Hlavní navigace

Postřehy z bezpečnosti: bankomat otevírá brány

CSIRT.CZ

Malware pro bankovnictví i bankomaty, hloupé chytré hodinky, které nahrávají únosci dětí, inspirující studie použití SSH, která pomohla mnohým útočníkům, a nechybí ani zmínka o DoubleLockeru, slibném ransomwaru pro Android

Postřehy z bezpečnosti

Máte málo peněz? Investujte do aplikace Cutlet Maker. Použité peníze dostanete zpět na každém rohu – tento malware toolkit se totiž zaměřuje na bankomaty rozličné výroby. S pomocí programů Stimulator a c0decalc, dodávaných v témže balíku za pět tisíc dolarů, nejprve prověříte, kolik je v bankomatu fyzicky finančních prostředků, a pak si vygenerujete heslo pro odemčení GUI rozhraní toolkitu. Načež se vám, alespoň podle prodejců, začnou sypat peníze. Běžně k dostání na každém slušném kriminálním fóru.

Nutno ještě dodat, že malware je jedinečný tím, že jeho cílem není zneužití zákazníkových údajů, ale zneužívá přímo specifické API bez potřeby interakce se samotným zákazníkem. Nabídku malwaru poprvé objevila bezpečnostní společnost Kaspersky v květnu na tržišti AlphaBay (později uzavřeno po zátahu FBI ) a nyní zveřejňuje kompletní analýzu.

Součástí nabídky je také obsáhlá dokumentace; návod k použití a přístup k instruktážním videím s návody; jak malware správně užívat – možná tam budou i tipy, jak zařídit, aby vás neviděla bezpečnostní kamera, až půjdete s pytlem na pobočku.

Naše postřehy

Máte Lenovo? Aktualizujte! Na začátku října potichu vyšel update, který opravuje čtyři nebezpečné zranitelnosti na tabletech a telefonech. Konkrétně se týkají tovární aplikace Lenovo Service Framework, přes kterou proudí upozornění, nabídky a upgrady. Jedna ze zranitelností například spočívala v tom, že soukromý klíč ke komunikaci mezi zařízeními a servery Lenovo byl k nalezení na Internetu jako součást oficiální demo aplikace výrobce.

Zranitelnost existuje nejméně od května. Pokud by ji případný útočník znal, nemusel by se ani zdržovat počítáním soukromého klíče z klíče veřejného (jako je možno u kryptografických čipů Infineon).

Před pár dny vydala společnost Venafi studii zabývající se využitím SSH v praxi firem. Tato studie ukázala mnohé nedostatky. Nyní to vypadá, že si studii přečetli i někteří útočníci a začali masivně skenovat veřejně dostupné webové složky, které by mohly obsahovat SSH klíče dle klíčových slov jako „root“, „ssh“ nebo „id_rsa“. Výzkumníci ze společnosti Wordfence zaznamenali prudký vzestup především v hodinách bezprostředně následujících po vydání již zmíněné studie. Administrátory webů nabádají především v kontrole, zda omylem nepřidali SSH klíče do některého ze svých verzovacích systémů.

Chytré hodinky pro děti nemusejí být až zase tak chytré, jak by se podle názvu mohlo zdát. Hodinky poskytují rodičům možnost komunikace se svými dětmi, včetně možnosti sledování jejich polohy. Děti také mohou použít speciální SOS tlačítko, které automaticky zavolá rodičům. Bohužel některé typy hodinek nepoužívají šifrovanou komunikaci pro přenos a ukládání dat. To dává možnost útočníkům pomocí jednoduchých hackerských technik odposlouchávat hovory hodinek, zjistit GPS pozici anebo ji dokonce změnit. Někteří výrobci, kteří používali nešifrovanou komunikaci dočasně stáhli své výrobky z prodeje. Je krásné, že spousta zařízení, které mají v názvu „smart“, nejsou vždy až zas tak chytré, jak by se očekávalo.

Google se rozhodl rozšířit zabezpečení přihlašování do svých služeb. Sám také označil, že tento bezpečnostní doplněk byl vytvořen hlavně pro ty, kteří čelí z nějakého důvodů zvýšenému riziku nebo jsou paranoidnější než ostatní uživatelé. Když se uživatel rozhodne využívat tzv. „Advanced Protection“, ani uniklé heslo nemusí být problém. Princip ochrany je totiž založen na dvou fyzických klíčích – jeden v podobě USB pro počítače a jeden na principu Bluetooth pro mobilní zařízení. Tyto klíče využívají kryptografii a digitální podpisy na ověření pro Google, že se do aplikace hlásí její majitel. Pouze znalost hesla bude nedostačující. Google také ohlásil, že prohlížeč Chrome bude využívat antivirovou ochranu od společnosti ESET. Jde o krok, který by měl rozšířit rozsah detekce malwaru přes doplněk Chrome Cleanup.

Momentální verze malwaru DoubleLocker cílí na telefony s operačním systémem Android. Po infikování zařízení zablokuje zařízení PINem, zašifruje soubory v telefonu a vyžaduje platbu v Bitcoinech. Vyžadovaná částka se pohybuje v hodnotě kolem 54 dolarů a musí být zaplacena do 24 hodin. Jediný způsob, jak se ransomwaru zbavit, je reset do továrního nastavení. Vzhledem k tomu, že kořeny zdrojového kódu vycházejí z bankovního trojana, brzy se možná Android dočká jedovatých koktejlů, které vykradou banku, zašifrují a změní PIN.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?