Nezařazené

Některé nápady jsou špatné už od začátku

Tak to vypadá, že stejně jako rok 2014 bude i ten letošní bohatý na nadílku celosvětových bezpečnostních rizik na internetu. Opět se to týká šifrovaného protokolu HTTPS (resp. tedy přímo té šifrovací části – SSL/TLS), ovšem tentokrát šlo problému nejen zabránit, ale dokonce vznikl velmi umělou cestou.

Embargo a další zbytečná zranitelnost

Zpět v minulém století se politická sféra v USA rozhodla (ne poprvé ani naposledy) vměšovat se technologických věcí, u kterých to není vhodné. Ačkoliv původní embargo na vývoz pokročilých šifrovacích technologií z USA vypadalo po 2. světové válce užitečně, jeho následná aplikace na počítače a internet byla nepochybně špatný nápad. I proto se regulace postupně rozvolňovala, až byla téměř odstraněna.

Zrada totiž je v globalitě internetu i ekonomiky USA. Aby mohly americké firmy prodávat místně do zahraničí, vyráběly software a zařízení, které podporovaly a používaly už i na tehdejší dobu nedostačující délku klíčů, které bylo možné v rozumné době rozšifrovat i běžným osobním počítačem.

Toto dědictví si přenášejí do dneška zejména přenosná zařízení (například telefony Android a iOS). Zatímco aktualizace operačních systémů a prohlížečů na osobních počítačích dnes už probíhají v řadě případů potajmu a automaticky, tak na přenosných zařízeních je to podstatně horší. Aktualizace: Vypadá to, že Internet Explorer je v aktuální verzi také zranitelný. Nicméně se pracuje na opravě, takže je potřeba zvýšit pozornost pouze krátkodobě, než ji nainstalujete.

Nově objevená zranitelnost tak umožňuje při komunikaci přes nezabezpečenou síť (wi-fi v kavárně a podobně) přesvědčit takové zařízení, aby používalo starou, nedostačující úroveň šifrování. Pak lze odchytit cenná data, která lze s pomocí „superpočítače v cloudu“ dešifrovat. Údajně v Amazon Cloudu stačí nakoupit výkon za $100, což je na ten výsledek velmi výhodná cena.

Jak jsme na tom u nás?

Je ironické, že mezi zranitelnými weby jsou i ty patřící americké vládě (seznam na https://freakattack.com/). Otázka ovšem je, jak jsme na tom v České republice. Bohužel situace je ještě horší. Vzhledem k tomu, že kupujeme úplně stejná korejská a čínská zařízení jako Američané, tak i ta naše jsou zranitelná. Mezi top zranitelné weby se pak zvládla umístit česká nova.cz.

Celou situaci ovšem zhoršuje navíc to, že pro většina českého internetu se nic nemění z důvodu, že šifrování prostě nepoužívá a nikdy nepoužívala. Důvodů je vícero – Češi jako menší národ nejsou tak častými oběťmi hromadných útoků na čísla kreditních karet, takže mezi lidmi není dostatek povědomí a běžný uživatel se šifrování nedožaduje. Na druhé straně jsou pak provozovatelé webů, pro které by se jednalo o roční náklad na šifrovací certifikát (od jednotek po desítky tisíc podle kvality), který nikdo nepožadoval.

Naneštěstí to nevypadá, že by se situace měla jakkoliv změnit. Nezbývá tedy než opět připojit radu na konec: Dávejte si pozor, kudy přenášíte citlivé informace a komu je svěřujete, protože bez dobrého zabezpečení se může dost nevyplatit být jakkoliv zajímavý.

Podrobnosti o útoku na: http://arstechnica.com/security/2015/03/freak-flaw-in-android-and-apple-devices-cripples-https-crypto-protection/

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*