Hlavní navigace

Postřehy z bezpečnosti: kritická chyba SChannel postihující Windows

Martin Čmelík 17. 11. 2014

V novém díle Postřehů se podíváme na kritickou chybu Windows SSL/TLS knihovny umožňující vzdálené spuštění kódu. Dále pak na APT s názvem DarkHotel, teorii, podle které je možné identifikovat 81 % Tor uživatelů, operaci Onymous, při které FBI znepřístupnila přes 400 webů Tor sítě a spoustu dalšího.

Tento rok byl bohatý na útoky vůči SSL/TLS implementacím. Pokud to shrneme, tak šlo o Apple Secure Transport, GNUTLS, OpenSSL, Mozilla NSS a nyní nově Microsoft SChannel.

Schannel je SSL/TLS knihovna systému Windows, stejně jako je např. OpenSSL pro Linux. Chyba schannel existuje v téměř všech používaných verzích Windows, a to i včetně serverů. Je díky ní možné vzdálené spuštění kódu, pokud útočník pošle speciálně upravený paket v rámci SSL/TLS komunikace. Detaily útoku schválně nejsou zveřejněny, ale útočníci reverzním inženýrstvím hotfixu budou vědět, v čem tkví problém, a dle mého odhadu do několika dnů bude existovat funkční exploit.

Vzhledem k tomu, že schannel se používá téměř ke všem systémovým operacím souvisejícím se šifrováním, tak je dost možné, že nejvíce ohrožené budou v korporátní síti doménové kontrolery.

V radiích si o této chybě asi nic neposlechnete, jak tomu bylo v případě chyb HeartBleed a ShellShock, a tím pádem se k nim ani nebude vyjadřovat “expert” z Microsoftu, protože podobně kritické chyby jsou na produkty Microsoftu tak běžné, že to již velkou pozornost nevzbudí.

Naše postřehy

DarkHotel je nově objevený malware/APT kombinující generování certifikátů, pokročilé keyloggery a 0day exploity. Zjistilo se, že existuje již sedm let a vyskytuje se v hotelových sítích, aby tak mohl snáze útočit na vysoké manažery velkých firem. Vše začíná připojením oběti na hotelovou WiFi a pomocí chyb updatovacích programů, podvrhoval, že existuje nová verze SW, který máte nainstalován a že můžete stáhnout aktualizaci. Stáhnete (a spustíte tím) však malware. Většina kódu je podepsaná kořenovou autoritou, které váš počítač důvěřuje (např. GTE CyberTrust). Je pravděpodobné, že se autoři faktorizací dostali k privátním klíčům, který měl velikost jen 512 bitů. Dále je známé, že malware byl obsahem několika spear-phishing kampaní a bittorentů. Japonsko, Čína, Rusko, Thajsko a Korea jsou země, na které se malware/APT zaměřuje.

Malware známý jako BASHLITE byl poprvé detekovaný společností Trend Micro chvíli po oznámení existence chyby Shellshock. Nová verze tohoto malwaru, který se používá primárně k DDoS útokům, umí po rozpoznání systémů, kde je instalovaný BusyBox a pomocí velmi limitovaného password listu se pokouší systém infikovat. Busybox je ve zkratce jeden spustitelný soubor, který dokáže nahradit většinu běžně používaných utilit na Linuxu.

81% Tor klientů je možné identifikovat analýzou síťové komunikace, nebo spíše jejími statistickými údaji. Stačí k tomu nemalá věc, a to přístup k Netflow datům mezi klientem a prvním Tor nodem a poté mezi Exit nodem a cílovým serverem. Opravdoví paranoici stejně vstupují do Tor sítě skrz VPN tunel na VPS za pár dolarů měsíčně, že?

Během operace Onymous FBI znepřístupnila přes 400 webů na Tor síti, včetně Silk Road 2.0. V této akci bylo zapojeno přes 17 zemí U.S. a 16 zemí EU (včetně ČR). Zatčeno bylo 17 lidí, bitcoiny v hodnotě jednoho milionu dolarů, 180 tisíc eur, drogy, zlato a stříbro. Jak se agenti dostali k autoru první verze Silk Road, víme. Víceméně šlo o jeho vlastní chyby, ale to, jak FBI identifikovala autory Silk Road 2.0 a všechny servery, na kterých byly zrušené weby provozovány, zatím známé není.

Před několika týdny Wired a Forbes upozornily, že dva největší mobilní operátoři v U.S. (Verizon a AT&T) přidávají vlastní identifikátor do síťové komunikace, což některé společnosti používají k cílené reklamě. Výmluva na “reklamu” nám všeobecně stále častěji nabourává soukromí, co říkáte? Jediná bezpečná cesta, jak používat Internet na mobilu, je opět vynucené VPN spojení na server v Internetu. Tím pádem operátor nemá šanci ničím obohatit vaše data a navíc některé služby umožňují i vybrat VPN/proxy server podle jeho geografického umístění, či mazat údaje, které by vás mohly zpětně identifikovat.

Někteří američtí a thajští ISP manipulují síťovým provozem tak, aby nebylo možné odeslat email šifrovaně. Jednoduše odfiltrují podporu STARTTLS z odpovědi mail serveru, případně pošlou namísto serveru chybový kód, že STARTTLS není možné použít. Můžeme jen doufat, že EFF je stáhne z kůže.

Na soutěži Pwn2Own byly pokořeny iPhone 5S, Samsung Galaxy S5, LG Nexus 5, Windows Phone Lumia 1520 a Amazon Fire. Zajímavé je, že telefony s OS Android byly všechny pokořeny pomocí chyby v implementaci NFC, či bluetooth. Windows Phone pokořen nebyl (byl ovládnut prohlížeč, ne však celý systém), ale je dobré zmínit, že se o to pokoušeli pouze dva účastníci.

VirusTotal zohledňuje narůstající počet malwaru pro Linux a webový tool bude nyní poskytovat téměř podobně detailní informace pro ELF soubory, které ukazuje pro programy na platformu Windows.

Ve zkratce

Pro pobavení

Překladač má vždy pravdu!

Závěr

Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

17. 11. 2014 11:53

nobody (neregistrovaný)

ale Ondrasku... se prece zamysli nez placnes nejakou krav*vinu ... :)

kdyz byla chyba v openssl v linuxu ktera umoznovala ziskavat jen NAHODNE UTRZKY pameti, tak z toho byla medialni afera nabadajici pomalu k likvidace celeho toho linuxu...

kdyz je chyba v microsoft ssl, ktere umoznuje vzdalene PUSTIT KOD, tak je to v poradku a ceska media mlci a kdyz se nekdo dovoli v komentarich na to poukazat tak je "ohromte vtipny" ?

Ve windows ta chyba byla oficialne od server 2003, neoficialne od XP, mo…

17. 11. 2014 21:17

Jirka1 (neregistrovaný)

Zjevně si nepamatujete časy ČSSR, my jsme přece byli taky nejdemokratičtější a nejpokrokovější zemí. Žádná země o sobě netvrdí, že je diktatura, takže jak Rusko tak Čína o sobě zcela jistě prohlašují, že jsou pro lid tím nejlepším systémem na světě.
Pokud jde o to předstírání, tak předstírají zjevně natolik dobře proto, že naprostá většina lidí s nimi má i takovou zkušenost. Jistě, NSA i Mossad nejsou beránci, ale 99% lidí s nimi za celý život asi nebude mít žádnou vlastní zkušenost. Což se zde …

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Nestlé vyvinula nový typ „netloustnoucího“ cukru

Nestlé vyvinula nový typ „netloustnoucího“ cukru

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy