Hlavní navigace

Postřehy z bezpečnosti: malware nalezen v digitálním videorekordéru

Martin Čmelík

Pravidelná pondělní sonda do světa bezpečnosti. Dnes nás čeká zákeřný malware ukrytý ve videorekordéru určenému pro záznam z bezpečnostních kamer, novinky v připravovaném Internet Exploreru 12, možnost ovlivňování aplikace Waze a bezpečnostní chyba v Xbox Live, kterou dokázalo objevit a zneužít pětileté dítě.

DVR je zařízení pro nahrávání videa a většinou se používá k záznamu obrazu z bezpečnostních kamer. Johannes Ullrich z institutu SANS objevil v jednom takovém (Hikvision DVR) malware, který spustil program pro mining bitcoinů a pokoušel se nalézt v síti Synology zařízení poslouchající na portu 5000. Pokud takové zařízení nalezl, tak zjišťoval verzi firmwaru ( GET /webman/info.cgi?host= HTTP/1.0). Zřejmě proto, aby jeho další verze využila nedávno publikovanou a již opravenou bezpečnostní chybu. Zjištěné údaje poslal na server s IP adresou 162.219.57.8. Jádro malwaru bylo uloženo v souboru /dev/cmd.so a v adresáři /dev měl pár dalších podpůrných programů. Zajímavostí je, že malware běžel na ARM platformě.

Naše postřehy

Internet Explorer 12, který by měl vyjít tento rok, bude podporovat protokol HSTS (HTTPS Strict Transport Protocol). Tento protokol vynucuje používání HTTPS, i když některé součásti webu odkazují na HTTP, nebo používají nešifrované spojení pro komunikaci s ostatními součástmi. Některé služby, jako například Dropbox, Foursquare a Twitter, tento protokol již podporují a Facebook, LinkedIn, Tumblr a Yahoo podporu hodlají brzy nasadit. Podobného chování u webů, které HSTS nepodporují, můžete dosáhnout pomocí pluginu HTTPSEverywhere. Nutno podotknout, že Firefox a Chrome tento protokol podporují od roku 2011.

Dva studenti Izraelské univerzity, Shir Yadid a Meital Ben-Sinai, oklamali populární aplikaci Waze, kterou koupil Google minulý rok za jednu miliardu dolarů. Studenti dokázali simulovat dopravní zácpy na silnicích pomocí vlastního programu, který vytvořil stovky Waze uživatelů a pomocí falešných GPS souřadnic ohlašoval problémy na komunikacích.

„Tohle dokáže nabourat i dítě,“ říká se u některých systémů. Konkrétně obejít heslo k XboxLive účtu dokázalo pětileté dítě ze SanDiega. Rodičům bylo divné, jak mohl malý Kristoffer hrát pod účtem svého otce, a pak zjistili, že k obejití hesla stačí zadat do pole mezeru. Multimiliardová společnost dala Kristofferovi účet na rok zdarma a 50 dolarů. Ne, nejedná se o vtip.

Výzkumníci společnosti Incapsula objevili aplikační DDoS útok na nejmenovaný web hostující video obsah, který je však mezi padesáti nejnavštěvovanějšími weby světa. Tento útok vyústil ve 20 milionů GET požadavků od 22 tisíc uživatelů. Pomocí perzistentní XSS chyby mohli útočníci vložit do profilu uživatele webu javascript (do <img> tagu), který se pak spustil všem uživatelům, kterým se profilová fotografie zobrazila. Pod takto napadeným profilem poté rozeslali stovky komentářů k populárním videím a všem obětem, kterým se zobrazila tato fotografie, se spustil v prohlížeči script, který kontaktoval C&C server a začal útočit na server. Jednalo se sice jen o jeden GET požadavek za vteřinu, ten byl však znásoben tisíci uživateli. Tento útok se navíc špatně blokuje, protože nastavit nižší limit než jednotky požadavků za vteřinu je u dnešních webů nereálné.

Společnost Kaspersky spustila webovou aplikaci Cybermap (Cyberthreat real-time map) zobrazující interaktivní mapu světa jak z hollywoodských filmů, s aktuálně probíhajícími útoky rozlišenými barevně podle jejich typu. Česká republika je podle míry infekce aktuálně na 98. místě.

Jedním z prvních Android Bootkitů byl malware známý jako Oldboot.A, který infikoval na půl milionu zařízení. Výzkumníci ze společnosti „360 Mobile Security“ našli jeho novou variantu, označenou jako Oldboot.B. Nová verze používá pokročilé metody skrývání v systému proti antivirovým programům, malware analyzérům a dalším forenzním utilitám. C&C server je na adrese az.o65.org (61.160.248.67), tak zkuste projít logy firewallů, či proxy serverů.

Podle zprávy společnosti Nominum má až 24 milionů domácích routerů povolený DNS proxying a útočníci takto zneužívají zařízení k masivním amplifikačním DDoS útokům. Jen v únoru tohoto roku bylo k útokům zneužito 5,3 milionu těchto zařízení.

Danor Cohen, izraelský výzkumník ze společnosti An7i Security, objevil chybu ve známém programu WinRAR umožňující oklamat uživatele, který nevědomky spustí program/malware, tvářící se například jako obrázek, textový soubor nebo PDF. Postižené jsou všechny verze. Problémem je, že WinRAR přidává do komprimovaného souboru parametr názvu souboru a názvu souboru po dekompresi. Tím je tak možné při výpisu obsahu souboru zobrazit soubory tvářící se jako cokoliv co si budete přát, ale půjde o malware. Tato chyba se podle zprávy společnosti IntelCrawler začala již používat a útočníci cílí na přední světové společnosti, vojenský sektor a ambasády. V komprimovaném souboru byla nalezena varianta trojského koně Zeus a C&C server běží na adrese 185.9.159.211.

O zadních vrátkách v knihovně BSafe společnosti RSA, za které NSA zaplatila 10 milionů, dolarů jsme již psali. Šlo o systém generování náhodných čísel u Dual EC DRBG, který není příliš náhodný a je tak možné relativně rychle a přesně odhadnout tato “náhodná čísla” použitá pro šifrování a tím je tak dešifrovat. Výzkumníci z univerzity ve Winsconsinu však objevili zřejmě další. Jedná se o rozšíření s názvem “Extended Random” pro bezpečné webové aplikace. Namísto rozšíření či zvýšení bezpečnosti je při použití tohoto modulu zjištění náhodných dat až 65000× rychlejší. No nekupte to.

Díky špatné politice hesel a absenci zamykání účtu je možné dostat se pomocí aplikace do systému high-end elektromobilu TeslaS a odemknout si tak dveře či trasovat uživatele.

Ve zkratce

Nové vládní nařízení vyžaduje ochranu a monitorování DoS útoků u finančních institucí

Facebook Bug Bounty program vyplatil za rok 2013 na odměnách 1,5 milionu dolarů

Aktualizace prohlížeče Safari opravuje desítky bezpečnostních chyb

Pro pobavení

Star Wars v ASCII artu? Pořád se najdou lidé, co to neznají.

Připravte si popcorn a zkuste se připojit na: telnet towel.blinkenlights.nl

Pokud byste si nemohli vzpomenout na epizody, zkuste traceroute na IP adresu 216.81.59.173.

Našli jste v článku chybu?

11. 4. 2014 20:25

ebik (neregistrovaný)

A nemohlo tam náhodou dojít i k jiným neporovnatelným hodnotám, než je NULL?
V plovoucí čárce se občas používá NaN...


11. 4. 2014 10:47

lucky (neregistrovaný)

Nechapam preco by mal niekto volat funkciu trim na heslo. Co ak chcem pouzit medzeru ako specialny znak?

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

DigiZone.cz: Flix TV: dva set-top boxy za korunu

Flix TV: dva set-top boxy za korunu

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí