Hlavní navigace

Postřehy z bezpečnosti: hackování KVM switche

10. 4. 2017
Doba čtení: 5 minut

Sdílet

V dnešním dílu Postřehů se podíváme na hackování KVMka, nový zákeřný nástroj pro vzdálenou administraci, čipování nadšenců ve Švédsku či na zajímavost z poslední konference BlackHat.

Velice často se stává, že administrátoři (popř. jiní odpovědní pracovníci) považují za potenciální nebezpečí pouze softwarové zranitelnosti nebo jiné obecné nebezpečí, které pochází ze sítě. Výzkumníci z organizace Talos ve svém výzkumu poukazují na skutečnost, že s rostoucí popularitou IoT, je potřeba brát v úvahu také slabiny vlastního hardwaru. Ve výzkumu se zabývají nebezpečím vyplývajícím ze skrytých modifikací jinak zcela standardního hardwaru.

V tomto konkrétním případě si zvolili hardwarový KVM switch Belkin E Series OmniView, který upravili tak, že do něj přidali key logger postavený z komponent Arduino. Autoři zdůrazňují, že celé řešení dokáže postavit každý kdo má minimální znalosti z elektrotechniky a programování a za pomoci běžně dostupných nástrojů. KVM switchů je nepřeberné množství a výběr tohoto konkrétního switche zde autoři také vysvětlují. Jedná se totiž o switch, který patří do skupiny tzv. „Hot-key” switchů, tedy takových, které umožňují přepínání mezi připojenými počítači stisknutím kombinace kláves.

Zpracování kombinace kláves má na starosti mikrokontroler, který se náramně hodí autorům pro jejich ďábelský plán. Talos nepředstírá, že tento typ „útoku” je možné uskutečnit v každém profesionálním provozu a podmínkách běžné serverovny, ale v zásadě pouze předkládají koncept k zamyšlení. Na začátku celého procesu je potřeba switch rozebrat. Základními komponentami KVM switche Belking E Series OmniView je již zmíněný mikrokontroler a pětice multiplexorů, které jsou zde odpovědné za vlastní logiku přepínání PS/2 portů na správný výstup.


Vnitřnosti KVM switche Belkin E Series OmniView

Další analýzou firmwaru, komponent a pečlivým studiem dokumentace se autoři postupně prokousali řadou překážek a problémů. Na konci této cesty však byli schopni sestrojit a naprogramovat key logger pomocí vývojové desky Arduino Uno. Ten pak dokázal zachytávat všechny vstupy z klávesnice. Autoři veškeré technické detaily pečlivě zdokumentovali a jejich práci, včetně zdrojových kódů, můžete nalézt a hlouběji prostudovat v kompletní zprávě [PDF].

Naše postřehy

ROKRAT je název nového remote administration tool (RAT), který byl objeven v Koreji. Šíří se pomocí e-mailu s přílohou ve formátu Hangul Word Processor (HWP). Vložený objekt Encapsulated PostScript (EPS) pak zneužívá známou zranitelnost (CVE-2013–0808) ke stažení spustitelného souboru, maskovaného jako obrázek ve formátu .jpg. ROKRAT používá jako C&C servery známé služby, jako jsou Twitter, Yandex nebo Mediafire. Kromě exfiltrace dat přes uvedené služby zvládá tento malware také screenshoty a logování stisknutých kláves.

Kdo by nezamáčkl slzu dojetí při vzpomínce na pestrobarevné spamové zprávy vesmírných lidí, kterými kdysi Ivo A. Benda šířil po našich nebetyčně pomalých dial-up připojeních důležitá poselství Aštara Šérana, která nás měla varovat před čipovou totalitou a ještírky. Ne každý národ je však vyvolený a zjevně ne každý byl varován. Jak jinak si vysvětlit nadšení zaměstnanců švédského startup hubu Epicenter právě z čipování jejich těl NFC čipy. Zaměstnanci prý dokonce pořádají párty pro kolegy, kteří se rozhodnou nechat se očipovat. Podle CEO startup hubu Epicenter je údajně největším benefitem pohodlí. Zaměstnanci zase argumentují touhou zkusit nové věci. Otázkou je, zda si také promysleli všechny možné důsledky této akce. Čipovou totalitu bychom tedy už měli a za rok bychom si na apríla mohli ze švédských serverů pro změnu stáhnout třeba Trotlíka.

No more ransom je iniciativa, která vznikla ze spolupráce Europolu, holandské policie, IntelSecurity (nyní McAfee) a Kaspersky Lab. Cílem bylo poskytnout uživatelům seznam volně dostupných dešifrovacích nástrojů a zároveň se snažit uživatele vzdělávat. Pozitivní je, že se do této iniciativy zapojuje stále více organizací. Postupně se připojily společnosti zvučných jmen jako například Avast, Trend Micro či CERT Polska. Od prosince minulého roku přibylo 15 nových dešifrovacích nástrojů a přes 10 000 uživatelů rozšifrovalo díky tomu své soubory. Kompletní seznam dešifrovacích nástrojů je možné nalézt na nomoreransom.org, stejně jako seznam partnerů projektu.

Týmu Project Zero společnosti Google se podařilo objevit chybu v implementaci bezdrátového čipu firmy Broadcomm, která umožňuje spuštění libovolného kódu v kontextu čipu a následně i jádra operačního systému. Zranitelnost, která se týká telefonů iPhone 4 a novějších se nyní rozšířila o Nexus 5, 6 a 6P a většiny vlajkových lodí společnosti Samsung. Apple vydal záplatu ve verzi iOS 10.3.1 a Google v Android Security Bulletin – April 2017. Existují však obavy, že někdo zranitelnosti využije u neaktualizovaných telefonů s OS Android a nákaza se pak bude šířit z jednoho telefonu na druhý v dosahu Wi-Fi.

Na konferenci Black Hat zveřejnili doktorandi ze Štýrského Hradce úspěšný únik dat na IaaS a jako otloukacího panáka si vybrali Amazon cloud. Přestože jednotlivé virtual cloud machines se zdají být naprosto nezávislé, přistupují ke stejným fyzickým procesorům a své výpočty skladují ve společné cachi (LLC). Vysílač zahltí jeden cache set tím, že na něm vytvoří konstantní šum. Přijímač šum najde a smaže. V tu chvíli si vysílač všimne, že přístupová doba je delší a zašumí na jiném cache setu. Takto si postupně domluví, jaké části cache použijí pro komunikaci. Ten cache set, který je zahlcený, tam je bit roven 1. Teoreticky to znamená, že pokud vám malware sáhne na data, ukradne je zcela mimo internetové spojení a procesor vám je postupně přinese do náruče útočníka. Bezchybný přenos dat dosahuje stovek kbps, takže s ním lze streamovat i video. Žertem lze říci, že SSH/TCP se povzneslo na SSH/anything. Částečná implementace byla zveřejněna na githubu. Další zajímavá odhalení konference jsou ke stažení na jejích webových stránkách.

Ve zkratce

Mobilní malware Triada využívá sandbox, aby se vyhnul detekci antivirem

Na uživatele Skype je mířená výzva ke stažení falešného FlashPlayeru

Nové dvě zranitelnosti v UEFI mohou být zneužité na instalaci backdooru na některé zařízení Gigabyte BRIX mini PCs 

Bezpečnostní chyby v operačním systému Tizen od Samsungu 

Microsoft objasňuje jaká data ve Windows 10 od uživatelů sbírá

Sir Tim Berners-Lee získal Turingovu cenu za rok 2016 

Spyware v Androidu byl detekován po třech letech

Falešný SEO plugin ohrožuje stránky na Wordpressu

Sledování útočníků pomocí HTTP refereru 

UX DAy - tip 2

Nový malware BrickerBot se zaměřuje na IoT zařízení

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.