Za nejpodstatnější březnovou událost lze označit zveřejnění útoku na TLS označeného DROWN, který spočívá ve zneužití podpory pro SSLv2 na straně serveru, což potenciálně umožňuje útočníkovi relativně jednoduchým způsobem dešifrovat data zasílaná v relaci chráněné pomocí moderních TLS algoritmů. V době zveřejnění principů útoku jím bylo zranitelných přes 10 milionů webových serverů. Ransomware je bezpochyby jednou z dominantních kybernetických hrozeb současnosti – incidenty spojené s infekcemi škodlivým kódem tohoto typu jsou na denním pořádku a jejich dopady jsou mnohdy velmi citelné.

Společnost ALEF NULA (pro úplnost uvádím, že jmenovanou společností jsem aktuálně zaměstnán) spustila v minulém týdnu soutěž pojmenovanou ALEF Hacker Challenge. Úkolem je v ní proniknout do připraveného systému a získat z něj data. V rámci České Republiky se jedná se o zajímavý (byť ne unikátní) počin a to nejen proto, že hlavní cenou soutěže je 12 000 korun.

Zřejmě nejpodstatnější zprávou se v únoru stalo zveřejnění (jak se později ukázalo, zranitelnost byla poprvé nahlášena již v červnu 2015) zranitelnosti v knihovně glibc, která umožňuje způsobit přetečení zásobníku při použití funkce getaddrinfo, užívané pro práci s DNS záznamy, a potenciálně tak na postiženém zařízení spustit libovolný kód. Vzhledem k tomu, že knihovna glibc je součástí mnoha Linuxových distribucí, postižených strojů je poměrně vysoké množství. Odpovídající záplata je již k dispozici.

První měsíc roku 2016 byl nebývale bohatý na události v oblasti kybernetické bezpečnosti. Mezi nejpodstatnější informace patřilo zveřejnění existence backdoor kódu ve starších verzích operačního systému FortiOS, užívaném firewally firmy Fortigate. Lze zde sledovat jistou návaznost na prosincové zveřejnění backdooru v produktech společnosti Juniper. Díky nově objevené slabině bylo možné získat vzdálený privilegovaný přístup k zařízením FortiGate pomocí SSH. Řetězec přednastavený jako heslo měl podobu “FGTAbc11*xy+Qqz27”. Jak se později ukázalo, popsaný backdoor se týkal i dalších produktů společnosti Fortinet (jmenovitě zařízení řad FortiSwitch, FortiAnalyzer a FortiCache).

Na konci listopadu a začátkem prosince proběhly 2 velmi silné útoky na kořenové DNS servery. V případě obou útoků se jednalo o zasílání validních dotazů (všechny se týkaly jediné domény) kořenovému serveru mnoha žadatelskými stroji. Přestože běžného uživatele se uvedené události díky architektuře DNS protokolu v podstatě nedotknuly, jednalo se o útoky velmi silné – na postižené servery bylo v jejich průběhu zasíláno okolo pěti milionů požadavků za sekundu, což odpovídá přibližně 250 násobku běžné zátěže.

Mezi zajímavé listopadové novinky lze řadit aféru okolo předinstalovaných kořenových certifikátů na noteboocích firmy Dell. Podobně jako v případě kauzy označované Superfish je možné v důsledku umístění takového certifikátu na zařízení za určitých podmínek dešifrovat probíhající komunikaci, nebo provést útok spočívající v podvržení důvěryhodné webové stránky. Několik novinek se objevilo též v oblasti ransomwaru – mimo jiné byl objeven první program uvedeného typu cílící na platformu Linux. Byl označen Linux.Encoder.1 a vzhledem k uvedenému prvenství na něj lze nahlížet spíše jako na proof-of-concept kód, než jako na nebezpečný software – vzhledem k nevhodně zvolenému kódu, užitém pro šifrování uživatelských dat, je totiž možné jakákoli jím zpracovaná data získat relativně jednoduchou metodou dešifrovat.

Říjen, jako Evropský měsíc kybernetické bezpečnosti, byl obdobím konání mnoha akcí (např. v Praze pořádaný Security fest) zaměřených na rozšíření povědomí o dané problematice. Mnoho novinek se nicméně v jeho průběhu objevilo také na pomyslné druhé straně barikády. Velmi sledovanou novinkou byla aféra okolo úniku osobních dat (včetně čísel kreditních karet) až čtyř milionů zákazníků britského poskytovatele telekomunikačních služeb TalkTalk. K útoku se přihlásila hackerská skupina z Ruska, na konci měsíce bylo nicméně ve spojitosti s útokem na TalkTalk zatčeno několik mladíků ve Velké Británii.

V průběhu září byla zveřejněna informace o počtu zařízení, která jsou aktuálně náchylná ke zranitelnosti Heartbleed. S ohledem na skutečnost, že Heartbleed je znám již téměř rok a půl může být překvapivé, že počet zranitelných zařízení překračuje 200 000. Pokračování měla v září také aféra okolo zranitelnosti Stagefright, o níž jsme informovali v minulém Ohlédnutí. Společnost Zimperium, která stojí za objevením Stagefright, zveřejnila proof-of-concept kód využívající uvedenou zranitelnost. V několika desítkách směrovačů firmy Cisco byl objeven malware SYNful Knock, obsažený v modifikovaném image systému IOS.

Jednou z nejpodstatnějších událostí v oblasti kybernetické bezpečnosti se v srpnu stalo zveřejnění záplaty pro zranitelnost Stagefright postihující zařízení s operačním systémem Android verze 2.2 až 5.1 (s určitými výjimkami). Existence uvedené zranitelnosti byla původně oznámena na konci července a počty zranitelných zařízení se odhadují na několik stovek milionů. Zranitelnost umožňuje útočníkovi způsobit spuštění libovolného kódu zasláním speciálně formátované MMS zprávy. Vydaná záplata se bohužel ukázala jako nedostačující, výsledkem čehož jsou i updatovaná zařízení stále v ohrožení.

Jednoznačně největší událostí z oblasti IT bezpečnosti se v červenci stala aféra okolo úniku dat ze systémů společnosti Hacking Team, která se zabývá vývojem komerčního spyware, určeného pro použití policejními sbory a dalšími bezpečnostními složkami. Více než 400 GB odcizených dat bylo volně umístěno na internet a následně analyzováno specializovanými firmami a odbornou veřejností, na základě čehož byl publikován (v době psaní článku stále doplňovaný) vysoký počet zero-day zranitelností, které Hacking Team ve svých produktech využíval.