Postřehy z bezpečnosti: zakladatel Liberty Reserve zatčen

Martin Čmelík 3. 6. 2013

Postřehy z bezpečnosti se snaží navázat na seriál Bezpečnostních střípků, které zde na Root.cz po mnoho let publikoval Jaroslav Pinkava. Seriál bude mít trochu jinou formu. Cílem bude poukázat na ty zajímavější články/dokumenty, které jsme si sami přečetli a shledali je přitom přínosnými.

LIBERTY RESERVE

Končící týden se může stát průlomovým ve vztahu vlád k digitálním měnám. Americké federální úřady ve spolupráci s řadou dalších států z celého světa provedly razii, během níž pozatýkali jejich lidé pět lidí v čele se zakladatelem Liberty Reserve Arthurem Budovskym a jeho nejbližšími spolupracovníky, Azedinem El Aminem a Vladimirem Katsem, a platby a účty platebního systému Liberty Reserve zablokovali. Oficiální prohlášení obhajuje postup s tvrzením, že měna Liberty Reserve je hojně využívána kyberkriminálníky a kriminálníky ať už pří platbách za služby nebo při praní špinavých peněz (například legalizace 45 milionů dolarů při nedávné krádeži dvou bank na Blízkém východě - viz NBC News).

Faktem zůstává, že devět z deseti prodávajících na blackmarketech tuto měnu preferovalo. V součtu může tato akce znamenat přesun zločinců k decentralizovaným měnám typu BitCoin nebo LiteCoin (nevýhodou je omezené množství jednotek měny - proto není ideální pro machinace s větším množstvím peněz). Zablokování systému Liberty Reserve má a ještě bude mít velmi zásadní dopad. Někteří jedinci (víceméně IT underground) měli v systémech uloženy desítky tisíc dolarů, ke kterým se zákonitě již nikdy nedostanou, takže protiútok je více než pravděpodobný.

Naše postřehy

Metasploitable je obraz virtuálního serveru (VMware, VirtualBox) určený pro testovaní pentesterských technik. Celé distro je postaveno na Ubuntu serveru plném bezpečnostních chyb. Zájemci se tak mohou naučit postupy a techniky používané při penetračních testech. Úvodní seznámení s Metasploitable a jak tento obraz spustit se dozvíte v úvodním článku na InfoSec Institute.

Druhý díl článku o phishingu a sociálním inženýrství rozebírá nastavení a možnosti Social-Engineer Toolkitu, což je soubor python scriptů určených sociotechnikům. Autorem je David Kennedy (ReL1K) - SET

Google snížil dobu reakce na 0day z 60 dnů na 7. Pokud nějaký vendor bude váhat s publikováním patche na svůj produkt, kde je již 0day znám, nebo alespoň publikováním informace, jak útoku dočasně zamezit, pomůže Google researcherům s šířením povědomí o této chybě. Cílem je donutit společnosti mnohem rychleji reagovat na chyby v jejich aplikacích, které bývají následně na Internetu masově zneužívány..

Oracle plánuje provést velké změny s budoucí bezpečností Javy a zároveň zvýšit frekvenci vydávání security patchů. No, konečně něco... vzhledem k tomu, že díky chybám v Javě se počítače na Internetu nejčastěji stávají součástí botnetů.

Po 3 letech byla konečně vydána nová verze nejlepšího přítele při crackování WiFi sítí - Aircrack-NG kompletní changelog je uveden ve článku.

Zajímáte se o XSS? Víte, který XSS worm byl pravděpodobně první? Ne? Pak čtěte: sites.google.com/site/tentacoloviola/nduja

O tom, jak důležité je v případě pentesterů umět programovat/skriptovat v některém z jazyků (ideálně PERL nebo Python), napovídá následující článek s ukázkovým kódem pro pentest MSSQL serverů.

Myslíte si, že se v případě MySQL Injection nedá vymyslet snad již žádný nový vektor? Tak to jste na omylu. vagosec.org/2013/04/mysql-implicit-type-conversion/

První část (ze tří) rozhovorů s blackhat hackerem, který spravuje/pronajímá několik botnetů, věnuje se cardingu apod. Možná pár skutečností některým lidem konečně otevře oči. blog.whitehatsec.com/interview-with-a-blackhat-part-1/

Dlouhodobá nenávist mezi blackmarketem darkode na jedné straně a Brianem Krebsem a Xylitolem na straně druhé poskytuje zajímavý pohled na různé problematiky. Poslední konflikt hodně vypovídá o bullet-proof hostinzích, konkrétně o jednom z nich. www.xylibox.com/2013/05/off-shore-and-darkode.html

Po dlouhém období slibů a ujišťování se na scéně konečně objevuje nová verze populárního nástroje Cain&Abel. Tentokráte i s podporou pro Windows 7 a 8. www.reddit.com/r/netsec/comments/1eq24d/new_version_of_cain_abel_out_windows_7_8/

Řešíte, jak se efektivně bránit vůči webovým útokům typu CSRF? Pak právě pro vás je určen následující článek. github.com/ironbee/ironbee/wiki/Defending-against-CSRF

Víte, že je možné spustit příkaz, či resetovat zařízení do defaultu jen pomocí QR kódu? Jak toho docílit na Android zařízeních, se dočtete v tomto článku.

Byla objevena null pointer DoS vulnerabilita (CVE-2013-2765) v celosvětově známém open source WAF (Web Application Firewall) ModSecurity. Pomocí upraveného HTTP dotazu je možné neznámým Content-Type headerem při spuštění akce forceRequestBodyVariable shodit službu. Oprava byla vydána ve verzi 2.7.4 www.h-online.com/open/news/item/DoS-vulnerability-in-ModSecurity-fixed-Update-1872307.html

Spear-phishing se stává černou můrou všech úřadů a firem. Při tomto druhu sociálního inženýrství jsou oběti vmanipulovány do situace, kdy si skutečně myslí, že příchozí mail skutečně patří jim, a proto se nezdráhají otevřít přiložené soubory (většinou PDF, DOC, XLS). Tuto techniku si ze zjevných důvodů oblíbily týmy APT (Advanced Persistent Threat). Proto nikoho asi nepřekvapí, že tímto způsobem začíná až 91 % všech útoků. Aspoň to tvrdí studie společnosti Trend Micro. www.csoonline.com/article/734111/91-of-targeted-attacks-start-with-spear-phishing-email?source=rss_malware_cybercrime

Proti těmto útokům se však lze bránit. Místo obecných doporučení (tj. k ničemu) se používají systémy, které vás mohou ochránit i proti 0day útokům v mailových přílohách, většinou využívající slabiny v balíku MS Office, Acrobat Reader apod. Tyto systémy vyjmou přílohu z e-mailu, spustí ji ve virtualizovaném prostředí (je možné použít i váš korporátní obraz systému) a sledují, jak se v systému chová. Pokud se po spuštění modifikují registry, spustí se další podproces, změní systémový soubor, případně se naváže nové spojení (C&C server), tak je příloha označena za infikovanou a zahozena. Velice účinné, protože systém nepotřebuje ani žádnou signaturu, takže dokáže odhalit i silně obfuskované soubory. Příkladem je například Threat Emulation od společnosti Check Point - www.checkpoint.com/products/threat-emulation/

Botnety a Exploity

Pokud se zajímáte o exploit packy, rozhodně by vám neměl uniknout skvělý pohled na Styx od Kafeine. malware.dontneedcoffee.com/2013/05/inside-styx-2013-05.html

Potřebujete občas trasovat specifické funkce v kernelu Linuxu? Jonathan Salwan k tomuto účelu vytvořil jednoduchou aplikaci a zdrojový kód poskytl volně ke stažení. github.com/JonathanSalwan/stuffz/blob/master/trace_linux_kernel_function.c

Popis exploitu a PoC jednoho z vítězných exploitů na Pwn2Own 2013. Konkrétně pro Java 7 JRE. blog.accuvantlabs.com/blog/jdrake/pwn2own-2013-java-7-se-memory-corruption

Další díl série o Elderwood kitu. Tentokráte dokončení předchozího dílu o psaní exploitů s Elderwood kitem. blog.trailofbits.com/2013/05/20/writing-exploits-with-the-elderwood-kit-part-2/

Moderní botnety disponují pestrou škálou různých možností a služeb. Autor následujícího článku se zamýšlí nad možnostmi využití botnetů pro crackování reCAPTCHA. A protože si je vědom velmi nízké úspěšnosti při pokusech crackovat je pomocí programů a aplikací, uchopil úkol z druhé strany: Pokud člověk dokáže reCAPTCHA přečíst, proč v botnetu nevyužít právě jeho pro potřeby crackování CAPTCHA? Součástí článku je rovněž PoC z dílny autora včetně ukázkového videa. thehackerblog.com/captcha-solving-botnet-how-hackers-can-use-their-victims-for-more-than-just-computing-power/

Konference

Prezentace z letošního No Such Con jsou ke stažení! www.nosuchcon.org/talks/

Touto cestou bych chtěl upozornit na první větší setkání OWASP Czech meeting, které se uskuteční již 4. června v Praze. Adresa, kde bude meeting probíhat, je Sokolovská 83, 186 00 Prague, Czech Republic. Budova MFF UK, posluchárna K1 (blízko zastávky metra Křižíkova), od 18:00.
owasp.security-portal.cz

BlackHat USA 2013 je sice ještě daleko, ale už teď si můžete být jisti, že se bude na co těšit www.darkreading.com/vulnerability/black-hat-usa-2013-complete-coverage/240155581

Tip na zajímavý web

V této sekci vás čas od času upozorníme na zajímavý web, který stojí zato sledovat.

Mateusz "j00ru" Jurczyk patří k uznávaným kapacitám v oblasti bezpečnosti. Je pravidelným přednášejícím na různých konferencích a v současnosti pracuje pro společnost Google. Jeho doménou je nízkoúrovňové programování, reverzní inženýrství a hledání chyb v populárním komerčním softwaru. j00ru.vexillium.org/

Pokud se zajímáte o nízkoúrovňové programování a malware, tak bychom vám chtěli představit nové fórum, jehož administrátory jsou elitní nízkoúrovňoví programátoři a malware výzkumníci. Jedinou vadou na kráse pro většinu z nás může být fakt, že je celá subdoména psaná rusky. Minimálně pro zájemce doporučuji pročíst s podporou Google translatoru. Obsah totiž zaručuje zajímavé čtení na několik hodin... vx.security-portal.cz

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter
Děkujeme

Našli jste v článku chybu?
Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Ultra HD v praxi a v Portugalsku

Ultra HD v praxi a v Portugalsku

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

120na80.cz: Nejsilnější alergeny jsou pryč

Nejsilnější alergeny jsou pryč

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma