Postřehy z bezpečnosti: všechny prohlížeče opět pokořeny

Martin Čmelík 23. 3. 2015

V nejnovějším díle pravidelných pondělních zpráv z oblasti bezpečnosti se podíváme na výsledky soutěže Pwn2Own, na kód, který je schopen během dvou minut infikovat jakýkoliv BIOS, nový PoS malware PoSeidon, unikátní chybu Google Chrome, novou chybu OpenSSL umožnující DoS serveru a spoustu dalšího.

Všichni velcí hráči na poli internetových prohlížečů (Firefox, Chrome, IE, Safari) byli opět pokořeni na soutěži Pwn2Own konané ve Vancouveru. Hvězdou této soutěže byl Jung Hoon Lee („lokihardt“), který pracoval sám a odnesl si za nalezené chyby 110 tisíc dolarů. Jeho prezentace měla jen dvě minuty, a tak si (obrazně řečeno) vydělával 916 dolarů za vteřinu. To byl ale jen druhý den soutěže a šlo o chybu v prohlížeči Chrome. V ten první ještě nalezl chybu v Internet Exploreru a Safari, takže si celkem odnesl 225 tisíc dolarů.

I když se prohlížeče jako Chrome a Firefox dají považovat za prakticky nejbezpečnější masově používaný software, kde se opravdu dbá na bezpečné psaní kódu, tak nám soutěže jako tato dokazují, že stále je co vylepšovat a že žádný software není bez chyb. Také to dokazuje, že na trhu bude vždy k mání 0day chyba na prodej a ten, kdo bude mít dostatek financí, si vždy najde cestu k vašim datům.

Naše postřehy

Jeden z modulů (nls_933w.dll) používaný APT skupinou Equation je velice sofistikovaný kód umožňující přepsat firmware disku a tím pádem si tak zajistit doživotní persistenci v systému. Netřeba zmiňovat, že odhalit upravený firmware dokáže jen několik desítek lidí na světě, protože se jedná o velice specifické zaměření. Na konferenci CanSecWest dva výzkumníci představili kód, který je schopen sám nalézt chyby v implementacích ochran BIOSu a přepsat ho vlastním kódem. Vloží svého agenta do System Management módu, o který se stará firmware a operační systém ho vůbec nevidí. V rámci prezentace (kterou nemohu nikde najít), mají spustit oblíbený OS Edwarda Snowdena (Tails) z USB a vyexportovat obsah paměti (tj. PGP klíče apod.). Infikování počítače trvá okolo dvou minut. Velice znepokojující.

Výzkumníci společnosti Cisco zveřejnili detaily o novém PoS (Point-of-Sale) malwaru, který nazvali PoSeidon. Malware je persistentní, skrývá se v systému, dokáže se aktualizovat a hledá v paměti údaje o bankovních kartách, které pak ještě ověří Luhnovým algoritmem. Na blogu Cisca je pak také ID pravidla pro Snort umožňující detekci tohoto malwaru v síti. Pokud jste to nezaznamenali, tak před dvěma roky Cisco koupilo Sourcefire (tvůrce Snortu) a jejich produkty jsou nyní stěžejní nabídkou bezpečnostních řešení.

Google Chrome na OS X obsahuje chybu, díky které je možné shodit okno prohlížeče, pokud se na stránce objeví konkrétní, třináct znaků dlouhé slovo, které zřejmě pochází z Asýrie. Opravdu unikátní chyba.

Jen pro zajímavost, nově některé malwary ukryté v makrech čekají na to, až bude uživatel chtít zavřít daný dokument. Spustí se tak event AutoClose a až ten obsahuje škodlivý kód. Daří se tím podle všeho zmást některé antiviry.

Výzkumníci na konferenci CHI zveřejní data z měření mozku pomocí magnetické rezonance (MRI) ukazující, že uživatelé počítačů víceméně ignorují opakovaná varovná hlášení systému či problému s SSL certifikáty a jen 14 % rozezná změnu obsahu varovné zprávy. Dle mého skromného názoru je to způsobené také tím, že především produkty Microsoftu, staré Nokie a některé další masově používané aplikace vyžadovaly potvrzení téměř každé akce, a tak si uživatelé spojují varovná hlášení s něčím, co je jen obtěžuje nebo zdržuje.

Nová chyba OpenSSL (CVE-2015–0291) umožňuje DoS útok cílového serveru pomocí renegociace spojení s použitím nevalidních algoritmů pro podpis zpráv. Chyba se týká OpenSSL 1.0.2, oprava je dostupná ve verzi 1.0.2a. Ve stejné zprávě se také překlasifikovala závažnost FREAK chyby z low na high. Důvodem pro nízkou závažnost byla domněnka, že na straně serverů není šifrovací sada příliš podporovaná, což se však ukázalo mylným.

Zločinci začali instalovat skimmovací zařízení, které je schopné zkopírovat údaje na vaší kartě, i do dveří, které většinou jen umožní vstup do prostoru s bankomatem. Nevkládejte tedy kartu do čteček, které vám přijdou podezřelé,a především si dávejte neustálý pozor na vaše bezkontaktní karty, u kterých ani není třeba je někam vkládat. Případně si všijte alobal do peněženky :)

Byla spuštěna registrace na konferenci Security Session 2015, která se koná 11.4. (Sobota) v Brně. Máme pro vás nové přednášející, nové workshopy a určitě spoustu zajímavých témat.

widgety

Ve zkratce

Do vašich čteček

Surreptitiously Weakening Cryptographic Systems – Bruce Schneier, Matthew Fredrikson, Tadayoshi Kohno, a Thomas Ristenpart (informace)

Pro pobavení

Job interview

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: V Kauflandu už začaly Vánoce

V Kauflandu už začaly Vánoce

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků