Hlavní navigace

Postřehy z bezpečnosti: BadBIOS, nová generace perzistentního malwaru

Martin Čmelík 4. 11. 2013

V tomto díle postřehů si povíme až neuvěřitelný příběh o novém typu malware a upravených USB klíčenkách pro delegáty summitu G20. Popíšeme pár nových chyb v sociálních sítích, zjistíme jak ochránit DNS servery před DDoS útoky a bude řeč také o Android Master Key chybě ve starém kabátu a spoustě dalšího.

Začněme příběhem Dragose Ruia (@dragosr, organizátor CanSecWest, PacSec a zakladatel Pwn2Own), který zní až příliš neuvěřitelně. Dostal se do kontaktu s malwarem/rootkitem/bootkitem, který označuje jako badBIOS. Představte si tento kód jako super-odolný virus, který nelze ze systému smazat reinstalací operačního systému, smazáním disku ani přepsáním firmwaru a s ostatními infikovanými počítači dokáže komunikovat i bez síťové, či bezdrátové karty pomocí zvukových vln o vysoké frekvenci (zvuková karta a mikrofon). Pozměňuje nastavení a chování operačního systému nezávisle na jeho typu (Linux, Windows, BSD, OS X,…) a pokud zaznamená činnost, která by mohla vést k jeho odhalení (nabootování z CD-ROMu, Process Monitor, hledání klíčů v registrech, …) tak tuto funkci prostě zablokuje.

Kdyby toto napsal někdo jiný a neměl za sebou podporu hned několika bezpečnostních odborníků, tak bych tomu asi nevěřil. Je to podobné spíš sci-fi v kombinaci s malwarem Flame, který napsala skupina lidí za podpory americké vlády, ale proč by někdo tímto (určitě velice, velice drahým na černém trhu) výjímečným kódem infikoval zrovna jednoho z největších bezpečnostních odborníků, aby byl odhalen? Spousta detailů o badBIOS je však neznámá.

Tento kód se šíří nejspíš USB klíčenkami a zřejmě využívá chybu BIOSu/UEFI při čtení disku. Zatím jen domněnky, které se snad brzy vyjasní, protože tento kód vyvolává mnohem více otázek než odpovědí a asi se s něčím podobným setkal jen málokdo. Další informace se dočtete na Errata Security.

Naše postřehy

Ebrahim Hegazy (Q-CERT) objevil vážnou chybu na Twitteru, která umožňovala uploadovat jakýkoliv soubor, včetně PHP. Kdokoliv si vytvořil účet na dev.twitter.com, tak mohl místo uploadu obrázku aplikace nahrát jakýkoliv soubor na CDN servery twimg.com a tím i např. spustit script na straně uživatele, který této doméně důvěřuje. V článku jsou i přiložena videa ukazující úspěšný upload souborů.

Mohamed Ramadan (Attack Secure) objevil v aplikaci Facebook pro Android chybu umožňující získání aktuálního Facebook tokenu jinou aplikací. Token je vlastně jedinečný identifikátor, kterým se prokazujete při každém použití Facebooku a jako takový je tím jediným, co útočník potřebuje ke kompromitování vašeho účtu.

Podle italského deníku La Stampa dostali delegáti během zářijového summitu G20 v Petrohradě v dárkové tašce upravenou USB klíčenku a nabíječku na telefon, aby bylo možné odposlouchávat mobilní telefon i počítač delegátů. I kdyby to nebyla pravda, určitě by to mělo vysokou úspěšnost.

Pro ty z vás, které zajímá nebo by mohlo zajímat Hardened Gentoo, vychází na InfoSec Institute seriál o tomto zajímavém rozšíření distribuce Gentoo, jejímž zaměřením je bezpečnost na úrovni operační systému. Pokud Hardened Gentoo již znáte, používáte a máte trochu času, tak se mi ozvěte. Securix GNU/Linux, který z této odnože vychází, je jen malý kousek od beta verze a uvítal bych pomoc.

Jak ochránit vaše DNS servery před DDoS útoky? Tomuto tématu se věnuje článek na InfoWorldu. Vlastně vám doporučí Anycast, cloud služby pro DNS a rate-limiting. Já bych ještě přihodil použití Truncated DNS flagu u klientů/domén s podezřele velkým nárůstem dotazů, kdy by se regulérní klient měl připojit na TCP, čímž odhalíte spoofnuté DNS dotazy. Jen upozorním, že ne každý DNS server ve firemní síti má povolen i TCP port 53 (DNS) do internetu, protože se primárně používá pro přenos zón, takže můžete teoreticky blokovat i regulérní server. Nicméně během velkého DoS útoku jsou vždy určité ztráty povoleny.

Dalším článkem na podobné téma je seznam programů a scriptů použitelných pro detekci, či přímo pro spuštění DoS útoků. Pokud ovládáte Linux, tak vám vlastně stačí jen hping3, netcatslowhttptest. Plně automatizované nástroje naštěstí nejsou zcela dostupné, ale napsat je na druhou stranu není takový problém.

Před několika týdny jsme informovali o napadení společnosti Adobe, kdy se útočníci dostali ke zdrojovým kódům velké části jejích produktů. Teď však vyšlo najevo, že míra napadení byla mnohem vyšší a útočníci se dostali k seznamu 38 milionů zákazníků Adobe, obsahující i hashe hesel, čísla kreditních karet atd.

Osmadvacetiletý muž z Anglie (Lauri Love) byl zatčen za nabourávání do amerických vládních systémů a klientských počítačů, NASA a amerických vojenských systémů. Spolu s dalšími třemi společníky plánoval útoky na IRC a s úlovky se chlubili na Twitteru. Do vládních databází se dostali díky SQL Injection a získali tak údaje o čtyřech tisících zaměstnancích vládních služeb.

WordPress od verze 3.7 přináší mimo vylepšení a opravy chyb především automatické bezpečnostní aktualizece. Hurá! Aktualizujte všechny domény používající WordPress na poslední verzi.

“Android Master Key” je chyba, která postihovala 99 % uživatelů Android zařízení a měla být opravena ve verzi 4.4. Jay Freeman (Cydia Software) však zjistil, že tato chyba stále existuje a napsal i proof-of-concept script v Pythonu.

Ve zkratce

Pro pobavení

Toto jsem si nemohl odpustit. :)

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

4. 11. 2013 0:35

KapitanRUM (neregistrovaný)

Popravdě jsem to jen prolétl, ale na tohle může skočit snad jen debil, proto se divím, že to je tady na rootu publikované, tohle patří na servery o UFO.

Vážně se divím, kdo tu píše newsky, tohle je prostě HOAX a v lepším případě IQ test, někdo by si tu měl dát na svůj FB profil žirafu nebo lépe vykulené tele a já to nejsem (FB nemám, mám jen RUM!)

Ano, technicky vzato je možné infikovat bios, tedy spíš teoreticky vzato to možné je, ano, hodně teoreticky.

Co tomu brání:
A) V biosu je …

7. 11. 2013 1:50

RayeR (neregistrovaný)

Drive, kdyz byl cas, jsem se docela zabyval hackovanim BIOSu (jedna relevantni ukazka prace zde: http://rayer.g6.cz/romos/romos.htm ), tak bych k tomuto tematu pridal par myslenek...
Hned na zacatek rikam, ze o tom badbiosu mam malo informaci, takze si netroufam soudit jesi je to fake nebo ne. Nicmene bylo a jsou tu moznosti, ktere by neco takoveho teoreticky umoznovali, i kdyz dat nec otakoveho dohromady by jiste stalo spoustu prace a spis nez na nake nezavisle hackery bych to prisuzoval organi…

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Lupa.cz: E-shopy: jen sleva už nestačí

E-shopy: jen sleva už nestačí

Podnikatel.cz: Platební brány a EET? Stále s otazníkem

Platební brány a EET? Stále s otazníkem

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV