Hlavní navigace

Postřehy z bezpečnosti: Kazachstán 1984

CSIRT.CZ

Kazašský celostátní útok Man-in-the-middle, smutný osud domény .bit, Windows 0day zranitelnost nalezená Esetem, spyware „Zlý Gnome“ a mnoho dalšího v nejnovějším vydání pondělního bezpečnostního souhrnu.

Doba čtení: 5 minut

Sdílet

Kazachstán 1984

Počínaje 17. červencem jsou v Kazachstánu poskytovatelé internetového připojení nuceni zachytávat veškerý HTTPS přenos. Uživatelé jsou tak přesměrováni na stránku s instrukcemi k instalaci vládou vydaného kořenového certifikátu. Certifikát umožní vládním institucím dešifrovat uživatelský provoz, analyzovat a následně opět zašifrovat a odeslat cílovému serveru. Podle oficiálního vyjádření kazašského Ministerstva digitálního rozvoje se opatření má týkat pouze uživatelů hlavního města Nur-Sultan (původně Astana, město změnilo název v březnu letošního roku) a má sloužit ke zvýšení ochrany občanů, vládních institucí a soukromých podniků před hackerskými útoky, internetovými podvody a dalšími kybernetickými hrozbami. Nicméně uživatelé z celého Kazachstánu hlásí, že jejich připojení k Internetu je blokováno, dokud nenainstalují vládní certifikát. Někteří uživatelé dostali také SMS ohledně instalace vládního certifikátu na chytrých telefonech.

Nutno zmínit, že v prosinci 2015 se o stejné opatření kazašská vláda již pokusila a neuspěla po žalobě od mnoha různých organizací, které se obávaly, že by došlo k oslabení bezpečnosti veškerého provozu z této země. Vláda tehdy také žádala, aby byl vládní certifikát součástí výchozí instalace prohlížeče Firefox, což však Mozilla odmítla.


OpenNIC zařízl .bit doménu kvůli malwaru

Alternativní DNS systém provozovaný organizací OpenNIC vyřazuje .bit doménu ze svého provozu. OpenNIC provozuje alternativní top level domény jako například .cyb, .pirate, .bbs a další. Protože se jedná o největší alternativu ke standardnímu DNS, podporuje (a překládá) také domény jiných projektů jako například New Nations pro “nově vznikající státy”. Jedním z těchto dalších projektů je také doména .bit, která je postavena na blockchainu a její registrace probíhá skrze kryptoměnu Namecoin. Právě tato decentralizovaná povaha DNS záznamů je lákadlem pro zneužití domény .bit pro malware či jinou nelegální činnost, což také vedlo k tomu, že bezpečnostní pracovníci pro jistotu blacklistovali všechny OpenNIC servery. Z těchto a dalších důvodů se tak OpenNIC rozhodl tuto doménu vyřadit.

Eset objevil zneužívaný 0day ve Windows

Výzkumný tým společnosti Eset odhalil a analyzoval tzv. zero day exploit zneužívaný pro vysoce cílené útoky, které byly zaměřené především na země východní Evropy. Útočníci zneužili chybu v ovladači jádra win32k.sys k získání systémových oprávnění. Eset okamžitě informoval bezpečnostní centrum společnosti Microsoft, které již vydalo aktualizaci systému s opravou. „Podstatou tohoto incidentu je skutečnost, že spuštěním běžné aplikace na starším systému Windows bez patřičné záplaty win32k.sys je útočník schopen získat nejvyšší systémová oprávnění a ovládnout tak kompletně napadené zařízení“, říká Miroslav Dvořák, technický ředitel české pobočky společnosti Eset.

Rok s GDPR

Možná si ještě vzpomenete na všechny ty žádosti o souhlas se zasíláním e-mailů, které jste dostali loni na jaře, než 25. května 2018 nabylo účinnosti Všeobecné nařízení o ochraně osobních údajů (GDPR). Od té doby jakoby toto téma upadlo v zapomnění. Stále sice přetrvává určitá nejistota ohledně právních dopadů nařízení GDPR, nicméně společnosti již této problematice nevěnují moc pozornosti a spíše předpokládají, že na ně nebude mít dopad.

Tento laxní přístup se však nevyplácí, protože během prvního roku účinnosti GDPR byly vyměřeny pokuty v celkové výši 56 milionů eur a provedeno více než 200 000 šetření, z nichž 64 000 prokázalo porušení tohoto nařízení. Zdaleka nejvyšší pokutu, a to rovných 50 milionů eur, udělila francouzská Národní komise pro ochranu údajů (CNIL) společnosti Google.

Spyware „Zlý Gnome“

Chystá se linuxový spyware EvilGnome. Výzkumníci zachytili nedokonalou testovací verzi malwaru, který zneužívá možnosti rozšíření shellu Gnome.

Máte-li na svém linuxu spustitelný soubor na cestě ~/.cache/gnome-software/gnome-shell-extensions/gnome-shell-ext, zřejmě patříte k nedobrovolným testerům. Testuje se pět modulů, více či méně doprogramovaných – nahrávání zvuku, sejmutí obrazovky, práci se soubory, stažení nových spustitelných souborů a keylogging.

Žádný antivirus jej k dnešnímu dni nedetekuje, alespoň dle virustotal.com, kde si malware na nedetekovatelnost zřejmě testoval sám autor, kterým může být ruská skupina Gamaredon Hacking Group, operující od roku 2013.

Díra v NAS značky Lenovo

Jestli stále máte některý starší NAS od Lenovo, zbystřete. Minulé úterý vyšla najevo zranitelnost, kterou mají některá již nepodporovaná datová úložiště. Pátrání v Shodanu odhalilo na pět tisíc zařízení, která nabízejí internetu tři miliony souborů, číslo zneužitelných zařízení je však mnohem vyšší. Pokud se vám útočník dostane do sítě, snadno z přístroje zcizí všechna data bez jakéhokoliv ověření.

Útok závodem v zápisu

Zajímavý útok na úložiště Androidu ukázal Symantec. Pokud nekalá aplikace získá práva k zápisu na externí úložiště, může přepsat soubor, který uživatel přijímá či odesílá přes WhatsApp a Telegram. Těsně mezi okamžikem, než se soubor zapíše na disk a než si ho komunikátor načte, může být změněn – obrázek může být nahrazen jiným nebo číslo bankovního účtu na faktuře může patřit útočníkovi. Uživatel v dobré víře, že soubor právě obdržel přes WhatsApp, tak pošle peníze útočníkovi.

Opatrnost s FaceAppkou

Možná jste zaregistrovali boom aplikace FaceApp, která (mimo jiné) umí zestárnout tvář uživatele na fotce. Bezpečnostní odborníci však nabádají k obezřetnosti při používání aplikace z důvodů ochrany soukromí. Každá uživatelem nahraná fotografie je totiž ukládána do cloudu, kde jsou teprve upravena a odeslána zpět majiteli. Zajímavý článek rozebírající licenční podmínky aplikace vyšel na Živě.cz.

Dle rozhovoru s CEO společnosti FaceApp Jaroslavem Goncharovem je však prý většina fotek ze serveru smazána do 48 hodin a na podpoře je možné žádat o smazání všech uživatelských dat skrze Settings → Support → Report a bug, kde do předmětu uvedete slovo „privacy“. Na lepším UI pro tuto funkcionalitu se prý pracuje.

Dále uvádí, že byť je většina vývojového týmu z Ruska, tak samotná uživatelská data nejsou uložena v Rusku. Na server se také prý nahrává pouze zpracovávaná fotografie a ne všechny fotografie ze zařízení. I to je však na místě připomenout lidem, kteří by si chtěli upravit nějakou značně soukromou fotografii. Aneb co Internet schvátí, to už nenavrátí…

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…