Postřehy z bezpečnosti: malware s láskou od Lenova

Martin Čmelík 23. 2. 2015

Za právě uplynulý týden se toho událo opravdu dost. V nejnovějším díle Postřehů vám povíme více o malwaru předinstalovaném v noteboocích Lenovo, o tom jak NSA a GCHQ odcizily privátní klíče většiny SIM karet, o skupině, která odcizila přes miliardu dolarů ze stovky bank a mnoho dalšího.

Superfish je malware instalovaný společností Lenovo jako součást operačního systému Windows. Ačkoliv se začal instalovat již někdy v říjnu roku 2014, tak se informace o něm rozšířily až teď. Já osobně jsem o něm slyšel někdy v listopadu, kdy s ním měl osobní zkušenost můj kolega. Bohužel však si již nepamatoval název podvržené certifikační autority a na Internetu jsem tím pádem nic nenašel. Trvalo tedy přibližně pět měsíců, aby si tohoto malwaru někdo všiml a upozornil veřejnost, což je znepokojující.

Co tedy malware prováděl ve vašem počítači?

  • nainstaloval modul, který mohl odposlouchávat jakoukoliv komunikaci včetně HTTPS
  • k těmto účelům vám nainstaloval do systému podvržený certifikát kořenové autority, aby mohl nepozorovaně generovat HTTPS certifikát na jakýkoliv web, na který jste přistupovali
  • pokud jste tedy přistupovali na (pro příklad) www.gmail.com, tak dynamicky vygeneroval certifikát www.gmail.com a předal ho vašemu prohlížeči, který ho bez varování akceptoval a zobrazil webovou stránku
  • podvržená certifikační autorita měla schopnost i podepisovat jakékoliv aplikace, takže jste mohli bez povšimnutí instalovat aplikaci obsahující malware, případně stáhnout aktualizaci jiného programu, kam byl malware připojen
  • malware si nevybíral, u kterých webů certifikát podvrhne, prostě podvrhoval všechny (banky, vyhledávací služby, webmaily, sociální sítě, …)
  • stejně tak nezáleželo, jaký prohlížeč jste používali, podvrhoval HTTPS spojení všech běžně používaných

Aplikaci je možné odinstalovat ze systému standardním způsobem (název: Superfish Inc. VisualDiscovery), ale kořenové certifikáty v systému i tak zůstanou… Vzhledem k tomu, že heslo k autoritě je veřejně známé, tak raději dvakrát zkontrolujte, že jste správně odebrali i autoritu. Vystavujete se jinak riziku, že útočník použije stejnou autoritu při phishingové kampani. Produkt Superfish byl vyvinut společností Komodia. Na tuto společnost si dávejte také velký pozor.

Mimochodem jediný prohlížeč, který upozorní na nesrovnalost, i když je certifikát podepsaný „důvěryhodnou“ autoritou, je Chrome, který dělá dodatečné kontroly. Neodhalí všechny weby, ale služby Google ano. Mam to potvrzené nejen od kolegy, ale i dle vlastního testování jiné aplikace, která dynamicky podvrhovala certifikáty na iPadu. V mém případě jsem si ji však nainstaloval sám právě k těmto účelům. Ať už se Lenovo vymlouvá na jakýkoliv důvod instalace, je to neobhajitelné. Především proto, že to není poprvé.

Pokud jste se dozvěděli o Lenovo malwaru až nyní, nereagujte prosím hned v komentářích. Věřte mi, že na stranu společnosti Lenovo již byla použita všechna slova, která se hodláte použít i vy.

Otázkou dále je, jestli je možné věřit těm cca čtyřem stovkám předinstalovaných „důvěryhodných“ certifikačních autorit, co už máte v OS Windows. Není to těžká otázka…

Naše postřehy

Edward Snowden je zpět s další novinkou, která opět nepotěší bezpečnostní odborníky a zastánce ochrany soukromí. NSA a britská alternativa GCHQ utvořily společně Mobile Handset Exploitation Team (MHET) v dubnu 2010. Jak již název napovídá, cílem jsou mobilní zařízení, a to především mobily. V rámci operace nazvané DAPINO GAMMA se nabouraly do společnosti Gemalto (nejznámější společnosti bezpečnostních řešení pro úschovu privátních klíčů, která koupila i společnost SafeNet), která je i největším výrobcem SIM karet a odcizily privátní klíče používané pro ochranu mobilní komunikace či komunikaci dalších smart karet.

Gemalto dodává HSM zařízení, elektronické pasy, identifikační karty, HW tokeny apod. Je tedy vysoká pravděpodobnost, že vy nebo vaše společnost používá některou z jejich technologií. K firemním údajům a přístupům se bezpečnostní složky dostaly pomocí XKeyscore, který vyžily pro sledování zaměstnanců společnosti. Mají tak možnost dešifrovat jakoukoliv komunikaci vašeho telefonu a díky OTA (over-the-air update) klíčům i vzdáleně nainstalovat applet na SIM kartu.

Vše začalo podivným chováním bankomatu v Kyjevě, který vydával peníze kolemjdoucím a vyústilo zjištěním, že bylo pomocí spear phishing kampaní infikováno na 100 bank ve třiceti zemích a odcizena miliarda dolarů. Malware/skupina Carbanak po infikování počítačů a dalším rozšíření na kritické či privilegované systémy zaměstnanců bank sledovala chování zaměstnanců a procesy banky pro zpracování a zadávání plateb. Jejich činnost malware nahrával i na video a útočníci po několika měsících začali simulovat jejich chování, aby tak nepozorovaně převedli peníze na připravené účty v Číně a USA. Skupina postupovala velice opatrně, aby nevzbudila pozornost a po převedení cca deseti milionů dolarů se stáhla a začala soustředit na jinou banku. Podle údajů, které známe, tomu šlo předejít analýzou mailových příloh ve virtualizovaném prostředí, kde by se sledovalo chování systému. Podobné služby či technologie provozované uvnitř systému má několik předních bezpečnostních společností. Pro představu si vyzkoušejte službu Malwr, případně pár dalších je v mé prezentaci o Moderním malwaru a hrozbách.

Schopnosti malwaru se rozrostly o další novou vlastnost, a to falešné zdání vypnutí telefonu/tabletu na operačním systému Android. PowerOffHijack byl objeven výzkumníky společnosti AVG a při podržení tlačítka pro vypnutí podvrhne potvrzovací obrazovku a pomocí věrné animace má uživatel zdání, že je zařízení opravdu vypnuté. V tomto režimu může malware stále uskutečňovat odchozí volání, posílat prémiové SMS, fotit, shromažďovat údaje a provádět jakékoliv další úkony, které potřebuje. Předpokládá se, že byl součástí aplikace na obchodech třetích stran (tj. ne na Google Play) a stažen minimálně na deset tisíc zařízení.

Vývojáři používající App Engine Googlu mohou nyní scanovat své aplikace pomocí cloudového bezpečnostního scanneru – Google Cloud Security Scanner. V tuto chvíli se zaměřuje jen na XSS a Mixed Content útoky.

Dlouho očekávaný protokol HTTP 2.0 (neplést s Web 2.0) byl minulou středu formálně schválen. Na co se můžeme těšit? Aktualizace protokolu přinese především rychlejší načítání webů pomocí integrace SPDY (speedy) protokolu vyvinutého Googlem zahrnující kompresi hlaviček a souběžné HTTP požadavky v rámci jednoho spojení. Na žádost vývojářů Firefoxu a Chrome i přímou integraci šifrování (!). Ještě se k protokolu musí vyjádřit širší obecenstvo, ale Google již oznámil, že zahrne podporu HTTP 2 začátkem roku 2016. Máte další otázky?

Vláda schválila Národní strategii kybernetické bezpečnosti pro příštích pět let. Ve zkratce se zde popisuje, jak by bývalo bylo dobré být na tom s bezpečností, informovaností, efektivitou a akceschopností lépe a že bude vynaloženo úsilí pro dosažení co nejvyššího zabezpečení kyberprostoru. Slibem nezarmoutíš.

widgety

Ve zkratce

Pro pobavení

Projektoví manažeři :)

http://geek-and-poke.com/, Licence: CC by

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Další programatické formáty

Další programatické formáty

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Lupa.cz: Odkazy na pirátský obsah mohou být nelegální

Odkazy na pirátský obsah mohou být nelegální

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Root.cz: Podívejte se na shořelé Samsung Note 7

Podívejte se na shořelé Samsung Note 7

Vitalia.cz: Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Sat novinky: NASA Ultra HD (4K)

Sat novinky: NASA Ultra HD (4K)

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019