Postřehy z bezpečnosti: autonomní systémy opravují bezpečnostní chyby

Martin Čmelík 8. 8. 2016

Dnes si řekneme něco o soutěži Cyber Grand Challenge, kde soutěžily autonomní systémy schopné najít a opravit chyby v programech, o bezpečnostních chybách protokolu HTTP/2 a kritické chybě v LastPass.

Ve čtvrtek 4. srpna uspořádala agentura DARPA soutěž Cyber Grand Challenge během konference DEF CON. Cílem soutěže byla bitva o vlajku mezi sedmi týmy jejichž plně autonomní systémy měly za cíl nacházet v aplikacích slabiny (např. pomocí statické analýzy, dynamické analýzy, sledováním data flow, fuzzingem, …) a zároveň je automaticky opravovat, aniž by poškodily/znefunkčnily danou aplikaci. Soutěž byla o to zajímavější, že se nepoužívaly standardní aplikace ani binární formát, ale unikátní prostředí CRS (Cyber Reasoning System) pro potřeby soutěže, které si můžete sami částečně sestavit z Githubu. V devadesáti šesti kolech měly autonomní systémy během pár minut analyzovat binární soubory, které nikdy předtím neměly šanci zkoumat a opravit všechny zranitelnosti, které do nich organizátoři konference umístili. Jedno řešení dokonce našlo zranitelnost, o které nevěděli ani autoři binárních souborů. Tato soutěž je vyvrcholením tří let testování a vyřazovacích kol, kdy se přihlásilo okolo stovky týmů.

Vítězem první plně autonomní soutěže se stal tým ForAllSecure se svým systémem Mayhem a vyhrál 2 milióny dolarů. Jeden milión dolarů a druhé místo si odnesl tým TECHx se systémem Xandra. Xandra právě s vypětím všech sil (2400 jader procesoru a 1,8M fuzzing operací za vteřinu) našla i tu chybu, o které organizátoři nevěděli.

Pokud vás dané téma opravdu zajímá, tak ještě doporučím podívat se na tým Shellphishs, který má svůj Python framework Angr pro binární analýzu ke stažení na webu angr.io

Výborný nápad. Víc podobných soutěží a ideálně, aby pak účastníci uvolnili kód jako open source.

Naše postřehy

Cisco routery pro menší pobočky obsahují několik závažných zranitelností. Modely RV110W, RV130W a RV215W obsahují chybu (CVE-2015–6397) umožňující pomocí přednastaveného účtu získat root oprávnění. RV180 a RV180W VPN obsahují chyb hned několik (CVE-2016–1430, CVE-2016–1429), od spuštění kódu s root oprávněním po přístup k souborům na filesystému.

Na konferenci Black Hat Apple oznámil detaily spuštění svého prvního bug bounty programu, který by měl začít koncem roku. Pro začátek budou odměny vypláceny jen v případě, že odhalíte chybu v jedné z níže vypsaných komponent či služeb, ale s postupem času se bude seznam rozšiřovat. Rozhodně se jedná o finančně velice lákavou výzvu.

  • Secure boot firmware components: Up to $200,000

  • Extraction of confidential material protected by the Secure Enclave: Up to $100,000.

  • Execution of arbitrary code with kernel privileges: Up to $50,000.

  • Access from a sandboxed process to user data outside of that sandbox: Up to $25,000.

  • Unauthorized access to iCloud account data on Apple servers: Up to $50,000.

Když už jsme u konference Black Hat (konkrétně Black Hat USA), je důležité zmínit i konferenci DEF CON, která probíhala také minulý týden. BlackHat se považuje za primárně komerční konferenci, což je odvoditelné už z ceny vstupenky (~$2000). To však neznamená, že se tam neprezentují i zajímavé přednášky, protože právě díky své popularitě se tam společnosti chtějí zviditelnit. DEF CON je naopak konference se známkou punku, která původně vznikla z nevydařené rozlučkové párty a nyní se jedná o jednu z největších a nejuznávanějších konferencí na světě, kde spíš než obchodníky v oblecích potkáte komunitu opravdových hackerů. Vstupenka na DEF CON navíc stojí desetkrát míň. Stojí zato projít si přednášky obou konferencí, protože když už se prezentuje nějaké zásadní téma, nebo průlom v určité oblasti, tak to většinou bývá na těchto konferencích.

Dva týdny po zrušení služby a zatknutí administrátora Kickass Torrents se nyní uživatelé museli rozloučit i se serverem Torrentz, který sloužil jako vyhledávač mezi The Pirate Bay, Kickass Torrents a ExtraTorrent.

Před 25 lety (6. srpna 1991) byla vytvořena první webová stránka Timem Berners-Lee, přezdívaný jako otec World Wide Webu. První WWW stránka běžela na počítači NeXT, který byl zároveň prvním webový serverem, v CERNu a stále je dostupná. NeXT byla společnost založená Stevem Jobsem, když ho vyhodili z Applu v roce 1985.

Výzkumníci společnosti Imperva odhalili čtyři bezpečnostní chyby protokolu HTTP/2. Jedna z nich je velmi podobná útoku Slowloris a dokáže způsobit DoS/DDoS útok na webový server, který přestane odpovídat. Dále útok související s kompresí dat, kdy pomocí 4KB zpráv dokážete snadno zaplnit celou paměť serveru, problém zacyklení požadavků a poslední chyba se týká streamování. Všechny čtyři chyby by již dnes měly být opraveny.

Chyba v populárním E2E šifrovaném komunikátoru Telegram ukládala vše co jste zkopírovali do chat okna i do systémového logu. I když aplikace z AppStoru mohou do syslogu pouze zapisovat a ne ho číst, je to hloupá chyba. Postižena byla jen verze pro macOS.

Tavis Ormandy z Google Project Zero objevil několik bezpečnostních chyb v cloudové službě LastPass sloužící pro ukládání hesel. Detaily nejsou známy, chyby opravili před pár dny a bylo díky nim možné plně ovládnout cizí databázi hesel. Navíc to není první případ.

Informace o 200 milionech účtů společnosti Yahoo se prodává na černém trhu za 3 Bitcoiny. Podle údajů z webu Motherboard informace obsahují osobní údaje i hashe hesel. Předpokládá se, že dump databáze uživatelů je z roku 2012. Yahoo se k celé věci nevyjádřilo a prý prověřují situaci.

widgety

Ve zkratce

Pro pobavení

Linux je sexy!

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

120na80.cz: Pálení žáhy: která jídla ne a co nás uzdraví?

Pálení žáhy: která jídla ne a co nás uzdraví?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!