Postřehy z bezpečnosti: přenos dat s pomocí tepla

Pavel Bašta 30. 3. 2015

V dnešním díle postřehů se podíváme na přenos dat mezi dvěma počítači s pomocí tepla a tepelných senzorů, dále na útok sextortion, jehož oběti na něj určitě hned tak nezapomenou, na malware ukrývající data do faviconů, na kampaň, která kompromitovala tisíce instancí WordPressu a na řadu dalších zajímavostí.

Musím přiznat, že když jsem sledoval úvodní přednášku loňského BlackHat Europe, přišlo mi celé to povídání o tom, jak přednášející s kolegy po večerech z parkoviště ozařoval laserovým paprskem skener multifunkční tiskárny v nedaleké budově, aby si mohl s malwarem umístěným v připojeném počítači vyměňovat data, poněkud potrhlé. Nicméně dostat se k datům v systémech izolovaných od internetu je jednoznačně velkým lákadlem a různých více či méně bizarních nápadů, jak se k nim dostat, nás jistě čeká ještě dlouhá řada.

Ten poslední nápad počítá s přenosem dat s pomocí tepla. Ale pojďme pěkně po pořádku. „Air-gapped“ počítačové systémy jsou považovány za velmi bezpečné, neboť jsou zcela odděleny od Internetu i dalších počítačů, připojených do externích sítí. Jsou používány všude tam, kde se pracuje s vysoce tajnými informacemi, nebo na místech, kde jsou prováděny kritické operace, jako jsou jaderné elektrárny, zdravotnictví, či některé finančnické systémy. 

I když i do těchto systémů lze dostat malware, což ostatně v minulosti ukázal příklad Stuxnetu, stále tu z pohledu útočníka zůstává jeden nedořešený problém. Tím je případná komunikace s malware, ať již kvůli předání instrukcí od útočníka, nebo naopak kvůli přenosu ukradených dat k útočníkovi.

Nově uveřejněná technika přenosu dat nazvaná BitWhisper využívá výměny tepla mezi dvěma počítači. Využívá se zvýšené produkce tepla procesorem, grafickou kartou a dalšími částmi základní desky při zvýšeném zatížení systému. Druhý počítač pak sleduje nárůst tepla zabudovanými termálními senzory a změny v teplotě interpretuje jako nuly a jedničky. 

Pravda, přenos dat rychlostí 8 bitů za hodinu, nutnost nejdříve na oba počítače nějak dostat příslušný malware a maximální vzdálenost mezi počítači 40 centimetrů představují určité omezení, ale tvůrci této techniky předpokládají její další vylepšení, případně využití IoT (Internet of Things), či k internetu připojených topení a klimatizačních jednotek. Osobně vidím problém i v tom, že na počítačích se obvykle pracuje, což samozřejmě také vede k různým změnám v zátěži, takže to, co funguje někde v laboratorních podmínkách, nebude tak snadné převést do praxe.

Naše postřehy

Podle reportu společnosti Akamai za poslední čtvrtletí loňského roku zůstávají IP adresy přidělené do Číny na pomyslném žebříčku nejčastějších zdrojů útoků, konkrétně generují celých 41 procent útočného provozu. Nejčastějším cílem pokusů o útok je pak port 23, ten následován porty 445, 8080, 3389 a 22. Jen pro zajímavost, v rámci projektu Turris pozorujeme intenzivní pokusy o přístup z čínských IP adres, které jsou i u nás na prvním místě v počtu podezřelých pokusů o komunikaci. Nejčastější jsou pak pokusy o přístup na port 23 a 22, pokud se zaměříme pouze na čínské IP adresy, pak se jedná o porty 22, 23 a 1433 (SQL).

Společnost Trend Micro vydala zprávu popisující modus operandi „sextortion“ gangů, operujících ve východní Asii. Sextortion je spojením slov sex a extortion, což dost přesně vystihuje podstatu této hrozby. Útočníci, kteří se vydávají za ženu, se nejdříve pokusí oběť zlákat k provozování kybersexu, což jim umožní posbírat různé kompromitující materiály, jako záznamy chatu, fotografie a videa. Novinkou je, že se útočníci zároveň pokusí přesvědčit oběť, aby si nainstalovala do svého mobilního telefonu malware, který pak útočníkům pošle kompletní seznam uložených kontaktů. To útočníkům umožní vyvinout na oběť větší tlak, neboť jí pak následně mohou vyhrožovat posláním kompromitujících materiálů přímo jejím přátelům a rodině. Každá z obětí měla za neposlání kompromitujících materiálů zaplatit 1 milion KRW, tedy asi 900 dolarů.

Jakub Kroustek, analytik společnosti AVG, publikoval detailní analýzu nového kmenu bankovního trojského koně Vawtrak. Asi nejzajímavější vlastností je používání steganografie ke skrývání přenosu dat do faviconů. Kromě toho má malware implementované mechanismy pro kradení finančních informací, hesel k FTP přístupům, privátních klíčů a pro provádění bankovních transakcí přímo z počítače oběti. Varianta detekovaná společností AVG dokáže také spustit MITM útoky či získávat videa a screenshoty z kompromitovaných počítačů. Malware se nejvíce vyskytuje v České republice, USA, UK a v Německu.

Velmi nepříjemná zranitelnost byla nalezena v zařízeních ANTLabs InnGate, což jsou internetové brány umožňující připojení hostů v hotelech, nebo třeba v konferenčních centrech. K systémům je možné se bez hesla připojit přes démona rsync. Jakmile útočník systém napadne, nic mu nebrání například přidat do uživatelem stahovaného programu vlastní malware. Pokud si vybavíme operaci Darkhotel, tak lze očekávat, že takováto chyba nezůstane nevyužita.

Tisíce kompromitovaných instancí WordPressu přesměrovává své návštěvníky na exploit kit Fiesta. Malware, který se po úspěšném exploitování některé ze zranitelností nainstaluje do počítače oběti, je různý. Byl reportován jak výskyt bankovních trojanů, tak také Cryptowallu 3.0. Samotné instance WordPressu jsou napadány skrz plug-in RevSlider. Česká republika není mezi TOP 10 zeměmi. Během tohoto týdne chceme identifikovat v našem MDM weby na doméně .CZ zasažené v rámci této kampaně a zaměřit se na jejich rychlé vyčištění a záplatování.

UglyEmail je rozšíření pro Chrome, které pomůže uživatelům služby Gmail zjistit, které e-maily v jejich inboxu jsou sledovány pomocí některé ze společností pro sledování e-mailů, které svým klientům umožňují zjistit, kde a na jakém zařízení byl otevřen jejich e-mail. UglyEmail slouží pro informování uživatele o těchto praktikách, pokud si však přejete trackování pomocí pixelů zcela zablokovat, můžete použít jiné rozšíření pro chrome – PixelBlock.

Pro pobavení

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: 5 porcí ovoce a zeleniny: no ale jak na to?

5 porcí ovoce a zeleniny: no ale jak na to?

Podnikatel.cz: Babiš představil daňovou revoluci Moje daně

Babiš představil daňovou revoluci Moje daně

DigiZone.cz: ČRa hodnotí pilotní 4K vysílání

ČRa hodnotí pilotní 4K vysílání

120na80.cz: Léky a dietní opatření při kopřivce

Léky a dietní opatření při kopřivce

Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

DigiZone.cz: Robinsonův ostrov moderuje Novotný

Robinsonův ostrov moderuje Novotný

Podnikatel.cz: Výpadek internetu a #EET. Co s tím?

Výpadek internetu a #EET. Co s tím?

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Kanály Novy na Slovensku oficiálně?

Kanály Novy na Slovensku oficiálně?

Vitalia.cz: 7 receptur z pohanky. Svědčí zdraví

7 receptur z pohanky. Svědčí zdraví

DigiZone.cz: Noxon iRadio 1 W bude za pár měsíců

Noxon iRadio 1 W bude za pár měsíců

Lupa.cz: Nej aplikace? Vodafone, Mozkovna, Záchranka

Nej aplikace? Vodafone, Mozkovna, Záchranka

Podnikatel.cz: Takhle si Babiš představuje nové daně

Takhle si Babiš představuje nové daně

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Lupa.cz: Zaměstnanec T-Mobilu ukradl data o zákaznících

Zaměstnanec T-Mobilu ukradl data o zákaznících

DigiZone.cz: Satelitní Flix TV vyráží do boje

Satelitní Flix TV vyráží do boje

Root.cz: Quake slaví 20 let novou epizodou zdarma

Quake slaví 20 let novou epizodou zdarma