Tento týden slavíme první narozeniny vydávání Bezpečnostní svodky - černé kroniky počítačové bezpečnosti. Jejím cílem je upozornit vás na to, co je nového, co je důležitého, čeho se máte bát a co naopak můžete ignorovat. Když jsem ji začínal psát, měl jsem trochu obavy, že se po pár dílech nebude dostávat průšvihů. Nyní mám strach, že by se hodilo ji vydávat skoro každý den.

Největší průšvih poslední doby je nepochybně hack americké OPM - Office of Personnel Management. Název by se dal přeložit jako Úřad pro správu zaměstnanců a těžko hledat český úřad, ke kterému by se dala připodobnit. V kontextu tohoto hacku je nejspíše nejvhodnějším přirovnáním český Národní bezpečnostní úřad. OPM se totiž mimo jiné stará o bezpečnostní prověrky všech amerických federálních zaměstnanců a právě tato data útočníci získali. Není jasné, kdo útočníci byli a najisto a oficiálně se to nejspíše nikdy nedozvíme, ale šušká se o tom, že útok přišel z Číny. Což je velmi logické a dává to smysl.

Útočníci se podle dostupných informací dostali k záznamům všech amerických federálních zaměstnanců s bezpečnostní prověrkou, a to za posledních třicet let. Celkem jde o zhruba čtyři milióny osoba, z toho zhruba polovina jsou současní zaměstnanci. Težko popsat, jak obrovský problém z bezpečnostního hlediska to je. Záznamy obsahují podrobné a intimní informace o minulosti a kontaktech prověřované osoby. Podrobnější informace nabízí Chris Eng. V rukách tajné služby protistrany se jedná o extrémně silný nástroj pro různé formu útoku na konkrétní osoby, spearphishing, nebo třeba staré dobré vydírání. Vysvětluje to John Schindler v sérii tweetů a článku.

Pořádnou dávku ostudy si uřízl i Apple. Jeho desktopové i mobilní operační systémy obsahují několik neopravených bezpečnostních chyb, které umožňují neautorizované získání dat ze systémového úložiště hesel. Chyby odhalil mezinárodní tým výzkumníků již před půl rokem a informoval o nich Apple. Apple požádalo o informace, posečkání se zveřejněním a poté přestal komunikovat. Nyní, po půl roce, autoři výsledky svého bádání zveřejnili, protože Apple produkty neopravil, ani se k problému nijak nevyjádřil. Apple to prostě s bezpečností neumí, jak si ostatně všimli i v CNN.

Electronic Frontier Foundation vydala další ročník své zprávy Who has your back?, která popisuje, jak se velcí poskytovatelé služeb vyrovnávají s požadavky vlád na šmírování svých uživatelů. Dobrá zpráva je, že situace se průběžně zlepšuje.

Služba LastPass se stala obětí kybernetického útoku. Unikly hashe přihlašovacích údajů, ale vzhledem k míře jejich zabezpečení to nepředstavuje zásadnější problém. Firma se také k celému incidentu postavila velice zodpovědně, jak podrobně informujeme v samostatném článku. Stejně si ale pro jistotu změňte master password.

Nástroj pro "rezervaci upgrade" na Windows 10, který Microsoft nainstaloval přes Windows Update na počítače s Windows 7 a 8 obsahuje bezpečnostní díru, která umožňuje obejít UAC (User Account Control). Hodnota UAC není obecně valná, protože uživatelé tupě kliknou na cokoliv, ale chyby podobného ražení ji dále snižují.

U Microsoftu ještě zůstaneme, ale tentokrát v dobrém. Bruce Schneier a Micah Lee se zamýšlejí nad bezpečností BitLockeru, vestavěné funkce pro šifrování disků ve Windows 7 a novějších. Řada lidí z různých důvodů BitLockeru nevěří.  Názor těch, kteří se řídí převážně ideologickými hledisky a z principu nebudou nikdy věřit ničemu, co má na sobě napsáno Microsoft, změnit nelze. Pro nás ostatní mají oba články spíše dobré zprávy. 

Pokud vás zajímá, kdo si vás odebral z přátel na Facebooku, rozhodně k tomu nepoužívejte program Unfriend Alert. Je to totiž (jako naprostá většina podobných programů) malware, který se snaží získat přístup k vašemu účtu.

Jméno Pavel Durov vám pravděpodobně nic neříká. Je to "ruský Mark Zuckerberg", zakladatel největší ruské sociální sítě VKontakte.  V obsáhlém rozhovoru pro Mashable popisuje, jak byl o svou firmu efektivně připraven ruským státem a jeho vládnoucí vrstvou, která se rozhodla ji využít pro své účely.

Že eskapády NSA způsobují nezanedbatelné škody americkým technologickým firmám, není žádná novinka. Už v roce 2013 odhadovala americká nezávislá nadace ITIF (Information Technology and Innovation Foundation) způsobené škody za 35 miliard dolarů. V nejnovějším vydání své zprávy tvrdí, že tento odhad byl příliš optimistický a že způsobené škody jsou nejspíše ještě mnohem větší.