Postřehy z bezpečnosti: naivní zadní vrátka britské vlády

Martin Čmelík 25. 1. 2016

V tomto díle Postřehů se podíváme na britský standard pro VoIP přenosy obsahující backdoor umožňující dešifrovat komunikaci, na dnešní význam mobilních telefonů jakožto zařízení oprávněných resetovat hesla, kritickou chybu v linuxovém jádru, o zadních vrátkách v zařízeních Fortinetu a mnoho dalšího.

Steven J. Murdoch si posvítil na protokol MIKEY-SAKKE, založeným na Secure Chorus, který by se podle britské vlády měl stát standardem pro šifrování a implementovat do všech programů pro šifrované hovory a videopřenosy. Věc se však má tak, že každá taková implementace bude obsahovat backdoor, díky němuž může britská špionážní služba (GCHQ) jednoduše dešifrovat přenosy. Volně si to představte tak, jako kdybyste svůj privátní SSL klíč dali britské vládě a vypnuli PFS. Opravdu nevím, kde bere britská vláda představu, že zločinci budou používat jimi certifikovaná řešení.

Pokud chcete mít jistotu, že vás nikdo na cestě nemůže odposlouchávat, pronajměte si malý virtuální server a zprovozněte na něm např. FreeSWITCH s podporou ZRTP, jakožto asi jediný protokol, který se nemusíte bát provozovat na nezabezpečené síti (Internet) a který dokáže zjistit odposlech komunikace. Navíc se vyhnete používání a složitému nastavení certifikátů.

Naše postřehy

Na blogu společnosti Kaspersky se objevil článek, který z počátku nenápadně pojednává o tom proč útočníci čím dál více cílí na mobilní telefony a čeho je tím možné dosáhnout. Článek pojednává primárně o end-to-end šifrování komunikace uživatelů a dále o sortimentu Hacking Teamu pro infikování mobilních telefonů. Zamysleme se však více nad první části. Vezměte si, že pokud se alespoň trochu staráte o bezpečnost, tak určitě používáte na svém mobilu aplikace jako Google Authenticator, FreeOTP či Authy pro generování časových kódů pro přístup k Gmailu, Microsoft účtu, GitHubu, Dropboxu, Facebooku apod. Pokud ne, tak alespoň SMS s jednorázovým kódem pro reset hesla. Tím se právě váš mobilní telefon stává zajímavým, protože kdo k němu dostane přístup, dostane se i k ostatním službám a je schopen resetovat jejich heslo. Jen doplním, že Authy podporuje TouchID pro spuštění aplikace a Google Authenticator můžete použít i pro přístup na linuxové servery pomocí SSH. Je jen škoda, že pro přenos bezpečného kódu se v případě SSH musí opisovat z terminálu a vývojáři nepoužili např. ASCII/random art jako náhradu za QR kód.

Když už jsme u linuxových serverů, tak jen odkáži na článek zde na rootu, který zmiňuje kritickou chybu v linuxovém kernelu od verze 3.8 (tj. vydaném víceméně tři roky zpět), která postihuje z těch známějších distribucí Android od verze 4.4 (66 %, podle Googlu míň), Ubuntu od verze 13.04, RHEL 7 a Debian Jessie. Chybu je možné využít ke spuštění kódu s právy roota. Patche již existují.

Shodan začal prohledávat Internet, tentokrát se zaměřením na IoT zařízení v podobě webových kamer. Výsledky jsou více než znepokojující. Můžete se dostat k chůvičkám, prostorům bank, kancelářím, tanečním klubům, myslím, že jsem zahlédl i střelnice, a tak dále. Je to chyba výrobců. Nemůžete čekat, že každý majitel webové kamery bude něco vědět o bezpečnosti. Organizace FTC vydala seznam doporučení pro vývoj bezpečných IoT zařízení.

V jednom z předchozích dílů PzB jsme informovali o backdooru ukrytém v Juniper firewallech, běžících na Netscreen OS. Téměř na chlup stejná chyba byla objevena v produktech Fortinet. Fortinet říká, že jde o funkcionalitu remote managementu, kterou zapomněli odebrat. Ta podobnost hodně souvisí nejspíš s tím, že Fortinet a Netscreen byli založené stejnými lidmi. Nejdříve byl založen Netscreen, poté Fortinet a Netscreen byl prodán Juniperu. Proto i jejich prostředí příkazové řádky je velmi podobné. Postižené jsou produkty FortiOS, FortiAnalyzer, FortiSwitch a FortiCache.

Ransomware TeslaCrypt, o kterém se poprvé mluvilo asi před rokem, obsahuje chybu, díky níž je možné dešifrovat soubory. Chyba se týká způsobu uložení klíče potřebného pro dešifrování v souborech na infikovaném počítači. Chyba je opravena ve verzi 3.0, ale pokud se dostanete ke stroji infikovaným předchozí verzí, tak můžete použít volně dostupný program k dešifrování.

V dalším dílu seriálu o reverzním inženýrství se RD věnuje teorii breakpointům, struktuře procedur a jak používat komentáře v OllyDbg místo tužky a papíru.

Ve zkratce

Pro pobavení

Já jsem kolegům bash loopou tapetoval terminál, když si nezamknuli počítač, ale tohle je lepší :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 1,71

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: Odřenina. Jakou použít dezinfekci?

Odřenina. Jakou použít dezinfekci?

120na80.cz: Jak si udržet zdravou vaginu

Jak si udržet zdravou vaginu

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

DigiZone.cz: Rozšiřujete A/V systém o DAB a internetová rádia?

Rozšiřujete A/V systém o DAB a internetová rádia?

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

Vitalia.cz: Utrhli jste kusadla? Nevadí

Utrhli jste kusadla? Nevadí

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

DigiZone.cz: V RS7 ukončila vysílání Retro Music Television

V RS7 ukončila vysílání Retro Music Television

Vitalia.cz: Tetanus v USA – i po odřeninách

Tetanus v USA – i po odřeninách

Vitalia.cz: Grilujte v parku i na loďce

Grilujte v parku i na loďce

DigiZone.cz: Podzim přinese sport Viasat Ultra HD

Podzim přinese sport Viasat Ultra HD

DigiZone.cz: Změní se veřejnoprávní status ČT?

Změní se veřejnoprávní status ČT?

Vitalia.cz: Mražené ryby z Makra byly falšované

Mražené ryby z Makra byly falšované

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

120na80.cz: Poznáte, který z léků je pravý?

Poznáte, který z léků je pravý?

DigiZone.cz: Stream představil souboj žroutů

Stream představil souboj žroutů

Vitalia.cz: 10 rad šéfkuchařů pro perfektní grilování

10 rad šéfkuchařů pro perfektní grilování