Postřehy z bezpečnosti: je bezpečnost opravdu jen mýtus?

Martin Čmelík 18. 11. 2013

V dnešním díle postřehů se dočtete o hacku serveru MacRumors pomocí 0day na CMS vBulletin, o varování FBI, kdy skupina Anonymous prý po celý rok nabourávala počítače státních úředníků, redirection chybě na Facebooku, souteži Pwn2Own a čím Pinkie Pie opět vyhrál první místo, hack serveru Bitcash a mnoho dalšího.

Server MacRumors je znám především mezi uživateli produktů Apple a je jedním z nejnavštěvovanějších fór o Apple produktech vůbec. Minulé úterý byl však napaden a s tím i údaje o jeho 860 tisících uživatelích. Nic nového pod sluncem. Útočníci však využili 0day chybu systému vBulletin. Tato chyba postihuje vBulletin větve 4.x i 5.x a je možné vzdáleně spustit kód na straně serveru. K útoku se přihlásili lidé ze známého týmu Inj3ct0r a rovnou nabídli exploit k prodeji za 7 tisíc USD. “The network security is a myth” stálo v jejich prohlášení.

FBI varuje, že členové skupiny Anonymous již rok útočí na státní instituce a kradou tajná data a další údaje z počítačů úředníků. Využívají přitom prý chybu v produktech Adobe a instalují na kompromitované počítače backdoor umožňující vzdálené ovládání systémů. Mezi zcizenými daty jsou prý údaje o 104 000 zaměstnancích, kontraktorech, rodinných členech a dále údaje ze dvou tisíc bankovních účtů. Mě spíše zaráží backdoor pracující rok bez povšimnutí. Takovéto kódy vetšinou produkují vlády. Bůh ví, co je na tom pravdy. Každopádně pokud teď bude chtít FBI více útočit na Anonymous, tak to mají obhájené.

Společnost Adobe vydala kritické updaty pro produkty ColdFusion a Flash Player. Tyto chyby je možné zneužít ke vzdálené správě postižených systémů. Je to tento rok jen další z mnoha aktualizací opravující kritické chyby. Je však dobré připomenout, že zdrojové kódy Adobe byly zcizeny a že již teď možná existuje jeden z mnoha dalších 0day útoků.

Dan Melamed objevil Open URL redirection chybu na webu Facebooku. Tento útok se nejčastěji používá k přesměrování oběti na svůj útoční web, kde čeká například drive-by-download malware, odkazem na důvěryhodný web, který ho na něj přesměruje. Účinná to zbraň v případě např. phishingových kampaní. Stačilo odebrat “http://” z parametru URI.

Pinkie Pie opět dosáhl na nejvyšší cenu v hodnotě 50 000 USD na souteži Pwn2Own. Využitím dvou různých chyb v aplikaci Chrome na Androidu byl schopen vyskočit ze sandboxu a ovládnout tak jak Nexus 4, tak Samsung Galaxy S4. A to mu ještě dle organizátorů nebylo ani 21 let. Velice nadaný “muž”.

Výhru 40 000 dolarů si z Pwn2Own odnesl tým Mitsui Bussan Secure Directions z Japonska, kdy na Samsung Galaxy S4 při navštívení webové stránky skupiny byli schopni získat soukromé údaje ze zařízení (kontakty, historie, bookmarky, SMSky, …). Poslední cenu (27 500 USD) získal tým z Číny, který nalezl dvě chyby na zařízení iOS, konkrétně v prohlížeči Safari, kdy pomocí první bylo možné zachytit zadávané jméno a heslo a pomocí druhé chyby byli schopni dostat se k fotkám na zařízení.

Mimo soutež dva z pořadatelů (Abdul Aziz Hariri a Matt Molinyawe) demonstrovali ovládnutí Microsoft Surface Pro, díky chybě v Internet Explorer 11.

Pěkný blog post o slabinách šifer používaných při HTTPS/TLS spojení můžete nalézt na Google Online Security Blog. Na konci článku jsou i doporučení pro dnešní komunikaci (TLS 1.2, AES-GCM a ChaCha20-Poly1305).

Článek popisující jeden z DDoS útoků pomocí botnetu založeného na prohlížeči (javascript bežící na pozadí a útočící na server oběti mnoha dotazy) a jak mu lze zamezit. Je to víceméně reklama na cloud službu Incapsula, ale má cenu si článek přečíst právě kvůli možnostem blokování.

Server Bitcash.cz (obchodování s Bitcoiny) byl napaden a všechny (500 BTC) Bitcoiny byly převedeny na podvržený účet odkazující na bitcoin-charity.info. To máme za několik posledních měsíců minimálně:

1) Čínský GBL vytracen společně se čtyřmi milionů dolarů v BTC

2) Australský inputs.io hacknut a zmizelo okolo 4100 BTC

3) Bitcoinica hacknuta, zmizelo 18 000 BTC

4) Autor Silk Road zadržen, FBI zabavilo 144 336 BTC

5) Bitcash hacknut, 500 BTC

Nejedná se o problém Bitcoinu jako takového. Algoritmus je bezpečný, ale počet Bitcoinů není nekonečný, tak co se stane, když většinu bude vlastnit jedna entita?

HackerOne – iniciativa za podpory Facebooku a Microsoftu, která má za cíl podpořit hledání chyb a informovat o nich výrobce, spíše než ji prodat na blackmarketu, protože za ohlášení chyby budete finančně odměněni. Chyby přitom nemusíte hledat jen v produktech výše zmíněných firem, ale primárně v technologiích, které jsou široce používané na Internetu (PHP, Python, OpenSSL, Apache, Nginx, …). Pěkný projekt.

Český Kriminalistický ústav si nechal patentovat nápad, který má zamezit skimmování. Jedná se o známku, která přelepuje magnetický proužek a skimmer při čtení této známky dostává nevalidní data.

O BadBIOSu stále nic moc. Na druhou stranu se však komunita zaměřuje na všemožné konference či jiné materiály věnující se této problematice, které by snad mohly před zveřejněním analýz vysvětlit/vyloučit fungování BadBIOSu.

widgety

Ve zkratce

Pro pobavení

Bezpečnost dnes může dělat očividně naprosto kdokoliv. Hlavně nás pobavil tento pan Ing. Jsem Bezpečák (MBA)

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme

Našli jste v článku chybu?
Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: V říjnu se rozšíří režim reverse-charge

V říjnu se rozšíří režim reverse-charge

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát