Bezpečnostní perličky – červen 2008

  • Article

připravil Tomáš Přibyl, konzultant v oblasti ICT bezpečnosti

  • Bezpečné internetové bankovnictví i z infikovaného počítače? Alespoň to slibuje finanční skupina ING, jejíž americká dceřinná společnost ING Direct (údajně největší on-line banka v USA) nabídne svým klientům vyšší míru jistoty. Nezbytnou podmínkou k dosažení této úrovně bezpečnosti je instalace speciální aplikace (ta je dílem izraelské společnosti Trusteer), která monitoruje využívaná API rozhraní a zjišťuje, zdali se některá funkce nekorektním způsobem nezajímá o přenášená data. Pokud ano, pak ji zablokuje – a data tak mohou nerušeně proudit směrem k bance, aniž by byla detekována keyloggery, trojskými koni a podobnými ošklivostmi. Případ je moc pěkným důkazem toho, že bezpečnost se týká skutečně každého, že ji nestačí odbýt tolik obvyklým „nedodržel podmínky smlouvy a připojoval se z nezabezpečeného počítače“ a že nástroje pro zvýšení bezpečnosti není zase tak komplikované vytvořit.
  • Debian: velmi slabá kryptografie. Sestavy OpenSSL Debianu od verze 0.9.8c-1 až do 0.9.8g-9 jsou zasaženy vysoce kritickou zranitelností, jejímž důsledkem je použití velmi slabých kryptografických nástrojů s následnou možností kompromitace systému. Problémem je od září 2006 špatná funkce generátoru náhodných čísel v debianovském balíčku OpenSSL (používaný mj. i v populárních instalacích Ubuntu a xUbuntu), který negeneruje čísla úplně náhodně – díky špatně nastavenému parametru je tato „náhodnost“ redukována na pouhých 32768 možností. Což není množství kombinací, které by dnešní počítače nebyly schopné vyzkoušet v řádu minut či maximálně hodin. To znamená, že třeba šifrovací služby mající svoji bezpečnost založenou právě na náhodných číslech (např. SSH klíče, OpenVPN klíče, DNSSEC klíče, klíče použité v SSL/TLS či klíč pro certifikáty x.509), jsou zranitelné. Aktualizační balíček sice již byl vydaný, ale největším problémem je, že nyní po odhalené chyby je zpětně všechny úkony využívající inkriminovaný OpenSSL balíček za nebezpečné... Je tak nutné generovat nové certifikáty, šifrovací klíče apod. Není ale nutné mít zpětně obavu o bezpečnost minulých šifrovaných spojení: chyba, o které nikdo neví, jako by neexistovala...
  • Infikovaný Firefox. Vietnamský jazykový balíček prohlížeče Firefox 2 (vydaný v únoru letošního roku) byl infikovaný škodlivým kódem. Pokud si jej někdo stáhl (v našich zeměpisných šířkách nicméně problém nebude příliš velký) a instaloval, zároveň si infikoval pracovní stanici kódem detekovaným jako W32/Xorer.T. Případ opět připomenul, že neexistují bezpečné zdroje (jazykový balíček byl umístěný na oficiálních stránkách) a že v oblasti ICT bezpečnosti je zapotřebí být stále alespoň trochu (raději trochu více) paranoidní.
  • Černé mraky nad Safari... Microsoft varoval, že prohlížeč Apple Safari obsahuje kritickou a neopravenou zranitelnost. Jejím důsledkem přitom může být kompletní převzetí kontroly nad zasaženým počítačem. Problém je způsobený kombinací základního nastavení Safari a toho, jakým způsobem operační systémy nakládají se spustitelnými soubory umístěnými na „Pracovní plochu“ (Desktop). Díky této kombinaci je spustitelné soubory možné nahrát do počítače a aktivovat, aniž by se o to uživatel jakkoliv zasadil nebo byl varován. Apple o chybě ví, přislíbilo její opravení, nicméně ji nepovažuje za kritickou. Microsoft je jiného názoru a nedostatek považuje za velmi nebezpečný. Pokud někdo chce dále používat Safari, doporučuje proto změnit základní nastavení ukládání souborů. Je to ve volbě Edit – Preferences, kde přenastavte volbu „Save Downloaded Files to“ na jakékoliv jiné místo lokálního disku než na pracovní plochu.
  • JPEG mohou být nebezpečné – v mobilních zařízeních... Alespoň to tvrdí web TippingPoint, který upozorňuje na skutečnost, že porušené JPEG soubory zaslané prostřednictvím služby MMS mohou způsobit problémy s pamětí vedoucí k přetečení zásobníku a následnému spuštění škodlivého kódu. Chyba se týká firmware nahrávaného do mobilních telefonů Motorola Razr. Útěchou budiž skutečnost, že kód se nespouští automaticky, nýbrž že uživatel musí potvrdit přijetí obrázku v MMS zprávě. Tyto jsou ale považované za bezpečné... Jen pro úplnost dodáváme, že nejde o první bezpečnostní problém na poli „mobily a obrázky“: podobná zranitelnost již dříve potkala iPhone s formátem TIFF.