Postřehy z bezpečnosti: přenos dat s pomocí tepla

Pavel Bašta 30. 3. 2015

V dnešním díle postřehů se podíváme na přenos dat mezi dvěma počítači s pomocí tepla a tepelných senzorů, dále na útok sextortion, jehož oběti na něj určitě hned tak nezapomenou, na malware ukrývající data do faviconů, na kampaň, která kompromitovala tisíce instancí WordPressu a na řadu dalších zajímavostí.

Musím přiznat, že když jsem sledoval úvodní přednášku loňského BlackHat Europe, přišlo mi celé to povídání o tom, jak přednášející s kolegy po večerech z parkoviště ozařoval laserovým paprskem skener multifunkční tiskárny v nedaleké budově, aby si mohl s malwarem umístěným v připojeném počítači vyměňovat data, poněkud potrhlé. Nicméně dostat se k datům v systémech izolovaných od internetu je jednoznačně velkým lákadlem a různých více či méně bizarních nápadů, jak se k nim dostat, nás jistě čeká ještě dlouhá řada.

Ten poslední nápad počítá s přenosem dat s pomocí tepla. Ale pojďme pěkně po pořádku. „Air-gapped“ počítačové systémy jsou považovány za velmi bezpečné, neboť jsou zcela odděleny od Internetu i dalších počítačů, připojených do externích sítí. Jsou používány všude tam, kde se pracuje s vysoce tajnými informacemi, nebo na místech, kde jsou prováděny kritické operace, jako jsou jaderné elektrárny, zdravotnictví, či některé finančnické systémy. 

I když i do těchto systémů lze dostat malware, což ostatně v minulosti ukázal příklad Stuxnetu, stále tu z pohledu útočníka zůstává jeden nedořešený problém. Tím je případná komunikace s malware, ať již kvůli předání instrukcí od útočníka, nebo naopak kvůli přenosu ukradených dat k útočníkovi.

Nově uveřejněná technika přenosu dat nazvaná BitWhisper využívá výměny tepla mezi dvěma počítači. Využívá se zvýšené produkce tepla procesorem, grafickou kartou a dalšími částmi základní desky při zvýšeném zatížení systému. Druhý počítač pak sleduje nárůst tepla zabudovanými termálními senzory a změny v teplotě interpretuje jako nuly a jedničky. 

Pravda, přenos dat rychlostí 8 bitů za hodinu, nutnost nejdříve na oba počítače nějak dostat příslušný malware a maximální vzdálenost mezi počítači 40 centimetrů představují určité omezení, ale tvůrci této techniky předpokládají její další vylepšení, případně využití IoT (Internet of Things), či k internetu připojených topení a klimatizačních jednotek. Osobně vidím problém i v tom, že na počítačích se obvykle pracuje, což samozřejmě také vede k různým změnám v zátěži, takže to, co funguje někde v laboratorních podmínkách, nebude tak snadné převést do praxe.

Naše postřehy

Podle reportu společnosti Akamai za poslední čtvrtletí loňského roku zůstávají IP adresy přidělené do Číny na pomyslném žebříčku nejčastějších zdrojů útoků, konkrétně generují celých 41 procent útočného provozu. Nejčastějším cílem pokusů o útok je pak port 23, ten následován porty 445, 8080, 3389 a 22. Jen pro zajímavost, v rámci projektu Turris pozorujeme intenzivní pokusy o přístup z čínských IP adres, které jsou i u nás na prvním místě v počtu podezřelých pokusů o komunikaci. Nejčastější jsou pak pokusy o přístup na port 23 a 22, pokud se zaměříme pouze na čínské IP adresy, pak se jedná o porty 22, 23 a 1433 (SQL).

Společnost Trend Micro vydala zprávu popisující modus operandi „sextortion“ gangů, operujících ve východní Asii. Sextortion je spojením slov sex a extortion, což dost přesně vystihuje podstatu této hrozby. Útočníci, kteří se vydávají za ženu, se nejdříve pokusí oběť zlákat k provozování kybersexu, což jim umožní posbírat různé kompromitující materiály, jako záznamy chatu, fotografie a videa. Novinkou je, že se útočníci zároveň pokusí přesvědčit oběť, aby si nainstalovala do svého mobilního telefonu malware, který pak útočníkům pošle kompletní seznam uložených kontaktů. To útočníkům umožní vyvinout na oběť větší tlak, neboť jí pak následně mohou vyhrožovat posláním kompromitujících materiálů přímo jejím přátelům a rodině. Každá z obětí měla za neposlání kompromitujících materiálů zaplatit 1 milion KRW, tedy asi 900 dolarů.

Jakub Kroustek, analytik společnosti AVG, publikoval detailní analýzu nového kmenu bankovního trojského koně Vawtrak. Asi nejzajímavější vlastností je používání steganografie ke skrývání přenosu dat do faviconů. Kromě toho má malware implementované mechanismy pro kradení finančních informací, hesel k FTP přístupům, privátních klíčů a pro provádění bankovních transakcí přímo z počítače oběti. Varianta detekovaná společností AVG dokáže také spustit MITM útoky či získávat videa a screenshoty z kompromitovaných počítačů. Malware se nejvíce vyskytuje v České republice, USA, UK a v Německu.

Velmi nepříjemná zranitelnost byla nalezena v zařízeních ANTLabs InnGate, což jsou internetové brány umožňující připojení hostů v hotelech, nebo třeba v konferenčních centrech. K systémům je možné se bez hesla připojit přes démona rsync. Jakmile útočník systém napadne, nic mu nebrání například přidat do uživatelem stahovaného programu vlastní malware. Pokud si vybavíme operaci Darkhotel, tak lze očekávat, že takováto chyba nezůstane nevyužita.

Tisíce kompromitovaných instancí WordPressu přesměrovává své návštěvníky na exploit kit Fiesta. Malware, který se po úspěšném exploitování některé ze zranitelností nainstaluje do počítače oběti, je různý. Byl reportován jak výskyt bankovních trojanů, tak také Cryptowallu 3.0. Samotné instance WordPressu jsou napadány skrz plug-in RevSlider. Česká republika není mezi TOP 10 zeměmi. Během tohoto týdne chceme identifikovat v našem MDM weby na doméně .CZ zasažené v rámci této kampaně a zaměřit se na jejich rychlé vyčištění a záplatování.

UglyEmail je rozšíření pro Chrome, které pomůže uživatelům služby Gmail zjistit, které e-maily v jejich inboxu jsou sledovány pomocí některé ze společností pro sledování e-mailů, které svým klientům umožňují zjistit, kde a na jakém zařízení byl otevřen jejich e-mail. UglyEmail slouží pro informování uživatele o těchto praktikách, pokud si však přejete trackování pomocí pixelů zcela zablokovat, můžete použít jiné rozšíření pro chrome – PixelBlock.

Pro pobavení

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Měšec.cz: 10 změn novely zákoníku práce

10 změn novely zákoníku práce

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Root.cz: Xiaomi má vlastní notebook podobný Macu

Xiaomi má vlastní notebook podobný Macu

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?

DigiZone.cz: Pevnost Boyard v září a česká

Pevnost Boyard v září a česká

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

Vitalia.cz: Galerie: Strouhanka ze starých rohlíků? Kdepak

Galerie: Strouhanka ze starých rohlíků? Kdepak

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

Měšec.cz: Na návštěvě na exekutorském úřadě

Na návštěvě na exekutorském úřadě

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí karta

Do ostravské MHD bez jízdenky. Stačí karta

120na80.cz: Kam umístit silikony?

Kam umístit silikony?