Hlavní navigace

Postřehy z bezpečnosti: FBI radí, pátrá, informuje

Pavel Bašta

Kam až může vést vtip na Twitteru, když se týká bezpečnosti leteckého provozu? Kromě zodpovězení této otázky se v novém díle postřehů podíváme též na chyby Wi-Fi, na Side-channel útok „Spy in the sandbox“, na „bezsouborový“ malware uložený v registrech, či na nebezpečné chyby v oblíbené platformě pro e-shopy.

Dělat si z lidí šoufky se nevyplácí, to věděl už Walter Sobchak v nesmrtelném filmu Big Lebowski. A už vůbec se to nevyplácí v dnešní někdy až moc paranoidní době. Nově se o tom přesvědčil i výzkumník Chris Roberts, známý svým zájmem o prostředky hromadné dopravy. Jeho zábavný tweet o manipulaci s „engine-indicating and crew-alerting systémem“ (EICAS) Boeingu, ve kterém právě letěl, mu zajistil několikahodinovou pozornost FBI ihned po přistání a zabavení jeho elektronických zařízení. Roberts svým vtipem reagoval na zprávu US Government Accountability Office o chybě letounů Boeing 787 Dreamliner, Airbus A350 a A380, jejichž Wi-Fi pro cestující mají používat stejnou síť jako avionika letounů.

V reakci na incident s Chrisem Robertsem pak FBI společně s TSA (Transportation Security Administration) vydala doporučení  pro palubní personál, který by si měl všímat podezřelých cestujících a reportovat případné pokusy o připojení neznámých kabelů do IFE (In Flight Entertainment) systémů, či neobvyklých částí sedaček, hlásit IFE systémy vykazující znaky pokusů o manipulaci, či snahy silou odstranit kryty síťových portů. Také je doporučováno procházení síťových logů letadla (On to do teď nikdo nedělal?) a hledání podezřelých aktivit, jako je skenování sítě či pokusy o průnik do systémů.

Naše postřehy

V uplynulém týdnu se objevila chyba v programu wpa_supplicant, který se používá v Linuxu, BSD, OS X i ve Windows. Chyba se týká způsobu, kterým wpa_supplicant používá SSID získané z management rámců upravujících informace o členech P2P. Chyba může vést k odhalení obsahu paměti, DoS a pravděpodobně i ke spuštění libovolného kódu. K dispozici je již záplata, případně lze jako první pomoc vypnout podporu P2P.

U Wi-Fi ještě chvíli zůstaneme. V iOS 8 byla nalezena zranitelnost nultého dne, která způsobuje opakované pády aplikací či celého systému, pokud se tento systém připojí k zlovolnému hotspotu. Jedná se v podstatě o klasický DoS. Pokud už se uživatel k takovémuto přístupovému bodu připojí, nemá jinou možnost, jak problém odstranit, než se vzdálit z jeho dosahu tak, aby se zařízení nemohlo po restartu k dané Wi-Fi znovu připojit.

„Spy in the sandbox“ je útok, při němž se pomocí javascriptu nahraného v prohlížeči sleduje L3 cache procesoru, respektive doba potřebná k přístupu k těmto datům. Útočníkovi tedy stačí, pokud oběť přistoupí na stránky, jejichž obsah má pod kontrolou. Podle analytiků, kteří útok objevili, funguje útok zhruba na 80 procentech dnes používaných desktopů. Analytici zatím nezveřejnili přesný kód exploitu, aby měli výrobci prohlížečů čas vytvořit potřebné záplaty. Zatím doporučují uživatelům zavírat nepotřebné záložky v prohlížeči, pokud se chystají dělat na svém PC cokoliv citlivého.

Vyšla nová verze oblíbeného CMS WordPress 4.1.2. Je to v podstatě kritická bezpečnostní záplata pro všechny předchozí verze, proto se doporučuje ihned updatovat. Kromě XSS zranitelnosti opravuje také chyby jako SQLi, či možnost uploadu souborů s nevalidními názvy. Kromě nové verze WordPressu vyšlo také několik bezpečnostních záplat pro různé pluginy.

V oblíbené platformě Magento pro provozování online e-shopů byla nalezena bezpečnostní díra, která ohrožuje milióny uživatelů, kteří nakupují na některém z e-shopů postavených na této platformě. Nezáplatovaná verze obsahuje řetězec několika zranitelností, které ve svém důsledku umožňují útočníkovi spustit na serveru vlastní PHP kód. Díky tomu získá útočník kompletní kontrolu nad obchodem i jeho databází. To může být útočníkem využito k získání přístupu k informacím o kreditních kartách a dalších osobních informací zákazníků nakupujících na zranitelných stránkách. To, co by mohlo provozovatele e-shopů na této platformě trochu znervózňovat, je fakt, že netrvalo ani 24 hodin, než se objevily pokusy o zneužití těchto zranitelností. Dvě IP adresy alokované v Rusku se pokouší vytvořit v Magento databázi nového admin uživatele. Kdo nezáplatoval hned, už je pravděpodobně kompromitován, nebo brzy bude. V pozorovaném útoku se vytvářeli uživatelé vpwq či defaultmanager, jejich nález v databázi je tedy potvrzením úspěšné kompromitace spravovaného systému.

Společnost Trend Micro zaznamenala prodej již dříve pozorovaného fileless malware Phasebot, tedy malware, který na počítači nevytváří žádné vlastní soubory. Ke svému uložení používá registry Windows. Co je ovšem zajímavé, pro spuštění jednotlivých komponent z registru používá PowerShell, který je od Windows 7 nedílnou součástí výchozí instalace. Společnost Trend Micro předpokládá, že se k podobným technikám bude přiklánět stále více tvůrců malware. Ostatně i Phasebot je pravděpodobně jen vylepšenou verzí dřívějšího malware Solarbot.

Ve zkratce

Pro pobavení

TSA rozšířila svá doporučení ohledně bezpečnosti

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

27. 4. 2015 3:06

snehuliak (neregistrovaný)

Precital autor postrehov originalny zdroj? "Spy in the sandbox" mal byt v sekcii na pobavenie. Je to totalny hype (=blbost) plna technickych frazi ktorej jedinym ucelom pritahovanie pozornosti.

O co teda ide? Autori sami priznavaju "The researchers explained that the exploit cannot steal any passwords or data...".
Na co teda prisli? Prisli na to, ze ked v javascripte permanetne alokuju/uvolnuju pamat (ktora sa zruba rovna L3 cache) tak meranim casu kolko alokacia trva vedia statisticky odhadnut…

29. 4. 2015 9:53

*.cuzk.cz (neregistrovaný)

Vzhledem k tomu, ze clanek jeste porad nebyl opraven, zdalo by se ze i upletli.

Ale ono to pokracuje: "..., a upletes-li, nezapraskas. A zapraskas-li, tak maximalne sam sebe.".

Proroctvi se naplnilo ;-)

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

DigiZone.cz: TV Philips a Android verze 6.0

TV Philips a Android verze 6.0

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu