Hlavní navigace

Postřehy z bezpečnosti: jak to dopadá, když někdo šmíráky nabourá

Martin Čmelík

V tomto díle postřehů se podíváme blíže na to, co bylo nalezeno ve 400 GB dat z nabourané šmírovací společnosti Hacking Team, dále pak na to, že v německém raketovém systému došlo ke spuštění nevysvětlitelných příkazů, na chybu v Google Chrome umožňující spoofing URL v adresním řádku a mnoho dalšího.

Hlavní zprávou tohoto týdne je jednoznačně hack Hacking Teamu, italské společnosti prodávající šmírovací software včetně celé infrastruktury vládám a státním organizacím. V podstatě se však ukázalo, že komukoliv kdo má peníze. Nemusíte vědět ani co je to exploit, stačí jen zaplatit pár desítek či stovek tisíc dolarů a z kontrolního centra řídíte infikování a sběr dat od šmírovaných uživatelů. Tak právě takovouto společnost někdo napadl (jejich bezpečnost byla slabá a hesla zaměstnanců také) a na Internetu zveřejnil 400 GB firemních dat včetně emailů, zdrojových kódu a dokumentů.

Pěkný článek o tom vyšel zde na Rootu, takže není třeba sepisovat to, co už bylo řečeno, ale od té doby se vyskytlo pár nových poznatků, které bych tu chtěl shrnout.

Předně ve zdrojových kódech byly nalezeny tři 0day exploity (2× Adobe Flash, 1× Windows Kernel), díky kterým jste mohli neidentifikovatelně infikovat jakýkoliv počítač s téměř jakýmkoliv prohlížečem používající Adobe Flash. První z nich (Use After Free) našel Trend Micro, má označení CVE-2015–5119, umožňuje spuštění vzdáleného kódu a CVSS závažnost je 10.0 (high). Oprava již existuje.

Druhá 0day chyba ve Flashi, nalezená v datech Hacking Teamu, byla ohlášena Dhaneshem Kizhakkinanem ze společnosti FireEye. Její označení je CVE-2015–5122 a přímo Hacking Team o ní v interních dokumentech prohlásil, že se jedná o jednu z “nejkrásnějších” chyb za poslední čtyři roky. Oprava je plánovaná na 13. 7.

Hacking Team ani nebyl autorem všech exploitů. Z emailové komunikace vyplývá, že 0day exploity kupovali od jednotlivců (Vitaliy Toropov například). Daniele Milan z Hacking Teamu také psal do České republiky (přes prostředníky Michala Martínka a Tomáše Hlavsu ze společnosti Bull s.r.o), že Hacking Team najímá lidi i do specializovaného interního týmu. Do iOS zařízení se však vlámat neuměli. To se musíte zeptat na ceník skupiny TAO z NSA :)

V České Republice si kupoval služby Hacking Teamu Útvar zvláštních činností (česká policie), který měl zájem o infikování návštěvníků stránek společností jako ČSOB, Unicredit Bank, Seznam.cz, Komerční Banky, Raiffeisenbank, RWE, NS LEV 21, dTest, Parlamentní Listy, online obchody, soukromé stránky apod.

Spousta lidí si myslí, že se v ČR odposlouchávání nikdo nemusí bát, protože česká policie nedisponuje technickými odborníky, ale jak vidíte, oni ani nemusí. Stačí mít dost peněz.

Naše postřehy

V německém raketovém systému vyvinutém v Americe bylo objeveno spuštění nevysvětlitelných příkazů. Na první pohled se předpokládá, že šlo o akci backdooru nainstalovaného americkou vládou, což by byl ještě ten lepší případ, protože pokud je možné se k těmto systémům dostat z veřejných sítí, tak stačí jen slabší chvilka paranoidního či schizofrenního hackera a celosvětový průšvih na sebe nenechá dlouho čekat.

Chyba v Androidu umožňuje do zálohy přidat vlastní APK balíčky. Když je spuštěn BackupAgent, tak mu můžete podsunout vlastní balíčky a on je bez problému nainstaluje s právy administrátora. Pro detaily si prostudujte PoC kód a postup na GitHubu. V tuto chvíli neexistuje oprava.

Google Chrome obsahuje chybu umožňující spoofnout URL v adresním řádku. Díky tomu můžete předpokládat, že jste na stránkách banky, ale přihlašovací údaje pošlete útočníkovi. Google to nejdřív nepovažoval za chyby a označil to jako špatné renderování adresního řádku, avšak řada bezpečnostních odborníků jim jejich domněnku vyvrátila. Chybu není jednoduché plně využít, ale nakonec se bude opravovat.

Micro:bit je miniaturní počítač (4×5cm) vyvinutý ve spolupráci společností ARM, Microsoft, Samsung a mnoha dalších. Cílem je motivovat děti ke vztahu k IT technologiím, učit je jak věci fungují a jak se dají programovat k různým účelům. BBC plánuje distribuovat milión těchto zařízení zdarma. Veřejně dostupná budou koncem roku.

Ve zkratce

Pro pobavení

Proč neříkat některým manažerům o problémech :)

Scott Adams

dilbert.com

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

20. 8. 2015 23:59

babinak (neregistrovaný)

nějak takhle to mohlo být provedeno, ale spíše to bylo jinak.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: „Black Friday 2016“: závěrečné zhodnocení

„Black Friday 2016“: závěrečné zhodnocení

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu