Postřehy z bezpečnosti: BadBIOS, nová generace perzistentního malwaru

Martin Čmelík 4. 11. 2013

V tomto díle postřehů si povíme až neuvěřitelný příběh o novém typu malware a upravených USB klíčenkách pro delegáty summitu G20. Popíšeme pár nových chyb v sociálních sítích, zjistíme jak ochránit DNS servery před DDoS útoky a bude řeč také o Android Master Key chybě ve starém kabátu a spoustě dalšího.

Začněme příběhem Dragose Ruia (@dragosr, organizátor CanSecWest, PacSec a zakladatel Pwn2Own), který zní až příliš neuvěřitelně. Dostal se do kontaktu s malwarem/rootkitem/bootkitem, který označuje jako badBIOS. Představte si tento kód jako super-odolný virus, který nelze ze systému smazat reinstalací operačního systému, smazáním disku ani přepsáním firmwaru a s ostatními infikovanými počítači dokáže komunikovat i bez síťové, či bezdrátové karty pomocí zvukových vln o vysoké frekvenci (zvuková karta a mikrofon). Pozměňuje nastavení a chování operačního systému nezávisle na jeho typu (Linux, Windows, BSD, OS X,…) a pokud zaznamená činnost, která by mohla vést k jeho odhalení (nabootování z CD-ROMu, Process Monitor, hledání klíčů v registrech, …) tak tuto funkci prostě zablokuje.

Kdyby toto napsal někdo jiný a neměl za sebou podporu hned několika bezpečnostních odborníků, tak bych tomu asi nevěřil. Je to podobné spíš sci-fi v kombinaci s malwarem Flame, který napsala skupina lidí za podpory americké vlády, ale proč by někdo tímto (určitě velice, velice drahým na černém trhu) výjímečným kódem infikoval zrovna jednoho z největších bezpečnostních odborníků, aby byl odhalen? Spousta detailů o badBIOS je však neznámá.

Tento kód se šíří nejspíš USB klíčenkami a zřejmě využívá chybu BIOSu/UEFI při čtení disku. Zatím jen domněnky, které se snad brzy vyjasní, protože tento kód vyvolává mnohem více otázek než odpovědí a asi se s něčím podobným setkal jen málokdo. Další informace se dočtete na Errata Security.

Naše postřehy

Ebrahim Hegazy (Q-CERT) objevil vážnou chybu na Twitteru, která umožňovala uploadovat jakýkoliv soubor, včetně PHP. Kdokoliv si vytvořil účet na dev.twitter.com, tak mohl místo uploadu obrázku aplikace nahrát jakýkoliv soubor na CDN servery twimg.com a tím i např. spustit script na straně uživatele, který této doméně důvěřuje. V článku jsou i přiložena videa ukazující úspěšný upload souborů.

Mohamed Ramadan (Attack Secure) objevil v aplikaci Facebook pro Android chybu umožňující získání aktuálního Facebook tokenu jinou aplikací. Token je vlastně jedinečný identifikátor, kterým se prokazujete při každém použití Facebooku a jako takový je tím jediným, co útočník potřebuje ke kompromitování vašeho účtu.

Podle italského deníku La Stampa dostali delegáti během zářijového summitu G20 v Petrohradě v dárkové tašce upravenou USB klíčenku a nabíječku na telefon, aby bylo možné odposlouchávat mobilní telefon i počítač delegátů. I kdyby to nebyla pravda, určitě by to mělo vysokou úspěšnost.

Pro ty z vás, které zajímá nebo by mohlo zajímat Hardened Gentoo, vychází na InfoSec Institute seriál o tomto zajímavém rozšíření distribuce Gentoo, jejímž zaměřením je bezpečnost na úrovni operační systému. Pokud Hardened Gentoo již znáte, používáte a máte trochu času, tak se mi ozvěte. Securix GNU/Linux, který z této odnože vychází, je jen malý kousek od beta verze a uvítal bych pomoc.

Jak ochránit vaše DNS servery před DDoS útoky? Tomuto tématu se věnuje článek na InfoWorldu. Vlastně vám doporučí Anycast, cloud služby pro DNS a rate-limiting. Já bych ještě přihodil použití Truncated DNS flagu u klientů/domén s podezřele velkým nárůstem dotazů, kdy by se regulérní klient měl připojit na TCP, čímž odhalíte spoofnuté DNS dotazy. Jen upozorním, že ne každý DNS server ve firemní síti má povolen i TCP port 53 (DNS) do internetu, protože se primárně používá pro přenos zón, takže můžete teoreticky blokovat i regulérní server. Nicméně během velkého DoS útoku jsou vždy určité ztráty povoleny.

Dalším článkem na podobné téma je seznam programů a scriptů použitelných pro detekci, či přímo pro spuštění DoS útoků. Pokud ovládáte Linux, tak vám vlastně stačí jen hping3, netcatslowhttptest. Plně automatizované nástroje naštěstí nejsou zcela dostupné, ale napsat je na druhou stranu není takový problém.

Před několika týdny jsme informovali o napadení společnosti Adobe, kdy se útočníci dostali ke zdrojovým kódům velké části jejích produktů. Teď však vyšlo najevo, že míra napadení byla mnohem vyšší a útočníci se dostali k seznamu 38 milionů zákazníků Adobe, obsahující i hashe hesel, čísla kreditních karet atd.

Osmadvacetiletý muž z Anglie (Lauri Love) byl zatčen za nabourávání do amerických vládních systémů a klientských počítačů, NASA a amerických vojenských systémů. Spolu s dalšími třemi společníky plánoval útoky na IRC a s úlovky se chlubili na Twitteru. Do vládních databází se dostali díky SQL Injection a získali tak údaje o čtyřech tisících zaměstnancích vládních služeb.

WordPress od verze 3.7 přináší mimo vylepšení a opravy chyb především automatické bezpečnostní aktualizece. Hurá! Aktualizujte všechny domény používající WordPress na poslední verzi.

“Android Master Key” je chyba, která postihovala 99 % uživatelů Android zařízení a měla být opravena ve verzi 4.4. Jay Freeman (Cydia Software) však zjistil, že tato chyba stále existuje a napsal i proof-of-concept script v Pythonu.

widgety

Ve zkratce

Pro pobavení

Toto jsem si nemohl odpustit. :)

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: Další programatické formáty

Další programatické formáty

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Lupa.cz: Co všechno je Facebook schopný cenzurovat?

Co všechno je Facebook schopný cenzurovat?

DigiZone.cz: Jaká je Swisscom TV Air Free

Jaká je Swisscom TV Air Free

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Odkazy na pirátský obsah mohou být nelegální

Odkazy na pirátský obsah mohou být nelegální

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Vitalia.cz: Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vodárny varují: Ve vodě z kohoutku jsou bakterie

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip