Postřehy z bezpečnosti: šmírující televize jako z románu 1984

Martin Čmelík 2. 12. 2013

Podíváme se na šmírující „smart“ televizory, potvrdíme si hack 50 000 sítí díky teamu TAO z NSA, co umí nový banker Neverquest, o 0day exploitu na Windows XP a Server 2013, použití PFS v HTTPS komunikaci, SMS DoS na Google Nexus, jak nalézt soubory zašifrované CryptoLockerem a spoustu dalšího.

První větou bych chtěl předejít zbytečným diskuzím v komentářích. Ano, vím, že o tomto tématu informoval již Lukáš Malý v předchozích postřezích, ale přišlo mi, že informace podané k tomuto tématu nebyly dostatečné a navíc se objevilo pár nových.

Situace jak vystřižená z románu 1984 od George Orwella, ve kterém televize instalovaná do do všech bytových prostor sledovala, co právě děláte. Podobně se chová „smart“ televize od společnosti LG a bůhví od kterých dalších značek. Nemusí jít však jen o televizi, ale i o herní konzole vybavené kamerou. Jako se například spekulovalo, že Xbox bude sledovat vaše reakce (obličeje) na cílenou reklamu a podle toho dávat zpětnou vazbu zadavateli. Dále tu máme stále zapnutý mikrofon na Google Nexus 5 a už jen pro pobavení odposlouchávací zařízení ve varných konvicích s připojením na WiFi.

LG odesílá názvy programů které sledujete, jaké kanály sledujete a kdo je vysílá, názvy souborů na vašem disku/USB a i na síťových discích. Tyto názvy navíc uchovává a posílá je i po odpojení disku nebo smazání souboru. Při zapnutí televize tuto událost nahlásí, stejně tak jako při vypnutí, takže LG ví, jak dlouho a kdy máte zapnutou televizi. I když dle testů server odpoví chybou 404, všechna data samozřejmě byla předána. LG se snažilo vymlouvat, nečekali však, že někdo si opravdu přečte smluvní podmínky.

Teď si vezměte, že ostatní společnosti dělají to samé, ale např. tato data šifrují, používají unikátní klíče pro každou televizi, nebo data posílají vlastním protokolem. Přišlo by se na to? Lze to udělat tak, že nic nepoznáte ani z odposlechu síťové komunikace. 

Možná by EU byrokrati místo stostránkového dokumentu popisujícího správné zahnutí banánu měli definovat, jakých všech práv nás vůbec společnosti mohou zbavit ve smluvních podmínkách.

Problémem samozřejmě není jen LG, Samsung TV zas díky chybě umožňuje vzdálený přístup a zrovna těmito chybami, nebo pomocí defaultních hesel, se baví poměrně velká komunita na Internetu. Přepínají vám programy a sledují kamerou dění před televizí.

Dejte si pozor, koho pouštíte do svých domovů.

Naše postřehy

Zas ta NSA. Dle dalších informací od Snowdena se potvrdilo, že NSA infikovala na 50 000 sití svým malwarem a sbírala z nich takto data. K tomuto účelu měla NSA tým zvaný TAO (Tailored Access Operations), čítající tisícovku hackerů, pardon, zločinců nabourávajících tyto sítě. Malware je možné vzdáleně kontrolovat a zároveň jedním příkazem nechat zničit. To se takhle člověk bojí, kdo ze zločinců se bude snažit nabourat jeho infrastrukturu, a pak se dozví, že tím největším je americký úřad.

Známý čínský Velký Firewall, který sedí na internetovém připojení Číny a omezuje přístup na weby, služby, či konkrétní URL, které jsou nepřípustné podle tamního režimu, je v poslední době nově obcházen pomocí cloudových služeb. Nepřístupný web se prostě zkopíruje (mirror) na servery Amazonu, Googlu a dalších a je tak možné obejít ochranu. Tomuto kroku prý předcházelo blokování některých stránek čínského Reuters a Wall Street Journal.

0day exploit využívající nově objevenou chybu ve Windows XP a Windows Server 2013 (CVE-2013–5065) se šíří spolu s kódem využívající chybu v Adobe Readeru (CVE-2013–3346). Chyba v Adobe slouží jako dropper, kdy se pak spustí kód s chybou Windows umožnující eskalaci práv díky chybě v ovladači NDPROXY.SYS.

Jak jsme dříve informovali o možnosti získat data z HTTPS provozu i několik let zpět, pokud se dostanete k soukromému klíči, a že jedinou dnes použitelnou možností obrany je použití HTTPS společně s PFS (Perfect Forward Secrecy), tak nově se k takto zabezpečeným službám přidal i Twitter. Všeobecně se standard dodržování bezpečné komunikace nazývá HSTS (HTTP Strict Transport Security) a pro zajištění generování nového unikátní klíče poslouží právě PFS. Pokud byste měli zájem používat PFS i na svých serverech, použijte například šifrovací sadu ECDHE-RSA-AES128-GCM-SHA256 (Elliptic Curve Diffie-Hellman).

Nový banker má název Neverquest. K hlavním zajímavostem patří především to, že je schopen rozeznat až 100 bank a finančních institucí a tím pádem i vám ukrást peníze, pokud některou z podporovaných používáte. Dále spustí na napadeném počítači VNC službu a čeká na příkazy z C&C serveru. Dále podporuje snad všechny známé FTP klienty a pokud zde máte uložené heslo, tak i tyto údaje předá C&C, kde jej autoři mohou použít pro další šíření malwaru. K šíření používá i váš emailový účet (spam) a účet na sociálních sítích.

Google Nexus je napadnutelný DoS útokem založeným na SMS zprávách. Útočník takto může nechat mobilní telefon nebo tablet, restartovat, zatuhnout nebo odpojit od sítě. Chyba postihuje všechny Android verze 4.x a jak zařízení Google Galaxy, tak Nexus 4 i Nexus 5. Stačí poslat přibližně 30 tzv. flash SMS.

Linuxový červ Linux.Darlloz útočí na všechna zařízení (servery, routery, kamery, …) používající zranitelnou verzi PHP (PHP-CGI, CVE-2012–1823). Po napadení systému náhodně vygeneruje další IP adresu a šíří se dál. Zvláštní je, že dělá jen tuto rutinu. Dál v systému nijak neoperuje. Možná testovací kód, který omylem unikl.

Bezpečnostní odborník nalezl metodu umožňující určit, které ze souborů jsou zašifrované ransomewarem CryptoLocker a které nikoliv. Obnovit ze zálohy pak můžete jen ty napadené a rapidně tak snížit dobu obnovy.

widgety

Twitter účet magazínu TIME byl hijacknut známou skupinou Syrian Electronic Army (SEA). Prý TIME v hlasovací anketě o osobnost roku nepíše moc hezky o prezidentu Sýrie. Kdo má důvod, bezpečnostní díru si vždy najde.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

120na80.cz: Pálení žáhy: která jídla ne a co nás uzdraví?

Pálení žáhy: která jídla ne a co nás uzdraví?

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“