Postřehy z bezpečnosti: překlep za miliardu dolarů

Martin Čmelík 21. 3. 2016

Dnes se podíváme na chybu, díky které útočníkům nevyšla krádež v hodnotě jedné miliardy dolarů, na to jak nainstalovat skimmer karet během tří vteřin, na několik chyb Androidu a spoustu dalšího.

Útočníci se dostali do systémů banky v Bangladeši a tím k údajům potřebným pro mezinárodní bankovní převody. Pomocí nich zaslali několik požadavků o převod peněz z federální centrální banky v New Yorku a úspěšně provedli čtyři operace v celkové sumě 81 milionů dolarů. Když se však pokoušeli o pátý převod v hodnotě 20 milionů dolarů na účet neziskové organizace (NGO: Shalika Foundation) ve Srí Lance, tak udělali překlep a místo “Shalika Foundation” napsali “Shalika Fandation”. Pracovníci banky v Německu, kteří byli jednou z entit zakomponovaných v tomto mezinárodním převodu peněz, si toho však všimli a převod pozastavili se žádostí o vysvětlení od banky v Bagladeši. Banka v Bangladéši poté tuto a všechny návazné transakce zrušila.

Útočníci jsou stále neznámí, ale pokud by se neupsali v názvu, tak by byly nejspíš zprocesované i další platby, které se snažily o převod 850–870 milionů dolarů z bangladéšských národních rezerv. 81 milionů dolarů bylo úspěšně převedeno, ale chyba v názvu zabránila dalším převodům v celkové sumě 950 milionů dolarů.

Útok se stal během 4. a 5. února tohoto roku a dle bezpečnostního analytika Tanvir Hassan Zoha, který případ vyšetřoval, byl útok úspěšný díky žalostné bezpečnosti bankovních systémů. Bohužel se ukázalo, že Tanvir je od minulé středy nezvěstný. Když jel domu v rikše se svým spolupracovníkem Yaminem, tak jim cestu zablokovalo auto (Jeep) a oba unesli. Yamina po chvíli vyhodili na ulici.

Je zbytečné spekulovat, kdo za útokem stojí, ale z vlastní zkušenosti mohu potvrdit, že úroveň bezpečnosti bankovních systémů je daleko od představy běžných lidí. Systémy staré tak, že je již nikdo nepodporuje, používání slabých šifer pro bankovní transakce (s nemožností používat ani TLS 1.0), bezpečnostní systémy jako jsou IPS bez jakéhokoliv nastavení politik, VPN brány používající slabé klíče, nezávislost bezpečnostních kódů na detailech transakce a naprostá absence vyladění webových aplikačních firewallů je víceméně standardem. Navíc v případě jakýchkoliv problémů s bankovní službou se běžně jako první věc vypínají všechny bezpečnostní prvky, jakožto řešení všech incidentů. Samozřejmě to neplatí všude. Jen jsem o jiných případech zatím neslyšel.

Naše postřehy

Boje mezi společností Apple a všeobecně americkou vládou pokračují (nově i proti WhatsApp). Po výhrůžkách z DoJ (Department of Justice), že bude společnost muset zveřejnit své zdrojové kódy, čímž se Apple nenechal zastrašit, teď přišla DoJ se zprávou, ve které uvádí, že chtějí nejen kódy, ale i klíče používané k podepisování iOS systémů. To proto, aby si FBI mohla do iOS dopsat backdoor a pak ho i distribuovat. Šerif z Floridy dokonce varoval Tima Cooka, že ho zatkne pro nespolupracování s úřady při vyšetřování. Asi již nejsou zvyklí, že by případy nešlo řešit jen od stolu počítače jako před zveřejněním informací od Snowdena.

Pokud byste si chtěli vydělat 100 tisíc dolarů, tak stačí taková drobná věc jako exploit umožňující vzdálené využití chyby přes webovou stránku na Google Chomebooku. Částka byla před pár týdny “jen” 50 tisíc, ale byla zdvojnásobena, aby více motivovala bezpečnostní experty. Jen za minulý rok Google svým bug bounty programem vyplatil přes dva miliony dolarů.

Téměř 300 milionů telefonů bežících na systému Android je napadnutelných novým útokem umožňujícím převzít kontrolu nad zařízením. Útok dostal název Metaphor a objevili jej výzkumníci izraelské společnosti NorthBit. Chyba se opět týká mediální knihovny Stagefright a je zneužitelná na verzích 2.2 až 4.0, spolu s 5.0 a 5.1. K jejímu využití stačí navštívit webovou stránku se škodlivým kódem. Kód je schopný obejít ASLR ochranu a k infikování zařízení mu stačí 20 sekund až dvě minuty. PoC video je zveřejněno na Youtube.

Bohužel u Androidu ještě chvilku zůstaneme. Další chyba už postihuje miliardy Android a IoT zařízení kvůli Qualcomm Snapdragon SoC (System on Chip) umožňující plné ovládnutí zařízení. Ačkoliv Google chybu již opravil, pokud nemáte Nexus zařízení, tak se k vám oprava může dostat (pokud vůbec) až s delším časovým odstupem.

Aby někdo neřekl, že jsme si zasedli jen na Android, tato nová forma útoku postihuje i iOS zařízení. Říká se jí AceDeceiver a byla objevena výzkumníky společnosti Palo Alto. Zajímavé na něm je, že k útoku nepotřebujete enterprise certifikáty a dokonce ani jailbreaknuté zařízení. Zranitelnost se týká DRM funkce FairPlay. Můžete si tak koupit aplikaci přes iTunes na vašem počítači a pomocí autorizačního kódu ji nechat nainstalovat na všechna vaše iOS zařízení. Na zařízeních stejně musíte zadat kód pro instalaci aplikace a útočník by musel tou dobou fungovat jako MitM mezi iTunes a vaším počítačem, který by také musel být napadený. Pak by musel útočník řešit fakt, že iOS zařízení ověřují podpisy aplikací, certifikáty iTunes serverů a spousty dalších prvků a že aplikace pomocí které by převzal vládu nad telefonem musí být dostupná z App Storu. Je to nedostatek, který by měl být opraven, ale úspěšné zneužití této chyby je závislé na mnoha okolnostech.

Skimmer je nenápadné zařízení, které dokáže zaznamenat čísla kreditních karet i váš PIN a většinou se instaluje na bankomaty, nebo čtečky kreditních karet na benzínkách, restauracích a kavárnách. Pokud tedy provedete platbu, útočníci znají údaje vaší karty a jsou schopni je dále použít. Krebs se tomuto tématu věnuje již několik let a na jeho webu se můžete podívat na fotografie různých typů takových skimmerů. Minulý týden se na webu objevilo video, kdy byl skimmer nainstalován na čtečku karet během tří vteřin. Skoro to člověk ani nezpozoruje.

Máme tu výsledky soutěže Pwn2Own. První den výzkumníci pokořili jak Adobe Flash (360Vulcan Team), tak Apple Safari (JungHoon Lee a Tencent Security) a přišli si na 282 500 dolarů. Druhý den si výzkumníci odnesli dokonce 460 tisíc dolarů. Celkem se během soutěže nalezlo 21 nových zranitelností v tomto rozdělení – Microsoft Windows (6), Apple OS X (5), Adobe Flash (4), Apple Safari (3), Microsoft Edge (2) a jedna v Google Chrome.

Registrace na Security Session 2016

Po roce Vás opět rádi uvidíme již na šestém ročníku nekomerční konference Security Session. Konference se koná 2.4. (sobota) od 09:00 na adrese Božetěchova 1, Brno. Na našem webu můžete najít program konference a workshopů, jako i možnost registrace na konferenci. Vstup na konferenci je zdarma po předchozí registraci. Kvůli omezené kapacitě workshopů, bude v hale seznam, kam se budete moct zapsat, takže neváhejte přijít včas, protože opravdu stojí za to. Další informace můžete sledovat na našem Facebook či Twitter profilu.

Ve zkratce

Pro pobavení

Takový ten pocit, jako když máte pohotovost a snažíte se vyřešit závažný incident přes VPN a SSH klientem v mobilním telefonu :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Pepsi Cola mění sirup za cukr

Pepsi Cola mění sirup za cukr

DigiZone.cz: RRTV: Zabiják Joe za tři sta tisíc

RRTV: Zabiják Joe za tři sta tisíc

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí vaše karta

Do ostravské MHD bez jízdenky. Stačí vaše karta

120na80.cz: Jaké plavecké pomůcky vaše dítě ochrání?

Jaké plavecké pomůcky vaše dítě ochrání?

Měšec.cz: Banky umí platby na kartu, jen to neříkají

Banky umí platby na kartu, jen to neříkají

Podnikatel.cz: Italské těstoviny nebyly k mání, tak je začal vyrábět

Italské těstoviny nebyly k mání, tak je začal vyrábět

Podnikatel.cz: 3 velké průšvihy obchodních řetězců

3 velké průšvihy obchodních řetězců

Vitalia.cz: 10 potravin, po kterých budete mít ještě větší hlad

10 potravin, po kterých budete mít ještě větší hlad

DigiZone.cz: Žhavé novinky u IPTV operátorů

Žhavé novinky u IPTV operátorů

Lupa.cz: Tudy proudí váš hlas i data. V zákulisí CETINu

Tudy proudí váš hlas i data. V zákulisí CETINu

DigiZone.cz: Skylink: do pátku může docházet k výpadkům

Skylink: do pátku může docházet k výpadkům

Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin

120na80.cz: I tuto vodu můžete pít

I tuto vodu můžete pít

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Vitalia.cz: Paní výčepní: Holka, co mluví chlapům do piva

Paní výčepní: Holka, co mluví chlapům do piva

Vitalia.cz: Bio vejce nepoznají ani veterináři

Bio vejce nepoznají ani veterináři

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu

Vitalia.cz: Největší chyby při podávání vína?

Největší chyby při podávání vína?

Vitalia.cz: Zmrzlinu? Ani snad ne

Zmrzlinu? Ani snad ne

Root.cz: Bitcoin začal vyplácet jen půlku odměn

Bitcoin začal vyplácet jen půlku odměn