Postřehy z bezpečnosti: black market Silk Road byl zavřen FBI

Martin Čmelík 7. 10. 2013

V tomto díle vás čekají informace o zatčení a autorovi serveru Silk Road, napadení společnosti Adobe a zcizení zdrojových kódů, odstavení serveru Bitcoin Talk, jak šmíruje NSA Tor síť, co je to spear-phishing, crackování PIN k Android zařízením, analýza 0day exploitu na všechny verze Internet Exploreru a další.

FBI uzavřela nejznámější server s nabídkou ilegálních produktů a služeb jménem Silk Road. Na tomto serveru bylo možné koupit vše od drog, zbraní, DoS útoků, bankovních karet až po nájemné vraždy. FBI vystopovala 29letého správce serveru, vystupujícího pod nickem Dread Pirate Roberts (pravým jménem Ross William Ulbricht) v San Francisku, který měl prý na kontě 26 000 Bitcoinů (přibližně 68 milionů korun). Je obžalován mimo jiné i za to, že měl požádat 29. března jednoho uživatele Silk Road o vraždu jiného z členů, protože hrozil uvolnit seznam všech uživatelů Silk Road na Internet. Ulbricht byl zadržen v sanfranciské knihovně, kde agenti čekali, až zadá svoje heslo do notebooku.

Server Silk Road byl v provozu od roku 2011, měl přes milión registrovaných uživatelů, transakčně přes server prošlo 1,2 miliardy USD a Ulbricht si jen na poplatcích přišel na 80 milionů USD. Mimo ilegálního sortimentu všeho druhu obsahoval server i návody na hacking bankomatů, kontaktní seznam na členy podsvětí a tak dále. Silk Road byl dostupný jen přes hidden služby Tor sítě a byl tak těžce vystopovatelný. K dopadení Ulbrichta napomohly stopy, které zanechal na serveru Bitcoin Talk, Youtube a StackOverflow, když se ptal na rady ohledně anonymizace a bezpečnosti webových služeb pod svým skutečným jménem, které poté implementoval na Silk Road. Dalším pojítkem byl i jeho LinkedIn profil.

Naše postřehy

Společnost Adobe se stala cílem úspěšného útoku. Útočníci se dostali k údajům třech milionů uživatelů a zdrojovým kódům produktů Adobe, jako například Acrobat Reader, Cold Fusion a zřejmě i ke všem dalším. To může mít za následek zvýšený výskyt 0day exploitů na rodinu produktů Adobe, protože útočníci ze zdrojových kódů mohou vyčíst, jak obejít bezpečnostní schémata, filtry, šifrovací algoritmy a další bezpečnostní prvky. Adobe CSO Brad Arkin doporučil zákazníkům update všech Adobe produktů na poslední verzi, případně pak odkázal na doporučení z “ColdFusion Lockdown Guide”.

Útočníci provedli útok přibližně v půlce srpna a byly to ti samí, co stáli za útokem na společnost LexisNexis, Dun & Bradstreet, Kroll a další velké americké brokery. O útoku se dozvěděl Brian Krebs ve spolupráci s Alexem Holdenem, když na serveru hackerů nalezli 40GB zdrojových kódů.

Populární Bitcoin fórum BitcoinTalk.org bylo defacenuto skupinou označující se “The Hole Seekers”. Web byl odstaven a podle vyjádření správce (Theymos) mohli útočníci získat přístup k databázi. Nabízí 50 bitcoinů (cca 125 000 Kč) tomu, kdo může popsat, jak k útoku mohlo dojít. K útoku došlo jen pár hodin poté co FBI odstavila Silk Road. Na web umístila skupina animaci obsahující na pozadí Čajkovského Slavnostní předehru 1812, která je vám možná důvěrně známá z filmu V jako Vendeta, kdy hrála v ulicích během výbuchu budovy soudu totalitní Británie. Video s animací můžete shlédnout zde. Útočníci navíc nabídli k prodeji 150 000 emailových adres z fóra a hash hesel za 25 Bitcoinů.

Podle nových dokumentů od Edwarda Snowdena NSA sleduje uživatele Tor sítě i pomocí cookies. Pro sledování používají:

1) Vlastní Tor servery se sledováním

2) Vkládání 0day exploitu na Firefox do komunikace

3) Trasování pomocí cookies

Provozujete na svém webu WordPress? Nechcete být součástí 73% náchylných webů s WordPressem? Přečtěte si několik rad na Naked Security.

Existuje mnoho způsobů, jak dostat zákeřný kód do PC. Není tedy divu, že se tento stav věcí týká i zařízení s Androidem. Co může uživatele Androidu potkat? Jaké mohou být následky? A může se nějak bránit…?

Spear-phishing se od samotného počátku stává velkým problémem. Už proto, že je pro běžného uživatele velmi náročné ho odhalit. Není proto divu, že tento sofistikovaný typ phishingu dosahuje vysoké úspěšnosti a dokáže napáchat více škody, než běžný útok nebo napadení firemní sítě malwarem.

R2B2 je robot konstruovaný za účelem bruteforce útoku na váš PIN k odemčení Android zařízení, ale ve výsledku je to aplikovatelné na jakýkoliv dotykový mobil. Byl vytvořen na 3D tiskárně a dokáže prý uhodnout jakýkoliv PIN za jeden den. Ve článku je i přiložené video ukazující, jak R2B2 pracuje na jednom z telefonů. Pokud to Android umožňuje, nastavte si limit pro maximální počet neúspěšných zadání PIN.

Brian Krebs uvádí, že odhalil skupinu zaměřující se na kradení identit. Tato skupina měla být zdrojem hacku tří hlavních data brokerů. Ukradené identity jsou prodávány za 50 centů jedna.

Analýza 0day exploitu využívající chyby CVE-2013–3893. Jedná se o dříve avizovaný exploit pro Microsoft IE ve všech verzích. Analýza je postavena na datech získaných z reálného útoku na zákazníka společnosti Websense. Další podrobnosti se dozvíte v analýze společnosti Kaspersky.

Anonymní vyhledávač DuckDuckGo navýšil anonymitu pomocí aplikace na Android využívající Tor síť. Vyhledávač DuckDuckGo používá služby Googlu, ale zavazuje se, že vaše originální IP, či další údaje umožňující vaši identifikaci, nejsou předány dál.

Server Novinky.cz informoval o “novém útoku” s falešnými platebními terminály, kdy vám útočník může kartu naklonovat a následně vybrat účet. O tomto “novém” útoku jsem viděl dokument tak před 10 lety.

Populární software WHMCS, používaný především hostingovými společnostmi obsahuje kritickou chybu umožňující SQL Injection. Tato chyba se stala vektorem útoku vůči jedné z největších webhostingových společností LeaseWeb. Opravné verze jsou již vydány.

Ve zkratce

Pro pobavení

Jedna programátorská říkanka na závěr:

widgety

99 little bugs in the code
99 little bugs in the code
Take one down, patch it around
117 little bugs in the code

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Opuncie je plod kaktusu. Pozor na trny

Opuncie je plod kaktusu. Pozor na trny

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Podnikatel.cz: Chystá se smršť legislativních novinek

Chystá se smršť legislativních novinek

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu