Hlavní navigace

Postřehy z bezpečnosti: on-line aktivity ISIS a důsledky útoků v Paříži

23. 11. 2015
Doba čtení: 5 minut

Sdílet

V nejnovějším díle Postřehů se podíváme na vše, co souvisí s Internetem, bezpečností a Islámským státem, tedy na boj Anonymous proti ISIS, na technologie používané teroristy a také na již tradiční snahy politiků „něco“ s tím dělat. Dále nás čeká zajímavá operace odhalená FireEye a samozřejmě spousta dalšího.

Smutné události z Paříže hýbaly minulý týden i světem kyberbezpečnosti a pro pravidelné čtenáře Postřehů asi nebudou některé z následujících informací příliš překvapivé, neboť podobné události jako ty z Paříže vždy vedou i k podobným reakcím v prostředí Internetu, což jsme koneckonců mohli vidět v uplynulém týdnu. Již během víkendu vyhlásila skupina Anonymous operaci #OpParis jako reakci na atentáty v Paříži. Teroristům ve svém prohlášení přislíbili totální mobilizaci všech svých příznivců po celém světě. V reakci na to vydal ISIS pět tipů pro své podporovatele, které by jim měly zajistit bezpečí před kyberútoky. Při té příležitosti označil ISIS skupinu Anonymous za, s prominutím, idioty. Již v úterý pak Anonymous oznámili zrušení pěti a půl tisíce účtů na Twitteru, které měly údajně patřit příznivcům Islámského státu a později se Anonymous pochlubili číslem dvacet tisíc. Ze strany některých francouzských aktivistů se ovšem ozývají hlasy, podle kterých operace Anonymous může překážet policii a dalším organizacím při boji s ISIS.

Také se objevilo několik nových informací o on-line aktivitách Islámského státu. Ukazuje se, že za účelem propagandy a pravděpodobně i pro privátní komunikaci využívají jeho příznivci aplikaci Telegram, která nabízí šifrovaný chat a sebedestruktivní zprávy. Služba Telegram již zrušila 78 informačních kanálů spojených s ISIS, ale pochopitelně odmítá prolomit ochranu soukromí uživatelů a sledovat i obsah privátních zpráv. Pravděpodobně i kvůli útokům Anonymous a zavírání jejich účtů na běžně dostupných službách se islamisté začali poohlížet i po dalších možnostech komunikace a spustili tak svou první oficiální prezentaci v prostředí Darknetu. Islamisté také provozují vlastní helpdesk pro džihádisty, který pomáhá teroristům s používáním šifrované komunikace. Tento helpdesk také na youtube publikuje videa, poskytující návody na použití konkrétních bezpečnostních technologií. Jak by mohl takový rozhovor mezi džihádistou a helpdeskem vypadat, nastínil ve svém článku Brian Krebs. ISIS také publikuje návody, jak zabezpečit svou on-line komunikaci. Další skupina, která se snaží bojovat proti teroristům na Internetu, Ghost Security Group, tvrdí, že ISIS s oblibou používá kryptoměnu Bitcoin. Na jednom analyzovaném „účtu“ patřícím ISIS našli Bitcoiny v hodnotě tří milionů dolarů.

Islámský stát také adoptoval některé prvky používané předními demokratickými režimy a na obsazených územích aplikuje, svérázným způsobem, sledování veškeré on-line komunikace obyvatelstva. Soukromé připojení k Internetu je zakázané a kdo se potřebuje připojit, musí navštívit internetovou kavárnu, kde se musí prokázat dokladem a kde jsou zaznamenány informace o jeho příchodu a odchodu. Trochu se obávám, aby se touto revoluční technologií nenechali inspirovat všichni ti „zakazovači“ všeho možného, kteří se samozřejmě v souvislosti s výše uvedenými odhaleními nemohli neprojevit.

CIA a možná i další tajné služby vycítili příležitost pro prosazení svých zájmů, tedy většího sledování uživatelů, případně povinnosti implementovat zadní vrátka do systémů umožňujících šifrování. Nějak se nechce věřit, že by si ředitel CIA neuvědomoval, že implementace zadních vrátek do oficiálního software povede pouze k tomu, že si zlí hoši vytvoří vlastní šifrovací aplikace (nestalo by se to ostatně poprvé) a jediný, kdo tak bude pod trvalým dohledem, bude běžné obyvatelstvo. V porovnání s EU mají ale USA stále určitý problém s rychlou adaptací progresivních metod zaváděných státy, jako je ISIS. EU si totiž hodlá posvítit na používání kryptoměn a dalších anonymních plateb. Jestli jejich používání zakáže zákonem nebo vymyslí nějakou jinou kulišárnu, se teprve ukáže. Rusku se zase nelíbí, že je aplikace Telegram používána k náboru ruských občanů do řad Islámského státu a k šíření extremistického obsahu. Určité obavy vzbuzuje už prodloužení výjimečného stavu ve Francii, podle některých informací jej policie využívá k provádění domovních prohlídek i v případě běžných případů, které nemají spojitost s událostmi z předminulého pátku. Policie také může během výjimečného stavu cenzurovat obsah webových stránek. Stranou nezůstala ani Velká Británie, která bude zřizovat elitní kybernetickou jednotku pro boj s Islámským státem.

Do toho všeho nesmí chybět klasický kyberzločin, který využívá strach uživatelů z terorismu ke spear phishingovým útokům. E-maily, které se tváří jako oficiální varování před teroristickou hrozbou, pak mají mít v příloze tipy, jak má příjemce ochránit sebe a své blízké před hrozícím útokem. Jedna z příloh však obsahuje malware. Tyto zprávy se již objevily v několika zemích, včetně Turecka či Kanady.

Naše postřehy

Stránky climatesmartplanning.org provozované světovou bankou hostovaly phishingové stránky napodobující službu PayPal. Protože měla doména vystavený EV certifikát, uživatelům, kteří se na phishingovou stránku dostali, se v prohlížeči zobrazovalo klasické zelené podsvícení adresního řádku. Správce pak sice stránky odstavil a nejspíš odstranil i phishingovou stránku, nicméně chyba na webu zůstala, protože později byl změněn obsah webu skupinou Virus iraq.

Byla vydána nová verze bankovního trojana Dyre, s přidanou podporou pro Windows 10 a prohlížeč Microsoft Edge. Dyre tak umí svůj kód injektovat do Chrome, Firefoxu, Internet Exploreru i Microsoft Edge. Kromě toho přináší také nové funkce a nové ochranné prvky, bránící jeho detekování a odstranění či statické analýze.

Pravděpodobně státem řízená skupina útočníků napadla více než sto pečlivě vybraných webů, na kterých umístila malý kousek kódu, který návštěvníky nenápadně nasměroval na další kompromitované stránky, kde běžel profilovací skript, který získával informace o konfiguraci počítače a prohlížeče a zároveň vytvořil persistentní cookie umožňující další sledování uživatele. Společnost FireEye věří, že smyslem akce bylo pomocí sesbíraných dat identifikovat jednotlivé uživatele a později připravit exploit na míru zjištěné konfiguraci počítače.

V oblíbené službě LastPass byla nalezena řada chyb, špatných bezpečnostních postupů a chyb v návrhu. Jedná se o chyby v implementaci dvoufaktorového přihlašování, v implementaci obnovení účtu i o chyby na straně serveru.

root_podpora

Ve zkratce

Pro pobavení

Křížovka :-)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?

Autor článku

Pavel Bašta pracuje ve sdružení CZ.NIC jako team leader a bezpečnostní analytik CZ.NIC CSIRT a CSIRT.CZ.