Postřehy z bezpečnosti: naivní zadní vrátka britské vlády

Martin Čmelík 25. 1. 2016

V tomto díle Postřehů se podíváme na britský standard pro VoIP přenosy obsahující backdoor umožňující dešifrovat komunikaci, na dnešní význam mobilních telefonů jakožto zařízení oprávněných resetovat hesla, kritickou chybu v linuxovém jádru, o zadních vrátkách v zařízeních Fortinetu a mnoho dalšího.

Steven J. Murdoch si posvítil na protokol MIKEY-SAKKE, založeným na Secure Chorus, který by se podle britské vlády měl stát standardem pro šifrování a implementovat do všech programů pro šifrované hovory a videopřenosy. Věc se však má tak, že každá taková implementace bude obsahovat backdoor, díky němuž může britská špionážní služba (GCHQ) jednoduše dešifrovat přenosy. Volně si to představte tak, jako kdybyste svůj privátní SSL klíč dali britské vládě a vypnuli PFS. Opravdu nevím, kde bere britská vláda představu, že zločinci budou používat jimi certifikovaná řešení.

Pokud chcete mít jistotu, že vás nikdo na cestě nemůže odposlouchávat, pronajměte si malý virtuální server a zprovozněte na něm např. FreeSWITCH s podporou ZRTP, jakožto asi jediný protokol, který se nemusíte bát provozovat na nezabezpečené síti (Internet) a který dokáže zjistit odposlech komunikace. Navíc se vyhnete používání a složitému nastavení certifikátů.

Naše postřehy

Na blogu společnosti Kaspersky se objevil článek, který z počátku nenápadně pojednává o tom proč útočníci čím dál více cílí na mobilní telefony a čeho je tím možné dosáhnout. Článek pojednává primárně o end-to-end šifrování komunikace uživatelů a dále o sortimentu Hacking Teamu pro infikování mobilních telefonů. Zamysleme se však více nad první části. Vezměte si, že pokud se alespoň trochu staráte o bezpečnost, tak určitě používáte na svém mobilu aplikace jako Google Authenticator, FreeOTP či Authy pro generování časových kódů pro přístup k Gmailu, Microsoft účtu, GitHubu, Dropboxu, Facebooku apod. Pokud ne, tak alespoň SMS s jednorázovým kódem pro reset hesla. Tím se právě váš mobilní telefon stává zajímavým, protože kdo k němu dostane přístup, dostane se i k ostatním službám a je schopen resetovat jejich heslo. Jen doplním, že Authy podporuje TouchID pro spuštění aplikace a Google Authenticator můžete použít i pro přístup na linuxové servery pomocí SSH. Je jen škoda, že pro přenos bezpečného kódu se v případě SSH musí opisovat z terminálu a vývojáři nepoužili např. ASCII/random art jako náhradu za QR kód.

Když už jsme u linuxových serverů, tak jen odkáži na článek zde na rootu, který zmiňuje kritickou chybu v linuxovém kernelu od verze 3.8 (tj. vydaném víceméně tři roky zpět), která postihuje z těch známějších distribucí Android od verze 4.4 (66 %, podle Googlu míň), Ubuntu od verze 13.04, RHEL 7 a Debian Jessie. Chybu je možné využít ke spuštění kódu s právy roota. Patche již existují.

Shodan začal prohledávat Internet, tentokrát se zaměřením na IoT zařízení v podobě webových kamer. Výsledky jsou více než znepokojující. Můžete se dostat k chůvičkám, prostorům bank, kancelářím, tanečním klubům, myslím, že jsem zahlédl i střelnice, a tak dále. Je to chyba výrobců. Nemůžete čekat, že každý majitel webové kamery bude něco vědět o bezpečnosti. Organizace FTC vydala seznam doporučení pro vývoj bezpečných IoT zařízení.

V jednom z předchozích dílů PzB jsme informovali o backdooru ukrytém v Juniper firewallech, běžících na Netscreen OS. Téměř na chlup stejná chyba byla objevena v produktech Fortinet. Fortinet říká, že jde o funkcionalitu remote managementu, kterou zapomněli odebrat. Ta podobnost hodně souvisí nejspíš s tím, že Fortinet a Netscreen byli založené stejnými lidmi. Nejdříve byl založen Netscreen, poté Fortinet a Netscreen byl prodán Juniperu. Proto i jejich prostředí příkazové řádky je velmi podobné. Postižené jsou produkty FortiOS, FortiAnalyzer, FortiSwitch a FortiCache.

Ransomware TeslaCrypt, o kterém se poprvé mluvilo asi před rokem, obsahuje chybu, díky níž je možné dešifrovat soubory. Chyba se týká způsobu uložení klíče potřebného pro dešifrování v souborech na infikovaném počítači. Chyba je opravena ve verzi 3.0, ale pokud se dostanete ke stroji infikovaným předchozí verzí, tak můžete použít volně dostupný program k dešifrování.

V dalším dílu seriálu o reverzním inženýrství se RD věnuje teorii breakpointům, struktuře procedur a jak používat komentáře v OllyDbg místo tužky a papíru.

Ve zkratce

Pro pobavení

Já jsem kolegům bash loopou tapetoval terminál, když si nezamknuli počítač, ale tohle je lepší :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

Lupa.cz: Milý deníčku, teď mi tě bude psát aplikace

Milý deníčku, teď mi tě bude psát aplikace

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Podnikatel.cz: Do týmu vezměte kritiky, mistry světa nebrat

Do týmu vezměte kritiky, mistry světa nebrat

Podnikatel.cz: Odstoupit od smlouvy? Eshopy pořád neví jak

Odstoupit od smlouvy? Eshopy pořád neví jak

Podnikatel.cz: Zajímavý paradox: Daří se vedle konkurence

Zajímavý paradox: Daří se vedle konkurence

DigiZone.cz: ČTÚ červenec: rušení trochu vzrostlo

ČTÚ červenec: rušení trochu vzrostlo

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Vitalia.cz: 9 potravin, které nesmí chybět v jídelníčku těhotné

9 potravin, které nesmí chybět v jídelníčku těhotné

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

Lupa.cz: Hackujete? Můžete mít problém sehnat práci

Hackujete? Můžete mít problém sehnat práci

120na80.cz: Víte, co je svobodná menstruace?

Víte, co je svobodná menstruace?

Vitalia.cz: Syfilis: To není „nemoc z lásky“

Syfilis: To není „nemoc z lásky“

Root.cz: Čína má nejvýkonnější počítač světa

Čína má nejvýkonnější počítač světa

Lupa.cz: Měřičům síly hesla se nedá věřit. Víte proč?

Měřičům síly hesla se nedá věřit. Víte proč?

Podnikatel.cz: Kdy s příjmy není třeba platit zdravotko?

Kdy s příjmy není třeba platit zdravotko?

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

DigiZone.cz: Vláda schválila digitální vysílání ČRo

Vláda schválila digitální vysílání ČRo

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?