Hlavní navigace

Postřehy z bezpečnosti: mobilní VPN

CSIRT.CZ

V nejnovějším díle postřehů si představíme novou bezpečnostní iniciativu od Facebooku, crackování Apple produktů jako business, detekční úspěchy Microsoftu a další zářezy Fancy medvěda.

Doba čtení: 5 minut

VPN aplikace Facebooku Onavo vás ochrání před vším s výjimkou Facebooku. Ten koupil izraelskou analytickou společnost stejného jména již v roce 2013. Ovšem teprve minulý měsíc začal Facebook prostřednictvím své oficiální mobilní aplikace pro iOS nabízet uživatelům v USA možnost nainstalovat si VPN aplikaci Onavo. Konkrétně se v oficiální aplikaci Facebook nyní objevilo tlačítko „Protect“, které uživatele přesměruje do App Store na stránku aplikace Onavo Protect.  

Zdroj: TechCrunch

Facebook uživatelům slibuje, že je bude schopen varovat při pokusu o návštěvu potenciálně nebezpečné stránky, ale také to, že ochrání jejich soukromí. Ovšem nic není zadarmo, nelze se tedy divit, že tato ochrana soukromí platí jen pro další subjekty, nikoliv pro Facebook samotný. Facebook tak díky této službě může sledovat aktivitu uživatele napříč aplikacemi, což této firmě umožní rozpoznat nové trendy. Může tak získat informace o nových funkcích, které získávají na popularitě, může zjistit, které aplikace zaznamenávají nárůst uživatelů a které jsou naopak na ústupu. Nyní se také ukazuje, že aplikace sbírá i další informace, jako údaje o aktivitě obrazovky nebo množství přenášených dat (jak na WiFi, tak přes mobilní sítě).

Politika soukromí této aplikace přímo upozorňuje, že zapnutím VPN budou všechna data uživatele zasílána na servery provozovatele, kde mohou být dále využívána „to provide, analyze, improve, and develop new and innovative services for users, Affiliates and third parties; to communicate with users; to support advertising and related activities; and to help protect ourselves or someone else“. Kritici Facebooku především vyčítají, že nabízí Onavo s využitím své primární aplikace obrovskému množství uživatelů s tím, že se jedná o nástroj určený k jejich ochraně, nicméně o poznání méně zdůrazňuje sporné vlastnosti této služby.

Naše postřehy

Izraelská společnost Cellebrite sídlící v Petah Tikva nabízí službu odemčení anebo extrakce dat z jakéhokoliv zařízení firmy Apple, které běží na iOS verze 5 až 11. Podle staršího článku Forbesu byla společnost v minulosti najata americkou FBI pro odemčení telefonů při vyšetřování. Cellebrite nenabízí však produkt, který by k odemčení posloužil, nýbrž službu samotnou – pokud byste tedy chtěli mobilní telefon odemknout nebo z něj data získat, musíte zařízení společnosti zaslat a ta vám vrátí odemčené zařízení, případně vám data vyextrahuje a předá. Podle Forbesu stojí taková služba pouhých 1 500 dolarů.

Zajímavý bezpečnostní incident se stal u provozovatele restaurací Applebee.  U více než 160 jejich poboček byl objeven malware v prodejním systému. Společnost RMH Franchise Holdings, která je vlastníkem napadených restaurací objevila malware ve svém platebním systému a uvedla, že útočníci měli možnost ukrást jména hostů, čísla kreditních nebo debetních karet, ověřovací kódy u karet, a to během určitého časového limitu po provedení platby zákazníkem. Malware zaměřující se na platební systémy je rostoucí hrozbou u maloobchodníků v pohostinství, proto by  měli zaměřit svou pozornost na větší zabezpečení svých systémů.

Microsoft vydal na svém blogu prohlášení týkající se detekce malwaru zvaného Dofoil (nebo také Smoke Loader). S využitím Machine Learningu, byl Windows Defender schopný rozpoznat malware, jehož cílem bylo těžení kryptoměn, konkrétně měny zvané Electroneum. Malware využívá tzv. process hollowing, při kterém spustí legitimní proces jako třeba explorer.exe a následně nahradí původní kód svým. Další z indikátorů, které ho prozradily byla komunikace se serverem vinik.bit v rámci infrastruktury NameCoin. Což je v zásadě odvozenina Bitcoinu, která má za cíl oproštění se od současného DNS systému.

Černá hora chce do Evropy a dávnému spojenci se to nelíbí. Rusko silně vystupuje proti jejich přijímacímu procesu do NATO a hází jim klacky pod nohy, jak může. I proto čas od času může přijít na tamní Ministerstvo obrany e-mail se spearphishingovou přílohou NATO_secretary_meeting.doc, Draft schedule for British army groups nebo Schedule for a European military transfer program. Spearphishing je nebezpečnou formou šíření malwaru po e-mailu pro svůj osobní rozměr; je totiž ušit na míru oběti. Tři mezinárodní bezpečnostní společnosti, Fire Eye, Trend Micro a ESET se shodují v tom, že útoky pocházejí od polovládní ruské organizace Fancy Bear, o které se hodně psalo v minulých týdnech. V polovině dubna si budou Černohorci volit nového prezidenta, držíme jim palce, aby dokázali ubránit volby před diskuzními trolly i trojskými koni.

Andrea Allievi z Office 365 ATP Research teamu zajímavým způsobem vypráví o malware FinFisher, produktu léta známé hackerské skupiny Neodymium. V několika krocích popisuje zajímavé techniky, kterým se FinFisher brání. Většina technik není neznámá nebo převratná, výjimečné je však to, že je Neodymium nasadil všechny naráz, a zatímco běžný malware naštěstí často doplácí na to, že je psán jen tak hrc frc, FinFisherovi tvůrci odvedli kus poctivé zločinecké práce:
Velké bloky nepotřebného kódu, který mate lidského analytika. Špagety místo slušných funkcí. Pomocný proces, který zjišťuje přítomnost modulů v adresním prostoru, čímž odhalí injektované ladicí funkce různých bezpečnostních nástrojů a malware díky tomu dobře odhadne, zda neběží v sandboxu. Vícevrstvé virtuální stroje, uložené ve falešných dialogových oknech. Spuštění kódu přes zneužité grafické volání procesu winlogon.exe, tj. aniž se vytvoří snadno detekovatelná systémová volání typu CreateRemoteThread. A tak dále a úplně na dně spyware, o pluginech, přičemž funkcionalita některých nebyla rozluštěna. Jeden například odklání a vykrádá SSL komunikaci.
Toto zajímavé čtení nelze nedoporučit.

Dobrá zpráva. Bitdefender vydal dekryptor pro GandCrab. Tento ransomware, který se objevil koncem ledna tohoto roku, inzerován na ruských kyberfórech jako Ransomware-as-a-Service, se stal ihned populárním a začal být masivně šířen jak přes exploit kity v prohlížeči, tak ve spamu. Nenapadá země bývalého sovětského bloku a podle Microsoftu si naopak s největší chutí smlsnul na Brazílii, Indii, Indonésii, Pákistánu a Spojených státech.
Dekryptor nejprve přijme pět zašifrovaných souborů a soubor se zprávou o unesení systému, potom zjistí, zda je schopen vašemu systému pomoci. Povede-li se, nabídne vám rozšifrování všech souborů; můžete přitom zaškrtnout volbu, že si přejete zanechat zálohy zašifrovaných souborů pro případ, že by se něco pokazilo a místo původních dat vám dekryptoru naservíroval jen balast (kdyby například ransomware v budoucí verzi změnil metodu šifrování).

MIF18 tip v článku témata

Připomínáme také projekt No more ransom, nyní dostupný v 29 světových jazycích, který je výsledkem spojených sil Nizozemské policie, EUROPOLu, kyberbezpečnostních společností Kasparsky Lab a McAfee a desítek dalších partnerů.

Našli jste v článku chybu?