O bezpečnosti medicínských zařízení, lépe řečeno často absenci smysluplného zabezpečení těchto, Bezpečnostní svodka již v minulosti opakovaně informovala. Nyní americká FDA (Food and Drug Administration) poprvé v historii vydala příkaz ke stažení kardiostimulátoru z důvodu kybernetické zranitelnosti. 460 000 uživatelů kardiostimulátorů vyrobených společností St. Jude Medical (součást Abbott Laboratories) se bude muset dostavit ke svému lékaři za účelem aktualizace firmwaru. Společnost vydala prohlášení, které stylově začíná nadpisem "Your Safety Is Our Top Priority".

Současná verze firmwaru totiž obsahuje tři bezpečnostní chyby. První z nich umožňuje obejít autentizaci a zadávat implantátu neuatorizované příkazy, což může pacientovi způsobit závažné zdravotní komplikace nebo i smrt. Druhá zranitelnost umožňuje útočníkovi způsobit rychlé vybití baterie a třetí spočívá v nešifrovaném ukládání nebo přenosu údajů o pacientech.

Jenomže nahrát nový firmware do kardiostimulátoru není tak jednoduché jako flashnout ho do domácího routeru (a i toho se řada lidí bojí). Ačkoliv je pravděpodobnost problémů poměrně malá, následky případného nezdařeného updatu jsou mnohem horší než výpadek připojení k internetu a náprava podstatně složitější než si zajít koupit nový router do nejbližšího obchodu s elektronikou.

Pro jistotu hned osm zranitelností bylo nalezeno v injekční pumpě Medfusion 4000 amerického výrobce Smiths Medical. Ta umožňuje přesné automatické dávkování léčiv a používá se zejména na operačních sálech a jednotkách intenzivní péče. Obsahuje řadu typických, primitivních chyb (typu buffer overflow, napevno zadané přihlašovací údaje, chybné ověření certifikátů, nedostatečná autentizace...) a útočník nad ní může získat plnou kontrolu na dálku po síti. Výrobce přislíbil opravu, ovšem až v lednu příštího roku.

Dobrá rada praví "pokud tě to může zabít, nepřipojuj to k síti". Jenomže připojení k počítačové síti dává tolik možností navíc, že jde o radu poněkud hraběcí. Nezbývá tedy než zařízení alespoň důkladně zabezpečit. Což není problém až tak technický, jako spíše lidský a organizační. Výrobci tradičních zařízení – lhostejno zda jde o injekční pumpy, diagnostická zařízení, kardiostimulátory, trezory nebo auta - stále ještě vesměs postupují tak, že vezmou osvědčená zařízení, plácnou k němu "nějaký počítač" a hotovo, marketingově je vystaráno.

Problém je, že ve světě IoT tak znovu prožíváme deziluzi, kterou jsme si u běžných počítačů prošli již před desítkami let. Znovu se vynořují staré, dávno již vyřešené problémy, protože implementátor nevěděl, čehož činí a z této nevědomosti znovu objevoval kolo. A objevil kolo, které drncá.

Krátce ze světa bezpečnosti

Společnost Armis publikovala informace o novém způsobu útoku na Bluetooth zařízení jménem BlueBorne. Relevantní zranitelnosti postihují prakticky všechna zařízení s Bluetooth rozhraním. Mobily s iOS a Androidem, počítače s Windows či Linuxem nebo IoT zařízení. Některé klíčové společnosti (Apple, Google, Microsoft…) již vydaly opravy, které tyto zranitelnosti řeší. Ale třeba Samsung, jehož zařízení patří mezi ohrožené, byl od dubna kontaktován třikrát a ani jednou nereagoval.

Pro Android 6.0 a novější byla vydána oprava. Uživatelé starších verzí (tj. 52 procent) mají smůlu, stejně jako uživatelé novějších verzí telefonů, pro které výrobce opravu neuzná za nutné publikovat. Aktuální verze iOS je proti útoku již chráněna, stejně jako aktualizované Windows.

Na tomto typu útoku je zákeřné zejména to, že může fungovat plně automaticky, bez jakékoliv interakce uživatele, a že nevyžaduje připojení k internetu, stačí fyzická blízkost. K tomu, aby bylo zařízení napadnutelné, stačí zapnutý Bluetooth; nemusí být v discoverable režimu nebo spárovaný. Tento způsob útoku má velký potenciál a dává možnost napsat červa, který se ovšem nebude šířit pomocí datových služeb a internetu, ale čistě fyzickou blízkostí jako staré dobré lidské nemoci.

Windows byste měli aktualizovat bezodkladně. Nejen kvůli této zranitelnosti, ale také kvůli několika dalším bezpečnostním záplatám, které opravují Windows, IE, Edge, .NET Framework a další.

O bezpečnostních problémech výrobků značky D-Link Bezpečnostní svodka informuje pravidelně a bohužel též dosti často, protože ač domácí routery této značky patří k nejprodávanějším, jsou rovněž jedny z nejděravějších. Začátkem letošního roku byl D-Link za svůj laxní přístup k bezpečnosti dokonce zažalován americkou FTC.

Zjevně si z toho nevzal ponaučení, neboť bylo zveřejněno rovnou deset bezpečnostních zranitelností aktuálního modelu DIR-850L. Nedostatečné zabezpečení firmware, backdoor přístup, pevné statické šifrovací klíče, hesla uložená v plain textu, nezabezpečený komunikační protokol, XSS… Pierre Kim, který problémy objevil, je zveřejnil jako 0-day chyby. Nikoliv ze zlé vůle, ale protože když se o "responsible disclosure" (spolupráci s výrobcem) pokusil minule, byl D-Linkem ignorován a chyby opraveny nebyly.

Soudní dvůr Evropské unie (CJEU, Court of Justice of the European Union) koncem loňského roku vydal rozsudek jímž stanovil hranice data retention, tedy povinnosti telekomunikačních operátorů preventivně uchovávat data o činnosti všech svých zákazníků pro případ, že si je stát později vyžádá. Organizace Privacy International zkontrolovala, jak se s rozsudkem pro ně závazným vypořádaly země EU. Z jedenadvaceti zkontrolovaných zemí podmínky CJEU nesplnila žádná. Rozumí se samo sebou, že po čtyřletém působení vlády, která zavedla největší šmírování a omezení svobody občanů za posledních dvacet let je na černé listině i Česká republika.

Říká se, že ve volbách není důležité, jak se hlasuje, ale kdo počítá hlasy. Německý Chaos Computer Club analyzoval program PC-Wahl 10, který se v Německu používá pro zpracování výsledků voleb. Našel v něm alarmující množství chyb a jiných zranitelností, včetně nezabezpečeného mechanismu aktualizací.

Z americké společnosti Equifax unikly osobní údaje 140 milionů osob, což je o něco méně než polovina populace USA. Equifax sleduje platební morálku občanů a z tohoto důvodu má k dispozici značné množství citlivých údajů, z nichž řada je snadno zneužitelná ke krádežím identity. Společnost navíc únik šest týdnů tajila a když jej konečně publikovala, neučinila tak úplně šťastným způsobem.

Spustila web, na kterém si zákazníci po zadání svého SSN (číslo sociálního pojištění) mohou ověřit, zda se stali obětí úniku. Jenomže ten web sám není zrovna dobře naprogramovaný a sám obsahuje chyby. Přitom v kontextu USA je SSN dosti citlivý údaj, prakticky zneužitelný mnohem snáze než třeba české rodné číslo, které by bylo možno pokládat za jakýsi jeho místní ekvivalent.

Čínský výrobce dronů DJI vyhlásil bug bounty a nabízí odměnu až 30 000 dolarů za nalezení bezpečnostních chyb ve svých produktech. DJI je pravděpodobně největší výrobce dronů na světě a má okolo 70 procent trhu. Minulý měsíc ovšem americká armáda zakázala jejich používání ve vojenských operacích, právě z důvodů obav o bezpečnost. DJI se zatím v oblasti bezpečnosti proslavila především tím, že do svých dronů zavedla geofencing, zákaz jejich používání v oblastech, které společnost určí, a různá další omezení. Uživatelé se ovšem omezení rychle naučili obcházet. Ačkoliv jsou obavy ze zneužití dronů k nejrůznějším typům útoků na místě, tímto způsobem je vyřešit dost dobře nejde. I amatér dokáže z volně dostupných dílů a softwaru vytvořit velice schopný dron a DJI s tím nic nenadělá. 

Rozbitý displej patří k nejčastějším opravám u mobilních telefonů a tabletů. Dejte si ovšem pozor, kde si necháte displej vyměnit. Výzkumníci z Ben Gurionovy univerzity v Negevu předvedli, jak lze upravit náhradní displej (resp. jeho řadič) tak, aby došlo k narušení bezpečnosti telefonu. Tímto způsobem lze například odposlouchávat hesla, ale také telefon kompletně ovládnout.

LabView obsahuje zranitelnost, která umožňuje vykonání kódu útočníka (RCE), pokud uživatel načte nakažené virtuální zařízení. LabView je specializovaný software, který umí sbírat data z různých zařízení a na základě naprogramovaných algoritmů jiná zařízení řídit. Používá se ve výzkumu a vývoji, ale i pro řízení a automatizaci různých technologických procesů. To činí jakékoliv bezpečnostní problémy dost závažnými, protože mohou mít nedozírné následky. Firma problém odmítla řešit s tím, že uživatelé vědí, resp. mají vědět, že virtuální zařízení jsou spustitelné soubory a má se s nimi zacházet opatrně.

Hrajete si s Raspberry Pi? Na webu Make: najdete návod, jak ho zabezpečit proti kybernetickým útokům.

V letech 2014-2015 Lenovo dodávalo počítače s předinstalovaným softwarem, který dělal MitM útoky na HTTPS a vkládal do cizích stránek reklamy. Pro celou aféru se vžil název SuperFish. Věc vyšetřovala americká FTC a nyní došlo mezi ní a Lenovem k dohodě. Lenovo bude muset zaplatit pokutu ve výši 3,5 milionu dolarů, bude muset mít výslovný souhlas uživatele k instalaci jakéhokoliv podobného softwaru a přibalené programy budou muset následujících dvacet let procházet bezpečnostními audity. Naše doporučení nicméně zůstává stále stejné: jako první věc po koupi nového notebooku ihned přeinstalujte Windows na čistý systém.

Vzhledem k oznámenému konci Flashe Bezpečnostní svodka nepovažuje za nutné vrátit se k heslu Flash delenda est, leč přesto pokládá za vhodné upozornit, že byly objeveny další dvě kritické RCE chyby ve Flash Playeru