Dne 17. 4. 2013 byly v prostorách pražského divadla Karlín slavnostně vyhlášeny výsledky soutěže Data Leak Awards, a uděleny anticeny organizacím v České republice i v zahraničí, kterých se únik informací týkal.

Hlavním důvodem pořádání této soutěže, která by měla probíhat každý rok, je snaha upozornit na nejčastější příčiny, které k úniku citlivých informací vedou a jak těmto incidentům předcházet.

Objevila se nová zranitelnost v aplikaci JAVA a ukazuje se, že pouhá aktualizace na poslední verzi nestačí.

Útok probíhá tak, že útočník vloží na kompromitovanou webovou stránku JAVA applet, který se v okamžiku, kdy uživatel na danou stránku zavítá, spustí. Jedná se tedy o klasický drive-by download malware.

Uživatelé smartphonů a tabletů předpokládají, že se jim budou webové stránky do jejich zařízení stahovat minimálně stejně rychle jako na desktopu.

Ovšem v praxi tomu tak není, a tak více jak polovina uživatelů v okamžiku, kdy se určitá stránka stahuje příliš dlouho, nečeká, až se daná stránka stáhne celá, ale ihned ji opouští, a již se na ni nikdy nevrací.

Jistě jste zaznamenali zprávy o tom, že na internet unikly hashe hesel více jak 6 miliónů uživatelů sociální sítě LinkedIn. Problém však nespočívá ani tak v tom, že byla použita hashovací funkce SHA1, jako že hesla byla v DB uložena jako nesolené hashe. Jednu podstatnou věc ale zatím nikdo nezmínil, a to že minimální požadavek na délku hesla uživatele této sociální sítě je pouhých 6 znaků. A vězte, že se najde dost uživatelů, kteří si nastaví heslo přesně o této délce.

Ze studie společnosti ElcomSoft vyplývá, že mnoho správců hesel (Password Manager) není schopno jím svěřená hesla dostatečně dobře ochránit.

Příčiny jsou dvě. Vývojáři buď nevyužívají bezpečných kryptografických funkcí, které nabízí samotný operační systém, neboť nejsou ochotni věnovat dostatek času jejich studiu, a raději implementují své vlastní kryptografické funkce, aby mohli danou aplikaci snadno portovat i na jiné platformy, ovšem implementují je špatně. V praxi to pak znamená, že správci hesel nedostatečně chrání hesla, která jim uživatelé svěřili.

Gesto a PIN do mobilních zařízení je možné prolomit do několika málo minut. Jedinou skutečnou ochranou je dlouhé komplexní heslo.

V polovině minulého roku jsem psal o tom, že firma Elcomsoft vyvinula nástroj, který dokáže prolomit heslo do iOS za několik málo minut. Od té doby se na trhu objevilo dalších několik nástrojů, které dělají v podstatě totéž. Např. firma Micro Systemation tvrdí, že dokáže prolomit heslo prakticky do jakéhokoliv mobilního zařízení, jak by také ne, když polovina pracovníků této firmy nedělá nic jiného, než že hledá zranitelnosti v telefonech.

S exploity se čile obchoduje, největší zájem je o exploity pro iOS, Chrome, Internet Explorer, Firefox, Safari, Windows, Word, Flash, Java, Android, Mac OSX a Adobe Reader.

Jinými slovy největší poptávka je exploitech pro nejpoužívanější operační systémy, prohlížeče a aplikace. Přičemž někteří zákazníci, mezi které patří především orgány státní moci v Evropě a US, jsou za exploit ochotni zaplatit až několik stovek tisíc dolarů. Cena se odvíjí především od toho, zda již byl o dané zranitelnosti informován autor daného SW.