Hlavní navigace

Postřehy z bezpečnosti: kritická chyba, která vás může stát i život

Martin Čmelík

V tomto díle Postřehů se zaměříme na chybu automobilů, pomocí které je možné vzdáleně ovládat auto, na síť podobnou Toru schopnou přenášet data rychlostí 93Gbps, RCSAndroid malware od Hacking Teamu, chybu OpenSSH umožnující slovníkový útok, eskalaci práv na systému OS X a spoustu dalšího.

Čekali jsme na to trochu déle, než jsem očekával, ale hlavně proto, že Charlie Miller (Twitter) a Chris Valasek (IOActive) čekali na vyladění 0day útoku, kterým je možné na dálku ovládat minimálně 1,4 milionů automobilů. Zdaleka nejde jen o čtení údajů o automobilu, ale tímto útokem je možné na dálku ovládat i ostatní komponenty jako např. řízení, rychlost, uzamčení dveří, navigaci, klimatizaci a v tom nejhorším scénáři deaktivovat brzdy. Zrovna odstavení brzd je něco, co určitě automobilka potřebuje na dálku ovládat (!!). Na podobné téma jsme se již bavili v jednom z předchozích PzB, kdy i uživatelé sami mohou připojením OBD-2 adaptéru ohrozit svou bezpečnost. To vše většinou jen kvůli pár grafům s údaji o automobilu.

OBD-2 se hodí servisu, ale přímý přístup k ovládání vozidla přes Internet je neuvěřitelná hloupost.

Ovládnutý a nabouraný Jeep Cherokee po vzdáleném vyřazení brzd

Útok, který si redaktor serveru Wired zkusil na vlastní kůži během jízdy po dálnici,  je aplikovatelný minimálně na čtrnáct modelů výrobce Fiat Chrysler, které jsou připojeny k Internetu pomocí mobilních sítí. Samozřejmě existuje mnohem víc automobilek, které své auto připojují do sítě a i ty mohou, a s největší pravděpodobností budou, obsahovat podobné chyby. Všechny tyto vozy se budou muset svolat k aktualizaci firmwaru. Nepředpokládám, že se vše podaří vyřešit napoprvé, takže to možná bude na týdenní bázi jako Patch Tuesday. U modelů, kde to bylo možné, dokonce Fiat Chrysler aktualizoval firmware automobilů over-the-air. Samozřejmě že se časem bude každé auto aktualizovat stejným připojením do Internetu, kterým je možné ho ovládat (over-the-air), ale doufejme, že se tak nebude dít, až pojedete trochu později z práce po dálnici, protože si chytrý výrobce řekl, že nejlepší časem pro ověření aktualizací bude půlnoc.

Pokud vás zajímají další informace o hackování automobilů, tak doporučuji talk s Chrisem Valasekem v pořadu Digital Underground.

Já osobně se vyhýbám čemukoliv a především IoT zařízením s připojením na Internet. Za prvé je ovládat přes Internet nepotřebuji (ne, opravdu), za druhé i pokud by šlo pouze o lokální ovládání (v dosahu WiFi sítě), tak je naprosto odříznu od všech ostatních zařízení a omezil bych nejen přístup na zařízení, ale také ze zařízení do ostatních sítí. Uvědomte si, že váš účet někde na serveru výrobce, kde máte zaregistrovaná všechna svá zařízení, je jen falešný pocit bezpečí. Pokud bude daný web, nebo celý server, náchylný k ostatním útokům, tak vás váš účet před ničím neochrání a útočník s nimi bude smět provádět všechno to, co mu výrobce umožnil.

Jednou z dalších zpráv o testech bezpečnosti podobných zařízení je zpráva HP, kdy testovali deset nejprodávanějších chytrých hodinek a ve zprávě zveřejnili, k jakým všem útokům jsou náchylné. Žádné z testovaných hodinek neprošly úspěšně testem.

Naše postřehy

HORNET (High-speed Onion Routing at the NETwork layer) si představte jako síť velmi podobnou Toru. Hlavním rozdílem z pohledu návrhu je routing, rozdílný přístup k šifrování, absence potřeby držet stavy spojení a vytváření cest za použití AHDR (Anonymous Header). Hlavním viditelným rozdílem oproti Toru pak je, že používání sítě je mnohem méně náročné na klienta a je možné dosáhnout (teoretických) rychlostí až 93 Gb/s.

Zajímavé výsledky přinesla studie, na které pracovali především zaměstnanci Googlu, ve které je znázorněno, jaké jsou rozdíly v chápání priorit zásad počítačové bezpečnosti normálních uživatelů a bezpečnostních expertů. Níže můžete vidět jednoduchou srovnávací tabulku. Jen upřesním hned tu první položku. Experti většinou nepoužívají Windows a vědí, že antivirové programy dokáží odhalit jen cca 45 % malwaru. Proto je pro ně důležitější aktualizace všech aplikací než samotný antivirový program. Dle mého názoru je nejlepší dodržovat obojí: mít antivirus v aktualizovaném prostředí.

RCSAndroid (Remote Control System Android) je další nástroj společnosti Hacking Team, který se podařilo nalézt ve firemních datech, která se dostala na Internet. Podle společnosti Trend Micro je to jeden z nejpropracovanějších malwarů na Android. Co tedy umí: print screeny obrazovky, sběr všech vašich hesel do aplikací (Facebook, Twitter, WhatsApp, Google, Skype, LinkedIn, …), webů, WiFi sítí, sběr všech SMS, MMS a emailů, odposlech komunikace v okolí telefonu a telefonátů, pořizování fotek, ukládání GPS polohy a spoustu dalších krásných věcí. Do zařízení se malware nainstaloval většinou pomocí SMS či emailu, kdy navedli oběť na URL, kde již čekal exploit schopný využít několik chyb prohlížeče Android. To vše je včetně zdrojových kódů ke stažení. Třešnička na dortu, v konfiguraci klienta bylo objeveno české mobilní číslo, které umožňovalo vzdálenou aktivaci agenta pomocí SMS.

OpenSSH obsahuje chybu umožňující efektivní slovníkový útok, kdy je možné vyzkoušet i desítky tisíc hesel během standardních dvou minut pro Login Grace Time. To vše i se základním nastavením, kdy vás SSH odpojí po zadání třech chybných pokusů. Vlastně tím nastavení hodnoty MaxAuthTries úplně obejdete. K úspěšnému útoku vám stačí mít povolenou keyboard-interactive autentizaci (což je standardní nastavení) a kódem níže můžete otestovat deset tisíc hesel najednou, protože klient řekne serveru, že má deset tisíc různých klávesnic. Jediné, co klienta tedy odpojí, je vypršení Login Grace Time, což bývá nastaveno na 120 vteřin. Ochrání vás například užitečná aplikace Fail2Ban, případně musíte vypnout keyboard-interactive autentizaci. Zde je PoC:

ssh -lusername -oKbdInteractiveDevices=`perl -e 'print "pam," x 10000'` targethost

Kritická chyba v OS X umožňuje úplné převzetí kontroly nad systémem pokud máte možnost spuštění kódu. Beta verze OS X s názvem „El Capitan“ chybou netrpí. Problém je v nové systémové proměnné DYLD_PRINT_TO_FILE umožňující logování chybových hlášek do souboru. Bohužel však na proměnnou nebyly aplikované dodatečné bezpečnostní omezení a může ji tak používat i SUID aplikace. Zde je kód, pomocí kterého se stanete rootem:

echo 'echo "$(whoami) ALL=(ALL) NOPASSWD:ALL" >&3' | DYLD_PRINT_TO_FILE=/etc/sudoers newgrp; sudo -s

Pěkné. V případě všech verzí Windows stačí jen navštívit web, nebo otevřít dokument (OpenType Font Driver Vulnerability – CVE-2015–2426, CVSS 9.3). Jen to už nikoho moc nepřekvapí.

Čtyři 0day exploity byly objeveny v rámci Zero-Day Initiative (ZDI) pro mobilní verzi Internet Explorer běžící na Windows Phone. Všechny jsou vzdáleně zneužitelné a umožňují spuštění škodlivého kódu.

Ve zkratce

Pro pobavení

S Flashem se už nikdo nechce kamarádit, stejně jako s Internet Explorerem. Vzhledem ke všem bezpečnostním problémům se není čemu divit.

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

27. 7. 2015 7:47

_pepak (neregistrovaný)

Dle meho nazoru hrube selhaly urady, ktere auta pro provoz na silnicich schvaluji. [...] Takovyto sunt vubec nemel byt pro provoz povolen [...]. Urad je defektni, nezkontroloval, zda je auto bezpecne.

To je hodně unfair argumentace. Jak to podle vás měl příslušný úřad udělat? Potvrdit bezpečnost nelze, lze tak nanejvýš konstatovat, že žádný bezpečnostní problém nebyl nalezen. Souhlasím, že propojit věřejnou a privátní síť napřímo a bez jakéhokoliv zabezpečení je blbost, kterou si výrobce auta m…

27. 7. 2015 2:22

Clock (neregistrovaný)

Dle meho nazoru je toto auto ocividne vadne, nespolehlive a hrube nebezpecne. Nekdy misto na volant a brzdy reaguje na irelevantni radiove vlny, co letaji vzduchem.

Nejhorsi je, ze takovyto nerizeny krachujici vrak muze zasahnout jine ucastniky silnicniho provozu, pozabijet celou osadku vozu v protismeru, pokosit chodce na chodniku atd.

Dle meho nazoru hrube selhaly urady, ktere auta pro provoz na silnicich schvaluji (nejen ty americke, ale i ceske, svycarske atd.). Takovyto sunt vubec nemel b…

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Měšec.cz: Sleva na dítě a manželku pro OSVČ je zpět. Ale..

Sleva na dítě a manželku pro OSVČ je zpět. Ale..

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

DigiZone.cz: Sat novinky: slovenská TV8 HD i ruský NTV Mir

Sat novinky: slovenská TV8 HD i ruský NTV Mir

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy