Postřehy z bezpečnosti: chyby PayPal umožňující převzetí cizího účtu

Pavel Bašta 8. 12. 2014

V tomto díle Postřehů se podíváme na chyby v PayPal umožňující převzít kontrolu nad libovolným účtem. Dále se mimo jiné podíváme na narůstající počet PoS malware, operaci „DeathClick“, předinstalovaný malware na mobilních telefonech, na novou službu FLAB a na nový přístup k rozpoznání robota a uživatele.

Egyptský hacker demonstroval, jak snadno lze převzít kontrolu nad libovolným účtem služby PayPal. Jedná se o využití CSRF, Authentication token bypass a chyby umožňující resetování bezpečnostní otázky. PayPal sice implementoval pro ochranu proti CSRF používání tokenů, nepochopitelně je však možné tokeny pro dané uživatelské jméno či e-mail použít opakovaně.

Další chyba umožňovala útočníkovi resetovat bezpečnostní otázku a odpověď nastavenou vlastníkem účtu. Díky tomu pak bylo možné nastavit na účtu nové heslo. Chyby už PayPal naštěstí opravil. Dlužno říci, že s CSRF se poměrně často potkáváme i u stránek testovaných v rámci služby Skener webu, a to i u jinak dobře zabezpečených webů. Přitom je tato chyba dostatečně známa a je dobře popsána například v OWASP Top Ten. Jsou okamžiky, kdy si i nejvytrvalejší bezpečnostní evangelisté musí pokládat otázku, zda má smysl, jak říká anglické přísloví, bičovat zdechlého koně, a pokoušet se o nějakou osvětu a vzdělávání. Zvlášť když tato snaha nepadá na úrodnou půdu ani tam, kde se pracuje s penězi. Ona totiž chyba v nakládání s CSRF tokeny dokonce umožňovala získat CSRF token platný pro všechny uživatele služby.

Naše postřehy

V posledních měsících se roztrhl pytel se zprávami o nových  zástupcích point-of-sale (PoS) malware. Tato kategorie malware se zaměřuje na pokladní systémy, které díky čím dál častějším platbám kartami představují pro zločince lákavé sousto. Jen tento týden jsme zaznamenali informace o dvou nových kouscích, pojmenovaných ‚Poslogr‘ a ‚LusyPOS‘. ‚Poslogr‘ byl již distribuován pomocí drive-by download, vzorek ‚LusyPOS‘ se objevil ve službě virustotal.com před pár dny. To, že je služba virustotal.com zneužívána k testování nového malware, není žádné překvapení a experti se snaží nahrávané vzorky analyzovat a dále využít například k profilování jejich tvůrců. Pokud jde o množství napadení PoS malware, vedou USA, následované Taiwanem, Filipínami a Itálií.

Ruská skupina hackerů publikovala e-mailovou korespondenci, která obsahuje jména členů údajné skupiny, která má v Evropě využívat vliv svých členů ve prospěch Ruské federace. Jedná se o seznam vlivných lidí z mnoha zemí, mezi nimiž jsou například i Viktor Orbán nebo Robert Fico. Zajímavé je, že samotná skupina tvrdí, že tuto korespondenci našla volně dostupnou na internetu a nešlo o žádné proniknutí do cizí schránky. To je klidně možné, když uvážíme, jaké perly lze někdy najít na serverech jako je ulozto.cz, či pastebin.com.

Europol zavřel 292 domén prodávajících padělky. Do rozsáhlé akce bylo zapojeno 19 zemí a probíhá již od roku 2012. Z naší osobní zkušenosti jen doplním, že provozovatelé stránek s padělky výrobků jsou z pohledu poskytovatelů připojení a webhostingu veleváženými klienty. Obvykle do chvíle, kdy se jejich IP adresy kvůli spamu, jenž zpravidla tyto stránky doprovází, ocitnou na některém z blacklistů.

NSA v rámci operace AURORAGOLD hledá chyby v mobilních sítích po celém světě. Ovšem daleko horší je, že se také snaží o zanesení nových chyb do telekomunikačních systémů, aby následně mohla snadno odposlouchávat a sledovat jejich uživatele.

Při nedávné kampani pojmenované „operace DeathClick“ byl použit zajímavý způsob zacílení na specifické společnosti, společnosti s určitým zaměřením nebo na zajímavé uživatele. K tomuto útoku byl využit Real Time Bidding, což je technologie, umožňující nákup impresí reklamy v aukci. Tato aukce probíhá v reálném čase a imprese se prodá v podstatě během zobrazování stránky. V případě RTB tedy nejde o to, na kterém serveru se reklama zobrazí, ale jakému uživateli, či skupině uživatelů. Výhodou z pohledu útočníka je, že nemusí pro svou malvertising kampaň vybírat konkrétní server, na kterém by se mohly vyskytovat osoby z cílové skupiny, ale na základě rozpoznání uživatele z cílové skupiny napasovat svou reklamu do stránek, které uživatel navštíví. Operace „DeathClick“ cílila reklamu podle adresních rozsahů, PSČ a zájmů uživatele (které se dají vyčíst z uložených cookies).

Na telefonech prodávaných v Asii a Africe byl nalezen trojan DeathRing. Trojan byl nalezen přímo v systémové části telefonu, kam by běžní prodejci a zákazníci neměli mít přístup. To naznačuje, že se do telefonů dostal ještě během distribuce.

SpoofedMe je nový útok na „social login“, tedy přihlašování jedním účtem na více stránek, jaké nabízí například Facebook, nebo Twitter. V principu jde o to, že si útočník zaregistruje u poskytovatele identity falešný účet s e-mailovou adresou oběti. Následně, bez toho, že by proběhlo ověření vlastnictví e-mailové schránky, se útočník přihlásí do stránek služby, která využívá tohoto poskytovatele identity. Tato stránka si následně vyžádá uživatelské informace od poskytovatele identity a na základě poskytnuté e-mailové adresy přihlásí útočníka do účtu oběti.

I Jánošík by dojetím zamáčknul slzu. Kyberzločinci „štědře“ přispívají na charitu. Pokud někdo prodává či kupuje ukradená čísla kreditních karet, může využít služeb bota na IRC kanále. Tomuto botu se poskytnou čísla karet, která se mají ověřit. Bot pak provádí ověřování darováním menších částek na různé charitativní projekty. Tímto způsobem se prověří správnost údajů i to, že karta již nebyla zablokována. Charitativní projekty jsou dobrým cílem, protože se obvykle nesnaží darování peněz komplikovat, tedy žádné logování, žádná CAPTCHA, které by komplikovaly práci bota.

Když už jsme u té CAPTCHY, společnost Google nyní pouze na základě jednoho kliku myší dokáže říci, zda jste, či nejste robot. Celé ověření by nyní mělo být redukováno na jednoduchý checkbox, vedle kterého bude prohlášení „Nejsem robot“. Ne, není to fake, Google prý může v mnoha případech rozpoznat rozdíl mezi skutečným člověkem a automatickým robotem jednoduše sledováním vodítek nevyžadujících žádnou uživatelskou interakci. To napovídá, že rozlišení člověka a stroje může být až tak jemné, že bude záležet na pohybech myši před samotným kliknutím. Pokud se tato technologie rozšíří, bude to znamenat konec podobným intelektuálním výzvám, jako je ta na tomto screenshotu.

CAPTCHA s Čínskými znaky

CAPTCHA s čínskými znaky

Nová reCAPTCHA od Google bude o poznání méně zábavnější.

Nová reCAPTCHA Google.

Nová reCAPTCHA Google.

Další pozitivní zpráva přišla z našich luhů a hájů, Sdružení CESNET uvedlo do provozu forenzní laboratoř FLAB. Služby laboratoře jsou dostupné nejen účastníkům e-infrastruktury CESNET, ale ve volné kapacitě i dalším zájemcům.

Ve zkratce:

Hackeři v novém e-mailu vyhrožují zaměstnancům Sony
Další informace k hacknutí Sony: securityaffairs.co, thehackernews.com, securityweek.com, securityaffairs.co, thehackernews.comsecurityweek.com
USA varovali vojáky kvůli rizikům sociálních sítí
1,7 biliónu ročně je prý cena za výpadky a ztráty dat
Proč je naše online reputace důležitá
Záplata chyby v OpenVPN
Firefox verze 34 s vypnutým SSLv3
VMware záplatuje chyby v platformě vSphere

Google App Engine Java Security Sandbox bypasses

Závažná zranitelnost WordPress Download Manager

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: Kritické poznámky k DVB-T2

Kritické poznámky k DVB-T2

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

Podnikatel.cz: Neuvěříte, ale EET má pro podnikatele i výhody
MarketVoice

Neuvěříte, ale EET má pro podnikatele i výhody

DigiZone.cz: Satelitní Flix TV vyráží do boje

Satelitní Flix TV vyráží do boje

Měšec.cz: Práce na tři směny? Neblázněte, mám doma psa

Práce na tři směny? Neblázněte, mám doma psa

Root.cz: Quake slaví 20 let novou epizodou zdarma

Quake slaví 20 let novou epizodou zdarma

Lupa.cz: Zaměstnanec T-Mobilu ukradl data o zákaznících

Zaměstnanec T-Mobilu ukradl data o zákaznících

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Lupa.cz: Vydavatelé jsou v háji, ale neumí si to připustit

Vydavatelé jsou v háji, ale neumí si to připustit

Měšec.cz: Rusové platí mobilem. Funguje to i v Česku

Rusové platí mobilem. Funguje to i v Česku

Podnikatel.cz: Babiš představil daňovou revoluci Moje daně

Babiš představil daňovou revoluci Moje daně

Lupa.cz: Facebook tlačí Moments a hrozí mazáním fotek

Facebook tlačí Moments a hrozí mazáním fotek

Měšec.cz: Inspirujte se: kam investují čeští dolaroví milionáři?

Inspirujte se: kam investují čeští dolaroví milionáři?

Lupa.cz: Jaké IoT tarify nabízejí mobilní operátoři?

Jaké IoT tarify nabízejí mobilní operátoři?

DigiZone.cz: Slováci první, Češi třetí. Krásný...

Slováci první, Češi třetí. Krásný...

Měšec.cz: Aukce o levnější energie: přešla čtvrtina, ušetří 170 milionů

Aukce o levnější energie: přešla čtvrtina, ušetří 170 milionů

120na80.cz: Krémy, nebo spreje na opalování?

Krémy, nebo spreje na opalování?

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory