Postřehy z bezpečnosti: šmírovací OS ze Severní Koreje pod lupou

Pavel Bašta 4. 1. 2016

V tomto díle postřehů se podíváme na přednášku o operačním systému Red Star, která proběhla minulý týden v Hamburku na akci 32C3, dále na Windows 10 a ukládání šifrovacího klíče na servery MS, softwarovou chybu, která vedla k předčasnému propouštění vězňů v USA a na řadu dalších zajímavostí.

Minulý týden proběhla v německém Hamburku akce 32C3 (Chaos Communication Congress). Bohužel jsem byl většinu týdne mimo dosah civilizace, takže jsem se zatím zvládl podívat pouze na přednášku o operačním systému Red Star, původem ze severní Koreje. Jeho tvůrci (Korean Computer Center) do něj kromě SELinux, již nastavených iptables či Snortu vložili také několik vlastních modulů, jako modul pro šifrování disku nebo pro správné zobrazování korejských znaků. Sympaticky se tvůrci Red Star OS postavili k často kritizovanému problému výchozí důvěry v příliš mnoho certifikačních autorit. V systému najdeme prohlížeč Firefox, který však ve výchozím stavu důvěřuje pouze přibližně deseti certifikačním autoritám původem ze Severní Koreje. Podle Floriana Grunowa jsou navíc všechny zadané IP adresy (proxy, výchozí stránky) v systému součástí interní sítě Severní Koreje a systém tak pravděpodobně nebyl zamýšlen pro použití v prostředí běžného Internetu. Red Star OS také obsahuje nástroje, které automaticky kontrolují, zda nedošlo k manipulaci se systémovými soubory.

Screensaver z Red Star OS

Zajímavé možnosti, zejména pak ve smyslu možné spolupráce s USA, ve kterých se kongresu pár dní před Vánoci podařilo formou doplňku do zákona o americkém federálním rozpočtu  protlačit kontroverzní šmírovací zákon CISA, otevírají vhodně implementovaná řešení sledování uživatelů. Prvně, v systému je zajímavý modul jádra, který brání uživateli s právy roota ukončit vybrané procesy, stejně jako chrání některé soubory před prováděním změn nebo některé soubory zcela skrývá. Jiná zajímavá „utilita“ pod záminkou hledání virů prohledává dokumenty uživatele na konkrétní výrazy a spojení, jako slova „hladový“ nebo „trest“. Florian Grunow a jeho kolega se domnívají, že takto vláda omezuje šíření pro ni nepohodlných dokumentů. Seznam hledaných výrazů patří mimochodem k souborům, které si nemůže prohlížet ani uživatel s právy root a jeho obsah lze samozřejmě při aktualizacích systému na dálku změnit. Další převratná aplikace „opprc“ přidává k určitým souborům (docx, jpg, avi, png) zašifrovaná sériová čísla disků, přes které se soubor šířil. Pokud se tedy chce někdo v Severní Koreje vyhnout přenosu určitých souborů přes síť a použije raději flash disk, může státní aparát původce takovýchto nepohodlných dokumentů díky těmto informacím vystopovat.

V systému zatím nebyl nalezen žádný backdoor, ale ten může být do systému přidán až při následujících updatech, které jsou však dostupné pouze z vnitřní sítě Severní Koreje. Niklaus Schiess pak ještě vyzdvihl zabezpečení vlastních kódů Severokorejců, které využívají ochrany jako Stack Cookies, NX či ASLR, což, jak ironicky poznamenává, činí některé z těchto kódů bezpečnějšími, než jsou občas některá komerční bezpečnostní řešení.

Pokud máte zájem, další prezentace z akce 32C3 jsou dostupné zde. Osobně se těším na technické detaily aféry Dieselgate, na přednášku o tisku klíčů na 3D tiskárnách, na problémy v zabezpečení vlaků od týmu SCADA StrangeLove nebo na zabezpečení Nintendo 3DS konzolí. Na akci také skupina Fail0verflow prezentovala možnosti Linuxu na konzoli Playstation 4. Zajímavých přednášek se ale najde více, i když některé, které mne zaujaly v programu, jsem zatím ve vystavených záznamech nenašel.

Naše postřehy

Tohle je další splněný sen všech šmíráků. Windows 10 automaticky posílají zálohu klíče určeného k šifrování disku na servery Microsoftu. Microsoft se tak rozhodl na základě průzkumů a reakcí zákazníků, aby v případě recovery zařízení bylo možné se k datům dostat. Kdo chce, může si klíč na svém MS účtu smazat. Otázkou ale je, zda tak bude skutečně odstraněn i ze všech MS serverů.

Na druhou stranu, Microsoft následoval příkladu Facebooku, Twitteru a Googlu a nově bude informovat uživatele služeb Outlook a OneDrive, pokud bude mít podezření, že se o jejich účty na těchto službách zajímají vládou řízené organizace či osoby. Bohužel se tak nejspíše stalo proto, že jeden z dřívějších zaměstnanců této společnosti vynesl informaci o nečinnosti Microsoftu v dřívějším případě nabourání tisíců e-mailových účtů tibetských vůdců čínskými hackery. Tento nový přístup velkých společností se však nelíbí vládě Velké Británie, která by šéfy těchto společností ráda hnala před soud.

Softwarová chyba pomohla více než třem tisícům vězňů na svobodu dříve, než by si byli bývali zasloužili. Bug, zavlečený do systému věznic v USA již v roce 2002, způsobil, že docházelo k dřívějšímu propuštění vězňů na základě dobrého chování, kdy právě tento software měl na základě kreditů získaných za dobré chování určit, o kolik dříve půjdou vězni domů. Že se taková chyba nikdy neobjeví v programech daňové správy…

Někdo prý nabízel Raspberry Pi Foundation peníze, pokud do zařízení Raspberry Pi před jejich expedicí přidá malware. Nabízí se ale otázka, zda to nebyl jen nějaký hromadný spam či zda se dokonce ze strany Raspberry Pi Foundation nejedná jen o šikovnou reklamu.

Další vylepšení malware pro Andorid. Android.Spywaller by se svou schopností sbírat data o uživateli a odesílat je na server nebyl ničím až tak zajímavý, nebýt toho, že si po úspěšném napadení systému stáhne a spustí binárku firewallu DroidWall a nastaví pravidla pro blokování síťové komunikace tak, aby zabránil bezpečnostní aplikaci Qihoo 360 (Qihoo 360 je bezpečnostní aplikace hojně využívaná v Číně) v komunikaci s jejími servery.

Když máme ten nový rok, nemělo by nám tu na závěr chybět devět nejlepších „hacků“ roku 2015 a také předpověď ohledně kyberbezpečnosti v roce 2016. A samozřejmě, nějaká ta novoroční předsevzetí.

Ve zkratce

Pro pobavení

Vylepšený Shoulder Surfing útok :-)


Zdroj: std3.ru

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: Brexit na ČT 24? Skoro 2 miliony...

Brexit na ČT 24? Skoro 2 miliony...

Lupa.cz: Zkoušeli operátoři manipulovat měření LTE?

Zkoušeli operátoři manipulovat měření LTE?

120na80.cz: Cestovní nevolnost. Co pomůže?

Cestovní nevolnost. Co pomůže?

Vitalia.cz: Jíme přesolené potraviny. Zrovna tyhle

Jíme přesolené potraviny. Zrovna tyhle

Vitalia.cz: Jelení farma produkuje kvalitní maso

Jelení farma produkuje kvalitní maso

DigiZone.cz: Soud zakázal šíření TV Markíza v ČR

Soud zakázal šíření TV Markíza v ČR

DigiZone.cz: Skylink: Nova Sport volně

Skylink: Nova Sport volně

Root.cz: Quake slaví 20 let novou epizodou zdarma

Quake slaví 20 let novou epizodou zdarma

DigiZone.cz: Noxon iRadio 1 W bude za pár měsíců

Noxon iRadio 1 W bude za pár měsíců

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

120na80.cz: Krémy, nebo spreje na opalování?

Krémy, nebo spreje na opalování?

DigiZone.cz: ČTÚ květen: rušení TV vysílání narůstá

ČTÚ květen: rušení TV vysílání narůstá

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

120na80.cz: Jsou opalovací krémy pro děti jiné?

Jsou opalovací krémy pro děti jiné?

DigiZone.cz: Markíza: tady je předběžné opatření

Markíza: tady je předběžné opatření

120na80.cz: Proč komáři létají hlavně večer?

Proč komáři létají hlavně večer?

Podnikatel.cz: Oblíbené Babišovo reverse charge. Potopilo je?

Oblíbené Babišovo reverse charge. Potopilo je?

120na80.cz: Léky a dietní opatření při kopřivce

Léky a dietní opatření při kopřivce

Lupa.cz: Jaké IoT tarify nabízejí mobilní operátoři?

Jaké IoT tarify nabízejí mobilní operátoři?