Hlavní navigace

Postřehy z bezpečnosti: firma Google zvítězila nad Kamzíkem

20. 3. 2017
Doba čtení: 4 minuty

Sdílet

V dnešním díle Postřehů si povíme o botnetu Chamois (Kamzík), o záplatách Linuxu, MS Windows a Adobe Flash Playeru, o možných problémech s geolokací a o úspěchu nizozemské policie v boji se zločinci.

Chamois (Kamzík) je jedna z tzv. potenciálně škodlivých aplikací pro Android, která umí:

  • na displeji mobilního telefonu zobrazovat vyskakovací reklamy
  • stahovat a instalovat další aplikace běžící na pozadí a pluginy
  • posílat drahé SMS na tzv. prémiová telefonní čísla.

Aplikace Chamois využívají obfuskace kódu i dalších metod proti analyse; pracovníci týmu Google ale prozkoumali přes 100 tisíc řádek kódu a v systému Verify Apps botnet Kamzík zablokovali. Zakázali přístup i těm, kdo ho zneužívali pro svůj finanční zisk. Kamzík by už tedy neměl uživatele Androidu okrádat.

Chyba v linuxovém kernelu stará 7 let je odstraněna

Alexander Popov odhalil v modulu n_hdlc linuxového kernelu chybu CVE-2017–2636, jejíž vinou může lokální neprivilegovaný uživatel získat privilegia uživatele root. Chyba se poprvé objevila v kernelu 2.6.22 v červnu 2009 a může se tedy vyskytovat na starých produkčních serverech, které už nedostávají bezpečnostní záplaty; v těchto případech by tedy měli jejich správci zablokovat tento kernelový modul manuálně:

# echo "install n_hdlc /bin/true" >> /etc/modprobe.d/disable-n_hdlc.conf

Březnové bezpečnostní záplaty Microsoftu

V úterý 14. března 2017 publikovala firma Microsoft v rámci pravidelných měsíčních updatů celkem 17 bezpečnostních záplat softwaru Microsoftu (zranitelnosti MS17–006 až MS17–022) a 1 záplatu MS17–023 zranitelností přehrávače Adobe Flash. Tyto záplaty konečně znemožní využívat veřejně známých zranitelností, které již dříve odhalili a zveřejnili Laurent Gaffié a firma Google.

Bezpečnostní záplaty přehrávače Adobe Flash

Firma Adobe zveřejnila bezpečnostní záplaty přehrávače Adobe Flash nejen pro Windows, jak bylo uvedeno výše, ale i pro Macintosh, Linux a operační systém Chrome. Tři ze zranitelností jsou kritické (možnost spuštění libovolného kódu), další může způsobit únik informací. Nová verze programu je 25.0.0.127.

Potenciální problémy geolokace podle IP adres

Geolokace podle IP adres (též lokalizace IP adres) je služba, která umožňuje přiřadit IP adrese její zeměpisnou polohu i další údaje – např.

  • Název země
  • Kód země
  • Region
  • Město
  • PSČ
  • Poskytovatel připojení (ISP)
  • Zeměpisné souřadnice (šířka, délka)
  • Časová zóna
  • Měna

Firma může využít geolokace např. ke zjištění, ze kterých zemí přichází nejvíce zájemců o její služby. Častěji se ale využívá k ochraně sítě před útoky přicházejícími ze zemí, s nimiž daná firma nespolupracuje ani to neplánuje; obzvlášť výhodné to je pro firmy, které obchodují jen s lokálními zákazníky.

Nicméně firmy, které obchodují globálně, mohou narazit na nepříjemný problém. Vzhledem k tomu, že IP adresy verze 4 jsou z největší části vyčerpány a zájemci o nové alokace se obracejí na ISP z celého světa, stává se, že seženou volnou alokaci adres jen v cizí zemi, ne ve vlastní. Po zaplacení je sice záznam v databázi RIPE, ARIN, LACNIC atd. opraven, ale do databáze poskytovatele geolokační služby se může tato informace dostat se zpožděním, které může záviset i na tom, zda geolokace je placená či nikoli.

Obecně také platí, že v geolokačních databázích bývají informace o zemi a o jejím kódu přesnější než informace o regionu a městě; to ale pro účely blokování přístupu podle zemí není důležité.

Pokud tedy firma plánuje použít blokování přístupu podle geolokační databáze, měla by počítat s tím, že zdánlivě nelogické problémy s přístupem do firemní sítě mohou být způsobeny právě popsaným jevem. Pak by bylo možné využívat např. blokování podle jednotlivých spamujících IP adres, sítí nebo dokonce autonomních systémů, jako to nabízí např. UCEPROTECT.

Nizozemská policie dešifrovala zprávy PGP z mobilů BlackBerry

Nizozemská firma Ennetcom prodala svým zákazníkům asi 20 tisíc speciálně upravených telefonů BlackBerry, které nebylo možné používat k volání ani k posílání SMS, ale jen k odesílání a příjmu elektronické pošty zašifrované pomocí PGP a směrované skrze BlackBerry Enterprise Servery Ennetcomu v Torontu (Kanada) a v Nizozemí. Bylo zjištěno, že těchto mobilů užívali i lidé obvinění z vražd, pokusů o vraždy, násilných ozbrojených přepadení i dalšího organizovaného zločinu.

Nizozemská policie zabavila nejen mnoho zmíněných mobilů, ale i útočných pušek, samopalů a dalších zbraní, granátů a výbušnin, drog, ukradených aut atd. Policie také zjistila, že klíče PGP nebyly vygenerovány na mobilních telefonech, ale na serverech. Bylo tedy nutné nejen zatknout podezřelé osoby a zabavit nejen mnoho jejich peněz, diamantů apod., ale i data z holandských i kanadských serverů; tam byly skutečně PGP klíče nalezeny a bylo možno dešifrovat nalezené zprávy, kterých je celkem asi 3,6 milionu (7 TB).

UX DAy - tip 2

Pro pobavení

Potřebujete pomoci s volbou operačního systému?

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.