Hlavní navigace

Postřehy z bezpečnosti: ceny benzínu se snižují

CSIRT.CZ

Dnes se podíváme například na jeden ze způsobu řešení cen benzínu, hned na několik zranitelností v routerech Netgear, na dvě novinky týkající se Windows 10 a jim bude také patřit závěrečná tečka k pobavení.

Doba čtení: 5 minut

Ovládni svou benzínku

Levnější benzín? Natočte si a cenu zvolte sami. Bylo nebylo, jednoho dne, když bezpečnostní výzkumník z Kaspersky Lab tankoval auto, z ničeho nic spadl systém na počítačové obrazovce u jeho pumpy. Všiml si lokální IP adresy.

Ukázalo se, že patří do systému společnosti Orpak, která nedělá jen správu benzinových pump, ale i RFID trackování vozidel a její software obsluhuje na 35 000 pump v 60 zemích. Systém umožňuje místním majitelům vzdálenou správu svých stanic přes webové rozhraní. Nu a když si milí výzkumníci stáhli manuál, přečetli si v něm výchozí heslo.

Následně našli jednu instanci softwaru ve Španělsku, která se s výchozím heslem spokojila a brzy si stáhli celý systém na počítač a podrobili ho analýze. Překvapení na sebe nenechalo dlouho čekat. Vývojáři Orpaku se nerozpakovali nechat si pro jistotu zadní vrátka s pevně daným heslem. Díky tomu výzkumníkům už nic nebránilo vstoupit do systému libovolné čerpací stanice, kterou software spravoval. Mohli tak volně měnit například cenu benzinu.

Tuto dovednost si pak legálně vyzkoušeli u jednoho majitele čerpací stanice v Izraeli, který s pokusem souhlasil. Přijeli k pumpě a z mobilního telefonu si vzdáleně snížili cenu na stojanu. V září o tom informovali společnost Orpak, která příliš nereagovala. Až když se dověděla, že výzkumníci chtějí o nálezech informovat veřejnost, požádala o osobní schůzku, na kterou nedošlo. Následně však došlo ke zveřejnění. Možná díky tomu ruská policie od ledna vyšetřuje podvod, kdy malware na desítkách pump kradl zákazníkům 3–7 % stáčeného paliva. To pak zaměstnanci ochotně rozkrádali, zatímco malware mazal stopy a do pokladen vkládal falešná data.

Pokud se však nechcete zaobírat takovými podružnostmi jako benzín pod/nad cenou, můžete si vzít příklad z australského hackera Cubrilovice. Ten je obviněn z 33 nelegálních výpůjček aut od car-sharingové společnosti. Cubrilovic, známý díky výzkumům, jak Facebook ukládá uživatelská data a jak sleduje uživatele i po odhlášení, vyřešil své dluhy u společnosti GoGet tím, že jim poctivě nahlásil díry v systému a společnost mu dluh odpustila. Když však zrušila účet jeho přítelkyni, vzal 37letý hacker řadicí páku do svých rukou. Zcizil data zákazníků GoGet, doslova sedl za volant a volně na jejich účty jezdil. Teď sedí za necelých 60 tisíc korun jízdného.

Naše postřehy

Společnost Trustwave publikovala detaily několika zranitelností v routerech Netgear. Jak už začíná být u routerů nehezkým zvykem, opět se jedná o výběr toho nejlepšího, co může výrobce potenciálním útočníkům nabídnout. Na konci řetězce chyb, jako je špatně implementovaná ochrana proti CSRF nebo bypass přihlášení, je spuštění libovolného příkazu OS s právy roota a bez nutnosti se nějak přihlásit. Sedmnáct routerů této značky (R6400, R7000 -Nighthawk, R8000-Nighthawk X6 nebo R7300DST-Nighthawk DST) je zranitelných také vůči chybě popsané jako “password recovery and file access issue”. Trochu neobvykle se výrobci podařilo dostat zranitelnost i do procesu přihlášení přes WPS. V případě zmáčknutí tlačítka WPS mohou klienti během procesu nastavování WiFi spustit na zařízení libovolný kód s právy roota.

Zdrojový kód pro jednu ze základních součástí operačního systému iOS od Apple unikl na veřejnost. Jedná se o iBoot, který zajišťuje spuštění operačního systému a ověření jeho pravosti. Není jasné, kdo za únikem stojí a zda-li je kód pravý. Podle vyjádření různých bezpečnostních odborníků však ano. Byť se kód vztahuje k systému iOS verze 9, což vzhledem k momentální verzi 11.2.5 není úplně aktuální, je nanejvýš pravděpodobné, že značná část kódu bude stejná.

Bezpečnostní analytik objevil zranitelnost u populárního webového doplňku Grammarly, sloužící pro kontrolu anglické gramatiky. Doplněk ve webovém prohlížeči odhaloval autorizační token a umožnil útočníkovi zjistit identitu uživatelů a získat přístup k jejich soukromým uživatelským dokumentům. Nicméně podle prohlášení společnosti se chyba týkala pouze textu napsaném v dokumentu, který byl spojený s účtem Grammarly. V tuhle chvíli by již měli být vydané aktualizace opravující zranitelnost a uživatelé by již měli mít chráněná svá data.

Výzkumníci z univerzity Princeton vyvinuli aplikaci PinME, umožňující sledování pohybu chytrých telefonů bez použití GPS. Podle vývojářů využívá aplikace různé algoritmy, využívající IP adresy a časovou zónu, které kombinuje s informacemi ze senzorů, jako jsou informace z gyroskopu, akcelerometru nebo barometru. Výhodou je, že pro získávání těchto informací nepotřebuje aplikace žádná zvláštní oprávnění.

Microsoft poskytl Windows 10 testerům novou aplikaci, která má zobrazovat jasný přehled diagnostických dat. Následně pak společnost data od svých uživatelů sbírá a archivuje na svých serverech. Telemetrie je přitom diskutovanou problematikou už od uvedení Desítek a Microsoft je dlouhodobě kritizován za mlžení kolem sběru dat, z nichž mnohá od uživatelů směrem k firmě proudí nedobrovolně.

Windows Defender je nejzákladnější program pro zabezpečení počítačů proti virům a malwaru. Je zabudován v každé verzi Windows 10 a jeho funkce se díky aktualizaci Microsoftu rozšíří. Podle vyjádření amerického giganta bude Defender nově chránit také proti tzv. „scarewaru“, tedy softwaru, který se tváří jakožto „optimalizační“ software.

Záznamy celkem 800 000 uživatelů byly ukradeny švýcarské telekomunikační společnosti Swisscom. K údajům se útočníci dostali přes přihlašovací údaje jednoho z obchodních klientů, kteří mají přístup k informacím o zákaznících. Došlo tak k úniku informací jako jména, adresy, telefonní čísla a data narození. Společnost nicméně uvádí, že podle platné legislativy nedošlo k úniku citlivých dat, hlavně také díky omezenému přístupu obchodních partnerů. Na incident ke kterému došlo na podzim 2017 se přišlo během rutinních kontrol, po kterých došlo k hloubkovému vyšetřování. 

Ve zkratce

Intel zveřejnil další patch na zranitelnost Spectre 

Cisco zveřejnilo patche na kritickou zranitelnost ve firewalu 

Několik závažných zranitelnosti ve VPN službě Hotspot Shield 

Další malware pro Android na těžení kryptoměn 

Google rozšiřuje svůj bug bounty program

NMI18_Sedivy

Téměř 3 miliony $ zaplatil Google v roce 2017 za nahlášené zranitelnosti 

Pro pobavení


https://9gag.com/gag/aR3PyXQ

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?