Bezpečnostní perličky – květen 2008

:: připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

• Sto zranitelností v hardware internetových telefonů. Dávno pryč jsou doby, kdy telefony pouze sloužily a prakticky neměly šanci stát se zdrojem nějakým závažnějších problémů. Dnes je vše jinak, specialisté z kanadské firmy VoIPshield Systems oznámili, že vědí o více než jednom sto bezpečnostních chyb v hardware internetových telefonů (včetně největších výrobců jako je Avaya, Cisco a Nortel). Výrobci již byli informováni, ale protože mnozí z nich nekonají vůbec nic, rozhodla se společnost VoIPshield Systems seznam 44 z výše uvedených zranitelností umístit na svůj web. Všech sto chyb je přitom z kategorie střední až velké důležitosti, to znamená, že mohou být zneužité k odposlechu, přesměrování nebo iniciování telefonních hovorů nebo třeba ke znemožnění využívání služby. K nejzávažnějším chybám patří třeba pevně dané heslo pro přístup k ovládacímu rozhraní, které není možné změnit a které je u všech přístrojů série stejné…
• Dostane se Safari na index? Celosvětově nejrozšířenější systém plateb a mikroplateb PayPal prohlásil, že v důsledku rostoucích phishingových útoků zvažuje kroky směřující k omezení některých svých uživatelů. Ti podle PayPalu využívají již dávno nepodporované (a tudíž silně nebezpečné) prohlížeče jako Internet Explorer 3 a 4. PayPal ovšem varoval i před prohlížečem Safari, který má údajně nedostatečnou protiphishingovou ochranu a má potíže s SSL spojením. Zároveň ale PayPal zdůraznil, že zatím příslušné kroky pouze zvažuje a nehodlá je podnikat. A že kdyby něco podnikl, bude to v první řadě varování a až poté by se přistupovalo k omezování přístupu uživatelům s nebezpečným prohlížečem.
• Apple odvrátilo hrozbu nálepky „badware“. Bezpečnostním specialistům na celém světě se nelíbil způsob, jakým se společnost Apple snažila „tlačit“ svůj webový prohlížeč Safari. Ten totiž byl nabízen prostřednictvím programu Security Update uživatelům ostatních aplikací od Apple (např. iTunes či QuickTime). Jinými slovy: systém bezpečnostních aktualizací byl zneužívaný k agitaci pro tento prohlížeč. Situace zašla tak daleko, že organizace Stopbadware.org (stojí za ní akademická obec, např. zástupci univerzit Harvard či Oxford, stejně jako soukromý sektor, např. Google či Sun Microsystems) pohrozila, že pokud se přístup nezmění, bude program Software Update označený na „badware“ se všemi důsledky z toho plynoucími. Společnost Apple poté svoji politiku změnila.
• Klání o prezidentský úřad také na webu. Internet se stává čím dál důležitějším nástrojem v našich životech – a nejinak tomu je i v případě tak významné události, jako jsou prezidentské volby v USA. Nikoho tak asi nepřekvapí, že příznivci a odpůrci vedou boj korektními i těmi ostatními způsoby. Zatím neznámý útočník dokázal zneužít slabinu na webu demokratického kandidáta Baracka Obamy k tomu, aby jeho návštěvníky automaticky přesměrovával na stránky jeho v současnosti největší konkurentky Hillary Clintonové. Útok byl provedený tak, že někdo vložil skript do blogu na Obamových stránkách. Skript zneužil chybu cross-site-scripting a automaticky přesměrovával všechny následující návštěvníky stránek na výše zmíněný web. Z konkrétního problému k obecnému varování: cross-site-scripting útoky zažívají v poslední době obrovský nárůst.
• A zase ten spam… Tentokrát v aplikacích Microsoft Outlook Calendar a Google Calendar. Princip fungování je jednoduchý: dostanete e-mailem pozvánku ke schůzce či aktivitě, která je ovšem zároveň záznamem do kalendáře. Problém je v tom, že schůzka se automaticky zarezervuje ve Vašem kalendáři – a je tam až do chvíle, kdy ji přijmete nebo odmítnete. O obou akcích je přitom spammer vyrozuměn, takže de facto odpovídáte spammerovi. Ten se tak dozvídá, že dotyčná osoba využívá jeden z výše uvedených kalendářů a zasype ji hromadou dalších nevyžádaných sdělení ve formě pozvánek. To ale není jediný začarovaný kruh: ten druhý je, že u obou aplikací můžeme vypnout automatickou rezervaci časů při poslání požadavku. Jenomže pak hrozí riziko časových kolizí…