Koncem června Microsoft zabavil 23 domén známého poskytovatele Dyn-DNS služby No-IP.com. V době psaní článku by již měly být všechny domény v původním stavu. Důvodem byla podle Microsoftu snaha o zastavení dvou botnetů (Bladabindi/NJrat a Jenxcus/NJw0rm) používající tuto službu proto, aby nebylo tak jednoduché zrušit doménu pro C&C servery. Microsoft však nelenil a odřízl takto nejméně desítky/stovky tisíc uživatelů od jejich služeb a podle No-IP.com zároveň i čtyři miliony spojení.
Přijde mi logičtější nejdříve kontaktovat No-IP.com, což Microsoft neudělal, a také si předem zjistit, jestli náhodou tu samou službu nepoužívají statisíce uživatelů na DSL s dynamickou IP adresou, kamerové systémy, herní servery, domácí NASky apod. Podle vyjádření Richarda Domingueze z Microsoftu bylo všechno v pořádku a No-IP nemuseli kontaktovat, protože to je jejich zodpovědnost, aby hlídali svou síť na případné botnety a malwarové kampaně. V ideálním světě ano. Prakticky je to ale u pouhého poskytovatele dynamického DNS úplný nesmysl, protože provoz stejně nejde přes jejich síť. Je to asi jako kdyby Microsoft očekával, že ISP bude aktivně nasazovat IPS na připojení uživatelů a blokovat ty, co jsou součástí botnetu. Nejsem proti, ale je to prostě nerealizovatelné ve větším měřítku.
Naše postřehy
Chyba ve Facebook SDK umožňuje získat session token během několika sekund. SDK se používá primárně pro integraci Facebooku do mobilních aplikací pro Android a iOS, nebo do webových portálů. Funkce “Login as Facebook” přenese bezpečně váš session token do zařízení, abyste tak mohli přidávat příspěvky na Facebook přímo z aplikace či měnit jakékoliv nastavení profilu. Právě tento token byl po přenesení uložen na běžném filesystému, takže po připojení iOS k notebooku se k němu můžete dostat během několika vteřin. Nejen vy, ale i kterákoliv jiná aplikace běžící na mobilním zařízení s dostatečným oprávněním. Na Youtube můžete vidět ukázku, kdy Facebook SDK používala známá aplikace Viber.
Společnost Information Systems & Suppliers (ISS) prodává platební terminály používané v kavárnách, restauracích, benzínkách atp. Nyní se zjistilo, že nabízela službu vzdálené podpory, kdy počítač připojili k firemnímu LogMeIn účtu, aby se v případě problémů na něj mohli odkudkoliv připojit. A co čert nechtěl, pomocí phishingové kampaně se útočníci dostali k tomuto heslu a vzdáleně přistupovali k počítačům terminálů. Společnost ISS informovala, že už podnikla nezbytné kroky, aby se situace neopakovala a další podobné předtištěné sliby a že všechny bankovní operace a čísla kreditních karet mohou být známé útočníkům. Mít platební terminály připojené k LogMeIn je neomluvitelná ignorance.
Bolware. Tak se říká nově objevené kampani v Brazílii. Podle security teamu EMC (RSA) při ní mělo být odcizeno na 3,75 miliardy dolarů. V Brazílii je populární systém plateb zvaný Boleto (odtud název kampaně), což si můžete představit jako něco mezi šekem a internetovou platbou přes bankovní portál. Tento platební systém je zde velmi populární a většina společností ho akceptuje. Uživatel, který může vystavit Boleto přes internetové bankovnictví, k tomu potřebuje nainstalovaný plugin banky v prohlížeči, který má určité ochrany vůči malwaru. Týmu útočníků se však podařilo toto zabezpečení obejít, infikovat 192 tisíc počítačů a dostat se k přihlašovacím údajům 83 tisíc uživatelů.
Cisco Unified CDM se používá ve velkých korporacích k ovládání VoIP systémů a zasílání zpráv. Cisco však jaksi zapomnělo na SSH klíč při vytváření instalačního balíčku a je tak možné se přihlásit pod účtem roota do jakéhokoliv Cisco UCDM (Unified Communications Domain Manager) systému do verze 4.4.2. Jestli si pamatujete, tak stejná chyba postihla i produkty společnosti F5. Dále Cisco oznámilo ve stejném produktu chybu umožňující eskalaci práv či modifikaci nastavení bez autentizace uživatele na webovém portálu.
Minulé úterý zahájila organizace EFF (The Electronic Frontier Foundation) soudní proces proti NSA s cílem zpřístupnit materiály popisující, podle jaké metodologie hodlala NSA informovat veřejnost o 0day chybách, ke kterým si kupovala exploity na černém trhu. V dubnu totiž vyšel článek na Bloomergu zmiňující, že dva lidé s návazností na NSA potvrdili, že Heartbleed chybu využívala NSA minimálně dva roky k napadení důležité infrastruktury. Jak známo, NSA byla častým nákupčím na podobných trzích a stejně jako zločinecké gangy je používala ke svým potřebám.
HijackRAT je nový mobilní malware objevený odborníky společnosti FireEye kombinující funkce získávání privátních údajů, odcizení a falšování bankovních údajů a vzdálené správy. Většinou jsou tyto funkce ve světě mobilního malwaru viděné separátně, ale HijackRAT je takovým all-in-one balíkem. Název instalačního balíčku HijackRATu je “com.ll” a v telefonu se hlásí jako Google Service Framework s ikonou Androida. Zaměřuje se na korejské banky, v systému hledá jejich mobilní aplikace, vypne antivirový program a při dalším spuštění infikuje svojí vlastní verzí.
V minulém dílu Postřehů jsme psali o kritické chybě v KeyStoru Androidu. Na webu Sophos si můžete přečíst detailní analýzu chyby i s ukázkou kódu. Ti, co to nechtějí číst: šlo o buffer overflow parametru “keyName”, který neměl pevnou délku.
Pro pobavení
Electronic Frontier Foundation a Greenpeace vypustili vzducholoď nad pověstné datacentrum NSA v BluffDale (Utah) jako protest proti nezákonnému odposlouchávání. Jak se do lesa volá…
Závěr
Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
