Hlavní navigace

Nový BIND záplatuje, Twitter varuje uživatele před státem řízeným sociálním inženýrstvím

Jaroslav Kodet 21. 12. 2015

Tento díl postřehů vám přináší oznámení o nové verzi BINDu, srovnáni statistik DDoS útoků v tomto a minulém čtvrtletí, varování Twitteru uživatelům, zprávy o nových zranitelnostech a oznámení o napadení serveru vesmírné agentury ESA a (ne)překvapujících výsledcích vyšetřování tohoto incidentu.

Nové verze BINDu záplatují tři nové zranitelnosti. Nejzávažnější z nich (CVE-2015–8000). může být zneužita ke spuštění DoS útoku proti serverům odpovídajícím na rekurzivní dotazy. Podle vyjádření odborníků z ISC může útočník pomocí záměrně špatně sestaveného atributu dotazu přinutit proces named k ukončení a tím způsobit výpadek služby. Riziko pro rekurzivní DNS servery je hodnoceno jako vysoké. Autoritativní servery mohou být také částečně postiženy, a to pokud provádějí autentifikaci při rekurzivních dotazech souvisejících s překladem adres serverů uvedených v NS RRSET. Zranitelnost je zneužitelná vzdáleně a byla klasifikována jako kritická, ačkoli ISC není známa existence aktivního exploitu této zranitelnosti. 

Druhá z bezpečnostních děr opravených v nových verzích BINDu je sepnutí race condition při ošetření socket error. Tato zranitelnost může způsobit ukončení procesu named (CVE-2015–8461). Třetí opravenou chybou je zranitelnost OpenSSL (CVE-2015–3193).Přestože doposud nebylo publikováno významné zneužití žádné z těchto zranitelností, DNS servery jsou oblíbeným cílem několika typů útoku včetně DoS, únosu provozu a falšování odpovědí. Z tohoto důvodu by záplatování DNS serveru nemělo být bráno na lehkou váhu.

Naše postřehy

Twitter varuje své uživatele před „státem sponzorovanými provokatéry“ snažícími se vylákat e-mailové adresy, IP adresy nebo telefonní čísla uživatelů. Upozornění obsahuje opatrné vyjádření „nemáme žádné důkazy, že získali informace o vašem účtu, ale aktivně tuto záležitost prověřujeme“. Varovný e-mail také obsahuje doporučení, jak být v bezpečí on-line, včetně doporučení používat TOR brower a odkazu na publikaci EFF „Průvodce sebeobranou na sociálních sítích ". Varování a doporučení jsou podobná těm, která byla v minulosti rozesílána uživatelům Facebooku a Google.

Podle zprávy serveru hotforsecurity.com došlo k průniku do informační infrastruktury Evropské vesmírné agentury ESA, přinejmenším do jejího redakčního systému. Útočník získal množství zajímavých údajů: jména zaměstnanců, jejich e-mailové adresy, telefony, faxy. Unikly též přihlašovací údaje přispěvatelů. Při vyšetřování incidentu vyšlo najevo, že z uniklých více než 8 000 párů login/password mělo heslo u více než 38 % z nich délku přesně tři znaky. Myslím že není těžké uhádnout, o které tři znaky se jednalo.

Podle statistik Akamai State of Internet Report vzrostl v posledním čtvrtletí tohoto roku počet zaznamenaných DDoS útoků o 180 % (v porovnání s předchozím čtvrtletím). Zároveň poklesla jejich průměrná síla – pravděpodobně v důsledku „přece jen omezeného“ výkonu botnetů, které je realizují. Je též zřetelný posun jejich cílových strojů směrem od serverů velkých nadnárodních korporací k menším lokálním firmám. Tento trend je zřejmě způsoben novou „obchodní strategií“ správců botnetů, kteří nyní stále častěji provozují obchodní model „DDoS jako služba“, což činí „služby“ botnetu dostupné i pro méně technologicky zdatné subjekty. Prakticky se tak dá DDoS útok použít například v rámci konkurenčního boje. S těmito útoky máme ostatně své zkušenosti i v našem týmu CSIRT.CZ, změnu v cílech útoků pozorujeme také.

Ransomware Teslacrypt se stále šíří prostřednictvím e-mailových příloh s koncovkou .js , která po spuštění stáhne samotný ransomware. Nejnovější vlna rozesílaných e-mailů obsahuje jako subject „Required your attention“ a přílohu tvoří zazipovaný javascriptový dowloader, jehož spuštění na nezáplatovaném počítači s OS Windows (testována verze 7) vede k téměř okamžité infekci Teslacryptem. Podle vyjádření analytiků z ISC využívá tento malware zranitelností, které by již měly být záplatovány bezpečnostními updaty z Windows update. Další možností prevence této infekce je použití mailového bezpečnostního proxy serveru (například open source Anti Spam SMTP Proxy), který by měl při správném nastavení blokovat přílohy s nebezpečným obsahem.

A na závěr ještě jedna analýza malwaru ProPoS určeného pro pokladní systémy (PoS), který se ukázal být jednodušším, než se zprvu zdálo. Tento malware, jehož „produkční nasazení“ nevyžaduje příliš hlubokých znalostí, se začal šířit minulý měsíc. Podle analytiků specializované divize výrobce síťových zařízení CISCO je tento malware z větší části založen na kódu podobného malwaru Alina, jehož zdrojový kód unikl na veřejnost již dříve. ProPoS disponuje podporou anonymní sítě TOR, zahrnuje v sobě rootkitové techniky, mechanismy pro oklamání antivirů či polymorfní engine. Nicméně i přes všechna tato sofistikovaná obranná opatření se týmu odborníků podařilo provést analýzu tohoto malwaru. Zřejmě zejména díky faktu, že některé z těchto možností byly sice v kódu přítomny, ale samotný program jejich služeb nevyužíval.

Ukázalo se, že většina v kódu přítomných sebeobranných mechanismů nebyla vůbec využita. Aktivní byly vlastně jen části, které byly nezbytné pro úspěšnou exploitaci pokladních systémů. ProPos rozhodně není mistrovským dílem na poli malwaru pro PoS-y, ale tento nedostatek je plně vyvážen snadností nasazení a ovládání, a v neposlední řadě i blízkostí nejrušnějšího období roku v obchodech. Navíc fakt, že většina „stealth technologií“ tohoto malwaru v této verzi není využita, neznamená, že se tak nestane v příští verzi. Snadnost použití a dobrá dostupnost je tím co z tohoto malwaru dělá „dobré zboží“ na tomto „segmentu trhu“.

Navíc je ProPos navržen modulárně, takže „zákazník“ si může snadno doplnit další požadované funkcionality, například prostřednictvím nových modulů. V tomto ohledu se vývojář ProPoS-u téměř vyrovnává marketingovým postupům velkých vývojářských firem, což není v tomto oboru zrovna obvyklé.

Ve zkratce

Našli jste v článku chybu?

27. 12. 2015 13:58

Dovolím si reagovat, ale nerad bych rozpoutal flamewar. Osobně bych se sice BINDu také vyhnul, ale djbdns mi nepřipadá jako nejvhodnější náhrada. A také - nic proti Bernsteinovi, ale konfigurace jeho démonů jsou extrémně... démonické :-) Pokud jde o mě, upřednotňuji jako cache server unbound, jako autoritativní DNS knot. Oboje se konfiguruje příjemněji nez BIND či DJBDNS. Z komerčních serverů jsou nejspíš nejlepší produkty firmy Nominum - ale za tuto kvalitu se platí poměrně vysoké licenční popl…

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony