Zo sveta IT bezpečnosti, 1/2019

Zo sveta IT bezpečnosti, 1/2019

Takto na poslednú chvíľu som sa rozhodol dať dokopy januárové novinky zo sveta informačnej bezpečnosti, o ktorých si myslím, že sú hodné širšej pozornosti. Snáď takýto sumár nebude jednorázová záležitosť, pokúsim sa z toho spraviť pravidelný „seriál“.

Používatelia najnovších verzií inteligentných telefónov od spoločnosti Samsung zistili, že zo zariadenia si nedokážu odinštalovať aplikáciu Facebook.
Podľa komentárov na známej stránke Hacker News to možné je cez USB kábel s použitím nástrojov na vývoj aplikácií, ale ak si nie ste istý čo robíte, tak to radšej neskúšajte, dopadnete ako ja.

Po tom, čo portál Motherboard publikoval článok o tom, ako najväčší komunikační operátori v USA, menovite AT&T, T-Mobile a Sprint predávajú informácie o lokalizácii konkrétnych zákazníkov viac-menej hocikomu za pár korún, senátori dotlačili Federálnu Komisiu pre komunikácie (FCC) k tomu, aby v tejto veci spustila vyšetrovanie.

Facebook potajomky prezliekol ich neetickú aplikáciu Onavo VPN a začal platiť tínedžerom, aby ju používali. Aplikácia je určená na tunelovanie dát zákazníkov cez dátové centrá Facebooku, kde nad nimi spoločnosť špehuje a analyzuje správanie používateľov. Po zverejnení stiahol Apple danú aplikáciu zo svojho App Store a zablokoval firme Facebook korporátny účet. Prevádzkovateľ najväčšej sociálnej siete sa s nimi momentálne snaží vyjednať opätovný prístup.

Mobilná verzia prehliadača Edge od Microsoftu začala používateľom zobrazovať hodnotenie pravdivosti článkov na internete. Na detekciu „Fake news“ používa rating od spoločnosti NewsGuard. Napríklad platformu Wikileaks aplikácia označila za fake news, jej objektivitu teda už posúďte sami.

V Linuxovom správcovi balíčkov APT sa nepoužíva šifrované spojenie a momentálne sa tam nachádza nebezpečná zraniteľnosť, ktorú môže útočník zneužiť na inštaláciu vlastných balíčkov.

Ako sa ukázalo, za decembrovým únikom osobných údajov stoviek nemeckých politikov nie je žiadna elitná jednotka ruského direktorátu, ale dvadsaťročný chalan, ktorý sa k činu priznal.

Produkt FaceTime od spoločnosti Apple má kritickú zraniteľnosť, ktorá umožňuje počúvať mikrofón volaného človeka, bez toho, aby volanie prijal. Apple na to reagovalo dočasnou odstávkou servera pre konferenčné hovory, ktorý umožňuje chybu zneužiť.

Mexický drogový barón Joaquína „El Chapo“ Guzmán, ktorého momentálne súdia v New Yorku, zostal zrejme nemilo prekvapený, keď na neho obžaloba vytiahla informácie získané z aplikácie, ktorú nainštaloval na telefóny svojej manželky a mileniek, aby ich sám mohol sledovať. FBI získala dáta od spoločnosti, ktorá softvér predáva.
Hlavné dôkazy však obžaloba získala hlavne vďaka informatikovi, ktorý mal pre kartel prevádzkovať bezpečnú, šifrovanú komunikačnú sieť. Kľúče od nej odovzdal FBI roky dozadu.

Na marcovej konferencií CanSecWest v Kanadskom Vancouveri sa už tradične budú hackeri za peňažné ceny pokúšať prelomiť bezpečnosť produktov od Microsoftu, Oracle či VMware.
Čo je však zaujímavejšie, po prvý krát sa súťaž rozšírila aj o hackovanie automobilu, konkrétne pôjde o automobil Tesla Model 3.

Poľská národná jednotka pre riešenie kybernetických incidentov (CERT Polska) otvorila prístup k internej databáze malvéru pre externých záujemcov.

Európska Únia spustila program na vyplácanie peňazí za zraniteľnosti nájdené vo vybraných softvéroch s otvoreným zdrojovým kódom. Táto iniciatíva spadá pod niekoľkoročný projekt s názvom Free and Open Source Software Audit (FOSSA).
Ak by ste chceli niečo podobné spustiť pre svoj komerčný či nekomerčný projekt na Slovensku, dobrá voľba by mohla byť napríklad platforma Hacktrophy.

Nadia Heninger a Joachim Breitner publikovali výskum, kde analyzovali podobné, resp. blízke hodnoty niektorých parametrov (nonce) v podpisovom algoritme na báze eliptických kriviek ECDSA.
Analyzovali viacero známych implementácií, vrátane protokolu SSH či kryptomien ako Bitcoin, Ethereum a Ripple. Jedná sa o delikátny výskum, v ktorom boli použité tisícky hodín výpočtov. V závere sa úspešne dopracovali k stovkám privátnych kľúčov od Bitcoinových adries.

Vo veku 94 rokov zomrel posledný člen armádnej skupiny, ktorá počas druhej svetovej vojny pomáhala kódovať armádne správy do málo používaného indiánskeho jazyka Navajo. Jeho používaním predchádzali odpočúvaniu zo strany Japonska.

Ak ste v texte našli nezrovnalosti či chyby, kontaktuje ma, alebo zanechajte komentár, ďakujem.

3 Comments

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.