Postřehy z bezpečnosti: spousta pseudo, málo náhodných dat

Martin Čmelík 1. 6. 2015

V nejnovějším díle Postřehů se podíváme na bitcoin peněženku, pro kterou byla náhodná data chybová hláška webového serveru, na nový ransomware kit a nové schopnosti předních exploit kitů, chyba iOS, která restartuje zařízení, VPN službu fungující jako masivní botnet a spoustu dalšího.

Blockchain je velice populární (možná nejpopulárnější) peněženka pro bitcoiny. Verze pro Android však obsahovala kryptografickou chybu, díky níž bylo možné zaslat peníze omylem někomu úplně jinému.

Šlo o to, že aplikace brala pseudonáhodná čísla pomocí vlastní LinuxSecureRandom class, která pomocí XOR a dat z HTTP dotazu na web random.org (nepříliš dobrý nápad a koncept) vytvořila entropii pro vytvoření peněženky. Pokud však XOR metoda selhala (kvůli další chybě), tak bylo náhodné číslo z random.org jedinou entropií. Web random.org ale přešel kompletně na HTTPS a při dotazu na HTTP vrátil chybu 301, a tak se tato chybová hláška stala jedinou entropií pro vygenerování adresy (1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F).

Šťastný majitel tohoto účtu obdržel 34 BTC, tj. cca 8100 dolarů. Pokud máte větší částku v měně BTC, zkuste raději Coinbase, která bere bezpečnost svědomitěji.

Naše postřehy

O exploit kitech, jste jistě již slyšeli. Teď je však na scéně Ransomware Kit Tox. Služba běžící na Tor síti umožní během pár kliků spustit kampaň šířící ransomware ve stylu CryptoLockeru na všechny strany. Bonus navíc, služba je zdarma. Provozovatelé si berou „jen“ 20 % z částky, kterou jim zaplatí oběti těchto útoků.

V této době velice populární exploit kit Angler, jistě potěší všechny své zákazníky, protože přidal mezi svou škálu použitelných exploitů jeden z posledních pro Adobe Flash (CVE-2015–3090), který má podle CVSS nejvyšší možnou závažnost 10.0 (HIGH).

Když už jsme u těch exploit kitů, tak je dobré ještě dodat, že nově jeden z nich dokáže detekovat desítky domácích routerů a pomocí CSRF se snaží měnit DNS nastavení, aby tak mohl uživateli předkládat vlastní odpověď na DNS dotazy a tím tak úspěšně provést MitM, phishing, krádež identity apod. Je schopen využít i jedny z posledních nalezených chyb na routerech D-Link a TRENDnet. Cílit na domácí routery je jednoduché a efektivní, protože je nikdo neaktualizuje, a tak je možné zneužít i několik let starou chybu.

Chybou v iOS je možné na dálku restartovat zařízení. Způsobují to určité arabské znaky a to jen za předpokladu, že se vám ve standby režimu zobrazují celé zprávy na zamčené obrazovce zařízení. Může se tak jednat o SMS, Tweet, či cokoliv jiného, co vám zobrazí přijatý text jako notifikaci na obrazovce. Pokud máte detailní notifikace v zamčeném stavu vypnuté, chyba se neprojeví (vyzkoušeno :)). Zde je ukázka zmíněného textu: effective. Power لُلُصّبُلُلصّبُررً ॣ ॣh ॣ ॣ 冗.

Hola je VPN služba umožňující uživatelům např. sledovat vysílání blokované v jiných zemích (Netflix) tím, že se ke službě připojíte přes bránu v zemi, kde toto omezení není. Služba je „zdarma“, ale spousta uživatelů si asi nepřečetla, jak funguje business model pro tyto uživatele. Jejich připojení k Internetu je přeprodáváno ostatním společnostem k jejich vlastním účelům. Konkrétně jedna z nich, společnost Luminati, byla takto zneužita a uživatelé sítě Hola se tak na okamžik stali masivním botnetem (9 milionů IP adres) útočícím na server 8chan.

Flame a Stuxnet jsou bez výjimky pěkným příkladem, jak mocný a komplexní dokáže vládní malware být. To co si většina lidí neuměla ani představit, tyto malwary již po několik let běžně používaly. O době tři roky po objevení Flamu a dalších věcech mluví Chris Soghoian na své přednášce „Lessons from the Bin Laden Raid and Cyberwar: Immunizations and Security Updates“.

Kampaň jménem Volatile Cedar, původem z Libanonu, byla odhalena výzkumníky ze společnosti Check Point. Nešíří se pomocí spear phishingu, jak je tomu zvykem, ale pomocí nabouraných webových serverů, kam umístí trojského koně s názvem Explosive. Zajímavostí je, že malware pečlivě sleduje své nároky na systém, výsledky antivirového scanu a je tak schopen dílčí část pozastavit, aby nebyl odhalen.

Bylo dotázáno 550 expertů na umělou inteligenci a 18 % věří, že vytvoření umělé inteligence bude znamenat zánik lidstva. I podle jiné studie na Oxfordu  „12 rizik ohrožujících lidskou civilizaci“, je umělá inteligence na desátém místě.

Zajímavé statistiky společnosti Kaspersky o botnet DDoS útocích za období Q1 2015.

widgety

  • 23095 útoků oznámeno, o 11 % méně než Q4 2014
  • 12281 unikátních obětí DDoS útoků
  • Cíle v Číně, USA a Kanadě byly pod největšími útoky
  • Nejdelší útok trval cca 6 dnů
  • SYN flood a HTTP DDoS byly nejčastějšími typy útoků

Ve zkratce

Pro pobavení

Léto se blíží, a tak by měli network inženýři urychleně implementovat tento důležitý síťový prvek do každé serverovny!

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Podnikatel.cz: Slevu na dani na EET neuplatní každý

Slevu na dani na EET neuplatní každý

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích