Postřehy z bezpečnosti: přenos dat s pomocí tepla

Pavel Bašta 30. 3. 2015

V dnešním díle postřehů se podíváme na přenos dat mezi dvěma počítači s pomocí tepla a tepelných senzorů, dále na útok sextortion, jehož oběti na něj určitě hned tak nezapomenou, na malware ukrývající data do faviconů, na kampaň, která kompromitovala tisíce instancí WordPressu a na řadu dalších zajímavostí.

Musím přiznat, že když jsem sledoval úvodní přednášku loňského BlackHat Europe, přišlo mi celé to povídání o tom, jak přednášející s kolegy po večerech z parkoviště ozařoval laserovým paprskem skener multifunkční tiskárny v nedaleké budově, aby si mohl s malwarem umístěným v připojeném počítači vyměňovat data, poněkud potrhlé. Nicméně dostat se k datům v systémech izolovaných od internetu je jednoznačně velkým lákadlem a různých více či méně bizarních nápadů, jak se k nim dostat, nás jistě čeká ještě dlouhá řada.

Ten poslední nápad počítá s přenosem dat s pomocí tepla. Ale pojďme pěkně po pořádku. „Air-gapped“ počítačové systémy jsou považovány za velmi bezpečné, neboť jsou zcela odděleny od Internetu i dalších počítačů, připojených do externích sítí. Jsou používány všude tam, kde se pracuje s vysoce tajnými informacemi, nebo na místech, kde jsou prováděny kritické operace, jako jsou jaderné elektrárny, zdravotnictví, či některé finančnické systémy. 

I když i do těchto systémů lze dostat malware, což ostatně v minulosti ukázal příklad Stuxnetu, stále tu z pohledu útočníka zůstává jeden nedořešený problém. Tím je případná komunikace s malware, ať již kvůli předání instrukcí od útočníka, nebo naopak kvůli přenosu ukradených dat k útočníkovi.

Nově uveřejněná technika přenosu dat nazvaná BitWhisper využívá výměny tepla mezi dvěma počítači. Využívá se zvýšené produkce tepla procesorem, grafickou kartou a dalšími částmi základní desky při zvýšeném zatížení systému. Druhý počítač pak sleduje nárůst tepla zabudovanými termálními senzory a změny v teplotě interpretuje jako nuly a jedničky. 

Pravda, přenos dat rychlostí 8 bitů za hodinu, nutnost nejdříve na oba počítače nějak dostat příslušný malware a maximální vzdálenost mezi počítači 40 centimetrů představují určité omezení, ale tvůrci této techniky předpokládají její další vylepšení, případně využití IoT (Internet of Things), či k internetu připojených topení a klimatizačních jednotek. Osobně vidím problém i v tom, že na počítačích se obvykle pracuje, což samozřejmě také vede k různým změnám v zátěži, takže to, co funguje někde v laboratorních podmínkách, nebude tak snadné převést do praxe.

Naše postřehy

Podle reportu společnosti Akamai za poslední čtvrtletí loňského roku zůstávají IP adresy přidělené do Číny na pomyslném žebříčku nejčastějších zdrojů útoků, konkrétně generují celých 41 procent útočného provozu. Nejčastějším cílem pokusů o útok je pak port 23, ten následován porty 445, 8080, 3389 a 22. Jen pro zajímavost, v rámci projektu Turris pozorujeme intenzivní pokusy o přístup z čínských IP adres, které jsou i u nás na prvním místě v počtu podezřelých pokusů o komunikaci. Nejčastější jsou pak pokusy o přístup na port 23 a 22, pokud se zaměříme pouze na čínské IP adresy, pak se jedná o porty 22, 23 a 1433 (SQL).

Společnost Trend Micro vydala zprávu popisující modus operandi „sextortion“ gangů, operujících ve východní Asii. Sextortion je spojením slov sex a extortion, což dost přesně vystihuje podstatu této hrozby. Útočníci, kteří se vydávají za ženu, se nejdříve pokusí oběť zlákat k provozování kybersexu, což jim umožní posbírat různé kompromitující materiály, jako záznamy chatu, fotografie a videa. Novinkou je, že se útočníci zároveň pokusí přesvědčit oběť, aby si nainstalovala do svého mobilního telefonu malware, který pak útočníkům pošle kompletní seznam uložených kontaktů. To útočníkům umožní vyvinout na oběť větší tlak, neboť jí pak následně mohou vyhrožovat posláním kompromitujících materiálů přímo jejím přátelům a rodině. Každá z obětí měla za neposlání kompromitujících materiálů zaplatit 1 milion KRW, tedy asi 900 dolarů.

Jakub Kroustek, analytik společnosti AVG, publikoval detailní analýzu nového kmenu bankovního trojského koně Vawtrak. Asi nejzajímavější vlastností je používání steganografie ke skrývání přenosu dat do faviconů. Kromě toho má malware implementované mechanismy pro kradení finančních informací, hesel k FTP přístupům, privátních klíčů a pro provádění bankovních transakcí přímo z počítače oběti. Varianta detekovaná společností AVG dokáže také spustit MITM útoky či získávat videa a screenshoty z kompromitovaných počítačů. Malware se nejvíce vyskytuje v České republice, USA, UK a v Německu.

Velmi nepříjemná zranitelnost byla nalezena v zařízeních ANTLabs InnGate, což jsou internetové brány umožňující připojení hostů v hotelech, nebo třeba v konferenčních centrech. K systémům je možné se bez hesla připojit přes démona rsync. Jakmile útočník systém napadne, nic mu nebrání například přidat do uživatelem stahovaného programu vlastní malware. Pokud si vybavíme operaci Darkhotel, tak lze očekávat, že takováto chyba nezůstane nevyužita.

Tisíce kompromitovaných instancí WordPressu přesměrovává své návštěvníky na exploit kit Fiesta. Malware, který se po úspěšném exploitování některé ze zranitelností nainstaluje do počítače oběti, je různý. Byl reportován jak výskyt bankovních trojanů, tak také Cryptowallu 3.0. Samotné instance WordPressu jsou napadány skrz plug-in RevSlider. Česká republika není mezi TOP 10 zeměmi. Během tohoto týdne chceme identifikovat v našem MDM weby na doméně .CZ zasažené v rámci této kampaně a zaměřit se na jejich rychlé vyčištění a záplatování.

UglyEmail je rozšíření pro Chrome, které pomůže uživatelům služby Gmail zjistit, které e-maily v jejich inboxu jsou sledovány pomocí některé ze společností pro sledování e-mailů, které svým klientům umožňují zjistit, kde a na jakém zařízení byl otevřen jejich e-mail. UglyEmail slouží pro informování uživatele o těchto praktikách, pokud si však přejete trackování pomocí pixelů zcela zablokovat, můžete použít jiné rozšíření pro chrome – PixelBlock.

Pro pobavení

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 1,13

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Vitalia.cz: Sója a rakovina

Sója a rakovina

DigiZone.cz: Natáčíte videa? Máme pro vás soutěž

Natáčíte videa? Máme pro vás soutěž

Lupa.cz: Kam si doma dáte internet věcí? Na polici?

Kam si doma dáte internet věcí? Na polici?

Lupa.cz: Babiš: nevím o návodu, jak obejít blokování webů

Babiš: nevím o návodu, jak obejít blokování webů

120na80.cz: Jak správně vytrhnout mléčný zub?

Jak správně vytrhnout mléčný zub?

DigiZone.cz: UPC umí televizi sedm dní nazpět

UPC umí televizi sedm dní nazpět

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

Vitalia.cz: Tetanus v USA – i po odřeninách

Tetanus v USA – i po odřeninách

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

DigiZone.cz: Rádio Retro spouští stream o Karlu IV.

Rádio Retro spouští stream o Karlu IV.

Vitalia.cz: 10 rad šéfkuchařů pro perfektní grilování

10 rad šéfkuchařů pro perfektní grilování

120na80.cz: Jak si udržet zdravou vaginu

Jak si udržet zdravou vaginu

120na80.cz: 10 nej přípravků na holení

10 nej přípravků na holení

Podnikatel.cz: Různé podoby lahve Coca–Coly. Úchvatné

Různé podoby lahve Coca–Coly. Úchvatné

Podnikatel.cz: Proměny stavebnice Seva. Znáte ji?

Proměny stavebnice Seva. Znáte ji?

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte