Technologie, které používáme, dosahují každý týden nového vrcholu, ale my jako uživatelé jsme zranitelnější než kdy dříve. Dnešní výběr zpráv z digitálního podsvětí opět odhaluje svět, kde „smazat“ neznamená zapomenout a kde hardware, který držíte v ruce, může být vaším největším nepřítelem už ve chvíli, kdy opouští výrobní továrnu.
Závod v kybernetickém zbrojení zařadil na vyšší rychlost, kterou běžný člověk nestíhá sledovat. Společnost Anthropic vypustila model Claude Mythos, který v testech britského institutu AISI demonstroval nové superschopnosti. Tento model jako první v historii autonomně a bez pomoci vyřešil komplexní útočný scénář „The Last Ones“ – brutální řetězec 32 kroků, od úvodního průzkumu až po ovládnutí sítě. Zároveň koalice technologických gigantů Anthropic, Microsoft, Google a NVIDIA spustila projekt Glasswing. Cíl? Využít Claude Mythos k prediktivnímu vyhledávání chyb. Výsledek? AI během pár dní našla desítky let staré kritické zranitelnosti (například v OpenBSD nebo FFmpeg). Evropa má však smůlu, součástí projektu není a zatím nesměle ťuká na dveře a žádá Anthropic o přístup k modelu.
Dlouho jsme žili v iluzi, že end-to-end šifrování a mizející zprávy jsou jistotou a základním kamenem našeho digitálního soukromí. A aplikace Signál byla jejím garantem. FBI však v dubnu iluzi rozšlapala. Vyšetřovatelé dokázali extrahovat smazanou komunikaci z aplikace Signal, aniž by se vůbec pokoušeli prolomit šifrování. Jednoduše obešli aplikaci a zaútočili přímo na to, co si pamatuje operační systém iOS. Klíčem k soukromým datům se stal soubor NotificationStorage. Ukázalo se, že systém si v této databázi ukládá náhledy příchozích zpráv, které tam zůstávají i poté, co je zpráva v aplikaci smazána nebo je celá aplikace odstraněna. Tento mechanismus byl fatální pro skupinu radikálů v Texasu. Právě fragmenty z notifikací posloužily jako klíčové důkazy v procesu, kde členové skupiny čelí obvinění z vandalismu a útoku na veřejného činitele. Apple již tuto chybu opravil.
Polská vláda zase vyzvala organizace z veřejného sektoru, aby omezily využívání aplikace Signal pro oficiální komunikaci a místo toho přešly na domácí šifrované komunikační systémy. Výzva je vydána v návaznosti na nárůst phishingových útoků zaměřených na politiky, státní úředníky a vojenský personál (a to nejen v Polsku). Polské ministerstvo pro digitální záležitosti doporučuje pro komunikaci aplikaci mSzyfr, nebo izolovanou síť SKR-Z. Aplikace mSzyfr je komunikační aplikace založená na protokolu Matrix a zabezpečuje výměnu zpráv a dat mezi zaměstnanci veřejné správy a státními institucemi bez závislosti na zahraničních platformách. Rozběhnutí takové aplikace není na jedno kliknutí, ale na druhou stranu to taky není žádná raketová věda. Ostatně v lednu o tom měl přednášku technický ředitel sdružení NIX.CZ Marian Rychtecký na konferenci CSNOG ve Zlíně. Prezentace i video je volně k dispozici, tak by bylo fajn, kdyby se tím inspiroval nějaký zodpovědný státní úředník a my nemuseli číst, že „Máme whatsappovou skupinu, kde jsou všichni důležití lidé včetně Čepra, a tam diskutujeme.“ Jenže kdo by s tím v Česku přišel? Bezpečná komunikační platforma byla součástí projektu BIVOJ, ale jak padlo na pódiu na konferenci ISSS v Hradci Králové, z projektu BIVOJ je program BIVOJ a Ministerstvo vnitra si dělá pořádek, co to vlastně má být.
Ruský cenzorní úřad Roskomnadzor předvedl v dubnu ukázkovou lekci digitálního sebepoškozování. V rámci agresivního tažení proti VPN službám nasadil drastickou hloubkovou inspekci paketů (DPI). Výsledek? Stát nechtěně ochromil sám sebe. Chybné nastavení filtrů pro šifrovaný provoz způsobilo dominový efekt, který srazil na kolena národní platební brány a mobilní bankovnictví největších finančních institucí. Pár milionů lidí se ocitlo bez přístupu k penězům a bezhotovostní ekonomika se na hodiny zastavila. Poučení pro další „soudruhy“? Nešahejte na VPN.
Slídilové a špioni už dávno nejsou závislí na instalaci malwaru do našich zařízení. Investigace Citizen Lab odhalila, jak systém Webloc, provozovaný společností Penlink, proměnil reklamní sítě v největší sledovací nástroj. Metoda nazvaná ADINT (Advertising Intelligence) zneužívá reklamní sloty v běžných aplikacích k masivnímu sběru geolokačních údajů stovek milionů lidí.
Tento systém aktivně využívají maďarské tajné služby a americké federální úřady, včetně imigračního úřadu ICE. Reklamní baner na krásné boty, který vidíte v aplikaci, tak není jen otravným marketingem.
Další znepokojivou zprávou z minulého měsíce je bezpochyby potvrzení totálního selhání íránské sítě během útoku na Isfahán. Nešlo o chybu softwaru, ale o tzv. sabotáž v dodavatelském řetězci. Vyšetřování prozatím ukázalo, že síťové prvky americké výroby byly infikovány škodlivým kódem už při samotné výrobě. Systémy totiž selhaly, i když byly zcela odpojeny od internetu . Pokud se tedy účtočníkovi podaří „hacknout“ dodavatelský řetěz a hrozba je součástí hardwaru již z výrobní linky, nepomůže vám žádný firewall ani antivirus. Kritická infrastruktura je v takovém případě jen časovanou bombou, ke které drží dálkové ovládání někdo, kdo to s námi nemyslí dobře (eufemismus).
Anthropicem jsme začali, Anthropicem skončíme. Bezpečnostní experti z týmu OX Security odhalili v Model Context Protocol (MCP) od společnosti Anthropic architektonickou vadu umožňující vzdálené spuštění kódu (RCE) napříč celým dodavatelským řetězcem AI. Tato zranitelnost založena na nebezpečném zpracování parametrů v oficiálních SDK vystavuje riziku převzetí systému více než 200 000 serverů a populární nástroje jako jsou například Cursor nebo Windsurf. Útočníci mohou k infiltraci využít různorodé vektory včetně injekce do uživatelského rozhraní, manipulace s registry doplňků nebo útoků typu prompt injection s nulovou nutností interakce uživatele. Bacha na to.