Postřehy z bezpečnosti: naivní zadní vrátka britské vlády

Martin Čmelík 25. 1. 2016

V tomto díle Postřehů se podíváme na britský standard pro VoIP přenosy obsahující backdoor umožňující dešifrovat komunikaci, na dnešní význam mobilních telefonů jakožto zařízení oprávněných resetovat hesla, kritickou chybu v linuxovém jádru, o zadních vrátkách v zařízeních Fortinetu a mnoho dalšího.

Steven J. Murdoch si posvítil na protokol MIKEY-SAKKE, založeným na Secure Chorus, který by se podle britské vlády měl stát standardem pro šifrování a implementovat do všech programů pro šifrované hovory a videopřenosy. Věc se však má tak, že každá taková implementace bude obsahovat backdoor, díky němuž může britská špionážní služba (GCHQ) jednoduše dešifrovat přenosy. Volně si to představte tak, jako kdybyste svůj privátní SSL klíč dali britské vládě a vypnuli PFS. Opravdu nevím, kde bere britská vláda představu, že zločinci budou používat jimi certifikovaná řešení.

Pokud chcete mít jistotu, že vás nikdo na cestě nemůže odposlouchávat, pronajměte si malý virtuální server a zprovozněte na něm např. FreeSWITCH s podporou ZRTP, jakožto asi jediný protokol, který se nemusíte bát provozovat na nezabezpečené síti (Internet) a který dokáže zjistit odposlech komunikace. Navíc se vyhnete používání a složitému nastavení certifikátů.

Naše postřehy

Na blogu společnosti Kaspersky se objevil článek, který z počátku nenápadně pojednává o tom proč útočníci čím dál více cílí na mobilní telefony a čeho je tím možné dosáhnout. Článek pojednává primárně o end-to-end šifrování komunikace uživatelů a dále o sortimentu Hacking Teamu pro infikování mobilních telefonů. Zamysleme se však více nad první části. Vezměte si, že pokud se alespoň trochu staráte o bezpečnost, tak určitě používáte na svém mobilu aplikace jako Google Authenticator, FreeOTP či Authy pro generování časových kódů pro přístup k Gmailu, Microsoft účtu, GitHubu, Dropboxu, Facebooku apod. Pokud ne, tak alespoň SMS s jednorázovým kódem pro reset hesla. Tím se právě váš mobilní telefon stává zajímavým, protože kdo k němu dostane přístup, dostane se i k ostatním službám a je schopen resetovat jejich heslo. Jen doplním, že Authy podporuje TouchID pro spuštění aplikace a Google Authenticator můžete použít i pro přístup na linuxové servery pomocí SSH. Je jen škoda, že pro přenos bezpečného kódu se v případě SSH musí opisovat z terminálu a vývojáři nepoužili např. ASCII/random art jako náhradu za QR kód.

Když už jsme u linuxových serverů, tak jen odkáži na článek zde na rootu, který zmiňuje kritickou chybu v linuxovém kernelu od verze 3.8 (tj. vydaném víceméně tři roky zpět), která postihuje z těch známějších distribucí Android od verze 4.4 (66 %, podle Googlu míň), Ubuntu od verze 13.04, RHEL 7 a Debian Jessie. Chybu je možné využít ke spuštění kódu s právy roota. Patche již existují.

Shodan začal prohledávat Internet, tentokrát se zaměřením na IoT zařízení v podobě webových kamer. Výsledky jsou více než znepokojující. Můžete se dostat k chůvičkám, prostorům bank, kancelářím, tanečním klubům, myslím, že jsem zahlédl i střelnice, a tak dále. Je to chyba výrobců. Nemůžete čekat, že každý majitel webové kamery bude něco vědět o bezpečnosti. Organizace FTC vydala seznam doporučení pro vývoj bezpečných IoT zařízení.

V jednom z předchozích dílů PzB jsme informovali o backdooru ukrytém v Juniper firewallech, běžících na Netscreen OS. Téměř na chlup stejná chyba byla objevena v produktech Fortinet. Fortinet říká, že jde o funkcionalitu remote managementu, kterou zapomněli odebrat. Ta podobnost hodně souvisí nejspíš s tím, že Fortinet a Netscreen byli založené stejnými lidmi. Nejdříve byl založen Netscreen, poté Fortinet a Netscreen byl prodán Juniperu. Proto i jejich prostředí příkazové řádky je velmi podobné. Postižené jsou produkty FortiOS, FortiAnalyzer, FortiSwitch a FortiCache.

Ransomware TeslaCrypt, o kterém se poprvé mluvilo asi před rokem, obsahuje chybu, díky níž je možné dešifrovat soubory. Chyba se týká způsobu uložení klíče potřebného pro dešifrování v souborech na infikovaném počítači. Chyba je opravena ve verzi 3.0, ale pokud se dostanete ke stroji infikovaným předchozí verzí, tak můžete použít volně dostupný program k dešifrování.

V dalším dílu seriálu o reverzním inženýrství se RD věnuje teorii breakpointům, struktuře procedur a jak používat komentáře v OllyDbg místo tužky a papíru.

widgety

Ve zkratce

Pro pobavení

Já jsem kolegům bash loopou tapetoval terminál, když si nezamknuli počítač, ale tohle je lepší :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Vím, co se učíš, ale netuším, co piješ

Vím, co se učíš, ale netuším, co piješ

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

120na80.cz: Nejsilnější alergeny jsou pryč

Nejsilnější alergeny jsou pryč

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje