [Shrnutí roku 2014]

29. 12. 2014

Sdílet

 Autor: Redakce

BadUSB. Napadlo by vás, že váš počítač může kompromitovat i klávesnice? Německý hacker a kryptoanalytik Karsten Nohl, který v minulosti prolomil šifrování GSM sítí, a objevil zranitelnosti RFID čipů či SIM karet, poukázal na obrovský problém týkající se USB zařízení.

Velký test 32GB flashdisků USB 3.0
Flash disk se může proměnit ve virtuální klávesnici nebo síťovou kartu

Nejde o to, že můžete na flashku nahrát zavirované soubory. Útočník může přepsat firmware tiskárny, klávesnice nebo i zmíněné flashky tak, že se chová jako jiné zařízení. Na pozadí se nainstaluje virtuální klávesnice či síťová karta, pozmění chování počítače a může vás na dálku šmírovat. Ochrana proti tomu není, antiviry totiž firmware nekontrolují a ani nemají jak. Naštěstí ještě nebyl objeven případ zneužití.

Krvácející servery

Výrazně větší chybou byl tzv. Heartbleed. Knihovna OpenSSL, která se používá pro šifrování informací v aplikacích nebo webových službách obsahovala tři roky starou chybu, díky které mohl útočník ze zraněného počítače přečíst až 64 kB paměti. Ty mohly obsahovat citlivé osobní údaje a hesla. Chybu prý dva roky zneužívala NSA. Chvíli po aféře byla v OpenSSL nalezena ještě další, 14 let stará zranitelnost. Na podzim pak ještě jedna.

Děravý byl také šifrovací software TrueCrypt. Autoři od něj dali ruce pryč a na svém webu začali v květnu doporučovat lidem, ať použijí jiný nástroj (BitLocker od Microsoftu). Co přesně se stalo, pořád nevíme. Vývoj nicméně pokračuje v nové odnoži s neanonymními tvůrci.

V září byla objevena 22 let stará díra v Bashi. To je program, který vykonává textové příkazy v Unixu a systémech jím inspirovaných (linuxové a BSD distribuce, OS X apod.). Softwarová chyba dovoluje spustit jakýkoliv příkaz uložený v proměnných prostředích a teoreticky může pomoci získat data nebo kontrolu nad systémem nepovolané osobě. Operační systémy se aktualizací dočkaly, staré routery a jiné síťové prvky ale zůstanou zranitelné.

 

V reakci na problémy s OpenSSL a dalšími děravými open source projekty vzniklo hned několik iniciativ velkých firem, které chtějí problémy najít dříve, než jich zneužijí nepovolané osoby. Miliony dolarů na analýzu OSS věnují Google, Microsoft, Facebook, Cisco, Dell nebo Intel. 

Samotný Google pak rozjel projekt Zero. Jakýsi tým hodných hackerů, kteří budou kontrolovat nejpoužívanější aplikace/služby a hledat v nich problémy. Název Projekt Zero vychází z útoků nultého dne (zero-day attack). Útok zneužívá zranitelnosti softwaru, o které se ještě neví a neexistují proti ní obrana.

Experti ze Symantecu a Kaspersky Lab letos objevili údajně nejkomplexnější malware. Jeho vývoj prý musel trvat několik měsíců a možná i let. Tzv. Regin útočil na telekomunikační operátory, vlády, finanční instituce, výzkumné organizace atd. Na vzdáleném počítači umí sledovat síťový provoz, pomocí keyloggeru krást hesla, obnovit smazané soubory, zachytávat dění na obrazovce nebo počítač rovnou ovládat. Regin navíc sledovat GSM buňky.

Tiskárna s Doomem

Jak chabě jsou zabezpečená síťová zařízení, jsme se přesvědčili hned několikrát. Nejkurióznější demonstrací byla hra Doom spuštěná na tiskárnách od Canonu. Několik tisíc tiskáren mělo špatně nastavená práva, takže se jich mohli útočníci zmocnit na dálku. Teoreticky mohli stahovat dokumenty zasílané do tiskárny, ale přepsání firmwaru a nahrání Doomu bylo stylovější.

Nejúčelnější útok zase postihl NASy od Synology. Neznámí crackeři napadli síťové disky, nainstalovali na nich CPUMiner a nechali je těžit kryptoměnu Dogecoin. Celkově vytěžili v přepočtu 620 000 dolarů. K tomu si přičtěte evergreeny jako ohrožené routery od TP-Linku nebo špatně nastavené IP kamery, jejichž komplexní katalog vedl web insecam.com (už nefunguje).

Fotky celebrit a spousta hesel

Několikafázový útok na smartphony, počítače a online účty připravil celebrity o jejich soukromí. Neznámí útočníci zveřejnili stovky intimních fotografií a videí hereček, zpěvaček, modelek a dalších slavných tváří. Velký útok postihl i sociální síť Snapchat, kde bylo kompromitováno asi 200 000 účtů.

Obě kauzy mají společnou příčinu i řešení. Nemůžete se nikdy zcela spolehnout na zabezpečení cizích služeb. Musíte dávat pozor, co sdílíte. Ideálně „citlivá data“ vůbec nedigitalizovat. Google, Apple, Microsoft nebo Facebook sice mají lépe chráněné počítače, než je ten váš. Jenže často k nim vede jen jednoduché heslo. Útok na domácí disk si většinou žádá fyzický přístup.

bitcoin_skoleni

 

Důležité je rovněž domácí data šifrovat. Když někomu budete půjčovat nebo prodávat počítač, mobil, tablet či cokoliv se souborovým úložištěm, jen s šifrováním získáte jistotu, že si druhá strana vaše data neobnoví. Důkazem budiž kauza bazarových Androidů. Ač byly vráceny do továrního nastavení a došlo u nich k formátování úložiště, test Avastu ukázal, že bylo snadné obnovit spoustu citlivých informací a fotografií.