Hlavní navigace

Postřehy z bezpečnosti: malware s láskou od Lenova

Martin Čmelík 23. 2. 2015

Za právě uplynulý týden se toho událo opravdu dost. V nejnovějším díle Postřehů vám povíme více o malwaru předinstalovaném v noteboocích Lenovo, o tom jak NSA a GCHQ odcizily privátní klíče většiny SIM karet, o skupině, která odcizila přes miliardu dolarů ze stovky bank a mnoho dalšího.

Superfish je malware instalovaný společností Lenovo jako součást operačního systému Windows. Ačkoliv se začal instalovat již někdy v říjnu roku 2014, tak se informace o něm rozšířily až teď. Já osobně jsem o něm slyšel někdy v listopadu, kdy s ním měl osobní zkušenost můj kolega. Bohužel však si již nepamatoval název podvržené certifikační autority a na Internetu jsem tím pádem nic nenašel. Trvalo tedy přibližně pět měsíců, aby si tohoto malwaru někdo všiml a upozornil veřejnost, což je znepokojující.

Co tedy malware prováděl ve vašem počítači?

  • nainstaloval modul, který mohl odposlouchávat jakoukoliv komunikaci včetně HTTPS
  • k těmto účelům vám nainstaloval do systému podvržený certifikát kořenové autority, aby mohl nepozorovaně generovat HTTPS certifikát na jakýkoliv web, na který jste přistupovali
  • pokud jste tedy přistupovali na (pro příklad) www.gmail.com, tak dynamicky vygeneroval certifikát www.gmail.com a předal ho vašemu prohlížeči, který ho bez varování akceptoval a zobrazil webovou stránku
  • podvržená certifikační autorita měla schopnost i podepisovat jakékoliv aplikace, takže jste mohli bez povšimnutí instalovat aplikaci obsahující malware, případně stáhnout aktualizaci jiného programu, kam byl malware připojen
  • malware si nevybíral, u kterých webů certifikát podvrhne, prostě podvrhoval všechny (banky, vyhledávací služby, webmaily, sociální sítě, …)
  • stejně tak nezáleželo, jaký prohlížeč jste používali, podvrhoval HTTPS spojení všech běžně používaných

Aplikaci je možné odinstalovat ze systému standardním způsobem (název: Superfish Inc. VisualDiscovery), ale kořenové certifikáty v systému i tak zůstanou… Vzhledem k tomu, že heslo k autoritě je veřejně známé, tak raději dvakrát zkontrolujte, že jste správně odebrali i autoritu. Vystavujete se jinak riziku, že útočník použije stejnou autoritu při phishingové kampani. Produkt Superfish byl vyvinut společností Komodia. Na tuto společnost si dávejte také velký pozor.

Mimochodem jediný prohlížeč, který upozorní na nesrovnalost, i když je certifikát podepsaný „důvěryhodnou“ autoritou, je Chrome, který dělá dodatečné kontroly. Neodhalí všechny weby, ale služby Google ano. Mam to potvrzené nejen od kolegy, ale i dle vlastního testování jiné aplikace, která dynamicky podvrhovala certifikáty na iPadu. V mém případě jsem si ji však nainstaloval sám právě k těmto účelům. Ať už se Lenovo vymlouvá na jakýkoliv důvod instalace, je to neobhajitelné. Především proto, že to není poprvé.

Pokud jste se dozvěděli o Lenovo malwaru až nyní, nereagujte prosím hned v komentářích. Věřte mi, že na stranu společnosti Lenovo již byla použita všechna slova, která se hodláte použít i vy.

Otázkou dále je, jestli je možné věřit těm cca čtyřem stovkám předinstalovaných „důvěryhodných“ certifikačních autorit, co už máte v OS Windows. Není to těžká otázka…

Naše postřehy

Edward Snowden je zpět s další novinkou, která opět nepotěší bezpečnostní odborníky a zastánce ochrany soukromí. NSA a britská alternativa GCHQ utvořily společně Mobile Handset Exploitation Team (MHET) v dubnu 2010. Jak již název napovídá, cílem jsou mobilní zařízení, a to především mobily. V rámci operace nazvané DAPINO GAMMA se nabouraly do společnosti Gemalto (nejznámější společnosti bezpečnostních řešení pro úschovu privátních klíčů, která koupila i společnost SafeNet), která je i největším výrobcem SIM karet a odcizily privátní klíče používané pro ochranu mobilní komunikace či komunikaci dalších smart karet.

Gemalto dodává HSM zařízení, elektronické pasy, identifikační karty, HW tokeny apod. Je tedy vysoká pravděpodobnost, že vy nebo vaše společnost používá některou z jejich technologií. K firemním údajům a přístupům se bezpečnostní složky dostaly pomocí XKeyscore, který vyžily pro sledování zaměstnanců společnosti. Mají tak možnost dešifrovat jakoukoliv komunikaci vašeho telefonu a díky OTA (over-the-air update) klíčům i vzdáleně nainstalovat applet na SIM kartu.

Vše začalo podivným chováním bankomatu v Kyjevě, který vydával peníze kolemjdoucím a vyústilo zjištěním, že bylo pomocí spear phishing kampaní infikováno na 100 bank ve třiceti zemích a odcizena miliarda dolarů. Malware/skupina Carbanak po infikování počítačů a dalším rozšíření na kritické či privilegované systémy zaměstnanců bank sledovala chování zaměstnanců a procesy banky pro zpracování a zadávání plateb. Jejich činnost malware nahrával i na video a útočníci po několika měsících začali simulovat jejich chování, aby tak nepozorovaně převedli peníze na připravené účty v Číně a USA. Skupina postupovala velice opatrně, aby nevzbudila pozornost a po převedení cca deseti milionů dolarů se stáhla a začala soustředit na jinou banku. Podle údajů, které známe, tomu šlo předejít analýzou mailových příloh ve virtualizovaném prostředí, kde by se sledovalo chování systému. Podobné služby či technologie provozované uvnitř systému má několik předních bezpečnostních společností. Pro představu si vyzkoušejte službu Malwr, případně pár dalších je v mé prezentaci o Moderním malwaru a hrozbách.

Schopnosti malwaru se rozrostly o další novou vlastnost, a to falešné zdání vypnutí telefonu/tabletu na operačním systému Android. PowerOffHijack byl objeven výzkumníky společnosti AVG a při podržení tlačítka pro vypnutí podvrhne potvrzovací obrazovku a pomocí věrné animace má uživatel zdání, že je zařízení opravdu vypnuté. V tomto režimu může malware stále uskutečňovat odchozí volání, posílat prémiové SMS, fotit, shromažďovat údaje a provádět jakékoliv další úkony, které potřebuje. Předpokládá se, že byl součástí aplikace na obchodech třetích stran (tj. ne na Google Play) a stažen minimálně na deset tisíc zařízení.

Vývojáři používající App Engine Googlu mohou nyní scanovat své aplikace pomocí cloudového bezpečnostního scanneru – Google Cloud Security Scanner. V tuto chvíli se zaměřuje jen na XSS a Mixed Content útoky.

Dlouho očekávaný protokol HTTP 2.0 (neplést s Web 2.0) byl minulou středu formálně schválen. Na co se můžeme těšit? Aktualizace protokolu přinese především rychlejší načítání webů pomocí integrace SPDY (speedy) protokolu vyvinutého Googlem zahrnující kompresi hlaviček a souběžné HTTP požadavky v rámci jednoho spojení. Na žádost vývojářů Firefoxu a Chrome i přímou integraci šifrování (!). Ještě se k protokolu musí vyjádřit širší obecenstvo, ale Google již oznámil, že zahrne podporu HTTP 2 začátkem roku 2016. Máte další otázky?

Vláda schválila Národní strategii kybernetické bezpečnosti pro příštích pět let. Ve zkratce se zde popisuje, jak by bývalo bylo dobré být na tom s bezpečností, informovaností, efektivitou a akceschopností lépe a že bude vynaloženo úsilí pro dosažení co nejvyššího zabezpečení kyberprostoru. Slibem nezarmoutíš.

Ve zkratce

Pro pobavení

Projektoví manažeři :)

http://geek-and-poke.com/, Licence: CC by

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

26. 2. 2015 10:36

Snehuliak (neregistrovaný)

Pretoze podporuju certificate pinning...

24. 2. 2015 8:34

Petr M (neregistrovaný)

Evidentně je.

Mělo to vkládat reklamu a u HTTPS je MiTM nejefektivnější metoda...

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Komunikace firem na Facebooku? Otřes!

Komunikace firem na Facebooku? Otřes!

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Nestlé vyvinula nový typ „netloustnoucího“ cukru

Nestlé vyvinula nový typ „netloustnoucího“ cukru

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: Sat novinky: slovenská TV8 HD i ruský NTV Mir

Sat novinky: slovenská TV8 HD i ruský NTV Mir

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami