Postřehy z bezpečnosti: v podstatě jsou za všemi problémy programátoři

Martin Čmelík 22. 9. 2014

V dnešním díle Postřehů se podíváme na kritickou RCE chybu na webu Yahoo, novou verzi OWASP příručky, studii blackmarketů, jak vypnout za běhu PatchGuard, další operaci NSA s názvem „Treasure Map“, malware BoSSaBoTv2, pěknou službu pro deobfuskování JavaScriptu, analýzu dropperu FinFisher a spoustu dalšího.

Yahoo opravilo velice vážnou chybu typu SQL injection, ale spíše celá aplikace je koncepčně úplně špatně. Heslo pro plný přístup do administrační sekce bylo v databázi zakódované ve formátu Base64. Čili tak bezpečné jako kdyby bylo v clear textu. Chyba umožňovala ve výsledku nahrát jakýkoliv soubor a spustit kód (RCE) s oprávněním roota, což je v dnešní době až překvapivě hloupá chyba. Navíc tomu Yahoo nasadilo korunu v tom, že egyptský bezpečnostní odborník Ebrahim Hegazy, který tuto chybu objevil, nedostal žádnou finanční odměnu. Nedovedu si představit co horšího než RCE by to muselo být. Podle print screenu to vypadá na aplikaci psanou společností Accenture.

Smutné je, že než aby se programátoři donutili naučit alespoň základy bezpečného programování a testování aplikací, tak se v dnešní době spíš implementují aplikační firewally (WAF), jejichž cílem je zamaskovat chyby programátorů a odškrtnout si položku “Bezpečnost” na seznamu úkolů projektových manažerů. V mnoha případech si však nikdo neuvědomuje, že špatně navržená aplikace je stále napadnutelná, i když ji chrání WAF. Jeden příklad za všechny, pokud dokážu predikovat session tokeny, tak to, že si ho sám změním v hlavičce, žádný WAF neodhalí. Je to validní dotaz splňující předem definované nebo naučené parametry.

Toto jsou základní kontroly:

  • Identita, autentizace a řízení přístupu
  • Validace všech vstupních parametrů a kódování
  • Šifrování
  • Správa uživatelů a session tokenů
  • Správa chyb a výjimek
  • Auditování a logování

Naše postřehy

S výše uvedeným souvisí uvolnění nové verze OWASP příručky pro testování bezpečnosti aplikací. Nejedná se o bezduché povídaní. Naopak. Naleznete zde konkrétní příklady, ukázky kódů a doporučené postupy, které použít. Pokud chcete být opravdu dobrý v bezpečném programování, tak doporučuji projít celý OWASP web. Pár dnů to zabere.

Chyby typu SQL Injection jsou s námi již více než deset let. I přes všechny snahy se za tu dobu stále nepodařilo tuto chybu vymýtit. V článku se můžeme dočíst, jaká řešení proti SQL Injection můžeme najít na trhu.

Příští verze Androidu (L) bude již také, jako iOS 8, šifrovat všechna data na zařízeních. V obou případech jsou privátní klíče uložené v zařízení a ani Google či Apple by se k nim neměly mít možnost dostat. Teoreticky samozřejmě.

Rozsáhlá studie na téma blackmarketů. Zabývá se nejen komoditami, ale rovněž samotnou strukturou a zvyklostmi.

PatchGuard je technologie Microsoftu monitorující, že ovladače, které běží na úrovni jádra v systému, nijak nemodifikovaly určité struktury, které by mohly infikovat (rootkity) či poškodit systém. Více informací zde. Kód pro vypnutí této technologie za běhu systému je zde. :)

Něco pro fajnšmekry. Analýza uniklého vzorku dropperu nechvalně známého vládního trojana FinFisher.

Nikdy jste nebyli na DEFCONu nebo BlackHatu a rozhodujete se, který navštívit? Tento článek od Matta Edmonsona by vám mohl pomoci. Ideálně na oba samozřejmě :)

PPL varuje před phishingovými zprávami, které se snaží vylákat citlivé a přihlašovací údaje. Když už jsme u tohoto tématu, tak na Facebooku se spolu se startem prodeje iPhone 6 šířila zpráva o možnosti nabíjet tento telefon v mikrovlné troubě. Je až zarážející, kolik lidí tomu opravdu věřilo a zkusilo to.

Deník Der Spiegel oznámil, že podle informací od Edwarda Snowdena NSA mělo tajný přístup k několika německým operátorům, včetně Deutsche Telekom. Operace měla opět vtipný název “Treasure Map” a cílem bylo zmapovat každé zařízení v Internetu a ty zobrazit na interaktivní mapě. Druhá, útočná, část měla zobrazit plán exploitace vybraných zařízení a bitevní mapu pro případ kybernetické války. Nepřipomíná vám to film WarGames?

Společnost Zscaler ve své studii popisuje úplný cyklus infekce oběti za pomoci jednoho z nejpoužívanějších exploit packů současnosti – Nuclear EP.

A Cybercriminal's Guide to Exploiting DNS for Fun and Profit“ – asi není třeba rozvádět vzhledem k popularitě tohoto tématu.

Od LFI k úplnému ovládnutí WordPressu. Článek popisuje, jakým způsobem útočníci zneužívají autentizaci ve WordPressu za předpokladu, že došlo k vyzrazení obsahu skriptu wp-config.php.

Dostal se vám do rukou zapackovaný nebo obfuskovaný JS malware/skript? Nechce se vám zdlouhavě řešit jeho deobfuskace/rozpackování? Pak je služba jsbeautifier.org přesně pro vás.

Malware BoSSaBoTv2 zneužívá nedávno objevenou zranitelnost PHP-CGI umožňující přepisovat konfiguraci PHP a dokonce i spustit PHP kód na napadeném stroji. Samotný BoSSaBoTv2 je primárně určen pro těžbu kryptoměn (BTC a LTC) a anonymizaci (HTTP/S, SOCKS4/5). 

Vojenské dodavatele pro US Transportation Command údajně během jediného roku dvacetkrát úspěšně nabourala skupina napojená na čínskou vládu. Nejedná se ani zdaleka o první podobný případ. Jedná se tedy o přípravu na kybernetickou válku? Neběží už?

Ve zkratce

Pro pobavení

Kde byste nečekali klasickou střílečku Doom? Na tiskárně? Ale kdežeGrafika by chtěla doladit, ale jinak úspěch (video).

widgety

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

120na80.cz: Pálení žáhy: která jídla ne a co nás uzdraví?

Pálení žáhy: která jídla ne a co nás uzdraví?

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019