Hlavní navigace

Postřehy z bezpečnosti: autonomní systémy opravují bezpečnostní chyby

Martin Čmelík 8. 8. 2016

Dnes si řekneme něco o soutěži Cyber Grand Challenge, kde soutěžily autonomní systémy schopné najít a opravit chyby v programech, o bezpečnostních chybách protokolu HTTP/2 a kritické chybě v LastPass.

Ve čtvrtek 4. srpna uspořádala agentura DARPA soutěž Cyber Grand Challenge během konference DEF CON. Cílem soutěže byla bitva o vlajku mezi sedmi týmy jejichž plně autonomní systémy měly za cíl nacházet v aplikacích slabiny (např. pomocí statické analýzy, dynamické analýzy, sledováním data flow, fuzzingem, …) a zároveň je automaticky opravovat, aniž by poškodily/znefunkčnily danou aplikaci. Soutěž byla o to zajímavější, že se nepoužívaly standardní aplikace ani binární formát, ale unikátní prostředí CRS (Cyber Reasoning System) pro potřeby soutěže, které si můžete sami částečně sestavit z Githubu. V devadesáti šesti kolech měly autonomní systémy během pár minut analyzovat binární soubory, které nikdy předtím neměly šanci zkoumat a opravit všechny zranitelnosti, které do nich organizátoři konference umístili. Jedno řešení dokonce našlo zranitelnost, o které nevěděli ani autoři binárních souborů. Tato soutěž je vyvrcholením tří let testování a vyřazovacích kol, kdy se přihlásilo okolo stovky týmů.

Vítězem první plně autonomní soutěže se stal tým ForAllSecure se svým systémem Mayhem a vyhrál 2 milióny dolarů. Jeden milión dolarů a druhé místo si odnesl tým TECHx se systémem Xandra. Xandra právě s vypětím všech sil (2400 jader procesoru a 1,8M fuzzing operací za vteřinu) našla i tu chybu, o které organizátoři nevěděli.

Pokud vás dané téma opravdu zajímá, tak ještě doporučím podívat se na tým Shellphishs, který má svůj Python framework Angr pro binární analýzu ke stažení na webu angr.io

Výborný nápad. Víc podobných soutěží a ideálně, aby pak účastníci uvolnili kód jako open source.

Naše postřehy

Cisco routery pro menší pobočky obsahují několik závažných zranitelností. Modely RV110W, RV130W a RV215W obsahují chybu (CVE-2015–6397) umožňující pomocí přednastaveného účtu získat root oprávnění. RV180 a RV180W VPN obsahují chyb hned několik (CVE-2016–1430, CVE-2016–1429), od spuštění kódu s root oprávněním po přístup k souborům na filesystému.

Na konferenci Black Hat Apple oznámil detaily spuštění svého prvního bug bounty programu, který by měl začít koncem roku. Pro začátek budou odměny vypláceny jen v případě, že odhalíte chybu v jedné z níže vypsaných komponent či služeb, ale s postupem času se bude seznam rozšiřovat. Rozhodně se jedná o finančně velice lákavou výzvu.

  • Secure boot firmware components: Up to $200,000

  • Extraction of confidential material protected by the Secure Enclave: Up to $100,000.

  • Execution of arbitrary code with kernel privileges: Up to $50,000.

  • Access from a sandboxed process to user data outside of that sandbox: Up to $25,000.

  • Unauthorized access to iCloud account data on Apple servers: Up to $50,000.

Když už jsme u konference Black Hat (konkrétně Black Hat USA), je důležité zmínit i konferenci DEF CON, která probíhala také minulý týden. BlackHat se považuje za primárně komerční konferenci, což je odvoditelné už z ceny vstupenky (~$2000). To však neznamená, že se tam neprezentují i zajímavé přednášky, protože právě díky své popularitě se tam společnosti chtějí zviditelnit. DEF CON je naopak konference se známkou punku, která původně vznikla z nevydařené rozlučkové párty a nyní se jedná o jednu z největších a nejuznávanějších konferencí na světě, kde spíš než obchodníky v oblecích potkáte komunitu opravdových hackerů. Vstupenka na DEF CON navíc stojí desetkrát míň. Stojí zato projít si přednášky obou konferencí, protože když už se prezentuje nějaké zásadní téma, nebo průlom v určité oblasti, tak to většinou bývá na těchto konferencích.

Dva týdny po zrušení služby a zatknutí administrátora Kickass Torrents se nyní uživatelé museli rozloučit i se serverem Torrentz, který sloužil jako vyhledávač mezi The Pirate Bay, Kickass Torrents a ExtraTorrent.

Před 25 lety (6. srpna 1991) byla vytvořena první webová stránka Timem Berners-Lee, přezdívaný jako otec World Wide Webu. První WWW stránka běžela na počítači NeXT, který byl zároveň prvním webový serverem, v CERNu a stále je dostupná. NeXT byla společnost založená Stevem Jobsem, když ho vyhodili z Applu v roce 1985.

Výzkumníci společnosti Imperva odhalili čtyři bezpečnostní chyby protokolu HTTP/2. Jedna z nich je velmi podobná útoku Slowloris a dokáže způsobit DoS/DDoS útok na webový server, který přestane odpovídat. Dále útok související s kompresí dat, kdy pomocí 4KB zpráv dokážete snadno zaplnit celou paměť serveru, problém zacyklení požadavků a poslední chyba se týká streamování. Všechny čtyři chyby by již dnes měly být opraveny.

Chyba v populárním E2E šifrovaném komunikátoru Telegram ukládala vše co jste zkopírovali do chat okna i do systémového logu. I když aplikace z AppStoru mohou do syslogu pouze zapisovat a ne ho číst, je to hloupá chyba. Postižena byla jen verze pro macOS.

Tavis Ormandy z Google Project Zero objevil několik bezpečnostních chyb v cloudové službě LastPass sloužící pro ukládání hesel. Detaily nejsou známy, chyby opravili před pár dny a bylo díky nim možné plně ovládnout cizí databázi hesel. Navíc to není první případ.

Informace o 200 milionech účtů společnosti Yahoo se prodává na černém trhu za 3 Bitcoiny. Podle údajů z webu Motherboard informace obsahují osobní údaje i hashe hesel. Předpokládá se, že dump databáze uživatelů je z roku 2012. Yahoo se k celé věci nevyjádřilo a prý prověřují situaci.

Ve zkratce

Pro pobavení

Linux je sexy!

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

8. 8. 2016 19:54

A důvod, proč bych je měl mít dostupný kdekoliv?

- Netrpím závislostí ani na mailu, ani na IM, ani na soc. síti
- Nepotřebuju do banky do pěti minut, když má stejně banka na převod dva dny a vím minimálně týden předem, že mám něco zaplatit
- Co potřebuju, to vyřídím v práci nebo večer
- Připojovat se odkudkoliv přes neznámou síť, pochybnou proxinu,... je sebevražda

Dokonce i když nesu noťas mimo barák, přepínám na "letadlo"... Síla zvyku, asi jako logout na konzole.




Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Lupa.cz: E-shopy: jen sleva už nestačí

E-shopy: jen sleva už nestačí

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Vitalia.cz: Žloutenka v Brně: Nakaženo bylo 400 lidí

Žloutenka v Brně: Nakaženo bylo 400 lidí

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: Platební brány a EET? Stále s otazníkem

Platební brány a EET? Stále s otazníkem

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně