Hlavní navigace

Postřehy z bezpečnosti: matení cenzora

 Autor: Depositphotos
Obcházení zásahů automatického cenzora, zavřené hranice po kybernetickém útoku, lov rasismu v technických termínech a na další věci se podíváme v dnešním vydání Postřehů.
CSIRT.CZ 14. 9. 2020
Doba čtení: 4 minuty

Sdílet

Obcházení cenzorských zásahů

Studenti z projektu Breakerspace univerzity v Marylandu přišli s výzkumem, jak obejít cenzuru internetového připojení ze strany serveru. Vyvinuli nástroj nazvaný Geneva (Genetic Evasion), který upravuje síťový provoz. Jak název napovídá, je postaven na genetickém algoritmu, který se umí přizpůsobit konkrétnímu způsobu cenzury a přijít na způsob, jakým ho obejít.

Nástroj trénovali na serverech v šesti zemích – Austrálii, Německu, Irsku, Japonsku, Jižní Koreji a Spojených státech, na pětici protokolů: DNS (over TCP), FTP, HTTP, HTTPS a SMTP a čtyř klientech v zemích, kde je existující státní cenzura – Čína, Indie, Írán a Kazachstán. Trénink probíhal na každém z pěti zmíněných protokolů, na kterém se výzkumníkům podařilo prokazatelně spustit cenzuru (pouze Čína cenzuruje všech pět protokolů) a celkem nalezli jedenáct strategií (plus čtyři specifické v případě Číny) k obejití cenzury.

Příklad technologie cenzury HTTP v Kazachstánu

Cenzura v případě HTTP je realizována například tak, že pokud požadavek obsahuje nějaké z cenzurovaných slov, cenzor vstoupí do spojení a zavře ho (např. injektováním RST paketu oběma stranám). Jako první ukazují příklad Kazachstánu, kde se jim podařilo obejít HTTP cenzuru pomocí dvojitého neškodného požadavku GET.

Během standardního třícestného handshaku, kdy server na SYN paket odpovídá obvykle jedním SYN+ACK, odeslali tento paket dvakrát a k oběma přiložili jednoduchý a neškodný GET. Tím podle všeho nejspíš došlo ke zmatení cenzora v určování role, kdo je server a kdo klient. Protože kazašský cenzor nijak necenzuruje požadavky toho, koho považuje za server (v tomto případě reálně klient), může tak v rámci tohoto spojení reálný klient komunikovat necenzurovaně.

Výzkumníci testovali mnoho platforem (různé verze Windows, Linux, Mac a mobilní zařízení) a ve většině případů tyto strategie zmatení cenzora neměly žádný negativní dopad na klientův systém.

Zavřené hranice

Čtyři miliony dolarů a čtyři hodiny stání. To jsou výsledky ransomware útoku na Argentinu. Před dvěma týdny ráno zaznamenal Národní migrační úřad problémy s uživatelskými dokumenty ve sdílených složkách. Operativně pak vypnul servery na čtyři hodiny, během kterých stála auta na hraničních přejezdech.

Za úspěšným útokem stojí skupina Netwalker, kterým vládní složky odmítly výkupné zaplatit (což je postoj hodný ocenění). Cena za soubory se postupně vyšplhala 356 BTC, útočníci hrozí, že soubory zveřejní.

Allowlist místo whitelistu

Chrome dominuje prohlížečům. Víc než 70 % uživatelského podílu prakticky znamená, že tři ze čtyř lidí brouzdajících po Internetu využívají právě ho. Není se tak co divit, že každý jeho krok, každá novinka, je bedlivě sledován. Google například změní celkem devatenáct bodů svých pravidel užívání Chromu, a to tak, že z nich zmizí pojmy jako „blacklist“, „whitelist“ a „native“. První dva odkazují k věcem, které jsou zakázány, respektive povoleny, třetí zpravidla k lokálním zařízením.

Ve světle letošních rasových nepokojů však mohou být barvy v názvech těchto pojmů vnímány negativně („native“ je označení používané v souvislosti s původním americkým obyvatelstvem). Z „whitelistu“ (bílého seznamu) tak bude nově „allowlist“ (seznam povoleného), z „blacklistu“ (černého seznamu) pro změnu „blocklist“ (seznam blokovaného) a označení „native“ bude z terminologie Googlu vypuštěno úplně.

Výchozí hesla na routeru

Router jako klíčové zařízení zpravidla jako ochranu přístupu k nastavení používá jen kombinaci uživatelského jména a hesla. Přednastavená hesla správcovského účtu bývají jednoduchá, aby si uživatel mohl své zařízení snadno nastavit. Uživatelé pak hesla málokdy mění, což představuje reálné riziko.

Uhodnutí hesla k routeru může mít fatální následky, jelikož útočník může tímto způsobem získat přístup k celé síti. Analytici společnosti Eset vyhodnotili aktuální telemetrická data pro Německo a dospěli k znepokojivým závěrům: Několik tisíc z více než 100 000 skenovaných zařízení používá výchozí hesla. Tato zařízení jsou tedy zranitelnější vůči cílenému útoku.

Spear-phishing

V lednu minulého roku začala společnost Kaspersky zkoumat a sledovat probíhající kampaň, za jejímž spuštěním stojí hackerská skupina známá jako Transparent Tribe. Útočníci se snažili infikovat počítače obětí pomocí Crimsom Remote Access Trojanu (RAT – trojského koně, umožňujícího vzdálený přístup do počítače).

Ten rozesílali jako škodlivý Microsoft Office dokument ve spear-phishingových e-mailech. V průběhu roku se odborníkům podařilo najít více než tisíc cílů v bezmála třicítce zemí, mezi nimiž figuruje i Česká republika.

Vážná zranitelnost nejen Exchange

Microsoft vydal v zářijové aktualizaci 129 bezpečnostních záplat, z nichž je 23 označeno jako kritických. Nejzávažnější opravenou chybou se zdá CVE-2020–16875, která útočníkovi umožňuje získat na Exchange serveru privilegia uživatele SYSTEM pouhým posláním vhodně naformátovaného e-mailu. Chyba se týká verzí 2016 a 2019. Microsoft sice po zveřejnění uvedl, že chybu může zneužít pouze autentizovaný uživatel, ale objevitel chyby tvrdí, že má kód demonstrující funkci bez ohledu na autentizaci. Záplatu je tedy raději vhodné aplikovat co nejrychleji.

Linuxová školení

Nová zranitelnost byla nalezena také v systému společnosti Intel pro vzdálenou správu/management počítačů zvaného Active Management Technology (AMT). AMT je součástí platformy Intel vPro. Zranitelnost s označením CVE-2020–8758 má CVSS skóre 9.8. Chyba leží v síťovém subsystému třetí strany a spočívá v nesprávném omezení zásobníků. V případě systémů, které nemají AMT plně zapnuté, je CVSS nižší, a to pouze 7.8. Jedná se o další příklad k doporučení, že tyto služby by se měly vyskytovat pouze v odděleném segmentu sítě, který je pod daleko větší kontrolou.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…