Hlavní navigace

Postřehy z bezpečnosti: DC/AC Horus Scenario

CSIRT.CZ

Minulý týden nás zaujal popis útoku na měnič napětí DC/AC, a tak jsme se rozhodli k tomu ještě něco dodat. Dále se podíváme, jak se výzkumník WannaCry dostal do vazby, srovnáme přístupy k politice hesel a mnohem více.

Horus scenario není název posledního hitu skupiny AC/DC, nýbrž je to název teoreticky i prakticky prokázaného scénáře popisujícího obrovský kyberútok zaměřený na důležitou elektrickou infrastrukturu. Ten popsal holandský bezpečnostní expert Willem Westerhof, který už v roce 2016 nalezl 21 zranitelností v DC/AC invertorech (měnič napětí) připojených k Internetu. Konkrétně se jednalo o výrobky německé společnosti SMA.


Zdroj:https://www.mrsolar­.com/inverters/

Nalezené zranitelnosti dostaly hodnocení od informační až po kritické. Podle Westerhofa byly jen v Evropě tisíce zranitelných zařízení, což by podle jeho tvrzení mohlo v nejhorším případě vést až k několikahodinovému výpadku elektrické sítě napříč Evropou. Vychází z toho, že pokud by se útočníkovi podařilo kompromitovat větší množství těchto zařízení, mohl by je všechny najednou odpojit od sítě, což by mohlo způsobit rozkolísání elektrické sítě a následné výpadky. S pomocí blackout simulátoru pak odhaduje, že masivní útok by mohl přinést ekonomické ztráty ve výši 4,5 miliardy EUR.

Willem Westerhof o svých zjištěních informoval společnost SMA už v roce 2016 a ta vydala před více než půl rokem záplaty. Dá se ovšem očekávat, že po nynějším zveřejnění těchto informací se problematikou bezpečnosti zdrojů elektřiny budou zabývat jak správci rozvodných sítí, tak i politici.

Naše postřehy

Z hrdiny padouchem. Marcus Hutchins, který se v květnu stal hrdinou kybernetické bezpečnosti, když pomohl zastavit šíření malwaru WannaCry pomocí registrace kill-switch domény. Za to obdržel zvláštní ocenění na SC Awards Europe. Nyní byl však zadržen policií v Las Vegas a čelí obvinění z vytvoření a šíření bankovního viru známého jako Kronos v letech 2014–2015. Hutchins čeká na soud a podle některých zpráv mu může hrozit až 40 let vězení.

Na několika nelegálních serverech Dark webu začal vzkvétat obchod poté, co úřady zablokovaly dva velké hráče na trhu – AlphaBay a Hansa, kteří nabízeli drogy, zbraně nebo malware. Podle studie, kterou si nechala zpracovat BBC, však v návaznosti na to poslední červencový týden vzrostly obchody některých jiných stránek až o 28 %.

Pro webové stránky a aplikace by nemělo být nic důležitějšího než bezpečnost jejich uživatelů. Studie srovnávala požadavky na komplexnost hesel u 40 světových služeb. Bohužel bylo zjištěno, že 46 % spotřebitelských stránek včetně Dropboxu, Netflixu, Pandory a 36 % firemních webů, včetně DocuSign nebo Amazon Web Services, nedokázalo implementovat nejzákladnější požadavky na zabezpečení heslem. Přesvědčte se sami, jaké máte možnosti při zadávání hesla u své oblíbené služby.

FBI odhalila v Tor síti uživatele, který je podezřelý ze sexuálního vydírání nezletilých. Muž žijící v Kalifornii, který je obviněn ze sexuálního vydírání nezletilých a produkce dětské pornografie, byl FBI identifikován pomocí tzv. Network Investigative Technique (NIT), které bylo vloženo do video souboru. Šestadvacetiletý Buster Hernandez údajně používal Tor síť, kde kontaktoval své oběti. FBI použila techniku NIT, aby mohla určit jeho IP adresu nebo identitu.

Téma autonomních aut je stále populární, a proto se objevují také nové studie a pokusy různých bezpečnostních expertů o jejich hacknutí. V tomto případě výzkumníci z University of Washington ani nemuseli používat žádná přetechnizovaná řešení. Rozhodli se totiž dokázat, že automatické rozpoznáváni značek je dost náchylné na drobné odchylky pouze za pomoci nálepek. Po polepení dopravních značek je nebyla většina testovaných aut schopna správně identifikovat. To by mohlo snadno vést k dopravní nehodě. Tvůrci rozpoznávacích algoritmů na tom budou muset ještě hodně zapracovat.

Microsoft rozhodl, že jeho produkty přestanou důvěřovat certifikátům, které vydala čínská certifikační autorita WoSign a její dceřiná společnost StartCom. Certifikátům, které byly vydané před 26. zářím 2017, budou produkty Microsoftu důvěřovat nadále až do té doby, než jim neskončí platnost. Certifikátům vydaným po tomto datu již důvěřovat nebudou. Po řade problémů a incidentů spojených s těmito certifikáty k tomuto kroku přistoupili také společnosti jako například Mozilla, Apple či Google. Ti tak učinili již na konci roku 2016.

Ve zkratce

Volný přístup k soudním dokumentům ze systému PACER díky zranitelnosti

Adobe vydal záplaty pro 69 chyb ve svých produktech

Technologické firmě v USA unikla data o elektrických sítích několika společností

Hackeři žádají několikamiliónové výkupné od společnosti HBO 

Využívaní VPN nemusí být v případě Hotspot Shield zárukou anonymity

Google vydal bulletin, kde adresuje více než 40 zranitelností 

WikiLeaks zveřejnil další z hackovacích nástrojů CIA

Juniper zveřejnil bezpečností alert pro své routery a switche 

Pro pobavení

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?