Ohlédnutí za únorem 2015

Únor byl na události v oblasti informační bezpečnosti poměrně bohatý

Únor byl z hlediska dramatických událostí v oblasti informační bezpečnosti bohužel relativně bohatý, krátkou zmínku věnujeme alespoň třem z nejzajímavějších.

Zřejmě největší pozornost si vysloužila zpráva týkající se klíčů pro šifrování mobilní komunikace údajně odcizených ve značných počtech ze sítě holandské společnosti Gemalto, která je mimo jiné předním dodavatelem SIM karet, americkou agenturou NSA ve spojení s britskou GCHQ. S uvedenými klíči by bylo možné mimo jiné dešifrovat probíhající komunikaci, ale také například vzdálenou injektáž škodlivého kódu do koncových zařízení. Jako první o tom informoval portál The Intercept s odkazem na dokument z roku 2010, pocházející z dat získaných Edwardem Snowdenem z NSA. Po zveřejnění zprávy došlo ke značnému propadu hodnoty akcií firmy Gemalto. Ta reagovala o pár dní později v tiskovou zprávou, připouštějící pravděpodobnost, že k operaci NSA a GCHQ jejímž výsledkem bylo proniknutí do interní sítě firmy došlo, nicméně důrazně odmítající možnost, že by v rámci něj mohlo dojít k odcizení většího počtu šifrovacích klíčů. Gemalto uvedlo, případná krádež klíčů by navíc ohrozila pouze mobilní sítě druhé generace , neboť sítě 3G a 4G nejsou tímto útokem postižitelné.

Další únorovou novinkou s velkým dopadem bylo zjištění, že adware Superfish (sloužící k vkládání reklam do prohlížených webových stránek na základě analýzy prohlížených obrázků), který firma Lenovo instalovala na své laptopy, instaloval vlastní kořenový certifikát. Pomocí něj byl následně schopen vystavovat certifikáty pro stránky, na něž se uživatel připojoval šifrovaně, nahrazoval při tom legitimní certifikáty, čímž kompromitoval bezpečnost komunikace mezi uživatelem a stránkou. Superfish mohl díky tomu analyzovat a upravovat i obsah SSL spojení. Vzhledem k tomu, že instalovaný certifikát byl navíc zřejmě vždy stejný a sám byl slabě zapezpečen, představuje jeho přítomnost v systému slabinu, umožňující snadné zneužití útočníkem. Na společnost Lenovo bylo v souvislosti s kauzou okolo uvedeného software podáno několik žalob a došlo také k defacementu stránek společnosti.

Za pozornost stojí také, že po kritice ze strany Microsoftu a některých dalších změnila v průběhu února společnost Google podmínky Project Zero, projektu, v rámci nějž dával Google po nalezení zranitelnosti v aplikaci jejím tvůrcům 90 denní lhůtu na tvorbu záplaty a po jejím vypršení uvedenou zranitelnost publikoval bez ohledu na existenci záplaty či její plánované pozdější vydání. To se stalo i v případě zranitelnosti objevené v operačním systému Windows 8.1 – 90 denní lhůta uplynula 2 dny před plánovaným vydáním záplaty v rámci pravidelného updatovacího cyklu Microsoftu (tzv. Patch Tuesday). Google nyní dává tvůrcům aplikací k uvedeným 90 dnům navíc až 2 týdny „odkladu“, pokud aktivně pracují na odstranění zranitelnosti.