Hlavní navigace

Postřehy z bezpečnosti: Facebook vyplatil zatím nejvyšší odměnu

Martin Čmelík 27. 1. 2014

V tomto díle Postřehů se podíváme na chybu Remote Command Execution postihující Yahoo, chybu kterou nalezl výzkumník na Facebooku a dostal zaplaceno 33 500 dolarů, nový malware infikující Android zařízení připojené k počítači s Windows, otevřený dopis proti špionážním programům NSA a mnoho dalšího.

Čínská subdoména Yahoo obsahovala chybu umožňující Remote Command Execution, tj. spuštění jakéhokoliv příkazu na serveru, na kterou upozornil Ebrahim Hegazy. Stačilo do adresy hxxp://tw.user.mall.yahoo.com/rating/list?sid=$Vulnerability dosadit příkaz, který se posléze spustil funkcí eval(). Ebrahim se potýkal s určitým omezením, které však efektivně vyřešil. Na YouTube se můžete podívat na PoC této chyby. Yahoo Security Team ve zprávě ještě zmínil, že na serveru byl starý kernel umožňující eskalaci práv, takže případný útočník měl možnost získat i oprávnění roota.

Facebook se potýkal s podobnou chybou a za její objevení vyplatili zatím nejvyšší sumu Reginaldovi Silvovi, a to 33500 dolarů. Reginald objevil již minulý rok XXE (XML External Entity) chybu v OpenID postihující možná až statisíce webů. Pomocí modifikace parametrů služby OpenID, kterou Facebook podporuje, tak mohl úspěšně číst soubory na serveru (během PoC nechal vypsat /etc/passwd) a vzdáleně spouštět příkazy. Odměna není malá, nicméně v případě Facebooku šlo o zcela zásadní chybu a pokud si pamatujete na vyjádření Ryana McGeehana, manažera security incident týmu, “If there’s a million-dollar bug, we will pay it out”, tak je vyplacená částka opravdu malá. Chybu nalezl i na serverech Googlu, ale byl schopen jen provést XML DoS útok známý jako “billion laughs”. Zřejmě právě proto Google vyplatil jen 500 dolarů.

Výzkumníci ze společnosti FireEye provedli analýzu nového malwaru na Android, který pojmenovali Android.HeHe. Tento malware, tvářící se jako Android security update systému, je po instalaci zaregistrován na C&C serveru a sleduje telefonní hovory a SMS. Malware získá z C&C serveru seznam čísel, které má sledovat. Pokud pak z takového čísla přijde hovor nebo SMS na infikovaný Android, hovor se ukončí a smažou se všechny stopy o existenci hovoru či SMS. SMS kopie se však navíc uloží do interní databáze a obsah zprávy se odešle na C&C server. Malware kontroluje existenci běhu v emulátoru, skrývá existenci aplikace a vytváří několik dalších služeb bežících na pozadí. C&C běží na IP adrese 122.10.92.117 a na IP 58.64.183.12 odesílá SMSky.

Službě Snapchat byly nedávno zcizeny údaje o 4,6 milionech uživatelů. Proto se tato společnost rozhodla více zaměřit na bezpečnost svých mobilních aplikací a jednou z novinek měla být obrázková captcha, kde máte označit obrázky, na kterých je duch (logo služby). Tato captcha byla však zvolena nepříliš šťastně a hned druhý den publikoval Steven Hickson C++ kód, který mu trval 30 minut a jeho velikost je pouhých sto řádků, ke 100% prolomení této ochrany.

Přední světoví odborníci na kryptologii a bezpečnost zaslali otevřený dopis, ve kterém vyjadřují svůj nesouhlas se špionážními programy NSA, s umístěním backdoorů do aplikací velkých společností a plošným shromažďováním soukromých údajů, protože tímto systematickým útokem na bezpečnost a demokracii dávají možnost i útočníkům tyto backdoory použít a soukromé údaje zneužít. Žádají proto reformu NSA programů definovanou pěti principy, za kterou stojí i přední americké společnosti (Apple, AOL, Facebook, Google, LinkedIn, Microsoft, atp.)

Google plánuje uvolnit na hackerskou soutež Pwnium, pořádanou během konference CanSecWest, částku 2,7 milionů dolarů za nalezeních chyb v Chrome OS běžícím na HP Chromebook 11 (ARM), nebo Acer C720 Chromebook (Intel Haswell). Oproti soutěžím jako je Pwn2Own musí účastníci předložit kompletní kód exploitu a veškeré další údaje potřebné k simulování útoku.

Nový malware pro Windows se snaží instalovat bankovní malware do připojených Android zařízení. Malware fungující opačně, tj. infikující Windows pomocí Android zařízení, již existuje. Android.Claco umisťoval infikovaný PE soubor a autorun.inf do kořenového adresáře SD karty a po připojení byl systémem Windows spuštěn. Opačný způsob byl spatřen poprvé. Symantec malware označil jako Trojan.Droidpak. Tento kód se zaregistruje jako služba Windows, aby byl spuštěn po restartu a stáhne APK (formát aplikací pro Android) soubor s názvem AV-cdk.apk společně s knihovnou umožňující spuštění příkazů na připojených Android zařízeních, pomocí které infikované APK nainstaluje. APK kód je označen jako Android.Fakebank.B a v systému se tváří jako Google Play aplikace. Útok je cílen především na banky Jižní Koreje, protože kód hledá bankovní aplikace korejských bank a nahradí je infikovanou verzí. K tomu všemu odesílá všechny SMSky na vzdálený server.

Datacentrum Casablanca INT bylo zaplaveno vodou. Na webu popisující Big Blue One cloud, který byl postižen, garantují 100% SLA a kvalitní zálohování. On už se dneska pojem cloud používá na všechno, přitom jednou z charakteristik cloudu je redundance všech zařízení. Ne každý si však může/umí nadesignovat vlastní DR řešení, a tak musí věřit dodavateli. Pár fotografií zde.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

27. 1. 2014 19:18

Sten (neregistrovaný)

+1. Taky jsem si nejdřív myslel, že to ta služba prodala a ne že jí to někdo ukradl.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu