Postřehy z bezpečnosti: NSA a továrna na backdoory

Martin Čmelík 19. 5. 2014

Karlík má svou továrnu na čokoládu a NSA na implantaci backdooru do zařízení posílaných poštou. V tomto díle Postřehů se mimo jiné také podíváme na bankomaty používající biometrii, co umí zajímavého nová verze Cryptocatu, jak bezpečný je firmware bežící v satelitech a spoustu dalších (ne)bezpečnostních témat.

Po mnoho let americké úřady varovaly před nákupem hardwaru z Číny, protože může obsahovat skrytá zadní vrátka. Teď se však ukázalo, že to bylo celé jen proto, aby do hardwaru přidávali vlastní. Ve zprávě z roku 2010 se uvádí, že v jednom z oddělení NSA (Access and Target Development) se běžně zadrží zásilka od výrobce, opatrně se vybalí, nainstaluje backdoor a poté se odešle na původní adresu. V případě síťového routeru je tak možné dostat se ke všem datům, které putují ve vaší firemní síti. Pro případ, že je většina provozu šifrována, tak je samozřejmě vhodnější mít backdoor přímo na hardwaru, kde běží například virtuální servery. Podle zprávy manažera NSA je tato skupina, která vybaluje zásilky a instaluje backdoory/trojské koně, jednou z nejvíce vytížených. Jak jsme si psali již dříve, odhalení takového backdooru je pro většinu populace nemožné. Navíc s některými výrobci může být NSA domluvena tak, že backdoor již je součástí.

Právě o tom a o dalších podrobnostech píše Glenn Greenwald ve své nové knize “No Place to Hide”.

Přikládám obrázek právě takového překladiště ze serveru Ars Technika, kde se na nás směje Cisco.

Naše postřehy

BlackShades je jedním z RAT (remote administration/access tool), kterým je možné kontrolovat a ovládat tisíce infikovaných počítačů. Obsahuje i takové funkce jako je drive-by-download, sadu Java exploitů, keylogger, skryté nahrávání webkamery a nástroje schopné z vašeho počítače vytáhnout jména a hesla zadávaných přes web, do FTP klientů apod. Nic nového pod sluncem, ale FBI se zřejmě dostala k seznamu lidí, kteří tento malware koupili (cena se pohybuje od 40 do 100 dolarů) a zaplatili jej přes PayPal. Při úspěšné identifikaci spolupracuje FBI s lokálními bezpečnostními složkami, a ty vám zabaví všechny počítače a jejich periferie, co naleznou, kvůli vyšetřování útoků, při kterých byl tento malware použit. Dokumentovaný případ se stal v Německu a Nizozemsku. Vývojář BlackShades tvrdí, že FBI se dostala k těmto údajům přes jeho Hotmail účet.

V Polsku se začali instalovat bankomaty schopné použít biometrii místo kreditní karty. Konkrétně tvar žil ve vašem prstu či dlani. Technologie byla vyvinuta v Japonsku a pro úspěšné ověření je nutné prokázat živost (proudění krve v žilách), takže pokud by vám někdo prst či dlaň s prominutím uřízl, tak si peníze z bankomatu nevybere. Na jedné americké univerzitě používají systém Quixter pro platby v kampusu a mají pozitivní ohlas (ano, bylo to zmíněno tento víkend v pořadu Koření). Podobné řešení nabízí i Biyo / PulseWallet, vyvíjené ve spolupráci se společností Fujitsu Frontech.

Mark Litchfield objevil chybu v systému PayPal Manager, což je služba k vašemu Payflow účtu umožňující lépe spravovat tok vašich peněz a mít lepší přehled o stavu účtu, díky které se mohl dostat k jakémukoliv účtu a samozřejmě i finančním prostředkům. Pěkně se ve článku popisuje, jak chybu objevil, jak používal Burp Suite a jak obešel ověřování zdrojové IP adresy HTTP headerem X-Forwarded-For.

Cryptocat – populární služba pro vysoce bezpečnou end-to-end šifrovanou komunikaci nyní podporuje Chat API/XMPP Facebooku, takže můžete komunikovat šifrovaně i přes Facebook chat. Stačí, abyste měli oba plugin Cryptocat v prohlížeči. Podle blogu navíc prošel Cryptocat dalšími dvěma bezpečnostními audity zdrojových kódů.

Závažná chyba CVE-2014–0196 byla opravena v jádru Linuxu (>= v3.14-rc1), kdy mohl lokální uživatel způsobit DoS, či za určitých okolností eskalovat práva. Pět let trvalo její odhalení. PoC

IOActive je opravdu zapálená společnost do reverzního inženýrství a odhalování bezpečnostních nedostatků či zadních vrátek. Teď přišli se zprávou o tom, jak jsou asi tak zranitelné satelity.

CSIRT.CZ vyšetřuje možná zajímavý případ napadení ADSL routeru, kdy byl v administraci změněn primární DNS. To by ještě nebylo nic zajímavého, protože se to děje automatizovaně, ale to, že předával falešnou IP adresu při dotazu na seznam.cz (mimo jiné). Buď je na serveru seznam všech větších vyhledavačů, nebo je útok veden z Česka. Raději si nastavte DNS na koncových zařízeních (8.8.8.8 a 8.8.4.4) a zakažte webovou administraci. To však pomůže jen v jednom směru. Při návštěvě zákeřného webu se vám stále může spustit script, který zkusí využít několik známých chyb rozšířenějších routerů.

Apple vydal iTunes 11.2.1 opravující závažnou chybu nastavení oprávnění souborového systému umožňující modifikaci souborů jiných uživatelů na stejném systému. Stáhněte si i poslední update systému Mavericks, pokud se systém neozval již sám.

Podle odhadů Avastu je nějakou formou ransomwaru infikováno 200 milionů počítačů či mobilních zařízení. Na blogu je spousta dalších zajímavých údajů.

Android Tamer je fork Ubuntu 10.04LTS, který je uzpůsoben pro bezpečnostní odborníky platformy Android. Je to takové Kali optimalizované pro Android prostředí a aplikace.

Poslední security bulletin od Microsoftu je dlouhé čtení. Konečně je opravena známá chyba 1776 postihující všechny verze Internet Exploreru.

analýzy společnosti ThreatMatrix se můžete dozvědět, jak dlouho trvá distribuce opravy kritické chyby v Adobe Flash majoritním prohlížečům (Chrome, FF, IE). Na prvním místě je Google Chrome.

widgety

Něco pro vaše čtečky

Ve zkratce

Pro pobavení

Seznamte se s Betty. Nemůžete na ní mluvit jako na Siri, ale i tak za vás udělá spoustu práce v shellu, když jí napíšete, co přesně chcete :)

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Podnikatel.cz: Chystá se smršť legislativních novinek

Chystá se smršť legislativních novinek

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Podnikatel.cz: Rohlik.cz testoval roboty pro rozvážku

Rohlik.cz testoval roboty pro rozvážku

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vodárny varují: Ve vodě z kohoutku jsou bakterie

DigiZone.cz: Sat novinky: NASA Ultra HD (4K)

Sat novinky: NASA Ultra HD (4K)

Lupa.cz: Co všechno je Facebook schopný cenzurovat?

Co všechno je Facebook schopný cenzurovat?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují