Postřehy z bezpečnosti: jak to dopadá, když někdo šmíráky nabourá

Martin Čmelík 13. 7. 2015

V tomto díle postřehů se podíváme blíže na to, co bylo nalezeno ve 400 GB dat z nabourané šmírovací společnosti Hacking Team, dále pak na to, že v německém raketovém systému došlo ke spuštění nevysvětlitelných příkazů, na chybu v Google Chrome umožňující spoofing URL v adresním řádku a mnoho dalšího.

Hlavní zprávou tohoto týdne je jednoznačně hack Hacking Teamu, italské společnosti prodávající šmírovací software včetně celé infrastruktury vládám a státním organizacím. V podstatě se však ukázalo, že komukoliv kdo má peníze. Nemusíte vědět ani co je to exploit, stačí jen zaplatit pár desítek či stovek tisíc dolarů a z kontrolního centra řídíte infikování a sběr dat od šmírovaných uživatelů. Tak právě takovouto společnost někdo napadl (jejich bezpečnost byla slabá a hesla zaměstnanců také) a na Internetu zveřejnil 400 GB firemních dat včetně emailů, zdrojových kódu a dokumentů.

Pěkný článek o tom vyšel zde na Rootu, takže není třeba sepisovat to, co už bylo řečeno, ale od té doby se vyskytlo pár nových poznatků, které bych tu chtěl shrnout.

Předně ve zdrojových kódech byly nalezeny tři 0day exploity (2× Adobe Flash, 1× Windows Kernel), díky kterým jste mohli neidentifikovatelně infikovat jakýkoliv počítač s téměř jakýmkoliv prohlížečem používající Adobe Flash. První z nich (Use After Free) našel Trend Micro, má označení CVE-2015–5119, umožňuje spuštění vzdáleného kódu a CVSS závažnost je 10.0 (high). Oprava již existuje.

Druhá 0day chyba ve Flashi, nalezená v datech Hacking Teamu, byla ohlášena Dhaneshem Kizhakkinanem ze společnosti FireEye. Její označení je CVE-2015–5122 a přímo Hacking Team o ní v interních dokumentech prohlásil, že se jedná o jednu z “nejkrásnějších” chyb za poslední čtyři roky. Oprava je plánovaná na 13. 7.

Hacking Team ani nebyl autorem všech exploitů. Z emailové komunikace vyplývá, že 0day exploity kupovali od jednotlivců (Vitaliy Toropov například). Daniele Milan z Hacking Teamu také psal do České republiky (přes prostředníky Michala Martínka a Tomáše Hlavsu ze společnosti Bull s.r.o), že Hacking Team najímá lidi i do specializovaného interního týmu. Do iOS zařízení se však vlámat neuměli. To se musíte zeptat na ceník skupiny TAO z NSA :)

V České Republice si kupoval služby Hacking Teamu Útvar zvláštních činností (česká policie), který měl zájem o infikování návštěvníků stránek společností jako ČSOB, Unicredit Bank, Seznam.cz, Komerční Banky, Raiffeisenbank, RWE, NS LEV 21, dTest, Parlamentní Listy, online obchody, soukromé stránky apod.

Spousta lidí si myslí, že se v ČR odposlouchávání nikdo nemusí bát, protože česká policie nedisponuje technickými odborníky, ale jak vidíte, oni ani nemusí. Stačí mít dost peněz.

Naše postřehy

V německém raketovém systému vyvinutém v Americe bylo objeveno spuštění nevysvětlitelných příkazů. Na první pohled se předpokládá, že šlo o akci backdooru nainstalovaného americkou vládou, což by byl ještě ten lepší případ, protože pokud je možné se k těmto systémům dostat z veřejných sítí, tak stačí jen slabší chvilka paranoidního či schizofrenního hackera a celosvětový průšvih na sebe nenechá dlouho čekat.

Chyba v Androidu umožňuje do zálohy přidat vlastní APK balíčky. Když je spuštěn BackupAgent, tak mu můžete podsunout vlastní balíčky a on je bez problému nainstaluje s právy administrátora. Pro detaily si prostudujte PoC kód a postup na GitHubu. V tuto chvíli neexistuje oprava.

Google Chrome obsahuje chybu umožňující spoofnout URL v adresním řádku. Díky tomu můžete předpokládat, že jste na stránkách banky, ale přihlašovací údaje pošlete útočníkovi. Google to nejdřív nepovažoval za chyby a označil to jako špatné renderování adresního řádku, avšak řada bezpečnostních odborníků jim jejich domněnku vyvrátila. Chybu není jednoduché plně využít, ale nakonec se bude opravovat.

widgety

Micro:bit je miniaturní počítač (4×5cm) vyvinutý ve spolupráci společností ARM, Microsoft, Samsung a mnoha dalších. Cílem je motivovat děti ke vztahu k IT technologiím, učit je jak věci fungují a jak se dají programovat k různým účelům. BBC plánuje distribuovat milión těchto zařízení zdarma. Veřejně dostupná budou koncem roku.

Ve zkratce

Pro pobavení

Proč neříkat některým manažerům o problémech :)

Scott Adams

dilbert.com

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Sat novinky: NASA Ultra HD (4K)

Sat novinky: NASA Ultra HD (4K)

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

DigiZone.cz: Jaká je Swisscom TV Air Free

Jaká je Swisscom TV Air Free

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?