Hlavní navigace

Postřehy z bezpečnosti: až budou padat netopýři

CESNET CERTS

V dnešním díle si povíme, že ultrazvukem se orientují nejen netopýři, navštívíme certifikační autoritu, ve které právě teď mají pěkně horko, rozebereme si zajímavý rootkit a máme pro vás i dobrou zprávu.

Až budou padat netopýři

Na jedné z přednášek na Chaos Communication Congressu, o kterém jsme již psali v předminulých Postřezích, byl prezentován nový typ útoku identifikujícího a špehujícího uživatele pomocí ultrazvuku, a to včetně živé ukázky.

Uživatel se tomuto útoku neubrání ani použitím anonymizeru. I uživatelé Toru tedy mohou přijít o soukromí a mohou zanechat digitální stopu. K útoku je použita technologie ultrasound cross-device tracking (uXDT). uXDT není žádnou novinkou, tato metoda sledování uživatelů vznikla již v roce 2012, tehdy ale pro účely cílené reklamy. Marketingová společnost získá zajímavé informace o uživateli prostřednictvím mobilní aplikace, která poslouchá mikrofonem telefonu a čeká na ultrazvukový majáček umístěný na navštívené WWW stránce. Tentýž princip lze zneužít ke špehování, kdy je odkryta anonymita uživatele, který je na maják buď nalákán, nebo je mu podstrčen cross-site scriptingem na cizím webu. Velké možnosti skýtá i infikované video např. na YouTube.

K realizaci takového špehování je samozřejmě ještě nutná přítomnost vhodné aplikace na uživatelově telefonu. Vpašováním kódu do frameworku se jí může stát libovolná aplikace třetích stran. Taková aplikace samozřejmě musí mít přístup k mikrofonu, a tak ji snadno poznáte. Jenže – řada aplikací (záznamníky, hudební programy) mikrofon skutečně potřebuje. A ruku na srdce: Kolik uživatelů se zajímá o to, k čemu má co v jejich telefonu přístup?

Taťko, do toho!

Začátkem ledna se objevila zpráva o dalším závažném incidentu na poli PKI, tentokrát u největšího amerického registrátora domén GoDaddy, který rovněž provozuje certifikační autoritu. V procesu validace domény prostřednictvím kontrolního souboru vystaveného na webserveru byla chyba, kvůli které bylo možné neoprávněné vydání certifikátu. Chyba byla prý do konfigurace zavlečena v červenci 2016. Neoprávněně vydaných certifikátů bylo podle GoDaddy celkem 8951, což jsou dvě procenta celkového objemu certifikátů vydaných touto CA za dané období.

Ve společnosti GoDaddy všechny certifikáty, jejichž domény byly ověřovány souborovou metodou, ručně zkontrolovali a tvrdí, že jim není známo, že by u některého z těchto certifikátů došlo ke zneužití uvedené chyby. Výjimkou je jediný, testovací, vydaný zákazníkovi, který chybu oznámil. Ten jej však vzápětí revokoval. 10. ledna 2017 byla konfigurace opravena a bylo revokováno všech 8951 certifikátů, které při kontrole neprošly čerstvým ověřením domény (kontrolou úspěšně prošlo zhruba 7500 certifikátů).

Na základě reakcí uživatelů ovšem následně v GoDaddy usoudili, že oprava není dostatečným řešením, a tak 11. ledna o půlnoci pacifického času ověřování domény na základě souboru uloženého na webserveru zcela zastavili. Uživatelé byli ujištěni, že GoDaddy sledují vývoj v pracovní skupině ACME a že usilovně pracují na implementaci nových validačních metod doporučovaných CA/B fórem tak, aby bylo vše hotové nejpozději 1. března 2017, kdy mají nová pravidla pro validaci vstoupit v platnost.

VENOM rootkit

EGI CSIRT provedl podrobnou analýzu Linuxového rootkitu, který umožňuje útočníkovi zachovat neoprávněný přístup ke kompromitovanému systému Linux. Rootkit byl pojmenován VENOM s odkazem na termín často používaný v uvnitř implementovaném interním protokolu. Více informací je uvedeno v podrobné zprávě.

Samotný rootkit se skládá z modulu pro linuxové jádro a z pomocné spustitelné uživatelské aplikace. Rootkit pro svou instalaci vyžaduje rootovské oprávnění (tedy již kompromitovaný počítač). Některé vzorky rootkitu byly shromážděny a analyzovány. Bylo možné analyzovat pouze binární vzorky, neboť žádné zdrojové kódy nebyly k dispozici.

Analýza ukázala funkce velmi podobné backdooru nalezeném v průběhu vyšetřování kompromitace IRC serveru na freenode v roce 2014, které byly popsány ve zprávě zveřejněné po proběhlém incidentu.

Oracle Critical Patch Update

18. ledna 2017 firma Oracle vydala nový balík kritických bezpečnostních záplat. Pokud provozujete MySQL, Javu, Oracle Database Server a další produkty, je čas na update.

Dovecot je bezpečný

Dobrých zpráv bývá pomálu a v oblasti bezpečnosti to platí obzvláště. Proto určitě správce IMAP a POP3 serveru Dovecot potěší, že bezpečnostním auditem prošel tento software téměř bez ztráty kytičky. Testovaná verze 2.2.26.0 odolávala útokům pentesterů plných dvacet dní a výsledkem byl nález tří méně významných bezpečnostních chyb, které autoři ihned opravili.

Íránská cenzura

11. ledna informovala společnost DynResearch prostřednictvím Twitteru, že íránská státní telekomunikační společnost TIC unesla adresový prostor obsahující řadu pornografických webových stránek. Příslušná BGP oznámení měla pravděpodobně zůstat uvnitř hranic Íránu, ale unikly ze země podobným způsobem jako pákistánský blok YouTube prostřednictvím BGP únosu v roce 2008.

Pro pobavení

Nejen do školního rozhlasu se některé věci neříkají: Možná jste zaznamenali úsměvnou zprávu o tom, jak 5. ledna moderátor kalifornské televize CW6 nevědomky objednal snad stovky domečků pro panenky, když demonstroval nedávnou událost, při které si holčička povídající si s Amazon Echo objednala domeček a spoustu sladkostí. Jeho scénku uslyšelo množství virtuálních asistentek jménem Alexa v domácnostech San Diega a okolí a začalo produkt objednávat.

Jelikož Amazon Echo umí komunikovat i s jinými IoT zařízeními v domácnosti, můžeme jen očekávat, kdy někdo na federálním kanálu řekne třeba: Alexo, vypni mrazák! a polovina Ameriky začne zapáchat.


Autor: Ankward Turtle World, podle licence: CC BY-NC-ND 2.0
Našli jste v článku chybu?
23. 1. 2017 9:35

Pobaveni po ranu. Po tom, co jsem docetl tento clanek, jsem s tim seznamil meho kolegu v kancelari. Srdecne jsme se zasmali tomu, jak asistent od amazonu objednal domecky pro panenky, ale kolega mi rekl, at vyzkousim mu telefon. Ze staci odblokovat display a rict "OK GOOGLE" Tak jsem vytahl z kapsy telefon, odblokoval jsem ho a rekl jsem mu "OK GOOGLE". Nic se nestalo. Zkusil jsem to znovu a hlasiteji a z druheho konce mistnosti se ozvalo neco jako "Rikal jsi neco"? To byl telefon meho kolegy. A…

23. 1. 2017 9:38

Jsou aplikace, které se chovají slušně, třeba WhatsApp, nebo Signal – ze své podstaty potřebují přístup ke kontaktům, ale když jim ho revokujete, fungují dál, jen je jejich používání nepohodlné.

Pak jsou aplikace, které vás při revokaci práv pošlou do háje. Takové je asi potřeba poslat do háje taky, jenom tak se vývojáři naučí respektovat možnost volby uživatele. Že by telefon před aplikací tajil udělení či neudělení oprávnění je jen hra na kočku a myš, nová generace aplikace by jistě dokázala …