Server MacRumors je znám především mezi uživateli produktů Apple a je jedním z nejnavštěvovanějších fór o Apple produktech vůbec. Minulé úterý byl však napaden a s tím i údaje o jeho 860 tisících uživatelích. Nic nového pod sluncem. Útočníci však využili 0day chybu systému vBulletin. Tato chyba postihuje vBulletin větve 4.x i 5.x a je možné vzdáleně spustit kód na straně serveru. K útoku se přihlásili lidé ze známého týmu Inj3ct0r a rovnou nabídli exploit k prodeji za 7 tisíc USD. “The network security is a myth” stálo v jejich prohlášení.
FBI varuje, že členové skupiny Anonymous již rok útočí na státní instituce a kradou tajná data a další údaje z počítačů úředníků. Využívají přitom prý chybu v produktech Adobe a instalují na kompromitované počítače backdoor umožňující vzdálené ovládání systémů. Mezi zcizenými daty jsou prý údaje o 104 000 zaměstnancích, kontraktorech, rodinných členech a dále údaje ze dvou tisíc bankovních účtů. Mě spíše zaráží backdoor pracující rok bez povšimnutí. Takovéto kódy vetšinou produkují vlády. Bůh ví, co je na tom pravdy. Každopádně pokud teď bude chtít FBI více útočit na Anonymous, tak to mají obhájené.
Společnost Adobe vydala kritické updaty pro produkty ColdFusion a Flash Player. Tyto chyby je možné zneužít ke vzdálené správě postižených systémů. Je to tento rok jen další z mnoha aktualizací opravující kritické chyby. Je však dobré připomenout, že zdrojové kódy Adobe byly zcizeny a že již teď možná existuje jeden z mnoha dalších 0day útoků.
Dan Melamed objevil Open URL redirection chybu na webu Facebooku. Tento útok se nejčastěji používá k přesměrování oběti na svůj útoční web, kde čeká například drive-by-download malware, odkazem na důvěryhodný web, který ho na něj přesměruje. Účinná to zbraň v případě např. phishingových kampaní. Stačilo odebrat “http://” z parametru URI.
Pinkie Pie opět dosáhl na nejvyšší cenu v hodnotě 50 000 USD na souteži Pwn2Own. Využitím dvou různých chyb v aplikaci Chrome na Androidu byl schopen vyskočit ze sandboxu a ovládnout tak jak Nexus 4, tak Samsung Galaxy S4. A to mu ještě dle organizátorů nebylo ani 21 let. Velice nadaný “muž”.
Výhru 40 000 dolarů si z Pwn2Own odnesl tým Mitsui Bussan Secure Directions z Japonska, kdy na Samsung Galaxy S4 při navštívení webové stránky skupiny byli schopni získat soukromé údaje ze zařízení (kontakty, historie, bookmarky, SMSky, …). Poslední cenu (27 500 USD) získal tým z Číny, který nalezl dvě chyby na zařízení iOS, konkrétně v prohlížeči Safari, kdy pomocí první bylo možné zachytit zadávané jméno a heslo a pomocí druhé chyby byli schopni dostat se k fotkám na zařízení.
Mimo soutež dva z pořadatelů (Abdul Aziz Hariri a Matt Molinyawe) demonstrovali ovládnutí Microsoft Surface Pro, díky chybě v Internet Explorer 11.
Pěkný blog post o slabinách šifer používaných při HTTPS/TLS spojení můžete nalézt na Google Online Security Blog. Na konci článku jsou i doporučení pro dnešní komunikaci (TLS 1.2, AES-GCM a ChaCha20-Poly1305).
Článek popisující jeden z DDoS útoků pomocí botnetu založeného na prohlížeči (javascript bežící na pozadí a útočící na server oběti mnoha dotazy) a jak mu lze zamezit. Je to víceméně reklama na cloud službu Incapsula, ale má cenu si článek přečíst právě kvůli možnostem blokování.
Server Bitcash.cz (obchodování s Bitcoiny) byl napaden a všechny (500 BTC) Bitcoiny byly převedeny na podvržený účet odkazující na bitcoin-charity.info. To máme za několik posledních měsíců minimálně:
1) Čínský GBL vytracen společně se čtyřmi milionů dolarů v BTC
2) Australský inputs.io hacknut a zmizelo okolo 4100 BTC
3) Bitcoinica hacknuta, zmizelo 18 000 BTC
4) Autor Silk Road zadržen, FBI zabavilo 144 336 BTC
5) Bitcash hacknut, 500 BTC
Nejedná se o problém Bitcoinu jako takového. Algoritmus je bezpečný, ale počet Bitcoinů není nekonečný, tak co se stane, když většinu bude vlastnit jedna entita?
HackerOne – iniciativa za podpory Facebooku a Microsoftu, která má za cíl podpořit hledání chyb a informovat o nich výrobce, spíše než ji prodat na blackmarketu, protože za ohlášení chyby budete finančně odměněni. Chyby přitom nemusíte hledat jen v produktech výše zmíněných firem, ale primárně v technologiích, které jsou široce používané na Internetu (PHP, Python, OpenSSL, Apache, Nginx, …). Pěkný projekt.
Český Kriminalistický ústav si nechal patentovat nápad, který má zamezit skimmování. Jedná se o známku, která přelepuje magnetický proužek a skimmer při čtení této známky dostává nevalidní data.
O BadBIOSu stále nic moc. Na druhou stranu se však komunita zaměřuje na všemožné konference či jiné materiály věnující se této problematice, které by snad mohly před zveřejněním analýz vysvětlit/vyloučit fungování BadBIOSu.
Ve zkratce
- Firefox 25.0.1 opravuje ty samé chyby jako ve verzi 25. Co že to má být?
- Google Chrome naproti tomu opravuje 12 nových bezpečnostních chyb
- OpenSSH opravuje chybu (6.2 a 6.3) umožňující spustit kód
- První část ze série článků o reversingu firmwaru
Pro pobavení
Bezpečnost dnes může dělat očividně naprosto kdokoliv. Hlavně nás pobavil tento pan Ing. Jsem Bezpečák (MBA)
Závěr
Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme
