Nehezkých slov se v nedávných dnech dočkal Apple s "chybou 53". Ačkoliv autor bezpečnostní svodky nepatří k příznivcům značky mimo jiné právě pro její venkoncem laxní přístup k bezpečnosti, dnes se musí dam a pánů z Cupertina zastat. Jádro problému je následující: pokud jste si nechali u svého iPhonu vyměnit díl s tlačítkem Home jinde než v autorizovaném servisu, při následujícím upgradu operačního systému se váš telefon promění v těžítko na papíry, jsa schopen zobrazit jenom chybové hlášení, z něhož není cesty ven.

Problém spočívá v tom, že tlačítko Home na iPhonu obsahuje čtečku otisků prstů, a je tedy důležitým prvkem bezpečnostní architektury telefonu. Jako takové obsahuje identifikátor, který je součástí identity telefonu, již kontroluje TPM (Trusted Platform Module), a na něj se zase odkazuje operační systém, jehož cílem je ověřit si, že s kritickými částmi hardwaru nebylo nijak manipulováno.

Celý problém je často popisován jako záměr zlého Applu, který chce připravit o práci neautorizované servisy a donutit zákazníky, aby užívali toliko jeho předražených služeb. Já si nemyslím, že takový byl záměr Applu, jakkoliv jeho ochrana není implementována úplně dobře.

Z hlediska bezpečnosti lze jakýkoliv počítačový systém vnímat jako pyramidu, přičemž bezpečnost vyšších pater závisí na bezpečnosti těch nižších. Aplikační software je jenom tak bezpečný, jak bezpečný je operační systém pod ním. A ten je jenom tak bezpečný jako hardware, na kterém běží. Zlovolný zásah do hardwaru představuje zásadní bezpečnostní riziko.

Z tohoto důvodu některá zařízení (iPhone, ale i některé tablety a lepší notebooky a profesionální pracovní stanice) disponují speciálním čipem, který ověřuje integritu kritických hardwarových komponent. Tomu čipu se říká Trusted Platform Module - TPM. TPM si ověří, že s hardwarem nebylo manipulováno, a tuto informaci sdělí operačnímu systému. V případě, že s hardwarem manipulováno bylo, operační systém odmítne nastartovat. Po technické stránce celý problém dobře popisuje článek Charlese Arthura.

V případě operačního systému iOS tento vypíše chybu 53 a z napadeného počítače je těžítko. V případě Windows je možné zadat obnovovací klíč BitLockeru nebo Windows přeinstalovat, protože u běžných počítačů se předpokládá, že se v nich komponenty budou měnit bez asistence výrobce operačního systému. Apple toto logicky nepředpokládá.

Ačkoliv TPM není všemocný a existují na něj útoky, zcela zásadním způsobem zvyšuje bezpečnost celého systému, protože činí důvěryhodnějším hardware, to nejnižší a nejdůležitější patro pyramidy. Na druhou stranu ale omezuje svobodu vlastníka hardwaru, neboť ten s ním nemůže zcela libovolně manipulovat. Ovšem principiálně jediným způsobem, jak odlišit oprávněnou manipulaci od neoprávněné, je validace externí entitou, z toho není cesty ven.

Jediné pochybení Applu vidím v tom, že validaci provádí nedůsledně. Nikoliv při každém startu operačního systému (jako to dělají příkladně Windows), ale jenom při jeho upgradu. V důsledku toho si uživatel nemusí spojit náhlý problém se servisním zásahem, k němuž mohlo dojít již před drahnou dobou. Dále pak mohl Apple nechat rozhodnutí na uživateli - umožnit mu něco na způsob zadání recovery klíče ve Windows nebo alespoň ponechat možnost udělat hard reset, vymazat data a telefon (ovšem s potenciálně nebezpečným kusem hardwaru) umožnit používat dále.

Nicméně uzavřený a patronizující přístup Applu je samou esencí této značky. Jeho zařízení nabízejí komfort bez nutnosti činit nepříjemná rozhodnutí, ale jeho uživatelé za to platí svou svobodou. Požaduje se po nich, aby se cele svěřili do rukou Applu a ztotožnili se s jeho přístupem - it's our way or the highway - a celou svou platformu, hardware i software, žárlivě střeží. Tento přístup je dlouhodobě konzistentní a pro platformu definující. Bylo by tedy absurdní očekávat, že v takto důležité věci bude rozhodnutí ponecháno na uživateli.

Pro uživatele Apple zařízení máme alespoň jednu dobrou zprávu: s několikaletým zpožděním nyní mohou i čeští uživatelé Apple ID využívat dvoufaktorovou autentizaci.

#

Google začal blokovat stránky, které zobrazují podvodná "download" tlačítka. Mnoho stránek s databázemi software zobrazuje klamavé reklamy, jejichž cílem je přimět uživatele, aby si stáhl nějaký adware nebo jiný potenciálně nežádoucí program místo toho, pro který si původně přišel. Najít ve změti "download" odkazů ten jediný pravý je pro běžného uživatele náročné. Ostatně, dáte to vy na níže uvedeném screenshotu (který není zdaleka to nejhorší) na první dobrou?

podvodne tlacitko

Krok Googlu se neobejde bez jistých kontroverzí. Reklamu do stránek vkládají vesměs externí reklamní systémy (mnohdy včetně Googlu samotného) a provozovatel ji může jenom těžko ovlivnit. Na druhou stranu na většině serverů tohoto typu tvoří podobná reklama prakticky sto procent a je jediným důvodem jejich existence. Možná je to jedním z důvodů, proč se web SourceForge rozhodl ukončit svůj DevShare program, v rámci kterého k distribuovaným open source programům přibaluje různý další potenciálně nechtěný software.

 #

Pro uživatele Androidu máme jako obvykle špatnou zprávu: řada verzí systému od Googlu na některých telefonech s Broadcom chipsetem obsahuje kritickou bezpečnostní chybu ve wi-fi stacku. Útočník může získat kontrolu nad zařízením, stačí, aby se dostalo do dosahu jeho bezdrátové sítě. Updatujte, pokud můžete.

Microsoft vydal únorovou dávku záplat na všechny podporované verze Windows. Šest z nich je kritických a umožňují vzdálené vykonání kódu útočníka v browseru (IE i Edge), v Office programech i samotném OS. Nic nenaznačuje to, že by v době publikování opravy byly chyby v praxi zneužívány, ale je to otázka času. A to velice krátkého. Chyby v Officu jsou velice často a s úspěchem využívány při e-mailových útocích. Proto instalujte opravy neprodleně.

Microsoft také vydal záplatu na výchozí šablony v ASP.NET, které jsou špatně navržené tak, že umožňují pomocí CSRF útoku vypnout dvoufaktorovou autentizaci. Nejedná se o problém v platformě ASP.NET jako takové, jenom v ukázkovém kódu. Ten se sám o sobě příliš často nepoužívá, ale mnohdy z něj programátoři čerpají při vlastní tvorbě.

Ani Firefoxu se moc nedařilo. Vydal záplatu jak na aktuální verzi 44, tak na Extended Support Release 38, která se používá především ve firmách. Aktuální verze obsahuje kritickou zranitelnost umožňující síťové útoky a ESR jinou kritickou zranitelnost, umožňující vzdálené vykonání kódu v browseru (RCE).

Myslíte si, že stačí čárový kód na fotce rozmazat, aby nebyl rozpoznatelný? Oona Räisänen ukazuje, že to nemusí být pravda. Čárové kódy mají velice rigidní strukturu a s její znalostí lze i docela slušně rozmazaný obrázek přečíst, alespoň částečně. 

Netgear Management System NMS300, software pro správu síťových prvků Netgear, ve verzi 1.5.0.11 a starší obsahuje dvě bezpečnostní chyby, které umožňují útočníkovi na dálku vykonat kód (RCE) a získat soubory z file systému. Oprava zatím není dostupná.

Neznámá osoba ovládla část botnetu Dridex a nahradila malware, který bot stahuje, antivirem Avira. Motivy tohoto činu nejsou jasné, ale rozhodně je to vítaná změna. Ostatně, už loni v říjnu Bezpečnostní svodka informovala o "goodware" Wifatch, který se šíří jako malware, ale záplatuje děravé domácí routery. Nyní má jeho botnet okolo 70 000 routerů.

A možná získá další nové členy. Protože routery od Asusu založené na platformě AsusWRT (modely s "RT" v typovém označení) jsou chybně navržené způsobem, který může způsobit neúmyslné otevření jejich administrace do internetu. Už by měla existovat oprava, ale většina uživatelů si ji nejspíše nenainstaluje, protože své routery neupdatují vůbec a netuší, že by tak měli činit.

Oracle vydal další bezpečnostní varování týkající se Javy. Pro jednou nejde o zranitelnost v Javě jako takové, ale o její instalační proces, který může být zneužit k instalaci malwaru. Jiného malwaru, než je Ask Toolbar, který Oracle k instalaci Javy přidává oficiálně. Doporučení Svodky je stále stejné: Javu neinstalovat, pokud absolutně nemusíte.

Internetová aukční síň eBay obecně v oblasti počítačové bezpečnosti patří k těm lepším firmám. Ale ne vždy se zadaří. EBay obsahuje chybu, která umožňuje do stránek vložit aktivní javascriptový kód, pokud je vhodným způsobem zakódován. Ačkoliv byl provozovatel o problému informován již v polovině prosince, chybu se rozhodl neopravit. Nezbývá než doufat, že pod vlivem medializace třeba změní názor.

Americký Federální úřad pro vyšetřování (FBI) a ministerstvo vnitřní bezpečnosti (DHS) se staly terčem útoku, v rámci kterého bylo publikováno dvacet (FBI) a devět (DHS) tisíc sad údajů o jeho zaměstnancích. Nejde o údaje extrémně citlivé, pouze jména, pozice, telefonní čísla a e-mailové adresy. Podle útočníka se nicméně jedná jenom o zlomek dat, podařilo se mu prý stáhnout 200 GB dat, která zatím nebyla publikována.

Snahy o povinné vkládání backdoorů do kryptografického softwaru jsou stejně časté jako marné. Autoři kryptografického softwaru jsou podle nedávné studie rozprostřeni po mnoha jurisdikcích, velké množství programů je open source a řada autorů přijala taková preventivní opatření, že se mohou snadno přesunout do jiné jurisdikce, pokud by ta původní přijala nějaké kryptografické restrikce. Nenastává tedy situace podobná cloudovým poskytovatelům, kteří vesměs všichni sídlí v USA. I pokud by některé státy kryptografické restrikce přijaly, globální dostupnost bezpečného softwaru by to neovlivnilo. Pokud by došlo i na kriminalizaci prostého používání úředně nenabouraného softwaru, vedlo by to k situaci popisované letitým výrokem "pokud budete kriminalizovat šifrování, budou šifrovat jenom kriminálníci".