Postřehy z bezpečnosti: vykutálený PayPal

Martin Čmelík 10. 6. 2013

Většina významných společností motivuje bezpečnostní odborníky programem Bug Bounty, kteří tak za nahlášení neznámé chyby v jejich aplikaci/systému dostanou honorář. Nově se o prohnanosti a skrblictví společnosti PayPal přesvědčil teprve sedmnáctiletý německý student, který nalezl chybu typu XSS.

Na reportovanou chybu typu XSS mu PayPal poslal odpověď, že chybu již nahlásil někdo jiný a navíc je údajně příliš mladý a proto nemá nárok získat finanční odměnu. Pomineme-li fakt, že v ‚pravidlech hry‘ není o věkové hranici ani jedna zmínka, může se takové počínání firmě šeredně vymstít. Nálezce totiž bez váhání chybu pustil do světa. Podobným způsobem začínají smýšlet i další odmítnutí nálezci (v něktrých případech odmítnutí během jediného dne opakovaně s tím, že každou z chyb již někdo oznámil – i když byly třeba i více než měsíc nezalátané). Jediným řešením je v tomto případě řešit hlášení chyb přes třetí stranu, populární firmu, si kterou se podobné společnosti jako PayPal nedovolí hrát nefér hru.

Naše postřehy

Mysleli jste si, že americké tajné služby si o data mimosoudně zažádají společnost a dostanou je? Realita je mnohem morbidnější. Některé společnosti s tajnými službami spolupracují. Konkrétně NSA má údajně přímý přístup ke všem datům takových společností jako je Facebook, Microsoft, Yahoo!, Google a další. NSA má tak přístup k mailům, videům, fotkám, VoIP a prakticky všemu, aniž by musela hnout prstem. I když má sbírat data o lidech z celého světa, nemusí se bát získávání dat o Američanech.

Kyberkriminální podsvětí vydalo nový druh nástroje. Jedná se o platformu určenou nejen pro hackování FTP a SSH účtů, ale rovněž eskalaci práv na postiženém serveru, nebo vložení iframů do PHP/ASP/HTML/JS/SWF douborů, případně proměna infikovaného serveru v SOCKS proxy a podobně. Z přiloženého seznamu dalších vlastností je zřejmé, jakým směrem se bude ubírat budoucí vývoj, protože téměř jistě nezůstane tento produkt osamocen a brzy se objeví jeho konkurence.

27. května byla zasažena online finanční směnárna DoS útokem typu DNS Reflection se silou 167 gigabitů za sekundu. Podle společnosti Prolexic (jedná se o společnost zaměřenou na ochranu klientů před DoS a DDoS útoky), která útok detekovala, se jedná o největší útok, jaký zaregistrovala za desetiletou existenci firmy. 92 % všech zařízení, ze kterých byl útok veden, byly open DNS resolvery.

Praktická ukázka pro server BBC ukazuje, jak může útočník ovládnout nejen webovou kameru, ale celý systém.

OWASP vypustil do světa svůj nový produkt: OWASP Xenotix XSS Exploit Framework. Jedná se o penetrační nástroj pro detekci a exploitaci XSS zranitelností.

O tom, že i z ‚good apps‘ se mohou stát ‚bad apps‘, svědčí následující DORK pro vyhledávání v GitHubu. Ten napomáhá relativně efektivně detekovat potenciální chyby v aplikacích umístěných na GitHubu bez většího úsilí. V tomto případě SQL injection ve všemožných formách.

Anglická policie se rozhodla vyšlápnout si na torrent servery. Aktérům zainteresovaných v šíření materiálů podléhajících copyrightu bez povolení autorů údajně hrozí až deset let ve vězení. Pro zájemce o bližší informace jsou v článku připojeny i konkrétní zákony vztahující se k porušování licence v rámci UK.

Je tomu rok, co bylo ze sítě LinkedIn ukradeno přes 6,5M hesel k účtům a až nyní po vzoru Googlu, Twitteru a dalších aktivovali dvoufaktorovou autentizaci. Můžete si ji zapnout v Nastavení účtu → Účet → Správa nastavení zabezpečení.

Národní doména SU patřící bývalému Sovětskému svazu se údajně stává útočištěm hackerů z postsovětských republik. Důvodem přesunu je prý zpřísnění podmínek pro doménu RU.

Doména Drupal.org padla za oběť útočníkům. Těm se pravděpodobně podařilo dostat, díky chybě v aplikaci třetích stran, i do databází. Proto administrátoři resetovali všem uživatelům hesla a doporučili všem členům komunity změnu hesel u všech účtů, kde stejná hesla používají.

Wordpress a Joomla jsou nejčastěji exploitované CMS. Proto není divu, že v posledních několika letech roste počet útoků právě vůči těmto CMS. Lidé mají představu, že za tímto počínáním stojí jednotlivci/hackeři. Realita je poněkud jiná. V současnosti za velkým počtem těchto útoků stojí boti. V krátkém článku se můžete podívat na některé z ukázkových příkladů botů.

Populární cracker John the Ripper se dočkal nové verze 1.8.0. Krom pár dalších drobností jde především o zrychlení crackování hesel.

Mark Russinovich oznámil update některých aplikací z dílny SysInternals. Konkrétně je zmiňován Process Monitor, Autoruns, Sigcheck, a Process Explorer.

Botnety a exploity

Krátké představení pojmu APT, který do budoucna nevěstí nic dobrého.

První díl třídílného seriálu o hackingu/úpravách bajtkódu javy. Seriál je vhodným odrazovým můstkem pro reverzery a AVery, kteří mají zájem se podívat na zoubek Java bajtkódu.

Vzpomínáte na botnet Kelihos, alias Waledac? Je zpět! A v novém kabátě. Virus Virut, který infikoval počítače v poslední době zafungoval jako dropper a stáhl na cílový počítač Waledac.D. Aby toho nebylo málo Waledac.D stáhnul Rloader.B, což je trojan, a loader a ten následně stáhnul trojana Spachanel. Proč tolik povyku kvůli jednomu počítači? Rloader updaví záznamy v hosts tak, aby pokusy o přístup na frekventované a populární stránky vedly na infikované/nastrčené weby. Spachanel pak zajišťuje zobrazování reklamy v prohlížeči.

Pěkná analýza botnetu Asprox, který odesíla phishingové email od společností jako DHL/Fedex/USPS/American Airlines a snaží se vás nalákat na spuštění infikovaného ZIP souboru.

Travis Ormandy publikoval R0 exploit pro všechny verze Windows NT. Exploit je postaven na chybě v driveru win32k.

Pro pobavení

Nevíte jaké internetové rádio zvolit při programování? Zkuste rádio Linux.FM, které přehrává pomocí text-to-speech programu eSpeak celý kod Linux kernelu :]

widgety

Honeypotting

honeypotting

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru Security-Portal.cz (RubberDuck). Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na Facebook, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
120na80.cz: Začněte s posilováním imunity

Začněte s posilováním imunity

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Vánoce v září? Kaufland si legraci nedělá

Vánoce v září? Kaufland si legraci nedělá

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB