Hlavní navigace

Postřehy z bezpečnosti: Microsoft a jeho poslední akce proti botnetu

Martin Čmelík

V dnešním díle Postřehů se podíváme na poslední akci Microsoftu v boji proti botnetům, jak EFF zahájila soudní proces proti NSA, o univerzálním klíči k SSH Cisco Unified CDM, o dalším novém mobilním malwaru HijackRAT spojující několik funkcí, o nové „Bolware“ kampani v Brazílii a spoustě dalšího.

Koncem června Microsoft zabavil 23 domén známého poskytovatele Dyn-DNS služby No-IP.com. V době psaní článku by již měly být všechny domény v původním stavu. Důvodem byla podle Microsoftu snaha o zastavení dvou botnetů (Bladabindi/NJrat a Jenxcus/NJw0rm) používající tuto službu proto, aby nebylo tak jednoduché zrušit doménu pro C&C servery. Microsoft však nelenil a odřízl takto nejméně desítky/stovky tisíc uživatelů od jejich služeb a podle No-IP.com zároveň i čtyři miliony spojení.

Přijde mi logičtější nejdříve kontaktovat No-IP.com, což Microsoft neudělal, a také si předem zjistit, jestli náhodou tu samou službu nepoužívají statisíce uživatelů na DSL s dynamickou IP adresou, kamerové systémy, herní servery, domácí NASky apod. Podle vyjádření Richarda Domingueze z Microsoftu bylo všechno v pořádku a No-IP nemuseli kontaktovat, protože to je jejich zodpovědnost, aby hlídali svou síť na případné botnety a malwarové kampaně. V ideálním světě ano. Prakticky je to ale u pouhého poskytovatele dynamického DNS úplný nesmysl, protože provoz stejně nejde přes jejich síť. Je to asi jako kdyby Microsoft očekával, že ISP bude aktivně nasazovat IPS na připojení uživatelů a blokovat ty, co jsou součástí botnetu. Nejsem proti, ale je to prostě nerealizovatelné ve větším měřítku.

Naše postřehy

Chyba ve Facebook SDK umožňuje získat session token během několika sekund. SDK se používá primárně pro integraci Facebooku do mobilních aplikací pro Android a iOS, nebo do webových portálů. Funkce “Login as Facebook” přenese bezpečně váš session token do zařízení, abyste tak mohli přidávat příspěvky na Facebook přímo z aplikace či měnit jakékoliv nastavení profilu. Právě tento token byl po přenesení uložen na běžném filesystému, takže po připojení iOS k notebooku se k němu můžete dostat během několika vteřin. Nejen vy, ale i kterákoliv jiná aplikace běžící na mobilním zařízení s dostatečným oprávněním. Na Youtube můžete vidět ukázku, kdy Facebook SDK používala známá aplikace Viber.

Společnost Information Systems & Suppliers (ISS) prodává platební terminály používané v kavárnách, restauracích, benzínkách atp. Nyní se zjistilo, že nabízela službu vzdálené podpory, kdy počítač připojili k firemnímu LogMeIn účtu, aby se v případě problémů na něj mohli odkudkoliv připojit. A co čert nechtěl, pomocí phishingové kampaně se útočníci dostali k tomuto heslu a vzdáleně přistupovali k počítačům terminálů. Společnost ISS informovala, že už podnikla nezbytné kroky, aby se situace neopakovala a další podobné předtištěné sliby a že všechny bankovní operace a čísla kreditních karet mohou být známé útočníkům. Mít platební terminály připojené k LogMeIn je neomluvitelná ignorance.

Bolware. Tak se říká nově objevené kampani v Brazílii. Podle security teamu EMC (RSA) při ní mělo být odcizeno na 3,75 miliardy dolarů. V Brazílii je populární systém plateb zvaný Boleto (odtud název kampaně), což si můžete představit jako něco mezi šekem a internetovou platbou přes bankovní portál. Tento platební systém je zde velmi populární a většina společností ho akceptuje. Uživatel, který může vystavit Boleto přes internetové bankovnictví, k tomu potřebuje nainstalovaný plugin banky v prohlížeči, který má určité ochrany vůči malwaru. Týmu útočníků se však podařilo toto zabezpečení obejít, infikovat 192 tisíc počítačů a dostat se k přihlašovacím údajům 83 tisíc uživatelů.

Cisco Unified CDM se používá ve velkých korporacích k ovládání VoIP systémů a zasílání zpráv. Cisco však jaksi zapomnělo na SSH klíč při vytváření instalačního balíčku a je tak možné se přihlásit pod účtem roota do jakéhokoliv Cisco UCDM (Unified Communications Domain Manager) systému do verze 4.4.2. Jestli si pamatujete, tak stejná chyba postihla i produkty společnosti F5. Dále Cisco oznámilo ve stejném produktu chybu umožňující eskalaci práv či modifikaci nastavení bez autentizace uživatele na webovém portálu.

Minulé úterý zahájila organizace EFF (The Electronic Frontier Foundation) soudní proces proti NSA s cílem zpřístupnit materiály popisující, podle jaké metodologie hodlala NSA informovat veřejnost o 0day chybách, ke kterým si kupovala exploity na černém trhu. V dubnu totiž vyšel článek na Bloomergu zmiňující, že dva lidé s návazností na NSA potvrdili, že Heartbleed chybu využívala NSA minimálně dva roky k napadení důležité infrastruktury. Jak známo, NSA byla častým nákupčím na podobných trzích a stejně jako zločinecké gangy je používala ke svým potřebám.

HijackRAT je nový mobilní malware objevený odborníky společnosti FireEye kombinující funkce získávání privátních údajů, odcizení a falšování bankovních údajů a vzdálené správy. Většinou jsou tyto funkce ve světě mobilního malwaru viděné separátně, ale HijackRAT je takovým all-in-one balíkem. Název instalačního balíčku HijackRATu je “com.ll” a v telefonu se hlásí jako Google Service Framework s ikonou Androida. Zaměřuje se na korejské banky, v systému hledá jejich mobilní aplikace, vypne antivirový program a při dalším spuštění infikuje svojí vlastní verzí.

V minulém dílu Postřehů jsme psali o kritické chybě v KeyStoru Androidu. Na webu Sophos si můžete přečíst detailní analýzu chyby i s ukázkou kódu. Ti, co to nechtějí číst: šlo o buffer overflow parametru “keyName”, který neměl pevnou délku.

Pro pobavení

Electronic Frontier Foundation a Greenpeace vypustili vzducholoď nad pověstné datacentrum NSA v BluffDale (Utah) jako protest proti nezákonnému odposlouchávání. Jak se do lesa volá…

Závěr


Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR