Postřehy z bezpečnosti: malware nalezen v digitálním videorekordéru

Martin Čmelík 7. 4. 2014

Pravidelná pondělní sonda do světa bezpečnosti. Dnes nás čeká zákeřný malware ukrytý ve videorekordéru určenému pro záznam z bezpečnostních kamer, novinky v připravovaném Internet Exploreru 12, možnost ovlivňování aplikace Waze a bezpečnostní chyba v Xbox Live, kterou dokázalo objevit a zneužít pětileté dítě.

DVR je zařízení pro nahrávání videa a většinou se používá k záznamu obrazu z bezpečnostních kamer. Johannes Ullrich z institutu SANS objevil v jednom takovém (Hikvision DVR) malware, který spustil program pro mining bitcoinů a pokoušel se nalézt v síti Synology zařízení poslouchající na portu 5000. Pokud takové zařízení nalezl, tak zjišťoval verzi firmwaru ( GET /webman/info.cgi?host= HTTP/1.0). Zřejmě proto, aby jeho další verze využila nedávno publikovanou a již opravenou bezpečnostní chybu. Zjištěné údaje poslal na server s IP adresou 162.219.57.8. Jádro malwaru bylo uloženo v souboru /dev/cmd.so a v adresáři /dev měl pár dalších podpůrných programů. Zajímavostí je, že malware běžel na ARM platformě.

Naše postřehy

Internet Explorer 12, který by měl vyjít tento rok, bude podporovat protokol HSTS (HTTPS Strict Transport Protocol). Tento protokol vynucuje používání HTTPS, i když některé součásti webu odkazují na HTTP, nebo používají nešifrované spojení pro komunikaci s ostatními součástmi. Některé služby, jako například Dropbox, Foursquare a Twitter, tento protokol již podporují a Facebook, LinkedIn, Tumblr a Yahoo podporu hodlají brzy nasadit. Podobného chování u webů, které HSTS nepodporují, můžete dosáhnout pomocí pluginu HTTPSEverywhere. Nutno podotknout, že Firefox a Chrome tento protokol podporují od roku 2011.

Dva studenti Izraelské univerzity, Shir Yadid a Meital Ben-Sinai, oklamali populární aplikaci Waze, kterou koupil Google minulý rok za jednu miliardu dolarů. Studenti dokázali simulovat dopravní zácpy na silnicích pomocí vlastního programu, který vytvořil stovky Waze uživatelů a pomocí falešných GPS souřadnic ohlašoval problémy na komunikacích.

„Tohle dokáže nabourat i dítě,“ říká se u některých systémů. Konkrétně obejít heslo k XboxLive účtu dokázalo pětileté dítě ze SanDiega. Rodičům bylo divné, jak mohl malý Kristoffer hrát pod účtem svého otce, a pak zjistili, že k obejití hesla stačí zadat do pole mezeru. Multimiliardová společnost dala Kristofferovi účet na rok zdarma a 50 dolarů. Ne, nejedná se o vtip.

Výzkumníci společnosti Incapsula objevili aplikační DDoS útok na nejmenovaný web hostující video obsah, který je však mezi padesáti nejnavštěvovanějšími weby světa. Tento útok vyústil ve 20 milionů GET požadavků od 22 tisíc uživatelů. Pomocí perzistentní XSS chyby mohli útočníci vložit do profilu uživatele webu javascript (do <img> tagu), který se pak spustil všem uživatelům, kterým se profilová fotografie zobrazila. Pod takto napadeným profilem poté rozeslali stovky komentářů k populárním videím a všem obětem, kterým se zobrazila tato fotografie, se spustil v prohlížeči script, který kontaktoval C&C server a začal útočit na server. Jednalo se sice jen o jeden GET požadavek za vteřinu, ten byl však znásoben tisíci uživateli. Tento útok se navíc špatně blokuje, protože nastavit nižší limit než jednotky požadavků za vteřinu je u dnešních webů nereálné.

Společnost Kaspersky spustila webovou aplikaci Cybermap (Cyberthreat real-time map) zobrazující interaktivní mapu světa jak z hollywoodských filmů, s aktuálně probíhajícími útoky rozlišenými barevně podle jejich typu. Česká republika je podle míry infekce aktuálně na 98. místě.

Jedním z prvních Android Bootkitů byl malware známý jako Oldboot.A, který infikoval na půl milionu zařízení. Výzkumníci ze společnosti „360 Mobile Security“ našli jeho novou variantu, označenou jako Oldboot.B. Nová verze používá pokročilé metody skrývání v systému proti antivirovým programům, malware analyzérům a dalším forenzním utilitám. C&C server je na adrese az.o65.org (61.160.248.67), tak zkuste projít logy firewallů, či proxy serverů.

Podle zprávy společnosti Nominum má až 24 milionů domácích routerů povolený DNS proxying a útočníci takto zneužívají zařízení k masivním amplifikačním DDoS útokům. Jen v únoru tohoto roku bylo k útokům zneužito 5,3 milionu těchto zařízení.

Danor Cohen, izraelský výzkumník ze společnosti An7i Security, objevil chybu ve známém programu WinRAR umožňující oklamat uživatele, který nevědomky spustí program/malware, tvářící se například jako obrázek, textový soubor nebo PDF. Postižené jsou všechny verze. Problémem je, že WinRAR přidává do komprimovaného souboru parametr názvu souboru a názvu souboru po dekompresi. Tím je tak možné při výpisu obsahu souboru zobrazit soubory tvářící se jako cokoliv co si budete přát, ale půjde o malware. Tato chyba se podle zprávy společnosti IntelCrawler začala již používat a útočníci cílí na přední světové společnosti, vojenský sektor a ambasády. V komprimovaném souboru byla nalezena varianta trojského koně Zeus a C&C server běží na adrese 185.9.159.211.

O zadních vrátkách v knihovně BSafe společnosti RSA, za které NSA zaplatila 10 milionů, dolarů jsme již psali. Šlo o systém generování náhodných čísel u Dual EC DRBG, který není příliš náhodný a je tak možné relativně rychle a přesně odhadnout tato “náhodná čísla” použitá pro šifrování a tím je tak dešifrovat. Výzkumníci z univerzity ve Winsconsinu však objevili zřejmě další. Jedná se o rozšíření s názvem “Extended Random” pro bezpečné webové aplikace. Namísto rozšíření či zvýšení bezpečnosti je při použití tohoto modulu zjištění náhodných dat až 65000× rychlejší. No nekupte to.

Díky špatné politice hesel a absenci zamykání účtu je možné dostat se pomocí aplikace do systému high-end elektromobilu TeslaS a odemknout si tak dveře či trasovat uživatele.

Ve zkratce

Nové vládní nařízení vyžaduje ochranu a monitorování DoS útoků u finančních institucí

Facebook Bug Bounty program vyplatil za rok 2013 na odměnách 1,5 milionu dolarů

Aktualizace prohlížeče Safari opravuje desítky bezpečnostních chyb

Pro pobavení

Star Wars v ASCII artu? Pořád se najdou lidé, co to neznají.

widgety

Připravte si popcorn a zkuste se připojit na: telnet towel.blinkenlights.nl

Pokud byste si nemohli vzpomenout na epizody, zkuste traceroute na IP adresu 216.81.59.173.

Našli jste v článku chybu?
Lupa.cz: Co všechno je Facebook schopný cenzurovat?

Co všechno je Facebook schopný cenzurovat?

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

DigiZone.cz: Další programatické formáty

Další programatické formáty

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Lupa.cz: Odkazy na pirátský obsah mohou být nelegální

Odkazy na pirátský obsah mohou být nelegální

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vodárny varují: Ve vodě z kohoutku jsou bakterie

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...