Postřehy z bezpečnosti: podivný příběh s dobrým koncem

Pavel Bašta 8. 6. 2015

V dnešním díle postřehů si povíme zvláštní příběh ransomwaru Locker, jehož autor přešel z temné Strany síly na její světlejší variantu, podíváme se na údajný hack s pomocí obrázku, na chybu Skype, nový podvod na Facebooku a jednu chvályhodnou aktivitu Facebooku a řekneme si o jednom překvapení od Microsoftu.

Toto je trochu podivný příběh. Žil, byl jeden zlý Hax0r, který připravil nový ransomware a pravděpodobně pomocí exploit kitů, ačkoliv se spekuluje i o kompromitovaných instalačních souborech Minecraftu, infikoval počítače nic netušících uživatelů. Ti o problémech svých počítačů neměli ani zdání a to až do půlnoci 25. května tohoto roku, kdy se ransomware, pojmenovaný svým tvůrcem Locker, jal šifrovat jejich důležité soubory s koncovkami .doc, .docx, .xlsx, .ppt, .wmdb, .ai, .jpg, .psd, .nef, .odf, .raw, .pem, .rtf, .raf, .dbf, .header, .wmdb, .odb, .dbf a řadou dalších. Pokud chtěl uživatel svá data zpět, musel zaplatit poplatek ve výši 0.1 bitcoinu. Pokud tak neučinil do 72 hodin, byl poplatek navýšen na 1bitcoin.

Není známo, kolik uživatelů poplatek zaplatilo. Nicméně údajný autor tohoto malware vydal 30. května na serveru pastebin omluvný text, ve kterém mimo jiné píše, že to vlastně nikdy udělat nechtěl. Kromě toho publikoval údajně kompletní databázi privátních klíčů používaných tímto ransomware. Navrch přidal slib, že uživatelům, kteří dosud samotný ransomware z počítače neodstranili, budou 2. června automaticky dešifrovány všechny zašifrované soubory. To se podle informací od samotných uživatelů také stalo. Po dešifrování se pak ještě objevil omluvný text a vzkaz „Be good to the world and don't forget to smile.“

Avšak ani uživatelé, kteří již infekci odstranili, nejsou ztraceni. Uživatel s přezdívkou Nathan vytvořil, s pomocí autorem zveřejněné databáze klíčů, nástroj pro opětovné dešifrování souborů.

Jedinou nezodpovězenou otázkou v tomto příběhu zůstává, proč se autor ransomware k tomuto kroku odhodlal. Spekulace se různí, někteří se domnívají, že už získal dost peněz, nebo že se tímto krokem chce vyhnout dopadení ze strany vyšetřovatelů či jiného zločineckého gangu. Dost možná si někdo pouze testoval, co dokáže. Každopádně je to dost neobvyklý příběh, pro mnoho uživatelů naštěstí s dobrým koncem.

Naše postřehy

Minulý týden přineslo několik serverů informaci o konferenci Hack In The Box v Amsterdamu, na níž byl prezentován údajný útok provedený pouze s pomocí obrázku. V prezentaci pojmenované „Stegosploit: Hacking With Pictures“ prezentoval její autor novou techniku, která údajně umožňuje skrýt „nebezpečný kód“ do obrázku a následně jej pomocí HTML5 elementu Canvas spustit. Jak nicméně upozornil Christian Bundy, vše je možná jinak. Při útoku byl spouštěn pouze javascript, což na celou věc vrhá úplně jiné světlo. Jak to celé je, to se nejspíš s jistotou dozvíme teprve, až bude zveřejněn proof-of-concept.

V USA došlo k úniku informací o čtyřech milionech federálních zaměstnanců. Na útok se přišlo již v dubnu, ale veřejnost o něm byla informována až v uplynulém týdnu. Zajímavé je, že USA celkem bez skrupulí označili za pravděpodobného původce incidentu Čínu, což by buď naznačovalo, že mají opravdu silné důkazy, nebo že kolem celé události a jejího vyšetřování panuje trochu chaos. Otázkou je, k čemu všemu bude možné data zneužít, zda například k vydírání státních zaměstnanců cizími mocnostmi, jak spekulují některá média, či třeba k spear phishingovým útokům.

V posledním díle postřehů jsme informovali o chybě v IOS, díky které bylo možné restartovat zařízení na dálku posláním určitých arabských znaků. Minulý týden bylo pro změnu v aplikaci Skype hitem zasílání zpráv obsahujících znaky „http://:“, které u příjemce způsobily nekonečnou smyčku pádů této aplikace. Nepomáhalo ani smazání historie zpráv, neboť Skype si zprávu po přihlášení znovu načetl ze serveru.

Nový podvod na Facebooku vyhrožuje vypnutím účtu kvůli údajné stížnosti na jeho zneužití. Ke zprávě je připojen odkaz na stránku, která má umožnit obnovení účtu. Tam je uživatel vyzván k zadání jména a hesla a následně je ještě přesměrován na stránku vyžadující jeho jméno, detaily platební karty a fakturační adresu. Nejedná se o jediný problém uživatelů Facebooku oznámený minulý týden. Aplikace „UnfriendAlert“, která má informovat uživatele, pokud si jej někdo odebere z přátel, odesílá podle analýzy společnosti Malwarebytes přihlašovací údaje k uživatelskému účtu na server yougotunfriended.com.

Společnost Facebook oznámila, že bude nově posílat citlivá data, jako jsou e-mail s odkazem na resetování hesla nebo jiné notifikace, šifrované pomocí PGP klíčů. Pokud si tedy toto šifrování nastavíte, nebude potenciální útočník schopen získat přístup do vašeho facebookového účtu ani v případě, že se mu podaří získat přístup do vaší e-mailové schránky.

Jednou těžko uvěřitelnou zprávou jsme dnes začali, tak proč se ve stejném duchu i nerozloučit. Věřte či ne, ale příští verze Windows PowerShell přinese do Windows klienta i server OpenSSH.

Ve zkratce

Pro pobavení

Tohle turné si nenechte ujít. VIP místa jsou k dispozici pouze pro administrátory.

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

120na80.cz: 5 triků, jak zastavit krvácení po holení

5 triků, jak zastavit krvácení po holení

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?

Podnikatel.cz: Eshopy s dopravou zdarma. Zválcují ostatní?

Eshopy s dopravou zdarma. Zválcují ostatní?

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

120na80.cz: Velký přehled: 7 očkování proti exotickým nemocem

Velký přehled: 7 očkování proti exotickým nemocem

Vitalia.cz: SÚKL: vakcíny jsou bezpečné a s autismem nesouvisí

SÚKL: vakcíny jsou bezpečné a s autismem nesouvisí

Vitalia.cz: Sója a rakovina

Sója a rakovina

DigiZone.cz: ČT neskončí s nízkým rozlišením podle plánu

ČT neskončí s nízkým rozlišením podle plánu

DigiZone.cz: UPC umí televizi sedm dní nazpět

UPC umí televizi sedm dní nazpět

Lupa.cz: Zaplatíme ti, když ti seženeme práci

Zaplatíme ti, když ti seženeme práci

Podnikatel.cz: Když už je sexy, tak ať taky funguje

Když už je sexy, tak ať taky funguje

Vitalia.cz: Tetanus v USA – i po odřeninách

Tetanus v USA – i po odřeninách

Vitalia.cz: Dnešní patolog o mrtvolu téměř nezavadí

Dnešní patolog o mrtvolu téměř nezavadí

Vitalia.cz: Syndrom PC vidění: stačí dvě hodiny denně

Syndrom PC vidění: stačí dvě hodiny denně

Lupa.cz: Kam si doma dáte internet věcí? Na polici?

Kam si doma dáte internet věcí? Na polici?

DigiZone.cz: DAB+ versus FM, ČRo a ČRa proti APSV

DAB+ versus FM, ČRo a ČRa proti APSV

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

Lupa.cz: Babiš: nevím o návodu, jak obejít blokování webů

Babiš: nevím o návodu, jak obejít blokování webů

Root.cz: Zákon o hazardu je v rozporu s ústavou

Zákon o hazardu je v rozporu s ústavou