Hlavní navigace

Postřehy z bezpečnosti: Lojax na konferenci Chaos Computer Club

CSIRT.CZ

V prvním letošním díle Postřehů se podíváme na informace k rootkitu Lojax prezentované na akci Chaos Communication Congress, na trable reCAPTCHA, projekt FOSSA a také na každoroční zprávu Avastu.

Doba čtení: 4 minuty

Sdílet

Stejně jako každý rok, i na konci roku 2018 proběhla v Německu oblíbená konference Chaos Communication Congress. I tento ročník měl skutečně dlouhý seznam přednášek. Všechna videa z akce najdete na media.ccc.de.

Během konference byl mimo jiné zveřejněn popis, jak Lojax infikuje UEFI a dokáže se skrývat před odhalením. Lojax, údajně vyvinutý skupinou Fancy Bear, je vlastně modifikovanou verzí Lojack, což je nástroj proti zcizení notebooků. Po aktivaci malware odstraní ochranu proti zápisu zneužívající známou race-condition chybu v řadiči flash paměti. Zápis na flash paměť je umožněn až při dalším restartu, kdy se do UEFI firmware přepíše celý rootkit. V tom stádiu již pomůže jen kompletní přepsání flash paměti základní desky.

Uživatel má naštěstí několik způsobů, jak se bránit. Jedním z nich je využití Secure Boot. Ten kryptograficky zajišťuje konzistenci UEFI. Už jenom jeho přítomnost způsobí, že Lojax se o instalaci ani nepokusí. A pak je tu samozřejmě druhá možnost neotevírat přílohy e-mailu v účtu s administrátorským oprávněním.

Naše postřehy

Jistě každý znáte bezpečnostní prvek reCAPTCHA, který chrání weby před automatizovaným vyplňováním odesílacích formulářů či automatizovaným procházením stránek. Již v roce 2017 se povedlo reCAPTCHU od Googlu obejít funkcí unCaptcha. Netrvalo dlouho a Google vydal bezpečnostní aktualizace, aby zabránil blokování jejich funkce. Nyní po několika modifikacích je unCaptcha opět funkční, a to i přes to, že reCAPTCHA od Googlu má za sebou bezpečnostní aktualizace. UnCaptcha je schopná překonat zvukové zabezpečení, kdy si zvukovou stopu nejdříve stáhne a pak ji rozdělí na jednotlivé bloky, které analyzuje a následně automaticky vyplní políčko odpovědi.

V rámci projektu Free and Open Source Software Audit (FOSSA) pod záštitou Evropské komise bylo na letošní rok vypsáno přes 850 000 eur na odměny v rámci Bug Bounty programu na platformách HackerOne a Intigriti. Zaměří se celkem na 14 open-source projektů (Filezilla, Apache Kafka, Apache Tomcat, Notepad++, PuTTY, VLC, FLUX TL, KeePass, 7-Zip, Digital Signature Services (DSS), Drupal, glibc, PHP Symfony, WSO2, and midPoint), které tak zájemci mohou podrobit bezpečnostnímu testování a za případné nálezy si odnést odměnu. Za projektem FOSSA stojí Julia Reda z německé Pirátské strany a Max Anderson ze švédské Strany zelených.

Organizace USB-IF (USB Implementers Forum) ve středu oznámila spuštění nového projektu specifikace pro autentizaci USB-C zařízení, které by mělo ochránit před nestandardními a potenciálně škodlivými zařízeními, nabíječkami či kabely. Autentizace by měla proběhnout kryptografickým certifikátem a to buď po napájecí nebo datové lince a měla by proběhnout ještě před jakýmkoliv přenosem dat či nabíjením. Výrobci by tak mohli své produkty ochránit před přepětím či škodlivým kódem při připojení k nedůvěryhodnému zařízení. Otázkou však je, zdali nebude tato technologie zneužívána výrobci k vynucování nákupu pouze svých produktů.

Před lety se řešívalo, jak mohou operátoři zvládnout takový nápor SMSek na Štědrý večer a Nový rok. Ne každého by ale napadlo, že stejný problém musí řešit i ostatní společnosti zajišťující komunikaci, např. Facebook. Inženýři Isaac Ahdout a Thomas Georgiou popisují, jak malý tým techniků sedí v New Yorku v kanceláři a řeší Silvestr po celém světě. Situaci, kdy každou hodinu, jakmile nastala půlnoc v časovém pásmu, a nezanedbatelná část z 1 300 milionů uživatelů vyslala hned po půlnoci zprávu svým online kontaktům, přirovnával k požáru, se kterým se musí vyrovnat. Messenger navíc nepředává zprávu prostým doručením od člověka k člověku, ale u každé sleduje různé stavy: „posláno“, „doručeno“, „přečteno“. A to jsme pominuli obrázky a novoroční fotky. Minulý rok se například stalo, že jedno datacentrum nezvládlo zátěž a technici přesměrovávali provoz jinam. Výpadek si nemohou dovolit: jakmile by se systém “zakuckal”, objem nedoručených zpráv by začal obludně narůstat, jak by lidé začali klikat na objevivší se text „zkusit poslat znovu“. Aby si ulehčili pro případ podobné situace, vytvořili například systém Iris – frontu, kterou zprávy projdou, než jsou skutečně zapsány na server. V případě vysoké zátěže Iris může zahodit některé zprávy, zvlášť ty, které jsou generovány automaticky (doručenky), aby prioritizovala texty, které vyťukali sami uživatelé.

CIF-tip-bezpecnost

Antivirová společnost Avast zveřejnila každoroční zprávu v níž bezpečnostní experti z Threat Labs popisují bezpečnostní trendy a očekávaný vývoj kybernetických hrozeb, kterým se bude čelit v roce 2019. Mezi klíčové aktivity prý bude patřit například: útoky řízené umělou inteligencí (AI), sofistikovanější IoT hrozby, pokročilejší útoky na routery, vývoj mobilních hrozeb.

Ve zkratce

Pro pobavení


Zdroj: twitter.com/xme

The magic of Christmas…

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…