Hlavní navigace

Postřehy z bezpečnosti: když se zip rozjede

CESNET CERTS

Dnes si povíme něco o důvěřivém rozbalování archivů a o dešifrování sušenek, podíváme se na administrátorské schopnosti správců botnetů a také na bezpečnost prohlížečů. Naučíme se možná i lépe pracovat se soubory.

Doba čtení: 3 minuty

Když se zip rozjede

Zip Slip je koncepční chyba rozbalování (nejen) ZIP archivů. Špatně napsaná knihovna, která důkladně nekontroluje validitu cest, může být přinucena k přepsání zajímavých souborů mimo kořen rozbalovaného archivu. Stačí k tomu vhodně zkonstruovaný archiv (obvykle s cestou šplhající vysoko v hierarchii adresářů: ../../../../../../../../tmp/evil.sh). A tady všude se chyba vyskytovala nebo ještě vyskytuje.

Co o vás řeknou cookies?

Řada projektů používá cookies pro uložení zajímavějších věcí, než jen identifikátoru session. Dává to smysl, proč si s aplikačním stavem zabírat místo na serveru, když si ho můžeme odložit k uživateli. V Digital Interruption  za pomoci Shodanu předhodili hromadu cookies sušenkovému monstru. Následovala nepřekvapivá řádka slabých secretů, které bylo možné spojit s konkrétními organizacemi. Budiž ke cti výzkumníků, že to v řadě případů udělali, a postižené organizace informovali. Při analýzách našli i řadu natvrdo zadrátovaných secretů v kódu open-source projektů, následovalo také několik patchů.


Digital Interruption

Nejčastější „secrets“ v cookies

Ze světa botnetů

Malware Owari: i černokloboučníci by se měli vzdělávat

Ankit Anubhav z NewSky Security zkoumal spojení bota Owari k command & control serveru. Ukázalo se, že na serveru je nejen otevřený port 3306, kde ochotně odpovídá MySQL, ale že přihlášení je chráněno jménem a heslem, které by člověk zkusil zhruba na třetí pokus: root/root. Z tabulek Ankit vytáhl například hesla k botům (podobně slabá). U tohoto typu monetizace je bohužel životnost C&C serveru cca týden, takže velké pokoření celosvětového botnetu se nekoná, na druhou stranu jiný C&C server z podobného útoku vykazoval stejně slabé jméno a heslo, takže je šance, že provozovatelé těchto koupených botnetů budou ještě nějakou dobu překvapeni vyprázdněnými databázemi.

Operace Prowli: korunka ke korunce

Tým z Guardicore Labs rozkryl kampaň „Operation Prowli“, zneužívající cca čtyřicet tisíc napadených strojů k těžení Monera či k výdělečnému přesměrování provozu (jako například roi777). Worm r2r2 se šíří hlavně pomocí slovníkových útoků na SSH, C&C server je potom zkompromitovaná Joomla. 

Zabrušujeme do politiky

Evropská komise a článek 13

Již teď v červnu (20. či 21.) bude evropská komise rozhodovat o návrhu nového autorského zákona. Což je poměrně kontroverzní záležitost, zvláště požadavek na povinnou kontrolu uživatelského obsahu proti databázím chráněných děl či omezení možností volného užití (ovšem včetně odkazů), s očekávatelnými dopady na projekty typu Wikipedie. Viz také článek na webu EFF od Cory Doctorowa.

Americké volby a údaje o inzerentech

Washington má striktní zákon, který vyžaduje po reklamních společnostech zveřejnit detaily o zadavatelích politické reklamy během voleb. Po stížnostech občanů v tomto směru byla na Google a Facebook podána žaloba – podle všeho se touto povinností nijak nezabývali.

Otázka síťové neutrality v USA znovu otevřena

Kalifornský senát přijal návrh zákona pro obnovení síťové neutrality a jejích ochran, které byly poměrně nekompromisním způsobem zrušeny FCC v prosinci 2017. Jedná se o zakázání blokování či zpomalování konkrétních webových stránek či aplikací, omezování zákazníka ve výběru obsahu a řadu souvisejících praktik.

Obvyklí podezřelí

Opět se nám urodilo ve světě prohlížečů:

  • Na blogu Chrome se se objevilo oznámení o nové verzi se strašidelným upozorněním na chybu ve zpracování CSP hlaviček. Detaily ještě nebyly uvolněny, ale patche zuřivě záplatují jakékoliv výskyty CR a LF v CSP atributech, takže můžeme hádat nějakou formu injekce hlaviček.
  • Podobně na webu Mozilly se objevilo lakonické upozornění na potenciálně zneužitelné přetečení bufferu ve SVG/Skia rasterizeru Firefoxu.
  • Flash nám stále ještě, byť z posledních sil, dýše. Pozor proto na zero day exploit, Adobe vydalo záplatovanou verzi.

Pro poučení…

Files are hard, aneb pracovat se soubory tak, aby data zůstala konzistentní, není jednoduché ani pro tvůrce známých databází, ani pro tvůrce souborových systémů.

MIF18 tip v článku Steiner

… a pro pobavení

Vědecká publikace důkazu založeného na vlastní existenci.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET

Našli jste v článku chybu?