Prezident podepsal novelu zákona o kybernetické bezpečnosti. Na faktickou bezpečnost kyberprostoru bude mít pramalý vliv; přikazuje ovšem, že každý bezpečnostní incident bude nezbytné sofistikovaným způsobem zaúřadovat. Zvýšené administrativní nároky přináší například těm e-shopům (zákon jim říká "elektronická tržiště"), které přežily zavedení EET.

Další obětí jsou poskytovatelé služeb cloud computingu. Žádní skuteční poskytovatelé cloudových služeb u nás nejsou (ne, pár racků, které umřou, když nad nimi praskne vodovodní trubka a zjistí se, že záložní kopii nikdo nenakonfiguroval, není cloud). Zákonu to ovšem nevadí a cloud computing definuje tak, že "umožňuje přístup k rozšířitelnému a přizpůsobitelnému úložišti nebo výpočetním zdrojům, které je možné sdílet". Takže do něj spadne jakýkoliv poskytovatel web hostingu nebo třeba i prosté služby na předávání dat typu Úschovna.cz nebo Letecká pošta.

Zákon dále ukládá poskytovatelům digitálních služeb mimo EU, kteří své služby poskytují i v České republice, aby si zde ustanovili odpovědného zástupce. Záplavu přihlášek odpovědných zástupců e-shopů zejména z Číny a USA Bezpečnostní svodka rozechvěle očekává se zatajeným dechem.

Dále byl podle hesla "když nevíš co by, vytvoř ouřad" zřízen Národní úřad pro kybernetickou a informační bezpečnost. Přijetím zákona a zřízením úřadu lze tedy problém kybernetické bezpečnosti pokládat za vyřešený, podobně jako zřízení Centra proti terorismu a hybridním hrozbám vyřešilo problém šíření dezinformací a přivedlo k rozumu zastánce konspiračních teorií.

Nebezpečné bezpečnostní kamery

Bezpečnostní IP kamery Foscam (prodávané i pod desítkami jiných značek) obsahují podle společnosti F-Secure sbírku závažných bezpečnostních chyb. Najdete tam vše, co jenom srdce ráčí - cross-site scripting útoky, získání kompletní kontroly nad kamerou včetně možnosti jejího zneužití pro útoky proti dalším zařízení, DoS, napevno zadaná a uživatelem nezměnitelná jména a hesla… Výrobce na hlášené chyby nijak nereagoval a oprava není dostupná. Foscam obecně patří k firmám, které aktualizace firmwaru vydávají nerady a proces update uživatelům nijak neusnadňují.

I drobná chyba v komplikovaném procesu aktualizace firmwaru může vést ke zničení kamery, což může autor Bezpečnostní svodky osvědčit vlastní zkušeností. To samozřejmě vede k tomu, že se uživatelé zdráhají aktualizaci provést, pokud se vůbec o její existenci dozvědí. F-Secure doporučuje IP kamery a podobná potenciálně nebezpečná zařízení provozovat ve vlastní oddělené síti, která není dostupná z internetu a ze které není dostupná vnitřní, důvěryhodná síť. K tomuto doporučení se připojuje i Bezpečnostní svodka, ovšem s hořkým vědomím, že nastavit něco takového je nad schopnosti většiny uživatelů a neumožňuje to ani naprostá většina běžně prodávaných domácích a firemních routerů.

Krátce ze světa bezpečnosti

Policie ČR odvážně vkročila do prostoru sociálních sítí spuštěním oficiálních profilů na Twitteru, Facebooku a YouTube. Tedy spuštěním… Oficiální účet na Twitteru má poslední zprávu z loňského prosince. Na Facebooku zase policie zvolila náročný gambit, kdy jedním z prvních zveřejněných materiálů je neumělá koláž s nejzprofanovanějším heslem maloměstských reklamek: "Více než povolání!".

Nový účet si zřídila i National Security Agency - na GitHubu, repozitáři open source aplikací. Sice tam nenajdete hackovací nástroje, které NSA ukradli ShadowBrokers, ale pár projektů rozhodně stojí za pozornost. Jsou vesměs obranného charakteru a snaží se například detekovat podezřelé změny konfigurace systémů. Svým způsobem ironický je projekt goSecure, který má umožnit snadné vytvoření bezpečné virtuální privátní sítě – která vás ochrání mimo jiné i před řadou útoků, jež NSA sama běžně používá.

APT malware Turla používá podle zjištění společnosti Eset pro komunikaci instagramový účet Britney Spears. Speciálně formátované komentáře říkají malwaru, na které adrese najde další instrukce. Data nejsou šifrovaná, jsou jenom schovaná. Tomuto postupu se říká steganografie a je starý tisíce let. V digitálním světě nicméně nabývá nové schopnosti tím spíše, že objem přenášených dat rychle roste, a je tedy dostatek prostoru k ukrývání i dlouhých zpráv. Komunikačním kanálem pro ovládání malwaru, ale třeba i dorozumívání zločineckých skupin se může stát naprosto cokoliv – jakýkoliv web, který podporuje komentáře nebo nahrávání obrázků či jakýchkoliv jiných dat.

Byla vydána nová verze OpenVPN, která opravuje několik nepříjemných bezpečnostních chyb, a to na serveru i na klientovi. OpenVPN je populární open source softwarový balík, který se používá pro tvorbu VPN - virtuálních privátních sítí. Nejnovější verzi si vždy můžete stáhnout z webu OpenVPN.

The Girl Scouts of the USA, dívčí skautská organizace ve Spojených státech, připravuje ve spolupráci s Palo Alto Networks odznaky odborností v oboru kybernetické bezpečnosti. To dává smysl, protože bezpečné používání počítačů a internetu je nutné se učit systematicky a odmala, třeba jako pravidla silničního provozu a rozhlížení před přechodem. Možná mladé skautky naučí, že není dobrý nápad nechávat citlivá data nechráněná na veřejném úložišti, a nedojde k dalším podobným aférám jako nedávnému úniku údajů o 200 milionech amerických voličů z ústředí Republikánské strany.

Na Wired najdete fascinující článek o kybernetické válce, kterou vede Rusko s Ukrajinou. Ukrajina slouží jako testovací země pro ruské kybernetické útoky, které mimo jiné způsobily opakované výpadky elektrického proudu. Bohužel české rozvodné sítě na tom nejsou o nic lépe než ty ukrajinské a elektřina nám zatím funguje jenom proto, že se ji nikomu nehodí vypnout. Při koupi elektrocentrály mějte na paměti, že nejlevnější modely bez AVR (automatické regulace napětí) nejsou vhodné k napájení citlivé elektroniky, jako například počítačů.

Na konci loňského roku unikly ze společnosti Larson Studios, kontraktora Netflixu, dosud nevydané díly populárního seriálu Orange Is the New Black a útočníci vyhrožovali, že je zveřejní, což také nakonec udělali – přestože společnost zaplatila výkupné v bitcoinech. V článku pro Variety nyní lidé ze společnosti popisují, jak k útoku došlo - na vině byl zapomenutý neaktualizovaný počítač s Windows 7. Larson Studios popisují opatření, která pro posílení kybernetické bezpečnosti přijali. Jde o typické zavírání vrat stáje poté, co koně utekli, ale snad bude tento příběh inspirací pro ostatní firmy, jejichž hřebci jsou dosud bezpečně v boxech.

Trochu větší štěstí měla jihokorejská hostingová firma NAYANA. Útočníci pomocí ransomwaru zašifrovali zákaznická data na více než 150 linuxových serverech, vesměs se zastaralým softwarem se známými bezpečnostními dírami. Po zaplacení výkupného ve výši milion dolarů nicméně umožnili data dešifrovat zpět.

Některé weby sledují, co napíšete do webového formuláře ještě předtím, než ho odešlete. Známé je to o Facebooku, ale služba NaviStone si z toho udělala byznys a nabízí to jako službu dalším firmám, zejména elektronickým obchodům. Pokud vyplníte formulář - nebo to za vás udělá automatické doplňování vašeho prohlížeče - a pak si to rozmyslíte a neodešlete ho, provozovatel webu může zadané informace přesto získat pomocí klientského skriptu a použít je například pro marketingové účely.

Nestává se to často, ale dokonce i Evropská unie může příjemně překvapit. Komise Evropského parlamentu pro občanské svobody, spravedlnost a vnitřní věci vydala pracovní verzi návrhu, který doporučuje end-to-end šifrovat veškerou komunikaci, kde je to možné, a zejména důrazně nedoporučuje vkládání umělých zranitelností - backdoorů - do programů a komunikačních protokolů. Snahy oslabovat dostupnou kryptografii a usnadňovat tak státním orgánům odposlechy a cenzuru jsou běžné v řadě států a opačná snaha si zaslouží pozornost. Nicméně k jakémukoliv prakticky uplatnitelnému výsledku je ještě dlouhá cesta a není vyloučeno, že tato iniciativa tiše zahyne, než dosáhne cíle. 

Microsoft přestal před nedávnem podporovat svůj nástroj EMET (Enhanced Mitigation Experience Toolkit), software který umožňuje zvýšit bezpečnosti operačního systému pomocí dodatečných ochranných mechanismů. Nyní se ukazuje proč – funkcionalita nejspíš bude součástí další velké aktualizace Windows 10. Správně zkonfigurovaný EMET dokáže zabránit řadě útoků, nebo je minimálně řádně zkomplikovat. Jeho vestavba přímo do operačního systému je tak logickým a správným krokem.

Adobe vydal záplatu na dvě kritické RCE bezpečnostní chyby ve Flash Playeru. Pokud Flash ještě používáte, aktualizujte - ale ostatně soudím, že Flash delenda est - Flash musí být zničen.