Postřehy z bezpečnosti: chyby PayPal umožňující převzetí cizího účtu

Pavel Bašta 8. 12. 2014

V tomto díle Postřehů se podíváme na chyby v PayPal umožňující převzít kontrolu nad libovolným účtem. Dále se mimo jiné podíváme na narůstající počet PoS malware, operaci „DeathClick“, předinstalovaný malware na mobilních telefonech, na novou službu FLAB a na nový přístup k rozpoznání robota a uživatele.

Egyptský hacker demonstroval, jak snadno lze převzít kontrolu nad libovolným účtem služby PayPal. Jedná se o využití CSRF, Authentication token bypass a chyby umožňující resetování bezpečnostní otázky. PayPal sice implementoval pro ochranu proti CSRF používání tokenů, nepochopitelně je však možné tokeny pro dané uživatelské jméno či e-mail použít opakovaně.

Další chyba umožňovala útočníkovi resetovat bezpečnostní otázku a odpověď nastavenou vlastníkem účtu. Díky tomu pak bylo možné nastavit na účtu nové heslo. Chyby už PayPal naštěstí opravil. Dlužno říci, že s CSRF se poměrně často potkáváme i u stránek testovaných v rámci služby Skener webu, a to i u jinak dobře zabezpečených webů. Přitom je tato chyba dostatečně známa a je dobře popsána například v OWASP Top Ten. Jsou okamžiky, kdy si i nejvytrvalejší bezpečnostní evangelisté musí pokládat otázku, zda má smysl, jak říká anglické přísloví, bičovat zdechlého koně, a pokoušet se o nějakou osvětu a vzdělávání. Zvlášť když tato snaha nepadá na úrodnou půdu ani tam, kde se pracuje s penězi. Ona totiž chyba v nakládání s CSRF tokeny dokonce umožňovala získat CSRF token platný pro všechny uživatele služby.

Naše postřehy

V posledních měsících se roztrhl pytel se zprávami o nových  zástupcích point-of-sale (PoS) malware. Tato kategorie malware se zaměřuje na pokladní systémy, které díky čím dál častějším platbám kartami představují pro zločince lákavé sousto. Jen tento týden jsme zaznamenali informace o dvou nových kouscích, pojmenovaných ‚Poslogr‘ a ‚LusyPOS‘. ‚Poslogr‘ byl již distribuován pomocí drive-by download, vzorek ‚LusyPOS‘ se objevil ve službě virustotal.com před pár dny. To, že je služba virustotal.com zneužívána k testování nového malware, není žádné překvapení a experti se snaží nahrávané vzorky analyzovat a dále využít například k profilování jejich tvůrců. Pokud jde o množství napadení PoS malware, vedou USA, následované Taiwanem, Filipínami a Itálií.

Ruská skupina hackerů publikovala e-mailovou korespondenci, která obsahuje jména členů údajné skupiny, která má v Evropě využívat vliv svých členů ve prospěch Ruské federace. Jedná se o seznam vlivných lidí z mnoha zemí, mezi nimiž jsou například i Viktor Orbán nebo Robert Fico. Zajímavé je, že samotná skupina tvrdí, že tuto korespondenci našla volně dostupnou na internetu a nešlo o žádné proniknutí do cizí schránky. To je klidně možné, když uvážíme, jaké perly lze někdy najít na serverech jako je ulozto.cz, či pastebin.com.

Europol zavřel 292 domén prodávajících padělky. Do rozsáhlé akce bylo zapojeno 19 zemí a probíhá již od roku 2012. Z naší osobní zkušenosti jen doplním, že provozovatelé stránek s padělky výrobků jsou z pohledu poskytovatelů připojení a webhostingu veleváženými klienty. Obvykle do chvíle, kdy se jejich IP adresy kvůli spamu, jenž zpravidla tyto stránky doprovází, ocitnou na některém z blacklistů.

NSA v rámci operace AURORAGOLD hledá chyby v mobilních sítích po celém světě. Ovšem daleko horší je, že se také snaží o zanesení nových chyb do telekomunikačních systémů, aby následně mohla snadno odposlouchávat a sledovat jejich uživatele.

Při nedávné kampani pojmenované „operace DeathClick“ byl použit zajímavý způsob zacílení na specifické společnosti, společnosti s určitým zaměřením nebo na zajímavé uživatele. K tomuto útoku byl využit Real Time Bidding, což je technologie, umožňující nákup impresí reklamy v aukci. Tato aukce probíhá v reálném čase a imprese se prodá v podstatě během zobrazování stránky. V případě RTB tedy nejde o to, na kterém serveru se reklama zobrazí, ale jakému uživateli, či skupině uživatelů. Výhodou z pohledu útočníka je, že nemusí pro svou malvertising kampaň vybírat konkrétní server, na kterém by se mohly vyskytovat osoby z cílové skupiny, ale na základě rozpoznání uživatele z cílové skupiny napasovat svou reklamu do stránek, které uživatel navštíví. Operace „DeathClick“ cílila reklamu podle adresních rozsahů, PSČ a zájmů uživatele (které se dají vyčíst z uložených cookies).

Na telefonech prodávaných v Asii a Africe byl nalezen trojan DeathRing. Trojan byl nalezen přímo v systémové části telefonu, kam by běžní prodejci a zákazníci neměli mít přístup. To naznačuje, že se do telefonů dostal ještě během distribuce.

SpoofedMe je nový útok na „social login“, tedy přihlašování jedním účtem na více stránek, jaké nabízí například Facebook, nebo Twitter. V principu jde o to, že si útočník zaregistruje u poskytovatele identity falešný účet s e-mailovou adresou oběti. Následně, bez toho, že by proběhlo ověření vlastnictví e-mailové schránky, se útočník přihlásí do stránek služby, která využívá tohoto poskytovatele identity. Tato stránka si následně vyžádá uživatelské informace od poskytovatele identity a na základě poskytnuté e-mailové adresy přihlásí útočníka do účtu oběti.

I Jánošík by dojetím zamáčknul slzu. Kyberzločinci „štědře“ přispívají na charitu. Pokud někdo prodává či kupuje ukradená čísla kreditních karet, může využít služeb bota na IRC kanále. Tomuto botu se poskytnou čísla karet, která se mají ověřit. Bot pak provádí ověřování darováním menších částek na různé charitativní projekty. Tímto způsobem se prověří správnost údajů i to, že karta již nebyla zablokována. Charitativní projekty jsou dobrým cílem, protože se obvykle nesnaží darování peněz komplikovat, tedy žádné logování, žádná CAPTCHA, které by komplikovaly práci bota.

Když už jsme u té CAPTCHY, společnost Google nyní pouze na základě jednoho kliku myší dokáže říci, zda jste, či nejste robot. Celé ověření by nyní mělo být redukováno na jednoduchý checkbox, vedle kterého bude prohlášení „Nejsem robot“. Ne, není to fake, Google prý může v mnoha případech rozpoznat rozdíl mezi skutečným člověkem a automatickým robotem jednoduše sledováním vodítek nevyžadujících žádnou uživatelskou interakci. To napovídá, že rozlišení člověka a stroje může být až tak jemné, že bude záležet na pohybech myši před samotným kliknutím. Pokud se tato technologie rozšíří, bude to znamenat konec podobným intelektuálním výzvám, jako je ta na tomto screenshotu.

CAPTCHA s Čínskými znaky

CAPTCHA s čínskými znaky

Nová reCAPTCHA od Google bude o poznání méně zábavnější.

Nová reCAPTCHA Google.

Nová reCAPTCHA Google.

Další pozitivní zpráva přišla z našich luhů a hájů, Sdružení CESNET uvedlo do provozu forenzní laboratoř FLAB. Služby laboratoře jsou dostupné nejen účastníkům e-infrastruktury CESNET, ale ve volné kapacitě i dalším zájemcům.

Ve zkratce:

Hackeři v novém e-mailu vyhrožují zaměstnancům Sony
Další informace k hacknutí Sony: securityaffairs.co, thehackernews.com, securityweek.com, securityaffairs.co, thehackernews.comsecurityweek.com
USA varovali vojáky kvůli rizikům sociálních sítí
1,7 biliónu ročně je prý cena za výpadky a ztráty dat
Proč je naše online reputace důležitá
Záplata chyby v OpenVPN
Firefox verze 34 s vypnutým SSLv3
VMware záplatuje chyby v platformě vSphere

Google App Engine Java Security Sandbox bypasses

Závažná zranitelnost WordPress Download Manager

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

Podnikatel.cz: Babiš bude mít přehled o vašich účtech

Babiš bude mít přehled o vašich účtech

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

120na80.cz: Kam umístit silikony?

Kam umístit silikony?

Měšec.cz: Investiční pasti. Děláte to, co ostatní, ale proděláváte

Investiční pasti. Děláte to, co ostatní, ale proděláváte

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

DigiZone.cz: První Ultra HD (4K) Blu-ray je tady

První Ultra HD (4K) Blu-ray je tady

Podnikatel.cz: Oznamte skutečné sídlo firmy, jinak zaplatíte

Oznamte skutečné sídlo firmy, jinak zaplatíte

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Podnikatel.cz: Kauza z Vinohrad pokračuje. Policie se omlouvá

Kauza z Vinohrad pokračuje. Policie se omlouvá

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Vitalia.cz: Za její cukrovkou stojí rodiče

Za její cukrovkou stojí rodiče

Lupa.cz: Olympiáda zakázala GIFy. Moc to nepomáhá

Olympiáda zakázala GIFy. Moc to nepomáhá