Postřehy z bezpečnosti: šmírovací OS ze Severní Koreje pod lupou

Pavel Bašta 4. 1. 2016

V tomto díle postřehů se podíváme na přednášku o operačním systému Red Star, která proběhla minulý týden v Hamburku na akci 32C3, dále na Windows 10 a ukládání šifrovacího klíče na servery MS, softwarovou chybu, která vedla k předčasnému propouštění vězňů v USA a na řadu dalších zajímavostí.

Minulý týden proběhla v německém Hamburku akce 32C3 (Chaos Communication Congress). Bohužel jsem byl většinu týdne mimo dosah civilizace, takže jsem se zatím zvládl podívat pouze na přednášku o operačním systému Red Star, původem ze severní Koreje. Jeho tvůrci (Korean Computer Center) do něj kromě SELinux, již nastavených iptables či Snortu vložili také několik vlastních modulů, jako modul pro šifrování disku nebo pro správné zobrazování korejských znaků. Sympaticky se tvůrci Red Star OS postavili k často kritizovanému problému výchozí důvěry v příliš mnoho certifikačních autorit. V systému najdeme prohlížeč Firefox, který však ve výchozím stavu důvěřuje pouze přibližně deseti certifikačním autoritám původem ze Severní Koreje. Podle Floriana Grunowa jsou navíc všechny zadané IP adresy (proxy, výchozí stránky) v systému součástí interní sítě Severní Koreje a systém tak pravděpodobně nebyl zamýšlen pro použití v prostředí běžného Internetu. Red Star OS také obsahuje nástroje, které automaticky kontrolují, zda nedošlo k manipulaci se systémovými soubory.

Screensaver z Red Star OS

Zajímavé možnosti, zejména pak ve smyslu možné spolupráce s USA, ve kterých se kongresu pár dní před Vánoci podařilo formou doplňku do zákona o americkém federálním rozpočtu  protlačit kontroverzní šmírovací zákon CISA, otevírají vhodně implementovaná řešení sledování uživatelů. Prvně, v systému je zajímavý modul jádra, který brání uživateli s právy roota ukončit vybrané procesy, stejně jako chrání některé soubory před prováděním změn nebo některé soubory zcela skrývá. Jiná zajímavá „utilita“ pod záminkou hledání virů prohledává dokumenty uživatele na konkrétní výrazy a spojení, jako slova „hladový“ nebo „trest“. Florian Grunow a jeho kolega se domnívají, že takto vláda omezuje šíření pro ni nepohodlných dokumentů. Seznam hledaných výrazů patří mimochodem k souborům, které si nemůže prohlížet ani uživatel s právy root a jeho obsah lze samozřejmě při aktualizacích systému na dálku změnit. Další převratná aplikace „opprc“ přidává k určitým souborům (docx, jpg, avi, png) zašifrovaná sériová čísla disků, přes které se soubor šířil. Pokud se tedy chce někdo v Severní Koreje vyhnout přenosu určitých souborů přes síť a použije raději flash disk, může státní aparát původce takovýchto nepohodlných dokumentů díky těmto informacím vystopovat.

V systému zatím nebyl nalezen žádný backdoor, ale ten může být do systému přidán až při následujících updatech, které jsou však dostupné pouze z vnitřní sítě Severní Koreje. Niklaus Schiess pak ještě vyzdvihl zabezpečení vlastních kódů Severokorejců, které využívají ochrany jako Stack Cookies, NX či ASLR, což, jak ironicky poznamenává, činí některé z těchto kódů bezpečnějšími, než jsou občas některá komerční bezpečnostní řešení.

Pokud máte zájem, další prezentace z akce 32C3 jsou dostupné zde. Osobně se těším na technické detaily aféry Dieselgate, na přednášku o tisku klíčů na 3D tiskárnách, na problémy v zabezpečení vlaků od týmu SCADA StrangeLove nebo na zabezpečení Nintendo 3DS konzolí. Na akci také skupina Fail0verflow prezentovala možnosti Linuxu na konzoli Playstation 4. Zajímavých přednášek se ale najde více, i když některé, které mne zaujaly v programu, jsem zatím ve vystavených záznamech nenašel.

Naše postřehy

Tohle je další splněný sen všech šmíráků. Windows 10 automaticky posílají zálohu klíče určeného k šifrování disku na servery Microsoftu. Microsoft se tak rozhodl na základě průzkumů a reakcí zákazníků, aby v případě recovery zařízení bylo možné se k datům dostat. Kdo chce, může si klíč na svém MS účtu smazat. Otázkou ale je, zda tak bude skutečně odstraněn i ze všech MS serverů.

Na druhou stranu, Microsoft následoval příkladu Facebooku, Twitteru a Googlu a nově bude informovat uživatele služeb Outlook a OneDrive, pokud bude mít podezření, že se o jejich účty na těchto službách zajímají vládou řízené organizace či osoby. Bohužel se tak nejspíše stalo proto, že jeden z dřívějších zaměstnanců této společnosti vynesl informaci o nečinnosti Microsoftu v dřívějším případě nabourání tisíců e-mailových účtů tibetských vůdců čínskými hackery. Tento nový přístup velkých společností se však nelíbí vládě Velké Británie, která by šéfy těchto společností ráda hnala před soud.

Softwarová chyba pomohla více než třem tisícům vězňů na svobodu dříve, než by si byli bývali zasloužili. Bug, zavlečený do systému věznic v USA již v roce 2002, způsobil, že docházelo k dřívějšímu propuštění vězňů na základě dobrého chování, kdy právě tento software měl na základě kreditů získaných za dobré chování určit, o kolik dříve půjdou vězni domů. Že se taková chyba nikdy neobjeví v programech daňové správy…

Někdo prý nabízel Raspberry Pi Foundation peníze, pokud do zařízení Raspberry Pi před jejich expedicí přidá malware. Nabízí se ale otázka, zda to nebyl jen nějaký hromadný spam či zda se dokonce ze strany Raspberry Pi Foundation nejedná jen o šikovnou reklamu.

Další vylepšení malware pro Andorid. Android.Spywaller by se svou schopností sbírat data o uživateli a odesílat je na server nebyl ničím až tak zajímavý, nebýt toho, že si po úspěšném napadení systému stáhne a spustí binárku firewallu DroidWall a nastaví pravidla pro blokování síťové komunikace tak, aby zabránil bezpečnostní aplikaci Qihoo 360 (Qihoo 360 je bezpečnostní aplikace hojně využívaná v Číně) v komunikaci s jejími servery.

Když máme ten nový rok, nemělo by nám tu na závěr chybět devět nejlepších „hacků“ roku 2015 a také předpověď ohledně kyberbezpečnosti v roce 2016. A samozřejmě, nějaká ta novoroční předsevzetí.

Ve zkratce

Pro pobavení

Vylepšený Shoulder Surfing útok :-)


Zdroj: std3.ru

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

Podnikatel.cz: Pohlaví, věk, víra a další. Při pohovoru tabu

Pohlaví, věk, víra a další. Při pohovoru tabu

120na80.cz: I tuto vodu můžete pít

I tuto vodu můžete pít

Lupa.cz: Japonská invaze. Proč SoftBank kupuje ARM?

Japonská invaze. Proč SoftBank kupuje ARM?

Lupa.cz: IT scéna po brexitu: přijde exodus vývojářů?

IT scéna po brexitu: přijde exodus vývojářů?

120na80.cz: 7 překážek při odvykání kouření

7 překážek při odvykání kouření

Podnikatel.cz: Nereaguje na výzvu ČOIky, zaplatí milion

Nereaguje na výzvu ČOIky, zaplatí milion

Vitalia.cz: Cheese&Chilli: předsudky o nudné britské kuchyni

Cheese&Chilli: předsudky o nudné britské kuchyni

Podnikatel.cz: Fotogalerie: Jesenka už má skoro 50 let

Fotogalerie: Jesenka už má skoro 50 let

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Vitalia.cz: Sobotní masakr žrádla, chlastu a zábavy

Sobotní masakr žrádla, chlastu a zábavy

Podnikatel.cz: Účtenky v rámci EET? Klidně emailem

Účtenky v rámci EET? Klidně emailem

Měšec.cz: Investice do drahých kovů - znáte základní chyby?

Investice do drahých kovů - znáte základní chyby?

Měšec.cz: Banky umí platby na kartu, jen to neříkají

Banky umí platby na kartu, jen to neříkají

Podnikatel.cz: Místa, kde hází podnikání klacky pod nohy

Místa, kde hází podnikání klacky pod nohy

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Vitalia.cz: Nejdůležitější změny v potravinářské novele

Nejdůležitější změny v potravinářské novele

DigiZone.cz: Sázka na e-sporty stanici Prima vychází

Sázka na e-sporty stanici Prima vychází

DigiZone.cz: Skylink o půlnoci vypnul 12 525

Skylink o půlnoci vypnul 12 525