Postřehy z bezpečnosti: kritická chyba, která vás může stát i život

Martin Čmelík 27. 7. 2015

V tomto díle Postřehů se zaměříme na chybu automobilů, pomocí které je možné vzdáleně ovládat auto, na síť podobnou Toru schopnou přenášet data rychlostí 93Gbps, RCSAndroid malware od Hacking Teamu, chybu OpenSSH umožnující slovníkový útok, eskalaci práv na systému OS X a spoustu dalšího.

Čekali jsme na to trochu déle, než jsem očekával, ale hlavně proto, že Charlie Miller (Twitter) a Chris Valasek (IOActive) čekali na vyladění 0day útoku, kterým je možné na dálku ovládat minimálně 1,4 milionů automobilů. Zdaleka nejde jen o čtení údajů o automobilu, ale tímto útokem je možné na dálku ovládat i ostatní komponenty jako např. řízení, rychlost, uzamčení dveří, navigaci, klimatizaci a v tom nejhorším scénáři deaktivovat brzdy. Zrovna odstavení brzd je něco, co určitě automobilka potřebuje na dálku ovládat (!!). Na podobné téma jsme se již bavili v jednom z předchozích PzB, kdy i uživatelé sami mohou připojením OBD-2 adaptéru ohrozit svou bezpečnost. To vše většinou jen kvůli pár grafům s údaji o automobilu.

OBD-2 se hodí servisu, ale přímý přístup k ovládání vozidla přes Internet je neuvěřitelná hloupost.

Ovládnutý a nabouraný Jeep Cherokee po vzdáleném vyřazení brzd

Útok, který si redaktor serveru Wired zkusil na vlastní kůži během jízdy po dálnici,  je aplikovatelný minimálně na čtrnáct modelů výrobce Fiat Chrysler, které jsou připojeny k Internetu pomocí mobilních sítí. Samozřejmě existuje mnohem víc automobilek, které své auto připojují do sítě a i ty mohou, a s největší pravděpodobností budou, obsahovat podobné chyby. Všechny tyto vozy se budou muset svolat k aktualizaci firmwaru. Nepředpokládám, že se vše podaří vyřešit napoprvé, takže to možná bude na týdenní bázi jako Patch Tuesday. U modelů, kde to bylo možné, dokonce Fiat Chrysler aktualizoval firmware automobilů over-the-air. Samozřejmě že se časem bude každé auto aktualizovat stejným připojením do Internetu, kterým je možné ho ovládat (over-the-air), ale doufejme, že se tak nebude dít, až pojedete trochu později z práce po dálnici, protože si chytrý výrobce řekl, že nejlepší časem pro ověření aktualizací bude půlnoc.

Pokud vás zajímají další informace o hackování automobilů, tak doporučuji talk s Chrisem Valasekem v pořadu Digital Underground.

Já osobně se vyhýbám čemukoliv a především IoT zařízením s připojením na Internet. Za prvé je ovládat přes Internet nepotřebuji (ne, opravdu), za druhé i pokud by šlo pouze o lokální ovládání (v dosahu WiFi sítě), tak je naprosto odříznu od všech ostatních zařízení a omezil bych nejen přístup na zařízení, ale také ze zařízení do ostatních sítí. Uvědomte si, že váš účet někde na serveru výrobce, kde máte zaregistrovaná všechna svá zařízení, je jen falešný pocit bezpečí. Pokud bude daný web, nebo celý server, náchylný k ostatním útokům, tak vás váš účet před ničím neochrání a útočník s nimi bude smět provádět všechno to, co mu výrobce umožnil.

Jednou z dalších zpráv o testech bezpečnosti podobných zařízení je zpráva HP, kdy testovali deset nejprodávanějších chytrých hodinek a ve zprávě zveřejnili, k jakým všem útokům jsou náchylné. Žádné z testovaných hodinek neprošly úspěšně testem.

Naše postřehy

HORNET (High-speed Onion Routing at the NETwork layer) si představte jako síť velmi podobnou Toru. Hlavním rozdílem z pohledu návrhu je routing, rozdílný přístup k šifrování, absence potřeby držet stavy spojení a vytváření cest za použití AHDR (Anonymous Header). Hlavním viditelným rozdílem oproti Toru pak je, že používání sítě je mnohem méně náročné na klienta a je možné dosáhnout (teoretických) rychlostí až 93 Gb/s.

Zajímavé výsledky přinesla studie, na které pracovali především zaměstnanci Googlu, ve které je znázorněno, jaké jsou rozdíly v chápání priorit zásad počítačové bezpečnosti normálních uživatelů a bezpečnostních expertů. Níže můžete vidět jednoduchou srovnávací tabulku. Jen upřesním hned tu první položku. Experti většinou nepoužívají Windows a vědí, že antivirové programy dokáží odhalit jen cca 45 % malwaru. Proto je pro ně důležitější aktualizace všech aplikací než samotný antivirový program. Dle mého názoru je nejlepší dodržovat obojí: mít antivirus v aktualizovaném prostředí.

RCSAndroid (Remote Control System Android) je další nástroj společnosti Hacking Team, který se podařilo nalézt ve firemních datech, která se dostala na Internet. Podle společnosti Trend Micro je to jeden z nejpropracovanějších malwarů na Android. Co tedy umí: print screeny obrazovky, sběr všech vašich hesel do aplikací (Facebook, Twitter, WhatsApp, Google, Skype, LinkedIn, …), webů, WiFi sítí, sběr všech SMS, MMS a emailů, odposlech komunikace v okolí telefonu a telefonátů, pořizování fotek, ukládání GPS polohy a spoustu dalších krásných věcí. Do zařízení se malware nainstaloval většinou pomocí SMS či emailu, kdy navedli oběť na URL, kde již čekal exploit schopný využít několik chyb prohlížeče Android. To vše je včetně zdrojových kódů ke stažení. Třešnička na dortu, v konfiguraci klienta bylo objeveno české mobilní číslo, které umožňovalo vzdálenou aktivaci agenta pomocí SMS.

OpenSSH obsahuje chybu umožňující efektivní slovníkový útok, kdy je možné vyzkoušet i desítky tisíc hesel během standardních dvou minut pro Login Grace Time. To vše i se základním nastavením, kdy vás SSH odpojí po zadání třech chybných pokusů. Vlastně tím nastavení hodnoty MaxAuthTries úplně obejdete. K úspěšnému útoku vám stačí mít povolenou keyboard-interactive autentizaci (což je standardní nastavení) a kódem níže můžete otestovat deset tisíc hesel najednou, protože klient řekne serveru, že má deset tisíc různých klávesnic. Jediné, co klienta tedy odpojí, je vypršení Login Grace Time, což bývá nastaveno na 120 vteřin. Ochrání vás například užitečná aplikace Fail2Ban, případně musíte vypnout keyboard-interactive autentizaci. Zde je PoC:

ssh -lusername -oKbdInteractiveDevices=`perl -e 'print "pam," x 10000'` targethost

Kritická chyba v OS X umožňuje úplné převzetí kontroly nad systémem pokud máte možnost spuštění kódu. Beta verze OS X s názvem „El Capitan“ chybou netrpí. Problém je v nové systémové proměnné DYLD_PRINT_TO_FILE umožňující logování chybových hlášek do souboru. Bohužel však na proměnnou nebyly aplikované dodatečné bezpečnostní omezení a může ji tak používat i SUID aplikace. Zde je kód, pomocí kterého se stanete rootem:

echo 'echo "$(whoami) ALL=(ALL) NOPASSWD:ALL" >&3' | DYLD_PRINT_TO_FILE=/etc/sudoers newgrp; sudo -s

Pěkné. V případě všech verzí Windows stačí jen navštívit web, nebo otevřít dokument (OpenType Font Driver Vulnerability – CVE-2015–2426, CVSS 9.3). Jen to už nikoho moc nepřekvapí.

Čtyři 0day exploity byly objeveny v rámci Zero-Day Initiative (ZDI) pro mobilní verzi Internet Explorer běžící na Windows Phone. Všechny jsou vzdáleně zneužitelné a umožňují spuštění škodlivého kódu.

widgety

Ve zkratce

Pro pobavení

S Flashem se už nikdo nechce kamarádit, stejně jako s Internet Explorerem. Vzhledem ke všem bezpečnostním problémům se není čemu divit.

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

120na80.cz: Pálení žáhy: která jídla ne a co nás uzdraví?

Pálení žáhy: která jídla ne a co nás uzdraví?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI