Postřehy z bezpečnosti: naše paranoia má název PRISM

Martin Čmelík 17. 6. 2013

PRISM je hlavním tématem minulého týdne. Nepsali jsme o nem už v minulém dílu PzB z několika důvodů. Chtěli jsme si počkat na ověření údajů, více informací o projektu, motivy Edwarda Snowdena, který s tajným projektem NSA vyšel ven a navíc s něčím podobným jsme stejně počítali, jen jsme neznali název.

Projekt PRISM si lze velice jednoduše představit jako backdoor do systémů velkých společností jako Google, Facebook, Microsoft, Yahoo, Apple, AOL, …

Systém má získávat informace pouze o občanech mimo Ameriku, ale ve zprávě stojí, že i ke zpracováním údajů amerických občanů občas “nedopatřením” dojde.

Kdykoliv NSA, nebo FBI potřebuje data, kterými jsou např. emaily, videa, obrázky, VoIP hovory, chat komunikaci a cokoliv dalšího co je uložené v jejich systémech, tak se k nim jen připojí a spustí rutinu, která vyhledá všechny dostupné informace o člověku až do druhé úrovně. Tj. pokud byste byl prověřován a psal jste si na Internetu jen s jedním kamarádem, tak prověří vás, vaši rodinu, vaše přátele, známé a s tím i jeho, celou jeho rodinu, přátele, kontakty, …

Všechny velké společnosti toto samozřejmě odmítly. Co jiného mohou odpovědět? Nejen, že o tom nesmí mluvit, ale přiznáním by navíc mohly ztratit velkou část zákazníků.

Jak vyplývá z nadpisu, o nečem podobném uvažovala většina z nás a bylo více než jasné, že NSA má prostředky a moc si podobný backdoor prosadit.

Edward Snowden stojící za únikem spojených s projektem PRISM otevřeně promluvil o motivech svého počínání.

Kim Dotcom burcuje Evropskou unii a všechny dotčené/naštvané do ‚války‘ proti americkému projektu PRISM. Na Twitteru se opřel do prezidenta Obamy s tím, že tuto válku nemůže vyhrát, protože internet je mocnější než se zdá. Zda jeho volání do zbraně bude vyslyšeno, ukáže až čas.

Naše postřehy

Microsoft během operace B54 údajně sestřelil všech více než 1k4 C&C serverů malwaru Citadel všude po světě (hlavně v USA). Citadel má/měl údajně na svědomí až 10 milionů infikovaných počítačů. Ty byly použity na různé operace od DDoS útoků, přes krádeže osobních dat až po krádeže z bankovních účtů. I když aktuálně nemají boti kam zasílat získaná data, neznamená to, že se botnet herderům nepodaří opětovně získat nad jednotlivými botnety kontrolu. Microsoft proto vydal nástroj pro odstranění tohoto malware.

Pohled na obfuskaci s využitím triku v SEHu aneb Co jste v Avataru (rootkit) určitě neviděli :) Článek kromě výše zmíněného rootkitu a obfuskace popisuje funkci a implementaci SEHu ve Visual C++.

DNS Tunneling je poměrně stará technika obcházení firewallů a skrývání spojení pro vzdálené ovládání systémů. Nově ho však efektivně začali používat i tvůrci malwaru. Klient většinou posílá data na C&C server v podobě A/TXT dotazů, kdy od serveru dostane odpověd, případně nové příkazy. Tuto techniku lze částečně identifikovat jen pomocí Intrusion Prevention systémů. Alternativou je pak enkapsulace podobného trafficu v např. ICMP, kdy je komunikace nejen efektivnější, ale navíc lze snáze šifrovat traffic (Loki2).

Obcházení Intrusion Prevention systémů je širší téma, než se může zdát. Existují jednodušší i složitejší cesty. Základem je obfuskace trafficu, šifrování (především SSL), fragmentace trafficu, využití komplexnosti protokolu (RPC, SMB) a chyb/nedostatků enginu IPS. Nejjednodušší je samozřejmě použití SSL. Pokud server umožňuje SSL spojení, tak do dat IPS jednoduše nevidí. Existují nejméně tři metody, jak IPS systému nabídnout nešifrovanou verzi daného spojení, ale je to vždy závislé na konkrétním designu sítě.

Obsáhlý článek věnující se USB malwaru, způsobu šíření a infikování nově připojených disků. Takto např. FLAME vynášel tajná data i ze sítí, které neměly přístup k Internetu. Zajímavá data se nahrála na USB disk uživatele, a když ho připojil doma k soukromému počítači, tak se data odeslala na server. FLAME měl tento systém velice dobře promyšlený.

Debian upozorňuje před Debian Multimedia repository (debian-multimedia.org), který již není nijak spojen s Debian projektem, takže by se mohl stát bezpečnostním rizikem pro všechny instance Linuxu, které ho používají. Pokud ji používáte, je doporučeno ji ihned smazat.

Sedm doporučení, které byste měli znát a dodržovat při ochraně proti DDoS útokům. Nutno poznamenat, že úplně ochráněni nebudete nikdy. Cílem je identifikovat všechna možná rizika, zařízení a servery v síti a na nich provést všechny kroky k předejití DoS. Za užitečnou snad shledáte i moji prezentaci z konference Security Session 2013 (Practical steps to mitigate DDoS attacks).

Vyšla oficiální, doplněná verze OWASP Top 10. Injection je stále na prvním místě. Dále pak broken authentication and session management, cross-site scripting (XSS), insecure direct object references, security misconfiguration, sensitive data exposure, missing function-level access control, cross-site request forgery (CSRF), using known vulnerable components a unvalidated redirects and forwards.

Článek popisující ochranu před APT. Jde spíše o všeobecné doporučení. Faktem je, že při APT utocích vedených zkušenými odborníky nemáte moc šancí. Snažte se mít bezpečnou síť a systémy jak to jen jde, používejte aplikace, které jsou schopny bežet v sandboxu/chrootu s behaviorální analýzou, začleňte do sledování trafficu IPS, využijte DLP (Data Loss Prevention) pro částečnou detekci 0-day, segmentujte síť, zaveďte vulnerability management, patch management… a hlavně: mějte schopné lidi, kteří se budou o bezpečnost vaší společnosti starat.

O nedostatcích DNS protokolu (DNS poisoning) a potřebě implementace DNSSec/DNSCurve. Jen bych doplnil, že by se DNSSec měl implementovat s povědomím o DoS útocích spojených s tímto protokolem a až to bude možné, tak určitě uvažovat i o implementaci DANE protokolu.

Jaká je cena e-mailového účtu? Spousta lidí si neuvědomuje, že e-mail je v dnešní době obdobou občanského průkazu a klíčů od domu. Probíhá přes něj změna hesel ke všem známým službám a sociálním sítím, autorizace úkonů, máte v něm spoustu osobních údajů, výpisů z bank, dokumentů/obrázků/videií v přílohách apod. Chránit svůj e-mail by mělo být jednou z hlavních priorit, protože zcizení e-mailového účtu je srovnatelné se zcizením identity. Dvoufaktorová autentizace (např. na Gmailu) je dobrým prvním krokem.

Malware researcheři Mary Landesman a Dave Monnier oznámili na summitu Gartner Security and Risk Management, že kyberzločinci čím dál více nabourávají shared hostingy a cloudové služby místo jednotlivých domén, protože tímto v jednu chvíli ovládnou desetitisíce domén, které mohou zneužít k šíření malwaru.

Všem začátečníkům v reverse engineeringu by mohlo být nápomocné toto video od Offensive Security (BackTrack).

Pro pobavení

Po aféře PRISM musel prý Facebook změnit nastavení bezpečnosti publikování příspěvků.

facebook policy

facebook policy

Ohodnoťte jako ve škole:

Průměrná známka 2,00

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

120na80.cz: Co lidi tropí se sádrou

Co lidi tropí se sádrou

Podnikatel.cz: Heureka pod Rockaway? Tohle musí splnit

Heureka pod Rockaway? Tohle musí splnit

Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

Vitalia.cz: Dnešní patolog o mrtvolu téměř nezavadí

Dnešní patolog o mrtvolu téměř nezavadí

Podnikatel.cz: Rošáda v živnostech. Týká se vás?

Rošáda v živnostech. Týká se vás?

Lupa.cz: Kam si doma dáte internet věcí? Na polici?

Kam si doma dáte internet věcí? Na polici?

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

Podnikatel.cz: Když už je sexy, tak ať taky funguje

Když už je sexy, tak ať taky funguje

Podnikatel.cz: Přechod z OSVČ na firmu? Totální šok!

Přechod z OSVČ na firmu? Totální šok!

Vitalia.cz: Muži kouří 24 cigaret denně, ženy o dost míň

Muži kouří 24 cigaret denně, ženy o dost míň

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

DigiZone.cz: Konec geoblokace online médií?

Konec geoblokace online médií?

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

Vitalia.cz: Mražené ryby z Makra byly falšované

Mražené ryby z Makra byly falšované