Gemalto, největší světový výrobce SIM karet, potvrdil, že se "pravděpodobně stal terčem útoků ze strany americké NSA a britské špionážní organizace GCHQ". Firma zahájila audit bezpečnosti svých systémů poté, co server The Intercept zveřejnil další informace Edwarda Snowdena, podle kterých NSA získala velký počet šifrovacích klíčů k SIM kartám. Díky nim je možné odposlouchávat komunikaci mezi mobilními telefony bez vědomí a spolupráce telekomunikačního operátora nebo vlastníka zařízení.

Potenciálně nebezpečné SIM karty vyrobené společností Gemalto jsou i v České republice. Vodafone odmítl potvrdit, zda je Gemalto dodavatelem SIM karet. Společnost O2 na dotazy redakce HN nereagovala. Informaci však potvrdil T-Mobile. Podle vyjádření T-Mobilu Česká republika by však ani krádež šifrovacích klíčů neměla stačit k odposlechu, protože celá skupina Deutsche Telekom používá vlastní autentizační algoritmus pro přihlášení do sítě.

Možnost masového zneužití dat získaných v průběhu hackerských útoků vládních organizací USA a UK v letech 2010 a 2011 odmítá i společnost Gemalto. V inkriminované době firma údajně používala bezpečné komunikační kanály, k ohrožení dat mohlo podle oficiálního vyjádření dojít pouze ve výjimečných případech. A v případě získání šifrovacích klíčů by byl odposlech teoreticky možný pouze v sítích standardu 2G.

Jako metodu ochrany doporučuje Gemalto „end to end“ šifrování, používání nejnovějších verzí SIM a na straně operátorů používání vlastních autentizačních algoritmů.

Gemalto v tiskové zprávě uvádí, že útoky, které firemní bezpečnostní týmy zaznamenaly v letech 2010 a 2011, mohly být spojené s operacemi NSA a GCHQ. Tyto útoky údajně neznamenaly narušení bezpečných částí sítě, kde jsou uložené všechny šifrovací klíče, dotkly se pouze „kancelářských“ sítí, které firma používá pro komunikaci mezi zaměstnanci a pro komunikaci se zákazníky.

Gemalto zároveň rozporuje některá fakta ze zprávy zveřejněné na serveru The Intercept. Firma například nedodala žádné karty čtyřem ze dvanácti uváděných mobilních operátorů. I přesto jde o zásadní narušení bezpečnosti mobilních sítí a důvěry v bezpečnost šifrování v nich. Potenciálně jde o podobnou úroveň narušení soukromí a bezpečnosti uživatelů, jako kdyby měla NSA a její partneři zadní vrátka k nejrozšířenějším šifrovacím algoritmům.

Dozvuky „superryby“ u Lenova

Již jsme informovali o tom, že Lenovo do některých svých notebooků předinstalovává program SuperFish, který modifikuje webové stránky a vkládá do nich reklamu. Jako by to samo o sobě nebylo dost hrozné, tak si i do systému nainstaluje vlastní certifikát kořenové certifikační autority a reklamu vkládá i do stránek, které používají bezpečné připojení přes HTTPS. To představuje přímé kritické bezpečnostní riziko, protože instalací certifikátu kořenové CA předáváte jejímu provozovateli přímou kontrolu nad svým systémem.

Aby toho nebylo málo, klíče jsou pro všechny instalace stejné a triviálním postupem se podařilo získat privátní klíč. Znamená to nejenom, že SuperFish může modifikovat všechny HTTP požadavky, ale že kdokoliv dokáže jeho obětem podvrhnout jakýkoliv web, padělat elektronické podpisy v e-mailu nebo modifikovat stahované binární soubory. Je smutné, že si zrovna Lenovo musí přivydělávat takovým způsobem, ale obávám se, že takové praktiky budeme vídat čím dál tím častěji.

Zatímco americké Lenovo přišlo s hodně omluvným tweetem a návodem na odstranění (a posléze s automatizovaným nástrojem na odstranění aplikace i podvržených certifikátů, české Lenovo vydalo tiskovou zprávu, že nenašlo „nic, co by mělo vést k obavám o bezpečnost“, ale že SuperFish nebude nadále dodávat. Instalace kořenové certifikační autority s veřejně známým soukromým klíčem bez vědomí uživatele je přitom jednou z nejhorších věcí, jaké si lze představit.

Microsoft nezahálel a vydal update definic pro Windows Defender, který umí tento malware odstranit. Dá se předpokládat, že stejně zareagují ostatní producenti antivirových řešení.

Možná kvůli SuperFish se stalo Lenovo.com terčem hackerského útoku, který stránku firmy nahradil prezentací snímků z webové kamery nic netušícího mladíka – ještě ve 22 hodin byl web v rukou hackerů, po půlnoci už se zdá, že funguje normálně.

Výběr ze světa

Standardní e-mailový klient ve většině verzí Androidu obsahuje chybu, která ho umožní shodit „správně“ formátovanou e-mailovou zprávou. Rada je jako obvykle: pokud náhodou pro váš telefon existuje novější verze, upgradujte. Pokud ne, tak tentokrát pro jednou nemusíte kupovat nový telefon, ale stačí nepoužívat vestavěnou e-mailovou aplikaci. Žádný upgrade vám ovšem nepomůže proti DoS chybě CVE-2015-1474, která postihuje i nejnovější verzi Androidu. A pokud si telefon rootnete, což nedoporučují výrobci ani my, můžete si pořídit i malware, který vám znemožní telefon vypnout.

Byla dokončena finální verze standardu HTTP/2. HyperText Transfer Protocol se stará o přenos dat mezi webovými servery a klienty, což mohou být běžné webové prohlížeče nebo různá speciální zařízení. Nová verze má být efektivnější, rychlejší a jednodušší na implementaci. Mám z něho trochu rozpačité pocity. HTTP/2 řeší některé problémy, ale pořád jich ještě hodně zůstává. Na druhou stranu kdyby se specifikace snažila o silver bullet, dopadla by nejspíš jako IPv6. Osobně mne nicméně mrzí, že ze specifikace vypadlo povinné použití TLS. Na druhou stranu Google a Firefox prohlásily, že plaintext HTTP/2 podporovat nebudou. Asi jde o maximum možného.

Kim Dotcom, někdejší provozovatel Megauploadu, plánuje novou síť, MegaNet, která má být decentralizovaná, distribuovaná, odolná vůči špehování a odposlechu a která má fungovat přes mobilní telefony. O projektu toho není mnoho známo a je otázkou, zda dokáže získat dostatečné množství uživatelů. Známé informace shrnuje článek na HackerNews.