Postřehy z bezpečnosti: překlep za miliardu dolarů

Martin Čmelík 21. 3. 2016

Dnes se podíváme na chybu, díky které útočníkům nevyšla krádež v hodnotě jedné miliardy dolarů, na to jak nainstalovat skimmer karet během tří vteřin, na několik chyb Androidu a spoustu dalšího.

Útočníci se dostali do systémů banky v Bangladeši a tím k údajům potřebným pro mezinárodní bankovní převody. Pomocí nich zaslali několik požadavků o převod peněz z federální centrální banky v New Yorku a úspěšně provedli čtyři operace v celkové sumě 81 milionů dolarů. Když se však pokoušeli o pátý převod v hodnotě 20 milionů dolarů na účet neziskové organizace (NGO: Shalika Foundation) ve Srí Lance, tak udělali překlep a místo “Shalika Foundation” napsali “Shalika Fandation”. Pracovníci banky v Německu, kteří byli jednou z entit zakomponovaných v tomto mezinárodním převodu peněz, si toho však všimli a převod pozastavili se žádostí o vysvětlení od banky v Bagladeši. Banka v Bangladéši poté tuto a všechny návazné transakce zrušila.

Útočníci jsou stále neznámí, ale pokud by se neupsali v názvu, tak by byly nejspíš zprocesované i další platby, které se snažily o převod 850–870 milionů dolarů z bangladéšských národních rezerv. 81 milionů dolarů bylo úspěšně převedeno, ale chyba v názvu zabránila dalším převodům v celkové sumě 950 milionů dolarů.

Útok se stal během 4. a 5. února tohoto roku a dle bezpečnostního analytika Tanvir Hassan Zoha, který případ vyšetřoval, byl útok úspěšný díky žalostné bezpečnosti bankovních systémů. Bohužel se ukázalo, že Tanvir je od minulé středy nezvěstný. Když jel domu v rikše se svým spolupracovníkem Yaminem, tak jim cestu zablokovalo auto (Jeep) a oba unesli. Yamina po chvíli vyhodili na ulici.

Je zbytečné spekulovat, kdo za útokem stojí, ale z vlastní zkušenosti mohu potvrdit, že úroveň bezpečnosti bankovních systémů je daleko od představy běžných lidí. Systémy staré tak, že je již nikdo nepodporuje, používání slabých šifer pro bankovní transakce (s nemožností používat ani TLS 1.0), bezpečnostní systémy jako jsou IPS bez jakéhokoliv nastavení politik, VPN brány používající slabé klíče, nezávislost bezpečnostních kódů na detailech transakce a naprostá absence vyladění webových aplikačních firewallů je víceméně standardem. Navíc v případě jakýchkoliv problémů s bankovní službou se běžně jako první věc vypínají všechny bezpečnostní prvky, jakožto řešení všech incidentů. Samozřejmě to neplatí všude. Jen jsem o jiných případech zatím neslyšel.

Naše postřehy

Boje mezi společností Apple a všeobecně americkou vládou pokračují (nově i proti WhatsApp). Po výhrůžkách z DoJ (Department of Justice), že bude společnost muset zveřejnit své zdrojové kódy, čímž se Apple nenechal zastrašit, teď přišla DoJ se zprávou, ve které uvádí, že chtějí nejen kódy, ale i klíče používané k podepisování iOS systémů. To proto, aby si FBI mohla do iOS dopsat backdoor a pak ho i distribuovat. Šerif z Floridy dokonce varoval Tima Cooka, že ho zatkne pro nespolupracování s úřady při vyšetřování. Asi již nejsou zvyklí, že by případy nešlo řešit jen od stolu počítače jako před zveřejněním informací od Snowdena.

Pokud byste si chtěli vydělat 100 tisíc dolarů, tak stačí taková drobná věc jako exploit umožňující vzdálené využití chyby přes webovou stránku na Google Chomebooku. Částka byla před pár týdny “jen” 50 tisíc, ale byla zdvojnásobena, aby více motivovala bezpečnostní experty. Jen za minulý rok Google svým bug bounty programem vyplatil přes dva miliony dolarů.

Téměř 300 milionů telefonů bežících na systému Android je napadnutelných novým útokem umožňujícím převzít kontrolu nad zařízením. Útok dostal název Metaphor a objevili jej výzkumníci izraelské společnosti NorthBit. Chyba se opět týká mediální knihovny Stagefright a je zneužitelná na verzích 2.2 až 4.0, spolu s 5.0 a 5.1. K jejímu využití stačí navštívit webovou stránku se škodlivým kódem. Kód je schopný obejít ASLR ochranu a k infikování zařízení mu stačí 20 sekund až dvě minuty. PoC video je zveřejněno na Youtube.

Bohužel u Androidu ještě chvilku zůstaneme. Další chyba už postihuje miliardy Android a IoT zařízení kvůli Qualcomm Snapdragon SoC (System on Chip) umožňující plné ovládnutí zařízení. Ačkoliv Google chybu již opravil, pokud nemáte Nexus zařízení, tak se k vám oprava může dostat (pokud vůbec) až s delším časovým odstupem.

Aby někdo neřekl, že jsme si zasedli jen na Android, tato nová forma útoku postihuje i iOS zařízení. Říká se jí AceDeceiver a byla objevena výzkumníky společnosti Palo Alto. Zajímavé na něm je, že k útoku nepotřebujete enterprise certifikáty a dokonce ani jailbreaknuté zařízení. Zranitelnost se týká DRM funkce FairPlay. Můžete si tak koupit aplikaci přes iTunes na vašem počítači a pomocí autorizačního kódu ji nechat nainstalovat na všechna vaše iOS zařízení. Na zařízeních stejně musíte zadat kód pro instalaci aplikace a útočník by musel tou dobou fungovat jako MitM mezi iTunes a vaším počítačem, který by také musel být napadený. Pak by musel útočník řešit fakt, že iOS zařízení ověřují podpisy aplikací, certifikáty iTunes serverů a spousty dalších prvků a že aplikace pomocí které by převzal vládu nad telefonem musí být dostupná z App Storu. Je to nedostatek, který by měl být opraven, ale úspěšné zneužití této chyby je závislé na mnoha okolnostech.

Skimmer je nenápadné zařízení, které dokáže zaznamenat čísla kreditních karet i váš PIN a většinou se instaluje na bankomaty, nebo čtečky kreditních karet na benzínkách, restauracích a kavárnách. Pokud tedy provedete platbu, útočníci znají údaje vaší karty a jsou schopni je dále použít. Krebs se tomuto tématu věnuje již několik let a na jeho webu se můžete podívat na fotografie různých typů takových skimmerů. Minulý týden se na webu objevilo video, kdy byl skimmer nainstalován na čtečku karet během tří vteřin. Skoro to člověk ani nezpozoruje.

Máme tu výsledky soutěže Pwn2Own. První den výzkumníci pokořili jak Adobe Flash (360Vulcan Team), tak Apple Safari (JungHoon Lee a Tencent Security) a přišli si na 282 500 dolarů. Druhý den si výzkumníci odnesli dokonce 460 tisíc dolarů. Celkem se během soutěže nalezlo 21 nových zranitelností v tomto rozdělení – Microsoft Windows (6), Apple OS X (5), Adobe Flash (4), Apple Safari (3), Microsoft Edge (2) a jedna v Google Chrome.

Registrace na Security Session 2016

Po roce Vás opět rádi uvidíme již na šestém ročníku nekomerční konference Security Session. Konference se koná 2.4. (sobota) od 09:00 na adrese Božetěchova 1, Brno. Na našem webu můžete najít program konference a workshopů, jako i možnost registrace na konferenci. Vstup na konferenci je zdarma po předchozí registraci. Kvůli omezené kapacitě workshopů, bude v hale seznam, kam se budete moct zapsat, takže neváhejte přijít včas, protože opravdu stojí za to. Další informace můžete sledovat na našem Facebook či Twitter profilu.

Ve zkratce

Pro pobavení

Takový ten pocit, jako když máte pohotovost a snažíte se vyřešit závažný incident přes VPN a SSH klientem v mobilním telefonu :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 1,43

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: 5 triků, jak zastavit krvácení po holení

5 triků, jak zastavit krvácení po holení

Vitalia.cz: Tři sta kilogramů tuňáka obsahovalo histamin

Tři sta kilogramů tuňáka obsahovalo histamin

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

120na80.cz: Poznáte, který z léků je pravý?

Poznáte, který z léků je pravý?

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Podnikatel.cz: Myšlenky Henryho Forda. Berte je za své

Myšlenky Henryho Forda. Berte je za své

120na80.cz: 10 nej přípravků na holení

10 nej přípravků na holení

120na80.cz: Jak si udržet zdravou vaginu

Jak si udržet zdravou vaginu

Podnikatel.cz: Proměny stavebnice Seva. Znáte ji?

Proměny stavebnice Seva. Znáte ji?

Vitalia.cz: Mražené ryby z Makra byly falšované

Mražené ryby z Makra byly falšované

Vitalia.cz: Muži kouří 24 cigaret denně, ženy o dost míň

Muži kouří 24 cigaret denně, ženy o dost míň

Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

Vitalia.cz: Dnešní patolog o mrtvolu téměř nezavadí

Dnešní patolog o mrtvolu téměř nezavadí

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

Lupa.cz: Schváleno: Rockaway může převzít Heureku

Schváleno: Rockaway může převzít Heureku

120na80.cz: 10 dezinfekcí: Vede „starý dobrý“ peroxid

10 dezinfekcí: Vede „starý dobrý“ peroxid

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

DigiZone.cz: Mafra varuje před stíháním za pomluvu

Mafra varuje před stíháním za pomluvu

Podnikatel.cz: Přechod z OSVČ na firmu? Totální šok!

Přechod z OSVČ na firmu? Totální šok!