Postřehy z bezpečnosti: FBI se dostala do iPhonu

Martin Čmelík 4. 4. 2016

Dnes si řekneme, co dosud víme o odemčení iPhonu v FBI, na novou zranitelnost OS X, o Bashi na Windows 10, jak CloudFlare říká, že 94 % Tor provozu je škodlivá komunikace, jak se chová ransomware Petya a mnoho dalšího.

Před několika týdny jsme psali v Postřezích o případu, kdy FBI chtěla po Applu, aby jim vytvořili zadní vrátka do iPhonu. Apple toto odmítl a začal se s FBI soudit. V tomto sporu získali spoustu podporovatelů mezi velkými společnostmi, významnými osobnostmi a samozřejmě komunitou.

Podle soudního záznamu již však FBI přístup k datům na telefonu má a tak již nepožaduje spolupráci ze strany Applu. K tomu si FBI najala externí společnost a v několika zdrojích se zmiňuje izraelská společnost Cellebrite, která se zabývá forenzní analýzou mobilních zařízení.

Na internetu se spekuluje, že k tomu použili klonování obsahu NAND paměti (NAND mirroring). Tj. pokud se iPhone zablokuje po deseti špatně zadaných heslech, tak jich vyzkoušejme devět a pak přepíšeme paměť do původního stavu, aby si iPhone myslel, že jsme ještě žádné heslo nezadali. Případně pokud není nastavená ochrana na počet špatně zadaných hesel, tak by se kopírování NAND paměti použilo s každou dávkou testovaných hesel, protože tím tak předejdeme aplikování časových zpoždění, které jsou mezi hesly a s počtem špatně zadaných hesel narůstají.

Další možností, jak by se dal provést bruteforce na heslo, je zablokovat iOSu možnost zapsaní počtu špatně zadaných hesel, což bylo možné v iOS 8. Od iOS 9 to však již možné není, protože iOS už i ověřuje, že informace o počtu špatně zadaných hesel se opravdu zapsala.

Pravděpodobně se Apple teď bude soudit s FBI, aby jim řekli, jak přesně se do něj dostali a tím chybu opravili. Buď s další aktualizací, či novým iZařízením s upraveným HW.

Naše postřehy

Výzkumníci Avi Bashan a Ohad Bobrov z Check Pointu zveřejnili na konferenci Black Hat Asia zranitelnost v poslední verzi iOS systému umožňující man-in-the-middle útoky pomocí přesměrování komunikace mezi zařízením a enterprise storem. Teď je však důležité zmínit za jakých okolností. Vaše zařízení musí být pod správou firemního MDM (Mobile Device Management), potom vám útočníci pošlou SMS s odkazem na nový bezpečnostní profil telefonu, u kterého musíte několikrát potvrdit, že si ho opravdu chcete nainstalovat, i když je podepsaný nedůvěryhodnou autoritou a že chápete že se může změnit vaše systémové nastavení. Pokud toto vše slepě akceptujete, tak se vám do systému nainstaluje nová certifikační autorita a komunikace s MDM se přesměruje přes proxy ovládanou útočníky, aby mohli fungovat jako man-in-the-middle a dešifrovat komunikaci zařízení s MDM. V extrémním případě je tak možné i ovládnout zařízení. Takže ano, je to chyba MDM protokolu, ale pravděpodobnost zneužití již není tak velká. Chybě dali jméno SideStepper.

“Microsoft loves Linux” je nový slogan Microsoftu. Skrývá se za ním to, že s další aktualizací Windows 10 nebo z Windows Storu budete schopni nativně (ne jen ve virtuálním prostředí) spustit BASH v tomto operačním systému. S integrací jim pomohli lidé z Canonicalu stojící mimo jiné za distribucí Ubuntu. Nejedná se o náhradu Cygwinu, kterýžto má binární soubory zkompilované ze zdrojových kódů pro běh ve Windows. Nativně v tomto termínu opravdu znamená spuštění naprosto totožných ELF souborů. Pro nás ostatní to znamená, že budeme moci odinstalovat cygwin na firemních počítačích a i tak zachovat jejich použitelnost.

Podle statistik společnosti CloudFlare je až 94 % komunikace ze sítě Tor označená jako škodlivá. Jedná se většinou o automatizované komentářové spamy a útoky. Společnost CloudFlare vidí až 12 % veškerého provozu na Internetu, protože poskytuje DDoS a webovou aplikační ochranu velkým společnostem až po ty nejmenší blogy jednotlivců. Protože si cení smyslu sítě Tor, tak se nesnaží klienty za touto sítí deanonymizovat či úplně blokovat, ale svým zákazníkům nabízí například možnost oveřění pomocí captcha u podezřelého provozu z těchto sítí na jejich služby.

Máme tu nový ransomware zvaný Petya. Liší se především v tom, že nešifruje soubory, ale jen MFT (Master File Table) tabulku v MBR. MFT obsahuje informace a metadata o všech souborech a složkách na vašem souborovém systému. Pokud se vám tento soubor pokazí, tak se použije druhý, který funguje jako záložní. Pokud vám však ransomware oba zašifruje, tak systém v podstatě nedokážete nastartovat, protože neví, kde má soubory na souborovém systému najít. Místo toho, aby selektivně šifroval soubory na systému, tak zašifruje jen tu MFT tabulku, což je rozhodně efektivnější. Nicméně naštěstí se nejedná o šifrování, ale o pouhý XOR, takže nemusíte zaplatit výkupné.

Tor vrací úder. FBI použila pro odhalení zdrojových adres návštěvníků serveru s dětskou pornografií něco, čemu říká Network Investigate Technique (NIT). V překladu FBI má hacking tool, který jim umožňuje identifikovat uživatele přistupující pomocí Tor protokolu na server, kde běží hidden služba. Tor FBI zažaloval a požaduje zveřejnění technických detailů které k tomu NIT používá. S FBI jsou teď minimálně ve dvou sporech, protože ještě stále běží soud ohledně jednoho milionu dolarů, který FBI zaplatila univerzitě Carnegie Mellon. Tento obnos získali s cílem toho, aby našli chybu v Tor protokolu, která by jim pomohla deanonymizovat všechny uživatele Toru.

widgety

Ve zkratce

Pro pobavení

Takto dnešní antiviry fungují :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Opuncie je plod kaktusu. Pozor na trny

Opuncie je plod kaktusu. Pozor na trny

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Kterou dýni můžete jíst za syrova?

Kterou dýni můžete jíst za syrova?

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Koncesionářské poplatky pro RTVS

Koncesionářské poplatky pro RTVS