Hlavní navigace

Postřehy z bezpečnosti: i LED diody mohou zradit

CSIRT.CZ

V dnešním díle našeho seriálu se podíváme na útok pomocí LED kontrolek, varování výrobce před špehujícími televizemi, užitečný nástroj na ochranu MongoDB databáze a nové vyděračské finty autorů ransomwaru a další.

Sofistikovaný útok, jako vystřižený z hollywoodského filmu, vyzkoušeli naživo v rámci bezpečnostního výzkumu vědci z Ben-Gurion university of Negev. Výzvou pro autory bylo získání dat z izolovaného, offline počítače. Autoři pro tento účel vytvořili speciální malware, který je schopen převzít kontrolu nad LED kontrolkami obvykle indikujícími činnost pevného disku a dokáže je zapínat a vypínat rychlostí vyšší než je člověk schopen zrakem rozlišit – až 5800 bliknutí za sekundu. 

Při reálném testu útoku, trefně nazvaného LED-it-GO, pak výzkumníci vyslali na místo dálkově řízený dron s různými typy kamer, od speciálních průmyslových až po obyčejné běžně dostupné kamery GoPro. Po navázání vizuálního kontaktu, bylo možné zahájení samotného přenosu. Přenos samotný probíhal binárně – zhasnutá LED dioda reprezentovala binární 0, rozsvícená 1. Dle autorů závisí rychlost přenosu především na vzdálenosti a kvalitě přijímače, ale v ideálních podmínkách je možné dosáhnout rychlosti až 4000 bitů/s (0,5 KB/s).  

Přestože autoři útok úspěšně demonstrovali, je třeba dodat, že se nezabývali otázkou jak vlastně do takového počítače malware dostat. Další překážkou by byl nejspíš také fakt, že podobné „air-gapped“ stanice bývají v reálném světě umísťovány v izolovaných místnostech bez oken.

Naše postřehy

Společnost NeoSmart Technologies v minulém týdnu upozornila na kampaň šířící malware v podobě trojského koně či ransomware Spora. Útočníci napadají špatně zabezpečené webové stránky, do kterých vkládají JavaScript, který z textu na stránkách vytvoří změť nesmyslných znaků. Pokud přijde na takovou stránku uživatel prohlížeče Google Chrome, je mu zobrazeno okno s informací "The ‚HoeflerText‘ font wasn't found” a výzvou k updatu balíčku fontů pro Chrome. Netřeba dodávat, že stažený soubor Chrome Font v7.5.1.exe místo “potřebného” fontu přináší výše zmiňovaný malware.

Samsung varuje zákazníky před soukromými konverzacemi před svými chytrými televizemi. Tato informace byla nalezena v přiložených zásadách ochrany soukromí (privacy policy). Poté, co na tento fakt jeden ze zákazníků upozornil, vydal Samsung prohlášení, že se třetí stranou (Nuance Communications, Inc.) sdílí pouze část hlasového záznamu, sloužící uživateli pro vyhledání obsahu.

Není to tak dávno, co proběhla vlna útoků na databáze MongoDB. V mnoha případech, bylo po správcích databází výměnou za navrácení dat požadováno výkupné, často však byly databáze nenávratně smazány. Útoky využívaly toho, že mnoho MongoDB instalací má nastavení ponecháno ve výchozím stavu, ve kterém jsou zranitelné. Tento fakt inspiroval autory nástroje Mongoaudit, což je CLI nástroj, který poslouží správci databáze jako jakýsi průvodce a auditor zabezpečení jeho databáze a testuje databázi na celý seznam možných zranitelností.

Scott Helme ve svém článku nastínil další možnost ochrany proti Cross-Site Request Forgery. Popisuje SameSite atribut cookie, který dá pokyn prohlížeči, že cookie má jistou ochranu. V striktním módu prohlížeč nepošle cookie v žádném požadavku mimo původní doménu, protokol a číslo portu („origin“). V laxním módu může prohlížeč poslat cookie jen přes bezpečnou HTTP metodou; to jsou podle RFC 7321 metody GET, HEAD, OPTIONS a TRACE. Na stránce caniuse.com můžeme vidět podporu SameSite atributu v prohlížečích. Prohlížeč Google Chrome atribut podporuje od v51, naopak Mozilla Firefox ho zatím nepodporuje vůbec.

Tvůrci ransomware zkoušejí různé způsoby, jak si domluvit dostaveníčko s obětí. Malware Lockdroid nedávno experimentoval s čárovým kódem, který oběť měla naskenovat, aby se dověděla, kde má zaplatit výkupné. Nyní Lockdroid dělá jiný experiment – oběť se dozví nickname anonymního účtu na instant messaging službě Tencent QQ, kde se spojí s útočníkem, vyhandluje cenu a dostane kód, který do svého zablokovaného telefonu namluví. Poprvé se tak u tohoto typu kriminality setkáváme s využitím text-to-speech. Doufejme, že po nás útočníci brzy nebudou chtít kvůli odemčení dat zazpívat čínskou hymnu nebo zatancovat twerk. Neinstalujte na Androidu aplikace z jiného než oficiálního Play Store!

Chyba, která si v linuxovém jádru (nejspíš) netušeně žije již 11 let, byla opravena. Tuto chybu bylo možné ještě před pár dny zneužít k lokálnímu spuštění libovolného kódu v kontextu kernelu následovně vedoucí třeba k eskalaci privilegií či DoS. Náprava v jádře byla provedena 18. února a například linuxová distribuce Ubuntu patch ihned převzala a má k dipozici aktualizaci.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?