Hlavní navigace

Postřehy z bezpečnosti: je bezpečnost opravdu jen mýtus?

Martin Čmelík

V dnešním díle postřehů se dočtete o hacku serveru MacRumors pomocí 0day na CMS vBulletin, o varování FBI, kdy skupina Anonymous prý po celý rok nabourávala počítače státních úředníků, redirection chybě na Facebooku, souteži Pwn2Own a čím Pinkie Pie opět vyhrál první místo, hack serveru Bitcash a mnoho dalšího.

Server MacRumors je znám především mezi uživateli produktů Apple a je jedním z nejnavštěvovanějších fór o Apple produktech vůbec. Minulé úterý byl však napaden a s tím i údaje o jeho 860 tisících uživatelích. Nic nového pod sluncem. Útočníci však využili 0day chybu systému vBulletin. Tato chyba postihuje vBulletin větve 4.x i 5.x a je možné vzdáleně spustit kód na straně serveru. K útoku se přihlásili lidé ze známého týmu Inj3ct0r a rovnou nabídli exploit k prodeji za 7 tisíc USD. “The network security is a myth” stálo v jejich prohlášení.

FBI varuje, že členové skupiny Anonymous již rok útočí na státní instituce a kradou tajná data a další údaje z počítačů úředníků. Využívají přitom prý chybu v produktech Adobe a instalují na kompromitované počítače backdoor umožňující vzdálené ovládání systémů. Mezi zcizenými daty jsou prý údaje o 104 000 zaměstnancích, kontraktorech, rodinných členech a dále údaje ze dvou tisíc bankovních účtů. Mě spíše zaráží backdoor pracující rok bez povšimnutí. Takovéto kódy vetšinou produkují vlády. Bůh ví, co je na tom pravdy. Každopádně pokud teď bude chtít FBI více útočit na Anonymous, tak to mají obhájené.

Společnost Adobe vydala kritické updaty pro produkty ColdFusion a Flash Player. Tyto chyby je možné zneužít ke vzdálené správě postižených systémů. Je to tento rok jen další z mnoha aktualizací opravující kritické chyby. Je však dobré připomenout, že zdrojové kódy Adobe byly zcizeny a že již teď možná existuje jeden z mnoha dalších 0day útoků.

Dan Melamed objevil Open URL redirection chybu na webu Facebooku. Tento útok se nejčastěji používá k přesměrování oběti na svůj útoční web, kde čeká například drive-by-download malware, odkazem na důvěryhodný web, který ho na něj přesměruje. Účinná to zbraň v případě např. phishingových kampaní. Stačilo odebrat “http://” z parametru URI.

Pinkie Pie opět dosáhl na nejvyšší cenu v hodnotě 50 000 USD na souteži Pwn2Own. Využitím dvou různých chyb v aplikaci Chrome na Androidu byl schopen vyskočit ze sandboxu a ovládnout tak jak Nexus 4, tak Samsung Galaxy S4. A to mu ještě dle organizátorů nebylo ani 21 let. Velice nadaný “muž”.

Výhru 40 000 dolarů si z Pwn2Own odnesl tým Mitsui Bussan Secure Directions z Japonska, kdy na Samsung Galaxy S4 při navštívení webové stránky skupiny byli schopni získat soukromé údaje ze zařízení (kontakty, historie, bookmarky, SMSky, …). Poslední cenu (27 500 USD) získal tým z Číny, který nalezl dvě chyby na zařízení iOS, konkrétně v prohlížeči Safari, kdy pomocí první bylo možné zachytit zadávané jméno a heslo a pomocí druhé chyby byli schopni dostat se k fotkám na zařízení.

Mimo soutež dva z pořadatelů (Abdul Aziz Hariri a Matt Molinyawe) demonstrovali ovládnutí Microsoft Surface Pro, díky chybě v Internet Explorer 11.

Pěkný blog post o slabinách šifer používaných při HTTPS/TLS spojení můžete nalézt na Google Online Security Blog. Na konci článku jsou i doporučení pro dnešní komunikaci (TLS 1.2, AES-GCM a ChaCha20-Poly1305).

Článek popisující jeden z DDoS útoků pomocí botnetu založeného na prohlížeči (javascript bežící na pozadí a útočící na server oběti mnoha dotazy) a jak mu lze zamezit. Je to víceméně reklama na cloud službu Incapsula, ale má cenu si článek přečíst právě kvůli možnostem blokování.

Server Bitcash.cz (obchodování s Bitcoiny) byl napaden a všechny (500 BTC) Bitcoiny byly převedeny na podvržený účet odkazující na bitcoin-charity.info. To máme za několik posledních měsíců minimálně:

1) Čínský GBL vytracen společně se čtyřmi milionů dolarů v BTC

2) Australský inputs.io hacknut a zmizelo okolo 4100 BTC

3) Bitcoinica hacknuta, zmizelo 18 000 BTC

4) Autor Silk Road zadržen, FBI zabavilo 144 336 BTC

5) Bitcash hacknut, 500 BTC

Nejedná se o problém Bitcoinu jako takového. Algoritmus je bezpečný, ale počet Bitcoinů není nekonečný, tak co se stane, když většinu bude vlastnit jedna entita?

HackerOne – iniciativa za podpory Facebooku a Microsoftu, která má za cíl podpořit hledání chyb a informovat o nich výrobce, spíše než ji prodat na blackmarketu, protože za ohlášení chyby budete finančně odměněni. Chyby přitom nemusíte hledat jen v produktech výše zmíněných firem, ale primárně v technologiích, které jsou široce používané na Internetu (PHP, Python, OpenSSL, Apache, Nginx, …). Pěkný projekt.

Český Kriminalistický ústav si nechal patentovat nápad, který má zamezit skimmování. Jedná se o známku, která přelepuje magnetický proužek a skimmer při čtení této známky dostává nevalidní data.

O BadBIOSu stále nic moc. Na druhou stranu se však komunita zaměřuje na všemožné konference či jiné materiály věnující se této problematice, které by snad mohly před zveřejněním analýz vysvětlit/vyloučit fungování BadBIOSu.

Ve zkratce

Pro pobavení

Bezpečnost dnes může dělat očividně naprosto kdokoliv. Hlavně nás pobavil tento pan Ing. Jsem Bezpečák (MBA)

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme

Našli jste v článku chybu?

18. 11. 2013 9:01

Hloupý Nemouš (neregistrovaný)

To by se taky mohlo objevit v sámošce: Vážení zákazníci, pokud opravdu nechcete něco koupit, tak nám sem nechoďte. Pokud nechcete nic koupit, tak nevydýchávejte vzduch naším jiným zákazníkům, kteří rádi opravdu nakupují. Vaše ochranka.

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

DigiZone.cz: SES zajistí HD pro M7 Group

SES zajistí HD pro M7 Group

120na80.cz: Boreliózu nelze žádným testem prokázat

Boreliózu nelze žádným testem prokázat

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

Lupa.cz: Obchod budoucnosti je bez front, košíků i pokladen

Obchod budoucnosti je bez front, košíků i pokladen

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: Levný tarif pro Brno nebude, je to kartel

Levný tarif pro Brno nebude, je to kartel

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: Sat novinky: slovenská TV8 HD i ruský NTV Mir

Sat novinky: slovenská TV8 HD i ruský NTV Mir

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Exekuční poradna: ptejte se online

Exekuční poradna: ptejte se online