Hlavní navigace

Postřehy z bezpečnosti: hacktivista zveřejnil data kyberšpionážní společnosti

Martin Čmelík

V dnešním díle Postřehů se podíváme na 40 GB dat společnosti Gamma Group, která stojí za špionážním softwarem FinFisher, exploit pro Symantec SEP, techniky komunikace backdooru, možnosti infikace spamerů, kritickou XML chybu ve WordPressu a Drupalu, krádež 1,2 miliardy přihlašovacích údajů a další.

Gamma Group International je britská společnost, která vyvíjí software používaný ke špionáži počítačů v zemích jako Amerika, Německo, Rusko, Irán a tak podobně. O jednom z jejich hlavních produktů jste možná již slyšeli. Je jím FinFisher/FinSpy, který drží krok s moderními postupy pro maskování v systému, infiltrování, vzdálené administraci, či hledání dat. Umí zaznamenat data nejen z webových formulářů, ale také pořídit záznam ze Skype hovoru, webové kamery a existuje i verze pro mobilní telefony. Není zatím jasné, kdo je hlavním odběratelem, protože stopy vedou jak k vládám, tak i soukromým organizacím.

Neznámý (nevím jak lépe ho definovat) hacktivista se naboural do systémů této společnosti a zveřejnil na Internetu 40 GB dat. Tento balík dat obsahuje spoustu interních dokumentů, důvěrných technických manuálů, zdrojové kódy programů a komunikaci s ostatními společnostmi. Víme díky tomu, že Gamma Group byla odběratelem služeb společnosti VUPEN, nejznámější to společnost na tvorbu 0day exploitů. Vztahy mezi společnostmi byly očividně blízké (na fotografii Martin Münch (Gamma Group) a Chaouki Bekrar (VUPEN)). Díky tomu bylo možné nainstalovat FinFisher téměř na jakýkoliv systém bez povšimnutí (nulová detekce antivirovým programem je téměř standard).

Dokumenty také popisují produkt s názvem FinFly ISP, umožňující zachytit internetový provoz a simulovat jakoukoliv internetovou stránku a vložit do ní škodlivý malware pro infikování počítačů. Pak tu máme dešifrování Silent Circle (nepotvrzené), TrueCryptu, Bitlockeru a spousty dalšího softwaru. Ceník produktů je přiložen :) Podrobnější článek rozebírající data obsažená v balíku najdete zdeNáš neznámý navíc připravil brožuru pro další hacktivisty a radí jim, jak začít s nabouráváním dalších podobných společností a vyzývá tím ostatní, aby bojovali proti kyberšpionáži.

Naše postřehy

Symantec Endpoint Protection obsahoval 0day chybu umožňující eskalaci práv. Nyní k videu ukazující úspěšnou eskalaci přibyl i použitý exploit. Objeven byl výzkumníky společnosti Offensive Security během penetračních testů. Společnost je známá především školením v oblasti bezpečnosti a distribucí Kali.

Zajímá vás, jaké techniky komunikace můžou využívat zadní vrátka nainstalovaná na vašem počítači? Poradit vám může studie společnosti TrendMicro.

Hacking spammers for dummies. Pěkný příběh na jehož začátku byl jeden spam a na konci exploitování administrace Zeusu, infikování počítače spammera a fotka z webové kamery.

Drupal i WordPress jsou náchylné na útok typu XML Quadratic Blowup. Jedná se o útok na XML parser způsobující spotřebování všech dostupných paměťových prostředků. Nebezpečí tohoto útoku tkví hlavně v jeho jednoduchosti. Podobným druhe útoku je Billion Laughs attack.

Původně jsem to chtěl dát do sekce pro pobavení, ale tam, jak si všimnete, je obrázek. Jde jen o to, že ministerstvo vnitra zadalo zakázku na dekódování šifrované komunikace pro policejní složky. Jako vždy se to zabalí do boje proti terorismu, organizovaném zločinu, dětské pornografie, či do jiné, veřejností akceptovatelné, výmluvě. Hodně štěstí a hlavně nezapomeňte na rozdíl mezi dešifrováním a dekódováním, páni odborníci. Pan Marian Kechlibar ze společnosti CircleTech navíc podle údajů ve článku asi nikdy neslyšel o ZRTP. Klidně mi napište, mám hotové řešení, kdy i když vám předám svůj telefon, tak nezjistíte zpětně nic. :)

Údajně největší krádež přihlašovacích údajů odhalila společnost Hold Security. Ve zprávě se mluví až o čísle 420 tisíc webových stránek a FTP účtů a celkem asi 1,2 miliardy hesel. Napadeny byly jak malé, tak velké cíle.

Kritická chyba byla objevena v posledních verzích Samby. Chyba se týká přetečení bufferu a spouštění kódu na vzdáleném serveru pod právy roota. Oprava chyby je ve verzi 4.1.11 a 4.0.21.

Google chce použít algoritmus pro ohodnocení míry bezpečnosti HTTPS na vašem webu/serveru a podle výsledku, jak dobře máte nastavené parametry HTTPS, zlepšit váš page rank. Cílem je, aby všechny weby přešly na HTTPS a tím se zvýšila bezpečnost vaší komunikace.

V dřívějším díle Postřehů jsme informovali o velmi pokročilém malwaru Uroboros/Turla. Výzkumníci společnosti Kaspersky tuto kampaň nazvali „Epic Turla“ a sestavili podrobnou technickou zprávu, kterou stojí za to přečíst.

Dvoufaktorovou autentizaci PayPalu lze obejít, avšak tuto chybu neopravili ani po dvou měsících. Tak Joshua Rogers zveřejnil kompletní postup i za cenu toho, že nedostane odměnu z programu Bug Bounty.

Nová verze Cryptolockeru s názvem SynoLocker, se zaměřuje na NAS od společnosti Synology a opět vyžaduje platbu pro dešifrování. Podle zprávy společnosti exploit využívá chybu (CVE-2013–6955 a CVE-2013–6987) umožňující vzdálené spuštění kódu. Případu se podrobně věnujeme v článku SynoLocker: disková pole Synology terčem vyděračů.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

11. 8. 2014 11:08

tunelaktivista (neregistrovaný)

Já bych od našeho ministerstva čekal spíš nějaký tunel než "soumrak šifrované komunikace".
http://www.ceska-justice.cz/2014/08/tyden-v-ceske-justici-soumrak-sifrovane-komunikace-vyprava-do-krkonos-a-odposlechy-ve-snemovne/


2. 9. 2014 11:53

Petr (neregistrovaný)

"Pan Marian Kechlibar ze společnosti CircleTech navíc podle údajů ve článku asi nikdy neslyšel o ZRTP."

Snažíte se působit zasvěceně, ale tahle věta vás prozradila, že nepřesně sumarizujete informace, které vám Vám strejda google předhodí.

Pro méně chápavé: Jakýkoliv komunikační protokol (byť s příchutí bezpečnosti) nemá jakoukoliv spojitost s tím, jak se podařilo odhalit informace na telefonech Nečasovi a Nečasové. Jak již z článku vyplývá, tak jedna z věcí, kterou udělali, bylo že si jen vza…

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

DigiZone.cz: V Plzni odstartovalo Radio 1

V Plzni odstartovalo Radio 1

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

Vitalia.cz: 7 originálních adventních kalendářů pro mlsné

7 originálních adventních kalendářů pro mlsné

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu