Postřehy z bezpečnosti: NSA a GCHQ umí dešifrovat většinu komunikace

Martin Čmelík 9. 9. 2013

Přečtěte si v tomto díle o nových skutečnostech z dokumentů Snowdena, které vás nemile překvapí, dále pak o kritických aktualizacích Microsoftu, upravování PE souborů, botnetu využívající Tor pro komunikaci, o novém bankovním trojanovi Hesperbot, mobilním malwaru Obad a o spoustě dalších.

Snowden je opravdu neuvěřitelným zdrojem informací o tajných praktikách NSA a dalších vládních skupin. Vlastně potvrzuje všechno to, co jsem si myslel a za což jsem byl označován za paranoika. Teď nám sdělil, že NSA a britská GCHQ pracují po mnoho let na tom, aby měli v aplikacích a systémech zadní vrátka, případně pak, že společnost s NSA přímo spolupracuje na designu aplikace a jejího šifrování, aby se tak v případě potřeby mohli k datům dostat. Jako třeba Microsoft při vývoji Windows. Na tento program je vyhrazeno ročně 250 milionů dolarů. Podobných metod je velká spousta avšak mít v programu přímo zadní vrátka celou situaci dost zjednodušuje. Myslíte si například, že vaše nastavení HTTPS je bezpečné? Zkuste si tento test SSL nastavení a možná budete nemile překvapeni.

Dokumenty zmiňují, že NSA a GCHQ jsou schopny dešifrovat HTTPS (SSL/TLS), VPN, IM a VoIP komunikaci. Podle Roba Grahama i Tor. Čili to nejběžnější, co dnes používáme a čemu například při komunikaci s bankou pevně důvěřujeme.

Jestli jsem to dobře pochopil, tak systém na louskání komunikace má název BULLRUN a nikdo o něm nesmí moc vědět, ani se na něj ptát. Navíc ze článku byly vypuštěny některé údaje na žádost bezpečnostních složek, takže možná, že šlo právě o tyto specifikace. Já si upřímně myslím, že mají backdoor přímo v AES, ale to samozřejmě nejsem schopen prokázat, nicméně NSA má ve svých řadách takové mozky, že by to mohlo ostatním kryptoanalitikům uniknout. Nicméně řekněme, že tento systém provádí jen brute force útok. Na strojích, které nebudou podobné serverům, které známe, ale bude se jednat spíš o farmu na zakázku postavených serverů s tisícovkou ASIC čipů s HW akcelerací lámání šifer v každém z nich, což je samozřejmě několika (tisíci?) násobně rychlejší než na konvenční architektuře. Jedná se pouze o mé spekulace. Třeba si o tom, jak to skutečně je, přečteme později.

Naše postřehy

Budou útočníci v budoucnu napadat auta? Bezpečnostní specialisté ukazují, že to rozhodně není nereálné. Rostoucí závislost automobilů na počítačích se může ukázat rozhodující v tomto nerovnocenném souboji.

Na Facebooku existovala bezpečnostní chyba umožňující smazat libovolnou fotografii z libovolného účtu. Arul Kumar si nahlášením této chyby přišel díky programu Bug Bounties na pěkných 12500 dolarů.

Naopak Ehraz Ahmed, který našel chybu umožňující smazat jakýkoliv účet na Facebooku ostrouhal a nedostal nic. Podle vyjádření Facebooku šlo o hoax a reportovaná chyba nikdy neexistovala.

Nebojme se upravovat PE soubory. Cílem toho seriálu je popsat techniky úpravy PE kódu. V prvním díle se seznámíme s nezbytnou strukturou PE souboru. Popíšeme si jak vytvořit v souboru novou sekci pomocí editoru a jak zajistit vykonání našeho kódu uloženého v této sekci.

Toto úterý vydá Microsoft opravu na kritickou chybu umožňující spuštění útočného kódu už jen při náhledu emailu v programech Outlook 2007 a 2010. Předpokládá se, že útočníci na základě analýzy tohoto opravného balíčku vytvoří velmi rychle funkční exploit (nazývaný jako 0.5 day exploit), který se začne masově šířit. Další kritickou, vzdáleně zneužitelnou, chybu postihuje SharePoint server 2003, Internet Explorer 6+, Windows XP a Windows Server 2003. Jasným cílem útočníků tak budou především korporátní uživatelé.

Během několika posledních týdnů bylo možné pozorovat masivní nárůst Tor klientů. Předpokládalo se, že se jedná o reakci uživatelů na informace ohledně špionážních programů NSA, ale šlo o botnet využívající Tor pro komunikaci. Botnet existuje podle analytiků společnosti Fox-IT již od roku 2009 a má název SBC. Tento botnet primárně komunikuje přes HTTP protokol a před pár týdny začal používat i síť Toru. Pochází nejspíše z Ruska a orientuje se především na finanční kyberzločiny. Výhodou této komunikace je z pohledu operátorů botnetu především anonymizace C&C serveru pomocí hidden služeb.

Nový bankovní trojan má název Hesperbot a na stanicích instaluje i VNC službu. Byl objeven vývojáři společnosti ESET a má označení Win32/Spy.Hesperbot. Je velmi podobný Zeusu a SpyEye. Na cílové stanici odposlouchává stisknuté klávesy, vytváří screenshoty a video z dění na obrazovce, instaluje proxy a skrytou VNC službu, hledá v systému emailové adresy a je prý schopen i vložit HTML do probíhající síťové komunikace. Cílem je zaznamenat heslo při přístupu do systému banky a jiných hesel k populárním službám. Tento trojan byl šířen v České republice phishingovými emaily od České Pošty.

Mobilní trojan Obad (Android) jako první začal šířit přes cizí mobilní botnet síť. Primárně zasílá z telefonu premium SMS na číslo útočníka a pomocí chyby v Androidu beží pod právy administrátora, takže není lehké ho smazat. Do mobilu se dostane většinou pomocí příchozí SMS s tímto textem “MMS message has been delivered, download from www[.]otkroi[.]com.” Při navštívení této stránky se stáhne mms.apk aplikace obsahující malware Opfake. Další informace na blogu Kaspersky.

Světoznámý server GitHub nabízející hosting pro ukládání/verzování zdrojových kódů nyní nabídnul všem svým uživatelům možnost dvoufaktorové autentizace (2FA). Jedním z podporovaných programů pro generování autentizačního kódu je i Google Authenticator. 2FA používejte všude, kde je to jen možné.

Startup bugcrowd získal od ICON Partners, Paladin Capital a Square Peg Capital 1,6 milionů dolarů, aby se stal centrálním místem pro ohlašování a vyplácení odměn za nalezenou chybu v komerčních programech. Takové centrální místo Bug Bounty programů, kdy ohlásíte nalezenou chybu a dále za vás jedná tato společnost.

Silent Circle, společnost zabývající se bezpečnou komunikací vydala aplikaci pro Android, která by měla bezpečně šifrovat komunikaci a soubory a dále je také bezpečně mazat. Jedním ze zakladatelů je známá legenda Phil Zimmerman.

Dle mého názoru nejlepší seriál o aplikační bezpečnosti Apple iOS a aplikací. Popisuje struktury a architekturu iOS, jak psát bezpečné programy, jak je analyzovat, debugovat a jak nabourávat/testovat.

Dva indičtí hackeři napsali exploit, který je schopen vytvořit ve známém softwaru pro fóra vBulletin nový účet s oprávněním administrátora. Verze 4.x.x.x jsou tímto postihnutelné. Updatujte na poslední verzi.

widgety

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter

Děkujeme

Našli jste v článku chybu?
Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Test LG 55UH750V aneb Cena/výkon

Test LG 55UH750V aneb Cena/výkon

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Podnikatel.cz: Dva měsíce na EET. Budou stačit?

Dva měsíce na EET. Budou stačit?

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje