Postřehy z bezpečnosti: chyby PayPal umožňující převzetí cizího účtu

Pavel Bašta 8. 12. 2014

V tomto díle Postřehů se podíváme na chyby v PayPal umožňující převzít kontrolu nad libovolným účtem. Dále se mimo jiné podíváme na narůstající počet PoS malware, operaci „DeathClick“, předinstalovaný malware na mobilních telefonech, na novou službu FLAB a na nový přístup k rozpoznání robota a uživatele.

Egyptský hacker demonstroval, jak snadno lze převzít kontrolu nad libovolným účtem služby PayPal. Jedná se o využití CSRF, Authentication token bypass a chyby umožňující resetování bezpečnostní otázky. PayPal sice implementoval pro ochranu proti CSRF používání tokenů, nepochopitelně je však možné tokeny pro dané uživatelské jméno či e-mail použít opakovaně.

Další chyba umožňovala útočníkovi resetovat bezpečnostní otázku a odpověď nastavenou vlastníkem účtu. Díky tomu pak bylo možné nastavit na účtu nové heslo. Chyby už PayPal naštěstí opravil. Dlužno říci, že s CSRF se poměrně často potkáváme i u stránek testovaných v rámci služby Skener webu, a to i u jinak dobře zabezpečených webů. Přitom je tato chyba dostatečně známa a je dobře popsána například v OWASP Top Ten. Jsou okamžiky, kdy si i nejvytrvalejší bezpečnostní evangelisté musí pokládat otázku, zda má smysl, jak říká anglické přísloví, bičovat zdechlého koně, a pokoušet se o nějakou osvětu a vzdělávání. Zvlášť když tato snaha nepadá na úrodnou půdu ani tam, kde se pracuje s penězi. Ona totiž chyba v nakládání s CSRF tokeny dokonce umožňovala získat CSRF token platný pro všechny uživatele služby.

Naše postřehy

V posledních měsících se roztrhl pytel se zprávami o nových  zástupcích point-of-sale (PoS) malware. Tato kategorie malware se zaměřuje na pokladní systémy, které díky čím dál častějším platbám kartami představují pro zločince lákavé sousto. Jen tento týden jsme zaznamenali informace o dvou nových kouscích, pojmenovaných ‚Poslogr‘ a ‚LusyPOS‘. ‚Poslogr‘ byl již distribuován pomocí drive-by download, vzorek ‚LusyPOS‘ se objevil ve službě virustotal.com před pár dny. To, že je služba virustotal.com zneužívána k testování nového malware, není žádné překvapení a experti se snaží nahrávané vzorky analyzovat a dále využít například k profilování jejich tvůrců. Pokud jde o množství napadení PoS malware, vedou USA, následované Taiwanem, Filipínami a Itálií.

Ruská skupina hackerů publikovala e-mailovou korespondenci, která obsahuje jména členů údajné skupiny, která má v Evropě využívat vliv svých členů ve prospěch Ruské federace. Jedná se o seznam vlivných lidí z mnoha zemí, mezi nimiž jsou například i Viktor Orbán nebo Robert Fico. Zajímavé je, že samotná skupina tvrdí, že tuto korespondenci našla volně dostupnou na internetu a nešlo o žádné proniknutí do cizí schránky. To je klidně možné, když uvážíme, jaké perly lze někdy najít na serverech jako je ulozto.cz, či pastebin.com.

Europol zavřel 292 domén prodávajících padělky. Do rozsáhlé akce bylo zapojeno 19 zemí a probíhá již od roku 2012. Z naší osobní zkušenosti jen doplním, že provozovatelé stránek s padělky výrobků jsou z pohledu poskytovatelů připojení a webhostingu veleváženými klienty. Obvykle do chvíle, kdy se jejich IP adresy kvůli spamu, jenž zpravidla tyto stránky doprovází, ocitnou na některém z blacklistů.

NSA v rámci operace AURORAGOLD hledá chyby v mobilních sítích po celém světě. Ovšem daleko horší je, že se také snaží o zanesení nových chyb do telekomunikačních systémů, aby následně mohla snadno odposlouchávat a sledovat jejich uživatele.

Při nedávné kampani pojmenované „operace DeathClick“ byl použit zajímavý způsob zacílení na specifické společnosti, společnosti s určitým zaměřením nebo na zajímavé uživatele. K tomuto útoku byl využit Real Time Bidding, což je technologie, umožňující nákup impresí reklamy v aukci. Tato aukce probíhá v reálném čase a imprese se prodá v podstatě během zobrazování stránky. V případě RTB tedy nejde o to, na kterém serveru se reklama zobrazí, ale jakému uživateli, či skupině uživatelů. Výhodou z pohledu útočníka je, že nemusí pro svou malvertising kampaň vybírat konkrétní server, na kterém by se mohly vyskytovat osoby z cílové skupiny, ale na základě rozpoznání uživatele z cílové skupiny napasovat svou reklamu do stránek, které uživatel navštíví. Operace „DeathClick“ cílila reklamu podle adresních rozsahů, PSČ a zájmů uživatele (které se dají vyčíst z uložených cookies).

Na telefonech prodávaných v Asii a Africe byl nalezen trojan DeathRing. Trojan byl nalezen přímo v systémové části telefonu, kam by běžní prodejci a zákazníci neměli mít přístup. To naznačuje, že se do telefonů dostal ještě během distribuce.

SpoofedMe je nový útok na „social login“, tedy přihlašování jedním účtem na více stránek, jaké nabízí například Facebook, nebo Twitter. V principu jde o to, že si útočník zaregistruje u poskytovatele identity falešný účet s e-mailovou adresou oběti. Následně, bez toho, že by proběhlo ověření vlastnictví e-mailové schránky, se útočník přihlásí do stránek služby, která využívá tohoto poskytovatele identity. Tato stránka si následně vyžádá uživatelské informace od poskytovatele identity a na základě poskytnuté e-mailové adresy přihlásí útočníka do účtu oběti.

I Jánošík by dojetím zamáčknul slzu. Kyberzločinci „štědře“ přispívají na charitu. Pokud někdo prodává či kupuje ukradená čísla kreditních karet, může využít služeb bota na IRC kanále. Tomuto botu se poskytnou čísla karet, která se mají ověřit. Bot pak provádí ověřování darováním menších částek na různé charitativní projekty. Tímto způsobem se prověří správnost údajů i to, že karta již nebyla zablokována. Charitativní projekty jsou dobrým cílem, protože se obvykle nesnaží darování peněz komplikovat, tedy žádné logování, žádná CAPTCHA, které by komplikovaly práci bota.

Když už jsme u té CAPTCHY, společnost Google nyní pouze na základě jednoho kliku myší dokáže říci, zda jste, či nejste robot. Celé ověření by nyní mělo být redukováno na jednoduchý checkbox, vedle kterého bude prohlášení „Nejsem robot“. Ne, není to fake, Google prý může v mnoha případech rozpoznat rozdíl mezi skutečným člověkem a automatickým robotem jednoduše sledováním vodítek nevyžadujících žádnou uživatelskou interakci. To napovídá, že rozlišení člověka a stroje může být až tak jemné, že bude záležet na pohybech myši před samotným kliknutím. Pokud se tato technologie rozšíří, bude to znamenat konec podobným intelektuálním výzvám, jako je ta na tomto screenshotu.

CAPTCHA s Čínskými znaky

CAPTCHA s čínskými znaky

Nová reCAPTCHA od Google bude o poznání méně zábavnější.

Nová reCAPTCHA Google.

Nová reCAPTCHA Google.

Další pozitivní zpráva přišla z našich luhů a hájů, Sdružení CESNET uvedlo do provozu forenzní laboratoř FLAB. Služby laboratoře jsou dostupné nejen účastníkům e-infrastruktury CESNET, ale ve volné kapacitě i dalším zájemcům.

Ve zkratce:

Hackeři v novém e-mailu vyhrožují zaměstnancům Sony
Další informace k hacknutí Sony: securityaffairs.co, thehackernews.com, securityweek.com, securityaffairs.co, thehackernews.comsecurityweek.com
USA varovali vojáky kvůli rizikům sociálních sítí
1,7 biliónu ročně je prý cena za výpadky a ztráty dat
Proč je naše online reputace důležitá
Záplata chyby v OpenVPN
Firefox verze 34 s vypnutým SSLv3
VMware záplatuje chyby v platformě vSphere

Google App Engine Java Security Sandbox bypasses

Závažná zranitelnost WordPress Download Manager

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

Podnikatel.cz: Spropitné a EET? Podle toho, kdo ho bere

Spropitné a EET? Podle toho, kdo ho bere

Vitalia.cz: Taky je nosíte? Barefoot není pro každého

Taky je nosíte? Barefoot není pro každého

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu

Měšec.cz: Banky umí platby na kartu, jen to neříkají

Banky umí platby na kartu, jen to neříkají

Vitalia.cz: Pepsi Cola mění sirup za cukr

Pepsi Cola mění sirup za cukr

DigiZone.cz: Skylink o půlnoci vypnul 12 525

Skylink o půlnoci vypnul 12 525

Lupa.cz: IT scéna po brexitu: přijde exodus vývojářů?

IT scéna po brexitu: přijde exodus vývojářů?

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Měšec.cz: Investice do drahých kovů - znáte základní chyby?

Investice do drahých kovů - znáte základní chyby?

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Vitalia.cz: Tohle je Břicháč Tom, co zhubnul 27 kg

Tohle je Břicháč Tom, co zhubnul 27 kg

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Lupa.cz: Největší torrentový web KickassTorrents padl

Největší torrentový web KickassTorrents padl

Podnikatel.cz: Tahle praktika stála šmejdy přes milion

Tahle praktika stála šmejdy přes milion

DigiZone.cz: Android TV: s jakým pracuje rozlišením?

Android TV: s jakým pracuje rozlišením?

Podnikatel.cz: 3 velké průšvihy obchodních řetězců

3 velké průšvihy obchodních řetězců