O viru Petya (resp. jeho nejnovější inkarnaci NotPetya) toho bylo napsáno již dost, takže jen shrnutí nových informací: Podle NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence) za tímto kybernetickým útokem stojí nějaký stát, nebo minimálně státem podporovaná skupina. Ukrajinská bezpečnostní služba SBU (СБУ - Служба Безпеки України) si nebere servítky a otevřeně z účasti na útoku obviňuje Rusko.

Některé varianty viru Petya/NotPetya jsou destruktivní a neumožňují dešifrování dat. U jiných to možné je. Autoři viru vydali prohlášení, v němž požadují výkupné čtvrt milionu dolarů za soukromý klíč, který data umožní dešifrovat. Na žádost Motherboardu pak skutečně dokázali jeden zaslaný soubor dešifrovat.

Hlavním vektorem šíření viru na Ukrajině byl backdoorovaný update pro účetní program M. E. Doc, v zemi populární.Ukrajinské bezpečnostní složky zabavily nakažené servery. V tomto konkrétním případě šlo přímo o nakažený soubor u distributora, nicméně v této souvislosti se sluší poznamenat, že prakticky žádný účetní software v České republice nedistribuuje své instalační soubory bezpečným způsobem. 

Vzhledem k neutuchající popularitě ransomwaru bude mít další velký update Windows 10 vestavěnou základní ochranu proti nim. Pokud zapnete funkci Controlled Folder Access, soubory v konkrétních složkách bude možné měnit pouze whitelistovanými aplikacemi. Tato funkce a řada dalších bezpečnostních vylepšení budou součástí podzimního Creators Update, který je plánován na září nebo říjen tohoto roku. Některé z nich jsou již nyní dostupné pro účastníky Windows Insiders programu.

Android připravený o ochranu

Bezpečnostní svodka se již delší dobu nevěnovala bezpečnostním problémům Androidu. Ne že by jich byl nedostatek, ale jsou pořád na jedno brdo a dosti nudné. CopyCat ovšem přináší neotřelý přístup a slibuje značné vzrušení, minimálně majitelům čtrnácti milionů nakažených telefonů, z nichž osm milionů již rootnul.

To je na něm právě to zajímavé, že si sám umí rootnout telefon a prakticky tak zlikvidovat jeho obranu. Získání "správcovských" práv přitom pro běžného uživatele telefonu rozhodně není snadné. Technicky ale samotný malware moc zajímavý není, využívá dávno již opravené bezpečnostní díry (nejnovější je dva roky stará) v Androidu 5 zastaralém o dvě hlavní verze a starších. Ty ovšem používá kolem šedesáti procent existujících telefonů.

Největší úžas však stále vzbuzuje fakt, že Googlu do oficiálního obchodu s aplikacemi proniká malware a zůstává dlouho neodhalený. To je ještě větší problém než žalostná dostupnost bezpečnostních aktualizací pro starší nebo levnější telefony.

Nová slabina Windows 10

Windows 10 x 64 je už nyní platforma dosti odolná proti rootkitům, zejména díky komponentě PatchGuard, která je jejich součástí. Nyní společnost CyberArk objevila způsob, jak tuto ochranu obejít, a nazvala jej GhostHook. Útok funguje pouze na Intel procesorech, které podporují funkci PT (Processor Trace). Ta se využívá při ladění nízkoúrovňového kódu. Nebezpečnost útoku snižuje skutečnost, že útočník musí být schopen vykonat kód v jádře operačního systému, což znamená, že už není mnoho co ztratit. V kombinaci s dalšími chybami však může tato zranitelnost způsobit potíže při odhalování útoku a odstraňování jeho následků.

Nativní 64bitový malware je dnes vzácnost. Odhaduje se, že je ho méně než jedno procento. Příkladem je třeba Shamoon nebo Flame, u nichž se předpokládá, že za nimi stojí státy. S ohledem na postupující demokratizaci útoků však lze čekat, že se tento stav v následujících letech rychle změní.

Bezplatné bezpečnostní certifikáty jedou

Bezplatná certifikační autorita Let's Encrypt vydala sto miliónů certifikátů pro 47 milionů domén. A od ledna 2018 bude nabízet i wildcard certifikáty, tj. certifikáty pro celou doménu, nejen pro jeden konkrétní host name. 

Iniciativa Let's Encrypt vznikla z potřeby umožnit používání HTTPS každému a řeší dva zásadní problémy. Tím prvním je cena; ačkoliv cena za certifikáty klesá, pro mnoho projektů, zejména různých hobby a neziskových, je stále vysoká. Druhý problém je, že o certifikáty je nutné se starat, je nutné generovat žádosti, sledovat jejich vypršení, obnovovat je… Let's Encrypt celý proces automatizuje pomocí nástrojů, jako je CertBot pro UNIX nebo AutoACME pro Windows.

Facebook spustil monitoring Certificate Transparency logů. Certificate Transparency je metoda, jak si ověřit, zda konkrétní CA skutečně vydala konkrétní certifikát jinak než prostým elektronickým podpisem. Zjednodušeně se dá říci, že autorita publikuje speciálním způsobem všechny certifikáty, které vydala, a kdokoliv si je může zkontrolovat. Facebook spustil snadno použitelné rozhraní, které vypíše seznam všech certifikátů, které CA podporující CT kdy vydaly pro konkrétní doménu. Umožní vám také přihlásit se k odběru informací o změnách. Můžete zadat název své domény, a pokud se pro ni objeví nový certifikát, Facebook vám pošle e-mail.

Zranitelnost on-line úložišť pro programátory

Přes polovinu balíčků v NPM (Node Package Manager) repozitáři je možné přímo či nepřímo modifikovat za pomoci slabých nebo veřejně prozrazených přístupových údajů. 

Node.js je momentálně módní vývojová platforma pro serverové a webové aplikace psané v JavaScriptu. A protože JavaScript toho sám o sobě moc neumí, závisí na velkém množství softwarových balíčků, které jsou uloženy v centrálním repozitáři. 

Nevýhody tohoto přístupu se ukázaly v březnu 2016, kdy Azer Koçulu v rámci sporu s provozovatelem NPM stáhl z repozitáře svůj balíček pad-left, který neudělá nic jiného než že zarovná číslo doprava. Tento balíček je používán mnoha dalšími balíčky a projekty, takže tento jednoduchý krok rozbil celou řadu dalších projektů. 

Vložení bezpečnostní slabiny do populárního balíčku by nemělo tak viditelné důsledky. Vzhledem k poněkud zvláštní architektuře JavaScriptu a Node.js (přesněji, vzhledem k absenci jakékoliv příčetné architektury tamtéž) by ale byly mnohem závažnější, neboť by umožnily vložit backdoor do jakékoliv aplikace, která příslušný balíček přímo či nepřímo využívá. 

Krátce ze světa bezpečnosti

Novou "digitální komisařkou" EU se stala Mariya Gabrielová. Její oficiální životopis na stránkách EP je zcela prázdný a ani z jiných zdrojů se nepodařilo najít, že by kdy měla cokoliv společného s informačními či jinými technologiemi. Studovala historii evropských institucí, mezinárodní vztahy a politickou sociologii. 

AMD představil nové procesory v řadě Ryzen PRO. Procesory řady Ryzen nabízejí podporu řady bezpečnostních technologií, jako například TPM uvnitř procesoru, podporu Microsoft Device Guard a další. Řada PRO k nim přidává ještě šifrování operační paměti, což je ochrana proti řadě hardwarových útoků.

Čína vytáhla do boje proti populárním VPN službám, které dokážou obejít její "velký čínský firewall". Nejen pro Čínu platí: nepoužívejte bezplatné ani komerční VPN služby, zařiďte si vlastní VPN server. 

Byl představen nový typ útoku proti e-mailovým službám, který za určitých okolností dokáže obejít i dvoufaktorovou autentizaci. Pokud se s e-mailovou adresou registrujete na nějakém webu, může si vyžádat odpověď na bezpečnostní otázku, kterou požaduje provozovatel vašeho e-mailového serveru pro reset hesla. Obrana je jednoduchá: nepoužívat freemailové, resp. webmailové služby; když už je používáte, nepoužívejte "bezpečnostní otázky a odpovědi" pro případ zapomenutí hesla; když už je používáte (třeba protože musíte), generujte na ně náhodné odpovědi a uložte si je do password manageru. Když nepoužíváte password manager, tak se nedivte.

OpenBSD bude disponovat novou bezpečnostní feature jménem KARL - Kernel Address Randomized Link. To znamená, že při každém bootu budou soubory jádra sestaveny v jiném (náhodném) pořadí, což zkomplikuje řadu útoků. Doufejme, že se ostatní operační systémy jako Windows a Linux budou inspirovat.

Apple před časem spustil Bug Bounty program, v němž bezpečnostním výzkumníkům platí za nalezené bezpečnostní chyby. To je v oboru běžná praxe. Apple je jednou z posledních firem která se připojila, a udělal to samozřejmě po svém: program otevřel pouze pro někoho a ceny jsou relativně nízké. V důsledku toho je jeho bug bounty nezajímavá a vesměs nefunkční.

Matthew Bryant se baví hackováním top level domén pomocí různých DNS triků. Nyní se mu podařilo získat kontrolu nad doménou .io, která je populární zejména mezi start-upy.

Pokud vás zajímá historie kryptografie, na webu Hackaday najdete projekt emulátoru německého druhoválečného šifrovacího stroje Enigma, realizovaný pomocí mikrokontroleru Arduino. Pokud byste chtěli něco trochu víc low-tech, na Thingiverse jsem publikoval generátor mřížky pro jednoduchou transpoziční blokovou symetrickou šifru. To je sofistikovaný název pro mřížky, které starší generace zná z Pionýrského zápisníku a mladší z Příručky mladých svišťů. Netřeba nic pracně vyřezávat z papíru, máte-li 3D tiskárnu nebo řezací plotter.