Hlavní navigace

Postřehy z bezpečnosti: FBI se dostala do iPhonu

Martin Čmelík

Dnes si řekneme, co dosud víme o odemčení iPhonu v FBI, na novou zranitelnost OS X, o Bashi na Windows 10, jak CloudFlare říká, že 94 % Tor provozu je škodlivá komunikace, jak se chová ransomware Petya a mnoho dalšího.

Před několika týdny jsme psali v Postřezích o případu, kdy FBI chtěla po Applu, aby jim vytvořili zadní vrátka do iPhonu. Apple toto odmítl a začal se s FBI soudit. V tomto sporu získali spoustu podporovatelů mezi velkými společnostmi, významnými osobnostmi a samozřejmě komunitou.

Podle soudního záznamu již však FBI přístup k datům na telefonu má a tak již nepožaduje spolupráci ze strany Applu. K tomu si FBI najala externí společnost a v několika zdrojích se zmiňuje izraelská společnost Cellebrite, která se zabývá forenzní analýzou mobilních zařízení.

Na internetu se spekuluje, že k tomu použili klonování obsahu NAND paměti (NAND mirroring). Tj. pokud se iPhone zablokuje po deseti špatně zadaných heslech, tak jich vyzkoušejme devět a pak přepíšeme paměť do původního stavu, aby si iPhone myslel, že jsme ještě žádné heslo nezadali. Případně pokud není nastavená ochrana na počet špatně zadaných hesel, tak by se kopírování NAND paměti použilo s každou dávkou testovaných hesel, protože tím tak předejdeme aplikování časových zpoždění, které jsou mezi hesly a s počtem špatně zadaných hesel narůstají.

Další možností, jak by se dal provést bruteforce na heslo, je zablokovat iOSu možnost zapsaní počtu špatně zadaných hesel, což bylo možné v iOS 8. Od iOS 9 to však již možné není, protože iOS už i ověřuje, že informace o počtu špatně zadaných hesel se opravdu zapsala.

Pravděpodobně se Apple teď bude soudit s FBI, aby jim řekli, jak přesně se do něj dostali a tím chybu opravili. Buď s další aktualizací, či novým iZařízením s upraveným HW.

Naše postřehy

Výzkumníci Avi Bashan a Ohad Bobrov z Check Pointu zveřejnili na konferenci Black Hat Asia zranitelnost v poslední verzi iOS systému umožňující man-in-the-middle útoky pomocí přesměrování komunikace mezi zařízením a enterprise storem. Teď je však důležité zmínit za jakých okolností. Vaše zařízení musí být pod správou firemního MDM (Mobile Device Management), potom vám útočníci pošlou SMS s odkazem na nový bezpečnostní profil telefonu, u kterého musíte několikrát potvrdit, že si ho opravdu chcete nainstalovat, i když je podepsaný nedůvěryhodnou autoritou a že chápete že se může změnit vaše systémové nastavení. Pokud toto vše slepě akceptujete, tak se vám do systému nainstaluje nová certifikační autorita a komunikace s MDM se přesměruje přes proxy ovládanou útočníky, aby mohli fungovat jako man-in-the-middle a dešifrovat komunikaci zařízení s MDM. V extrémním případě je tak možné i ovládnout zařízení. Takže ano, je to chyba MDM protokolu, ale pravděpodobnost zneužití již není tak velká. Chybě dali jméno SideStepper.

“Microsoft loves Linux” je nový slogan Microsoftu. Skrývá se za ním to, že s další aktualizací Windows 10 nebo z Windows Storu budete schopni nativně (ne jen ve virtuálním prostředí) spustit BASH v tomto operačním systému. S integrací jim pomohli lidé z Canonicalu stojící mimo jiné za distribucí Ubuntu. Nejedná se o náhradu Cygwinu, kterýžto má binární soubory zkompilované ze zdrojových kódů pro běh ve Windows. Nativně v tomto termínu opravdu znamená spuštění naprosto totožných ELF souborů. Pro nás ostatní to znamená, že budeme moci odinstalovat cygwin na firemních počítačích a i tak zachovat jejich použitelnost.

Podle statistik společnosti CloudFlare je až 94 % komunikace ze sítě Tor označená jako škodlivá. Jedná se většinou o automatizované komentářové spamy a útoky. Společnost CloudFlare vidí až 12 % veškerého provozu na Internetu, protože poskytuje DDoS a webovou aplikační ochranu velkým společnostem až po ty nejmenší blogy jednotlivců. Protože si cení smyslu sítě Tor, tak se nesnaží klienty za touto sítí deanonymizovat či úplně blokovat, ale svým zákazníkům nabízí například možnost oveřění pomocí captcha u podezřelého provozu z těchto sítí na jejich služby.

Máme tu nový ransomware zvaný Petya. Liší se především v tom, že nešifruje soubory, ale jen MFT (Master File Table) tabulku v MBR. MFT obsahuje informace a metadata o všech souborech a složkách na vašem souborovém systému. Pokud se vám tento soubor pokazí, tak se použije druhý, který funguje jako záložní. Pokud vám však ransomware oba zašifruje, tak systém v podstatě nedokážete nastartovat, protože neví, kde má soubory na souborovém systému najít. Místo toho, aby selektivně šifroval soubory na systému, tak zašifruje jen tu MFT tabulku, což je rozhodně efektivnější. Nicméně naštěstí se nejedná o šifrování, ale o pouhý XOR, takže nemusíte zaplatit výkupné.

Tor vrací úder. FBI použila pro odhalení zdrojových adres návštěvníků serveru s dětskou pornografií něco, čemu říká Network Investigate Technique (NIT). V překladu FBI má hacking tool, který jim umožňuje identifikovat uživatele přistupující pomocí Tor protokolu na server, kde běží hidden služba. Tor FBI zažaloval a požaduje zveřejnění technických detailů které k tomu NIT používá. S FBI jsou teď minimálně ve dvou sporech, protože ještě stále běží soud ohledně jednoho milionu dolarů, který FBI zaplatila univerzitě Carnegie Mellon. Tento obnos získali s cílem toho, aby našli chybu v Tor protokolu, která by jim pomohla deanonymizovat všechny uživatele Toru.

Ve zkratce

Pro pobavení

Takto dnešní antiviry fungují :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: Sat novinky: slovenská TV8 HD i ruský NTV Mir

Sat novinky: slovenská TV8 HD i ruský NTV Mir

Měšec.cz: Exekuční poradna: ptejte se online

Exekuční poradna: ptejte se online

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Podnikatel.cz: E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu