Postřehy z bezpečnosti: šmírovací OS ze Severní Koreje pod lupou

Pavel Bašta 4. 1. 2016

V tomto díle postřehů se podíváme na přednášku o operačním systému Red Star, která proběhla minulý týden v Hamburku na akci 32C3, dále na Windows 10 a ukládání šifrovacího klíče na servery MS, softwarovou chybu, která vedla k předčasnému propouštění vězňů v USA a na řadu dalších zajímavostí.

Minulý týden proběhla v německém Hamburku akce 32C3 (Chaos Communication Congress). Bohužel jsem byl většinu týdne mimo dosah civilizace, takže jsem se zatím zvládl podívat pouze na přednášku o operačním systému Red Star, původem ze severní Koreje. Jeho tvůrci (Korean Computer Center) do něj kromě SELinux, již nastavených iptables či Snortu vložili také několik vlastních modulů, jako modul pro šifrování disku nebo pro správné zobrazování korejských znaků. Sympaticky se tvůrci Red Star OS postavili k často kritizovanému problému výchozí důvěry v příliš mnoho certifikačních autorit. V systému najdeme prohlížeč Firefox, který však ve výchozím stavu důvěřuje pouze přibližně deseti certifikačním autoritám původem ze Severní Koreje. Podle Floriana Grunowa jsou navíc všechny zadané IP adresy (proxy, výchozí stránky) v systému součástí interní sítě Severní Koreje a systém tak pravděpodobně nebyl zamýšlen pro použití v prostředí běžného Internetu. Red Star OS také obsahuje nástroje, které automaticky kontrolují, zda nedošlo k manipulaci se systémovými soubory.

Screensaver z Red Star OS

Zajímavé možnosti, zejména pak ve smyslu možné spolupráce s USA, ve kterých se kongresu pár dní před Vánoci podařilo formou doplňku do zákona o americkém federálním rozpočtu  protlačit kontroverzní šmírovací zákon CISA, otevírají vhodně implementovaná řešení sledování uživatelů. Prvně, v systému je zajímavý modul jádra, který brání uživateli s právy roota ukončit vybrané procesy, stejně jako chrání některé soubory před prováděním změn nebo některé soubory zcela skrývá. Jiná zajímavá „utilita“ pod záminkou hledání virů prohledává dokumenty uživatele na konkrétní výrazy a spojení, jako slova „hladový“ nebo „trest“. Florian Grunow a jeho kolega se domnívají, že takto vláda omezuje šíření pro ni nepohodlných dokumentů. Seznam hledaných výrazů patří mimochodem k souborům, které si nemůže prohlížet ani uživatel s právy root a jeho obsah lze samozřejmě při aktualizacích systému na dálku změnit. Další převratná aplikace „opprc“ přidává k určitým souborům (docx, jpg, avi, png) zašifrovaná sériová čísla disků, přes které se soubor šířil. Pokud se tedy chce někdo v Severní Koreje vyhnout přenosu určitých souborů přes síť a použije raději flash disk, může státní aparát původce takovýchto nepohodlných dokumentů díky těmto informacím vystopovat.

V systému zatím nebyl nalezen žádný backdoor, ale ten může být do systému přidán až při následujících updatech, které jsou však dostupné pouze z vnitřní sítě Severní Koreje. Niklaus Schiess pak ještě vyzdvihl zabezpečení vlastních kódů Severokorejců, které využívají ochrany jako Stack Cookies, NX či ASLR, což, jak ironicky poznamenává, činí některé z těchto kódů bezpečnějšími, než jsou občas některá komerční bezpečnostní řešení.

Pokud máte zájem, další prezentace z akce 32C3 jsou dostupné zde. Osobně se těším na technické detaily aféry Dieselgate, na přednášku o tisku klíčů na 3D tiskárnách, na problémy v zabezpečení vlaků od týmu SCADA StrangeLove nebo na zabezpečení Nintendo 3DS konzolí. Na akci také skupina Fail0verflow prezentovala možnosti Linuxu na konzoli Playstation 4. Zajímavých přednášek se ale najde více, i když některé, které mne zaujaly v programu, jsem zatím ve vystavených záznamech nenašel.

Naše postřehy

Tohle je další splněný sen všech šmíráků. Windows 10 automaticky posílají zálohu klíče určeného k šifrování disku na servery Microsoftu. Microsoft se tak rozhodl na základě průzkumů a reakcí zákazníků, aby v případě recovery zařízení bylo možné se k datům dostat. Kdo chce, může si klíč na svém MS účtu smazat. Otázkou ale je, zda tak bude skutečně odstraněn i ze všech MS serverů.

Na druhou stranu, Microsoft následoval příkladu Facebooku, Twitteru a Googlu a nově bude informovat uživatele služeb Outlook a OneDrive, pokud bude mít podezření, že se o jejich účty na těchto službách zajímají vládou řízené organizace či osoby. Bohužel se tak nejspíše stalo proto, že jeden z dřívějších zaměstnanců této společnosti vynesl informaci o nečinnosti Microsoftu v dřívějším případě nabourání tisíců e-mailových účtů tibetských vůdců čínskými hackery. Tento nový přístup velkých společností se však nelíbí vládě Velké Británie, která by šéfy těchto společností ráda hnala před soud.

Softwarová chyba pomohla více než třem tisícům vězňů na svobodu dříve, než by si byli bývali zasloužili. Bug, zavlečený do systému věznic v USA již v roce 2002, způsobil, že docházelo k dřívějšímu propuštění vězňů na základě dobrého chování, kdy právě tento software měl na základě kreditů získaných za dobré chování určit, o kolik dříve půjdou vězni domů. Že se taková chyba nikdy neobjeví v programech daňové správy…

Někdo prý nabízel Raspberry Pi Foundation peníze, pokud do zařízení Raspberry Pi před jejich expedicí přidá malware. Nabízí se ale otázka, zda to nebyl jen nějaký hromadný spam či zda se dokonce ze strany Raspberry Pi Foundation nejedná jen o šikovnou reklamu.

Další vylepšení malware pro Andorid. Android.Spywaller by se svou schopností sbírat data o uživateli a odesílat je na server nebyl ničím až tak zajímavý, nebýt toho, že si po úspěšném napadení systému stáhne a spustí binárku firewallu DroidWall a nastaví pravidla pro blokování síťové komunikace tak, aby zabránil bezpečnostní aplikaci Qihoo 360 (Qihoo 360 je bezpečnostní aplikace hojně využívaná v Číně) v komunikaci s jejími servery.

Když máme ten nový rok, nemělo by nám tu na závěr chybět devět nejlepších „hacků“ roku 2015 a také předpověď ohledně kyberbezpečnosti v roce 2016. A samozřejmě, nějaká ta novoroční předsevzetí.

Ve zkratce

Pro pobavení

Vylepšený Shoulder Surfing útok :-)

widgety


Zdroj: std3.ru

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Dostal malý pivovar ze Slovenska do Tesca

Dostal malý pivovar ze Slovenska do Tesca

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Koncesionářské poplatky pro RTVS

Koncesionářské poplatky pro RTVS

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně