Postřehy z bezpečnosti: ze světa tajných služeb

23. 11. 2020
Doba čtení: 4 minuty

Sdílet

Centrála NSA
Centrála NSA
Dnes podíváme na historky ze světa tajných služeb, na doplněk Chrome provádějící takovou nepěknou, ošklivou věc, na vyhazov šéfa bezpečnosti voleb v USA, na zranitelnosti prohlížeče Chrome a CMS Drupal a na další zajímavosti.

Minulý týden byl neobvykle pestrý na zprávy týkající se tajných služeb. Nejprve se objevila zpráva, že dánská vojenská rozvědka pomáhala NSA odposlouchávat své vlastní (dánské) ministerstvo financí a zahraničních věcí za účelem zvýšení zisku vojenských dodavatelů. Severské státy ještě společně s Německem využívali dedikované datacentrum určené pro XKEYSCORE od NSA.

O něco blíže, konkrétně ve Varšavě, došlo k obvinění jednoho bývalého agenta tamějších tajných služeb a jednoho čínského občana pracujícího pro telekomunikační společnost ze špionáže ve prospěch Čínské lidové republiky. Stojí za zmínku, že zmíněný čínský občan byl v roce 2019 vyhozen ze společnosti Huawei pár dní po té, co ho zadržely polské bezpečnostní složky.

Převážně (ne)škodný doplněk

V blogpostu Hledání škodlivého kódu mezi doplňky kolega popisuje, jakým způsobem lze vyšetřit podezřelou činnost prohlížeče. Objevíte nenápadný GET požadavek na neznámou doménu, která se tváří jako neaktivní. Na stránce však žádný kód, který by požadavek vyvolal, není. Co za tím může být? Masově rozšířený doplněk ke stahování videí z Facebooku obsahuje skrytou funkci, skrz kterou přes hlavičky HTTP požadavku nevinného obrázku natáhne do prohlížeče libovolný kód, který spustí.

NÚKIB vydal upozornění k používání videokonferenčních služeb

Z pochopitelných důvodů se v poslední době množí dotazy ohledně bezpečnosti používaných videokonferenčních služeb, a to i v souvislosti s informacemi, které Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v minulosti publikoval. NÚKIB však z důvodu technologické neutrality a zároveň z důvodu velmi dynamického technologického vývoje nemůže dávat doporučení na konkrétní služby či aplikace.

Nicméně už v návaznosti na dění na jaře letošního roku vydal několik dokumentů pro správné zabezpečení videokonferenčních platforem. Pokud služba či aplikace, kterou používáte pro své videokonferenční hovory, umožňuje jejich doporučená nastavení, lze ji hodnotit jako důvěryhodnou.

Trump propustil šéfa bezpečnosti Christophera Krebse

Prezident Trump odvolal svého nejvyššího bezpečnostního úředníka Christophera Krebse, který měl na starosti volby v USA. Odvolání přišlo prostřednictvím Twitteru dva týdny po dni, kdy Trump volby na prezidenta USA, o nichž tvrdí, že se jednalo o podvod, prohrál. 

Krebsova agentura odmítla tvrzení o podvodu jako „neopodstatněné“ a tvrdila, že „volby 3. listopadu byly nejbezpečnější v celé americké historii.“ Krebsovo vyloučení bylo tedy stěží neočekávané.

Google záplatoval dvě aktivně používané zranitelnosti

Google vyzval uživatele prohlížeče Chrome k jeho aktualizaci, poté co došlo k objevení dvou zero-day zranitelností. Obě umožňují neověřenému vzdálenému útočníkovi napadnout systém prostřednictvím webu. A obě jsou velmi aktivně využívané.

Konkrétně se jedná o zranitelnosti CVE-2020–16013 a CVE-2020–16017. Na škále závažnosti dosahují skóre 8.4 z 10. Reportovány byly v průběhu minulého týdne neznámým zdrojem.

Firefox nabízí HTTPS-Only režim

Firefox 83 poskytuje možnost zapnout HTTPS-Only režim. Jedná se o funkci, kdy se prohlížeč pokusí ke každému web serveru (ať už zadaného do URL okna, nebo odkazovaného linkem) připojit pomocí HTTPS a pokud se mu to nepodaří, bude o tom uživatel nejenom informován, ale také bude muset potvrdit, že se chce k serveru opravdu připojit pouze pomocí HTTP. Funkcionalita, která byla opatrnými uživateli dosud realizována rozšířeními, jako je například HTTPS Everywhere, je tak od nynějška dostupná přímo v prohlížeči.

Kritická zranitelnost systému Drupal

V populárním systému na správu obsahu Drupal byla objevena kritická zranitelnost (CVE-2020–13671) umožňující vzdálené spuštění kódu. Drupal nedostatečně ošetřuje názvy nahraných souborů, což umožňuje potenciálnímu útočníkovi nahrání souboru se speciálně upravenou příponou a jeho následné spuštění (například v případě PHP souborů).

Pro všechny verze Drupalu je již dostupná opravená verze (7.74, 8.8.11, 8.9.9 a 9.0.8). Je také doporučeno zkontrolovat soubory na serveru s potenciálně škodlivou příponou jako „filename.php.txt” či „filename.html.gif” a věnovat zvýšenou pozornost také možným souborům s příponami .phar, .php, .pl, .py, .cgi, .html, .htm, .phtml, .js nebo .asp.

Chrome vylepšil režim bezpečného prohlížení

Ve virtuálním světě číhají hrozby prakticky na každém rohu a kvalitní zabezpečení prohlížeče je pro brouzdání Internetem zásadní. Běžný uživatel se snadno ztratí v nabídce antivirů a nástrojů proti nejrůznějšímu malwaru, natož aby tušil, že řadu možností nabízí i samotný prohlížeč, v tomto případě Chrome.

Zvlášť, když některé jsou defaultně vypnuté a s jejich nastavením je třeba si pohrát. Pojďme se konkrétně podívat na letošní novinku Enhanced Safe Browsing neboli vylepšený režim bezpečného prohlížení.

ict ve školství 24

Zabezpečení z Xboxu na počítačích

Technologie Pluton, kterou Microsoft spolu se společností AMD vyvinul za účelem ochrany herních konzolí Xbox, začne být využívána i v rámci počítačů s Windows. Poskytnout by jim měla další stupeň ochrany. Pluton dle Microsoftu významně snižuje riziko napadení Trusted Platform Module, skrz který jsou chráněny kritické funkce PC jako jsou například bezpečný boot či aktualizace.

Ve zkratce:

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.