Postřehy z bezpečnosti: podivný příběh s dobrým koncem

Pavel Bašta 8. 6. 2015

V dnešním díle postřehů si povíme zvláštní příběh ransomwaru Locker, jehož autor přešel z temné Strany síly na její světlejší variantu, podíváme se na údajný hack s pomocí obrázku, na chybu Skype, nový podvod na Facebooku a jednu chvályhodnou aktivitu Facebooku a řekneme si o jednom překvapení od Microsoftu.

Toto je trochu podivný příběh. Žil, byl jeden zlý Hax0r, který připravil nový ransomware a pravděpodobně pomocí exploit kitů, ačkoliv se spekuluje i o kompromitovaných instalačních souborech Minecraftu, infikoval počítače nic netušících uživatelů. Ti o problémech svých počítačů neměli ani zdání a to až do půlnoci 25. května tohoto roku, kdy se ransomware, pojmenovaný svým tvůrcem Locker, jal šifrovat jejich důležité soubory s koncovkami .doc, .docx, .xlsx, .ppt, .wmdb, .ai, .jpg, .psd, .nef, .odf, .raw, .pem, .rtf, .raf, .dbf, .header, .wmdb, .odb, .dbf a řadou dalších. Pokud chtěl uživatel svá data zpět, musel zaplatit poplatek ve výši 0.1 bitcoinu. Pokud tak neučinil do 72 hodin, byl poplatek navýšen na 1bitcoin.

Není známo, kolik uživatelů poplatek zaplatilo. Nicméně údajný autor tohoto malware vydal 30. května na serveru pastebin omluvný text, ve kterém mimo jiné píše, že to vlastně nikdy udělat nechtěl. Kromě toho publikoval údajně kompletní databázi privátních klíčů používaných tímto ransomware. Navrch přidal slib, že uživatelům, kteří dosud samotný ransomware z počítače neodstranili, budou 2. června automaticky dešifrovány všechny zašifrované soubory. To se podle informací od samotných uživatelů také stalo. Po dešifrování se pak ještě objevil omluvný text a vzkaz „Be good to the world and don't forget to smile.“

Avšak ani uživatelé, kteří již infekci odstranili, nejsou ztraceni. Uživatel s přezdívkou Nathan vytvořil, s pomocí autorem zveřejněné databáze klíčů, nástroj pro opětovné dešifrování souborů.

Jedinou nezodpovězenou otázkou v tomto příběhu zůstává, proč se autor ransomware k tomuto kroku odhodlal. Spekulace se různí, někteří se domnívají, že už získal dost peněz, nebo že se tímto krokem chce vyhnout dopadení ze strany vyšetřovatelů či jiného zločineckého gangu. Dost možná si někdo pouze testoval, co dokáže. Každopádně je to dost neobvyklý příběh, pro mnoho uživatelů naštěstí s dobrým koncem.

Naše postřehy

Minulý týden přineslo několik serverů informaci o konferenci Hack In The Box v Amsterdamu, na níž byl prezentován údajný útok provedený pouze s pomocí obrázku. V prezentaci pojmenované „Stegosploit: Hacking With Pictures“ prezentoval její autor novou techniku, která údajně umožňuje skrýt „nebezpečný kód“ do obrázku a následně jej pomocí HTML5 elementu Canvas spustit. Jak nicméně upozornil Christian Bundy, vše je možná jinak. Při útoku byl spouštěn pouze javascript, což na celou věc vrhá úplně jiné světlo. Jak to celé je, to se nejspíš s jistotou dozvíme teprve, až bude zveřejněn proof-of-concept.

V USA došlo k úniku informací o čtyřech milionech federálních zaměstnanců. Na útok se přišlo již v dubnu, ale veřejnost o něm byla informována až v uplynulém týdnu. Zajímavé je, že USA celkem bez skrupulí označili za pravděpodobného původce incidentu Čínu, což by buď naznačovalo, že mají opravdu silné důkazy, nebo že kolem celé události a jejího vyšetřování panuje trochu chaos. Otázkou je, k čemu všemu bude možné data zneužít, zda například k vydírání státních zaměstnanců cizími mocnostmi, jak spekulují některá média, či třeba k spear phishingovým útokům.

V posledním díle postřehů jsme informovali o chybě v IOS, díky které bylo možné restartovat zařízení na dálku posláním určitých arabských znaků. Minulý týden bylo pro změnu v aplikaci Skype hitem zasílání zpráv obsahujících znaky „http://:“, které u příjemce způsobily nekonečnou smyčku pádů této aplikace. Nepomáhalo ani smazání historie zpráv, neboť Skype si zprávu po přihlášení znovu načetl ze serveru.

Nový podvod na Facebooku vyhrožuje vypnutím účtu kvůli údajné stížnosti na jeho zneužití. Ke zprávě je připojen odkaz na stránku, která má umožnit obnovení účtu. Tam je uživatel vyzván k zadání jména a hesla a následně je ještě přesměrován na stránku vyžadující jeho jméno, detaily platební karty a fakturační adresu. Nejedná se o jediný problém uživatelů Facebooku oznámený minulý týden. Aplikace „UnfriendAlert“, která má informovat uživatele, pokud si jej někdo odebere z přátel, odesílá podle analýzy společnosti Malwarebytes přihlašovací údaje k uživatelskému účtu na server yougotunfriended.com.

Společnost Facebook oznámila, že bude nově posílat citlivá data, jako jsou e-mail s odkazem na resetování hesla nebo jiné notifikace, šifrované pomocí PGP klíčů. Pokud si tedy toto šifrování nastavíte, nebude potenciální útočník schopen získat přístup do vašeho facebookového účtu ani v případě, že se mu podaří získat přístup do vaší e-mailové schránky.

Jednou těžko uvěřitelnou zprávou jsme dnes začali, tak proč se ve stejném duchu i nerozloučit. Věřte či ne, ale příští verze Windows PowerShell přinese do Windows klienta i server OpenSSH.

Ve zkratce

Pro pobavení

Tohle turné si nenechte ujít. VIP místa jsou k dispozici pouze pro administrátory.

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Japonská invaze. Proč SoftBank kupuje ARM?

Japonská invaze. Proč SoftBank kupuje ARM?

DigiZone.cz: Kauza technik: oficiální vyjádření Novy

Kauza technik: oficiální vyjádření Novy

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Měšec.cz: MyUniCard: recenze předplacenky

MyUniCard: recenze předplacenky

120na80.cz: Bonbon si schovejte na přistání

Bonbon si schovejte na přistání

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Podnikatel.cz: Daň z nemovitosti? Změny budou v říjnu

Daň z nemovitosti? Změny budou v říjnu

DigiZone.cz: Hra o trůny: natáčení 7. řady posunuto

Hra o trůny: natáčení 7. řady posunuto

Podnikatel.cz: Přerušil SVČ, nic nehlásil. Dál musí platit

Přerušil SVČ, nic nehlásil. Dál musí platit

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Český zákazník nakupuje v čínských e-shopech

Český zákazník nakupuje v čínských e-shopech

Lupa.cz: Vodafone umí volání přes Wi-Fi. Z ciziny jako v ČR

Vodafone umí volání přes Wi-Fi. Z ciziny jako v ČR

Měšec.cz: Cool karta: recenze předplacenky

Cool karta: recenze předplacenky

Podnikatel.cz: Místa, kde hází podnikání klacky pod nohy

Místa, kde hází podnikání klacky pod nohy

120na80.cz: Jaké plavecké pomůcky vaše dítě ochrání?

Jaké plavecké pomůcky vaše dítě ochrání?

Vitalia.cz: Sobotní masakr žrádla, chlastu a zábavy

Sobotní masakr žrádla, chlastu a zábavy

Podnikatel.cz: Kanceláře jako kóje? Špatný vtip

Kanceláře jako kóje? Špatný vtip

Lupa.cz: EU začala prověřovat bezpečnost open-source

EU začala prověřovat bezpečnost open-source

Vitalia.cz: Jak na domácí zmrzlinu?

Jak na domácí zmrzlinu?

Podnikatel.cz: Rozhodnuto! Pracující senior penzi nezdaní

Rozhodnuto! Pracující senior penzi nezdaní