Začněme příběhem Dragose Ruia (@dragosr, organizátor CanSecWest, PacSec a zakladatel Pwn2Own), který zní až příliš neuvěřitelně. Dostal se do kontaktu s malwarem/rootkitem/bootkitem, který označuje jako badBIOS. Představte si tento kód jako super-odolný virus, který nelze ze systému smazat reinstalací operačního systému, smazáním disku ani přepsáním firmwaru a s ostatními infikovanými počítači dokáže komunikovat i bez síťové, či bezdrátové karty pomocí zvukových vln o vysoké frekvenci (zvuková karta a mikrofon). Pozměňuje nastavení a chování operačního systému nezávisle na jeho typu (Linux, Windows, BSD, OS X,…) a pokud zaznamená činnost, která by mohla vést k jeho odhalení (nabootování z CD-ROMu, Process Monitor, hledání klíčů v registrech, …) tak tuto funkci prostě zablokuje.
Kdyby toto napsal někdo jiný a neměl za sebou podporu hned několika bezpečnostních odborníků, tak bych tomu asi nevěřil. Je to podobné spíš sci-fi v kombinaci s malwarem Flame, který napsala skupina lidí za podpory americké vlády, ale proč by někdo tímto (určitě velice, velice drahým na černém trhu) výjímečným kódem infikoval zrovna jednoho z největších bezpečnostních odborníků, aby byl odhalen? Spousta detailů o badBIOS je však neznámá.
Tento kód se šíří nejspíš USB klíčenkami a zřejmě využívá chybu BIOSu/UEFI při čtení disku. Zatím jen domněnky, které se snad brzy vyjasní, protože tento kód vyvolává mnohem více otázek než odpovědí a asi se s něčím podobným setkal jen málokdo. Další informace se dočtete na Errata Security.
Naše postřehy
Ebrahim Hegazy (Q-CERT) objevil vážnou chybu na Twitteru, která umožňovala uploadovat jakýkoliv soubor, včetně PHP. Kdokoliv si vytvořil účet na dev.twitter.com, tak mohl místo uploadu obrázku aplikace nahrát jakýkoliv soubor na CDN servery twimg.com a tím i např. spustit script na straně uživatele, který této doméně důvěřuje. V článku jsou i přiložena videa ukazující úspěšný upload souborů.
Mohamed Ramadan (Attack Secure) objevil v aplikaci Facebook pro Android chybu umožňující získání aktuálního Facebook tokenu jinou aplikací. Token je vlastně jedinečný identifikátor, kterým se prokazujete při každém použití Facebooku a jako takový je tím jediným, co útočník potřebuje ke kompromitování vašeho účtu.
Podle italského deníku La Stampa dostali delegáti během zářijového summitu G20 v Petrohradě v dárkové tašce upravenou USB klíčenku a nabíječku na telefon, aby bylo možné odposlouchávat mobilní telefon i počítač delegátů. I kdyby to nebyla pravda, určitě by to mělo vysokou úspěšnost.
Pro ty z vás, které zajímá nebo by mohlo zajímat Hardened Gentoo, vychází na InfoSec Institute seriál o tomto zajímavém rozšíření distribuce Gentoo, jejímž zaměřením je bezpečnost na úrovni operační systému. Pokud Hardened Gentoo již znáte, používáte a máte trochu času, tak se mi ozvěte. Securix GNU/Linux, který z této odnože vychází, je jen malý kousek od beta verze a uvítal bych pomoc.
Jak ochránit vaše DNS servery před DDoS útoky? Tomuto tématu se věnuje článek na InfoWorldu. Vlastně vám doporučí Anycast, cloud služby pro DNS a rate-limiting. Já bych ještě přihodil použití Truncated DNS flagu u klientů/domén s podezřele velkým nárůstem dotazů, kdy by se regulérní klient měl připojit na TCP, čímž odhalíte spoofnuté DNS dotazy. Jen upozorním, že ne každý DNS server ve firemní síti má povolen i TCP port 53 (DNS) do internetu, protože se primárně používá pro přenos zón, takže můžete teoreticky blokovat i regulérní server. Nicméně během velkého DoS útoku jsou vždy určité ztráty povoleny.
Dalším článkem na podobné téma je seznam programů a scriptů použitelných pro detekci, či přímo pro spuštění DoS útoků. Pokud ovládáte Linux, tak vám vlastně stačí jen hping3, netcat a slowhttptest. Plně automatizované nástroje naštěstí nejsou zcela dostupné, ale napsat je na druhou stranu není takový problém.
Před několika týdny jsme informovali o napadení společnosti Adobe, kdy se útočníci dostali ke zdrojovým kódům velké části jejích produktů. Teď však vyšlo najevo, že míra napadení byla mnohem vyšší a útočníci se dostali k seznamu 38 milionů zákazníků Adobe, obsahující i hashe hesel, čísla kreditních karet atd.
Osmadvacetiletý muž z Anglie (Lauri Love) byl zatčen za nabourávání do amerických vládních systémů a klientských počítačů, NASA a amerických vojenských systémů. Spolu s dalšími třemi společníky plánoval útoky na IRC a s úlovky se chlubili na Twitteru. Do vládních databází se dostali díky SQL Injection a získali tak údaje o čtyřech tisících zaměstnancích vládních služeb.
WordPress od verze 3.7 přináší mimo vylepšení a opravy chyb především automatické bezpečnostní aktualizece. Hurá! Aktualizujte všechny domény používající WordPress na poslední verzi.
“Android Master Key” je chyba, která postihovala 99 % uživatelů Android zařízení a měla být opravena ve verzi 4.4. Jay Freeman (Cydia Software) však zjistil, že tato chyba stále existuje a napsal i proof-of-concept script v Pythonu.
Ve zkratce
- Co jsme se naučili z APT útoků v tomto roce?
- Firefox 25 opravuje několik bezpečnostních chyb
- Záznam z přednášky o historii a vývoji Cognitive Security
- Technologie reCaptcha byla aktualizována
- Nová verze Google Chrome bude automaticky blokovat stažený malware
Pro pobavení
Toto jsem si nemohl odpustit. :)
Závěr
Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
