Postřehy z bezpečnosti: ozvěny chmurné budoucnosti

Pavel Bašta 20. 7. 2015

V tomto díle postřehů se znovu vrátíme k hacknutí Hacking Teamu, protože na světlo vycházejí stále nové informace, které by neměly zůstat opomenuty. Dále se podíváme na zranitelnost nultého dne v Javě, která byla aktivně využívána útočníky, na novou technologii Wi-Fi Aware a na spoustu dalších zajímavostí.

Několik nových poznámek k Hacking Teamu, který se tu již probíral minulý týden – zde a také zde. Na nalezené zranitelnosti Flash Playeru reagovala Mozilla výchozím blokováním obsahu vyžadujícího Flash Player v prohlížeči Firefox. To Alex Stamos, šéf bezpečnosti Facebooku, šel ještě dále a prohlásil, že je na čase s Flash Playerem jednou pro vždy skoncovat. A to bylo prosím pěkně ještě předtím, než se provalila existence už třetí zranitelnosti Flashe využívané Hacking Teamem. Adobe pak na základě těchto událostí přislíbilo rychlé řešení problémů s bezpečností. I tak už se ale začínají objevovat úvahy, kam se zaměří tvůrci exploit kitů ve světě po Flashxitu. Vrátí se k Javě, nebo se zaměří na zranitelnosti prohlížečů? Mimochodem, zranitelností se ihned chopili různí útočníci.

Čínská APT skupina Wekby spustila spear phishingový útok, při kterém posílala údajný odkaz na záplatu Flash Playeru, která měla opravovat zranitelnost, která byla na odkazované stránce ve skutečnosti exploitována.  Uniklá data také ukázala, že pro udržení jednoho z používaných malware na napadeném počítači používal Hacking Team UEFI BIOS rootkit. To znamená, že i pokud by dotyčný naformátoval a přeinstaloval hard disk, či jej vyměnil, stejně by se malware do Windows znovu vrátil. Převzetí ztracených C&C serverů pomocí BGP hijackingu je pak už jen třešničkou na dortu. Tady je pak popsáno, jakým způsobem docházelo k sledování uživatelů s non-jailbroken iPhony a zde je pro změnu rozebírána komunikace prozrazující neutuchající zájem FBI o síť Tor. Samozřejmě celý týden se také dost záplatovalo a záplatovalo.

Pokud budu v budoucnu někým požádán o vysvětlení významu slova tristní, pravděpodobně jej pošlu na tuto URL. Řeknu dotyčnému, ať si stáhne přiložený ZIP soubor a zkusí zjistit heslo. Pak pochopí, že sledovací software pro vojenské zpravodajství a PČR komunikovala společnost, která byla schopna zaheslovat zip heslem, které se dá odhalit slovníkovým útokem (to heslo je Pilsner). Kdyby ani toto k vysvětlení nestačilo, mám v záloze jiný kalibr. Po tomto všem totiž hodlá společnost Hacking Team ve svých aktivitách pokračovat a začít celou šmírovací infrastrukturu budovat na novo. No není to žalostné?

Naše postřehy

Společnost Oracle vydala záplatu pro kritickou zranitelnost Javy, která byla naneštěstí objevena proto, že již byla aktivně využívána k útokům. Během vyšetřování operace nazvané Pawn Storm narazila společnost Trend Micro na podezřelé e-maily obsahující odkazy na stránky, na kterých byla tato dosud neznámá zranitelnost aktivně exploitována. Cílem útoku byly armádní síly členských zemí NATO a obranné složky USA. Zranitelnost se týká pouze poslední Javy verze 1.8.0.45.

Když si uvědomím, jaké množství uživatelů má stále zapnutou Wi-Fi a kolik z nich neukončuje aplikace v mobilním telefonu, ale nechává je běžet na pozadí, tak tohle bude další potenciálně zajímavá bezpečnostní díra. Wi-Fi Aware je technologie, která bude umožňovat aplikacím, které to budou podporovat, automaticky si vyměňovat data. Například pokud budou mít dva cizí lidé na svém telefonu stejnou hru, pak by aplikace měla být schopna zjistit, že se ocitli vzájemně v dosahu a umožnit jim si zahrát společně. Nebo třeba zařízení, které bude poblíž obrazu v muzeu, automaticky pošle informace o obraze návštěvníkovi, procházejícímu kolem.

Tři britští politici byli hacknuti skupinou odborníků během používání nezabezpečených Wi-Fi sítí. Nejsem si zcela jist, co to mělo dotyčným politikům demonstrovat, zvláště proto, že o tom, že se někdo pokusí napadnout jejich účty, dopředu věděli. Politici se samozřejmě nechovají jinak než běžní uživatelé, takže kromě toho, že používali veřejné Wi-Fi sítě bez jakékoliv další ochrany, tak minimálně jeden z nich také používal stejné jméno a heslo pro e-mail a PayPal. Ostatně o problematice nakládání s hesly na straně uživatelů se tento týden také hovořilo.

Do diskuze o vynuceném přístupu vlád do šifrované komunikace uživatelů se vložila další těžká váha – Massachusetts Institute of Technology. Laboratoř Computer Science a Artificial Intelligence této university nyní vydala report, ve kterém upozorňuje, že aktuální snahy vlád získat přístup k uživatelským datům kvůli zvýšení bezpečnosti na Internetu jsou v praxi neproveditelné. Dále přináší obrovské právní a etické otázky, které by mohly zvrátit již dosažený progres v bezpečnosti a způsobit tak velké ekonomické škody.

Už jste se někdy setkali s mobilní aplikací, která by stále pracovala na pozadí, i když jste ji kompletně odinstalovali? Tak takto nějak se má chovat aplikace Google Photos. Problém je, že i po jejím odstranění se o synchronizaci dál starají jiné části systému Android, a to do té doby, než uživatel zruší možnost synchronizovat fotky v nastaveních. Sám jsem to netestoval, ale pokud došlo k zapnutí synchronizace v souvislosti s instalací aplikace Google Photos, bylo by dle mého názoru správné vypnout synchronizaci s odinstalací aplikace, nebo uživatele aspoň upozornit, že odinstalací aplikace se samotná synchronizace neruší.

Výzkumníci z „University of Salerno and the Sapienza University of Rome“ vyzkoušeli využití HTML5 k maskování na webu založených exploitů.

Ve zkratce

Pro pobavení

Od událostí kolem Hacking týmu nemůžu tenhle obrázek dostat z hlavy…

Zdroj:http://mep.euwatch.e­u/1030001943.html

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Podnikatel.cz: Novela zákoníku práce. Řeší homeworking

Novela zákoníku práce. Řeší homeworking

Lupa.cz: Blokování webů míří k Ústavnímu soudu

Blokování webů míří k Ústavnímu soudu

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Vitalia.cz: Galerie: Strouhanka ze starých rohlíků? Kdepak

Galerie: Strouhanka ze starých rohlíků? Kdepak

Vitalia.cz: Musí moudrák opravdu ven?

Musí moudrák opravdu ven?

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

DigiZone.cz: První Ultra HD (4K) Blu-ray je tady

První Ultra HD (4K) Blu-ray je tady

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Vitalia.cz: Za její cukrovkou stojí rodiče

Za její cukrovkou stojí rodiče

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Vitalia.cz: Je bílý kokos fakt tak úžasný? Ano, je!

Je bílý kokos fakt tak úžasný? Ano, je!

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí karta

Do ostravské MHD bez jízdenky. Stačí karta

Měšec.cz: Investiční pasti. Děláte to, co ostatní, ale proděláváte

Investiční pasti. Děláte to, co ostatní, ale proděláváte