Postřehy z bezpečnosti: kdo ovládá vaše auto?

Martin Čmelík 26. 1. 2015

V dnešním díle Postřehů si povíme něco k ODB-2 adaptérům a jak pomocí nich ovládnout na dálku automobil, poslednímu updatu Google Chrome opravující 62 chyb, základům wardrivingu, čím se zabývá útok kleptografie, o nadějném nástupci TrueCryptu a spoustu dalšího.

Již několik kolegů mi sdělilo, že v autě používají OBD-II adaptér schopný komunikovat s diagnostikou auta a navíc pomocí Bluetooth, WiFi, či GPRS s mobilním telefonem, kam předává i údaje o spotřebě, otáčkách, nabití baterie, nahlášené problémy a spoustu dalších informací, které z přístrojové desky ani nezjistíte. Užitečná věc. Problém nastává když si uvědomíte, že tato zařízení nebyla konstruovaná s myšlenkou bezpečnosti na prvním místě, a protože je zařízení schopné komunikovat s každým dalším zařízením na sběrnici, tak je jeho ovládnutím možné přímo ovlivňovat brzdy, motor, plyn, světla, senzory, atd. Ve článku odborníci ze společnosti Argus Cyber Security ovládli jedno konkrétní zařízení (založené na čipu Telit GE865), které je nainstalováno minimálně ve dvou milionech aut.

Nejen že pro tuto tématiku existuje spousta článkůaplikací, popisujících, jak přesně postupovat při dekódování protokolu a zasílání zpráv konkretním komponentám, ale i několik názorných videí, takže byste s podobným vybavením měli zacházet opatrně.

Naše postřehy

Poslední verze prohlížeče Chrome (40.0.2214.91) opravila 62 bezpečnostních chyb. Sedmnáct z nich bylo klasifikováno jako závažných a většinou se jednalo o chyby paměti, či use-after-free, které jsou v poslední době velmi populární. 26 chyb bylo nahlášeno externisty pomocí bug bounty programu ve kterém Google vyplatil 88 500 dolarů jen za tuto verzi Chrome. Kompletní seznam chyb i s odkazem na podrobnosti najdete na blogu prohlížeče. Velká řada chyb byla odhalena pomocí programů AddressSanitizerMemorySanitizer.

Wardriving neboli hledání WiFi access pointů a zaznamenávání jejich polohy zažilo svůj boom několik let zpět. Pokud by vás toto téma zajímalo a rádi byste si to sami zkusili, výše uvedený odkaz vás seznámí se základními termíny, typy antén a předpoklady pro úspěšný lov, jehož výsledky pak můžete sdílet např. na službě WiGLE.

Narazil jsem na zajímavý článek popisující možnosti, jak pomocí kryptografického trojského koně změnit generování klíčů asymetrického šifrování tak, že je možné derivovat privátní klíč z klíče veřejného. Ve článku se popisuje příklad pro RSA, ale je to aplikovatelné na jakýkoliv jiný algoritmus generování klíčů, či protokoly (Diffie-Hellman, DSA, SSL, SSH, IPSec, …). Tomuto útoku se říká (poměrně trefně) Kleptografie. Předpokládá se, že takový trojský kůň je právě používán generátorem pseudo-náhodných čísel Dual_EC_DRBG známý ve spojení s NSA. Pokud je trojský kůň implementován v uzavřených kryptosystémech jako například HSM, SmartCard, či TPM, tak je velmi těžké ho odhalit.

Pamatujete si ještě z katalogu NSA na Cottonmouth-1? USB kabel schopný komunikovat s malwarem v počítači i bez připojení k počítačové síti? Na poslední konferenci ShmooconMichael Ossman představil TURNIPSHOOL, MitM USB zařízení, které je schopné pomocí integrovaného USB hubu a mikroprocesoru s vysílačem docílit toho samého. Potřebné součástky stojí jen několik dolarů. Pokud vás zajímají o ostatní open-source projekty, které jsou alternativou k NSA ANT katalogu, tak se podívejte na web NSA Playset.

Jeden z nejznámějších registrátorů domén GoDaddy opravil CSRF chybu pomocí které bylo možné změnit parametry domén, či úplně převést doménu na někoho jiného. Podle Dylana Saccomanniho, který chybu nalezl, neměl GoDaddy prakticky žádnou ochranu proti těmto útokům.

Vypadá to, že projekt VeraCrypt je nadějným nástupcem TrueCryptu. Nejedná se o pouhý fork, ale opravili i spoustu bezpečnostních problémů starého TrueCryptu, které byly odhaleny během auditu společnosti iSECpartners. Aktuální stabilní verze je 1.0f-1 a podporované operační systémy jsou Windows, Linux i OS X.

Call for Papers

Zdravíme přátele IT bezpečnosti. Blíží se další ročník Security Session.

Letos jsme se rozhodli vás oslovit se žádostí o tip na zajímavé řečníky (Call For Papers). Pokud znáte někoho kdo pracuje na zajímavém projektu, nebo dokonce takový projekt vedete, tak nás, prosím, kontaktujte. Z minulosti víme, že naši posluchači ocení především zkušenosti z praxe.

Akceptovány jsou dva typy prezentací:

  • standardní 30–40minutové přednášky (uzavírka je měsíc před pořádáním konference)

  • nově i 5minutové lightning talks (uzavírka 2 týdny před konferencí)

Základním pravidlem je: žádný obchodní marketing. Je to konference o bezpečnosti a ne o aktuální nabídce produktů.

Kontaktovat nás můžete na info@security-session.cz

widgety

Ve zkratce

Pro pobavení

24×7 :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Jak udělat formulář, aby ho vyplnil i negramotný?

Jak udělat formulář, aby ho vyplnil i negramotný?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: RRTV: frekvence pro Country Radio

RRTV: frekvence pro Country Radio

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Výživový poradce: Tyhle fešáky jedu celoročně

Výživový poradce: Tyhle fešáky jedu celoročně

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Rohlik.cz testoval roboty pro rozvážku

Rohlik.cz testoval roboty pro rozvážku

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst