Hlavní navigace

Postřehy z bezpečnosti: modrý odposlech

CSIRT.CZ

Pravidelná pondělní várka bezpečnostních zpráv za uplynulý týden. Přístup k Wi-Fi pomocí zranitelností Bluetooth, uniklá data voličů a skautek, bitcoiny z e-mailu nebo návrat zranitelnosti Ping of Death.

Doba čtení: 5 minut

Nová dvojice kritických zranitelností v Bluetooth Low Energy (BLE) čipech, pojmenovaná BleedingBit, umožňuje vzdálenému útočníkovi spustit libovolný kód a převzít nad zranitelným zařízením plnou kontrolu. Zranitelné čipy, které vyrábí firma Texas Instruments, používají firmy Cisco, Meraki a Aruba ve svých produktech určených pro nasazení ve firmách.

První ze zranitelností (CVE-2018–16986) se týká čipů CC2640 a CC2650. Dle dostupných informací se jedná o klasický buffer overflow útok, při kterém musí útočník nejdříve zasílat řadu neškodných BLE broadcastových zpráv, zvaných advertising packets, které se ukládají do paměti zranitelného BLE čipu a slouží k zasílání informací dalším zařízením. Následně útočník pošle další advertising packet, který však bude mít nastaven specifický bit na ON místo OFF. Tato drobná změna způsobí, že si čip alokuje mnohem více místa v paměti, než je reálně potřeba, což vede k přepsání paměti a útočník může tuto paměť využít ke spuštění škodlivého kódu.

Druhá zranitelnost (CVE-2018–7080) se týká čipů CC2642R2, CC2640R2, CC2640, CC2650, CC2540 a CC2541. Chyba pochází z funkcionality pro update firmwaru BLE čipů zvané Over the Air firmware Download (OAD). Protože všechny AP Aruba sdílejí stejné OAD heslo, získatelné odposlechem legitimního updatu, nebo reverzním inženýrstvím, útočník může přístupovým bodům zaslat vlastní upravený update operačního systému.  Již byly vydány záplaty, dobrá zpráva také je, že ve výchozím nastavení Cisco i Aruba zařízení je bluetooth vypnutý.

Nejhorší scénář každopádně vypadá tak, že cizí člověk přijde k vaší firemní kanceláři, oskenuje si Wi-Fi síť, zjistí, zda náhodou některé vaše zařízení neběží na BLE technologii a začne se pohodlně ze židle na chodbě zmocňovat firemních dat. Dosah BLE jsou desítky metrů, nemusí to být ani židle ve vašem patře.

Chyby identifikovala izraelská bezpečnostní společnost Armis, která se už loni proslavila nálezem devíti jiných zranitelností technologie Bluetooth.

Spekulujete s kryptoměnami? Pozor na e-mail!

Policie v Austrálii zatkla třiadvacetiletou ženu v australském Melbourne v souvislosti s krádežemi obrovského množství virtuální měny.

Vše začalo v lednu 2018, kdy šestapadesátiletý muž zjistil, že jeho e-mailový účet byl zablokován, jeho heslo bylo změněno a aktualizovalo se nastavení zabezpečení jeho účtu, aby jako prostředek sekundární autentizace musel použít záhadný mobil.

Po dvou dnech zajistil muž kontrolu nad svým e-mailovým účtem, ovšem zmizelo z něho sto tisíc kusů Ripple směnky (známé také jako XRP) – tedy přibližně tři sta dvacet tisíc dolarů.

Během dalšího vyšetřování se zjistilo, že virtuální měna byla zaslaná na čínskou burzu a přeměněna na Bitcoin. Vyšetřování vedlo k třiadvacetileté ženě z Eppingu v Melbourne. Během domovní prohlídky u ní policie zabavila počítače, pevné disky a mobilní telefony. Žena se podle vyšetřovatelů nabourala do e-mailového účtu a použila informace v něm obsažené, aby se nakonec dostala do digitální peněženky oběti.

Detektiv policie Nového Jižního Walesu Arthur Katsogiannis varoval, že uživatelé e-mailů si musí dávat pozor nejen na to, jak chrání svou schránku, ale musí dávat pozor i na citlivé informace ve složkách „Odeslané“ nebo „Koš“.

Autor článku Graham Cluley považuje e-mailovou adresu za křižovatku celé internetové identity. Právě u každé služby, ke které se dostanete, je nějaký typ odkazu na vaši e-mailovou adresu a uvnitř vaší schránky budou citlivé informace, které mohou být zlatým dolem pro on-line zloděje. Navíc se většinou jedná o vaši e-mailovou adresu, kterou budou kontaktovat služby, pokud vy (nebo zločinec) požádáte o obnovu hesla na on-line účet.

Většina hlavních on-line služeb, včetně e-mailových účtů, poskytuje další úrovně zabezpečení, které mohou komplikovat získání přístupu do vašeho emailu – například dvoufaktorové ověřování (2FA).

Autor rovněž zdůrazňuje nutnost silného, těžce dostupného hesla, které není opakovaně používané na různých webových stránkách. K bezpečnému ukládání hesel pak doporučuje správce hesel.

Naše postřehy

Také se vám stýská po Ping of Death? Máme pro vás dobrou zprávu! Je zpět a v plné parádě. Drobná odlišnost je, že tentokrát cílí na zařízení jedné firmy přes ovoce. Ukázalo se, že má v XNU jádře drobnou zranitelnost v síťovém subsystému. Jedná se o heap buffer overflow v komponentě zpracovávající ICMP požadavky. Apple zranitelnost (CVE-2018–4407) klasifikoval jako remote code execution, protože teoreticky může dojít ke spuštění libovolného kódu v jádře. Nicméně původní autorův proof of concept se o toto nepokouší a pouze přepíše haldu balastem. Dnes již jsou k dispozici záplaty a aktualizovaná zařízení jsou chráněna. Nicméně i bez záplat lze zabránit útoku spuštěním tzv. „stealth mode“,  při kterém zařízení přestane odpovídat na příchozí ICMP pakety.

Když už jsme u produktů této společnosti, nedávno vyšel iOS 12.1 s novou funkcí nazvanou Group FaceTime, která kromě své zamýšlené funkcionality umožňuje i obejít zamknutou obrazovku (Lockscreen Bypass) a vyčíst z telefonu citlivé informace jako třeba seznam kontaktů a vzájemné konverzace.

Už asi nikoho nepřekvapí, že o nás Google shromažďuje celou řadu dat, které většinou vychází z našeho vyhledávání. Co už se tak samozřejmě neví, je fakt, že Google také nabízí několik možností, jak množství sbíraných dat omezit. Nebylo totiž až tak snadné se s těmito možnostmi seznámit. Až doteď. Google představuje novou možnost, jak snadno zrekapitulovat a vymazat historii vašeho vyhledávání.

Důležité sítě Íránu byly napadeny malwarem, který je prý podobný známému kódu Stuxnet, který v roce 2010 poškodil íránský jaderný program. Nový kód je údajně agresivnější a sofistikovanější a v Íránských sítích se objevil jen pár dní poté, co vyšlo najevo, že mobilní telefon íránského prezidenta Hassana Rouhaniho byl odposloucháván.

Pokud si chcete užít volby nanečisto, můžete si poměrně levně koupit některou cvičnou volební databázi – nyní například se záznamy o 85 milionech voličů USA. Jména, telefony, adresy z dvaceti různých států. Smutné je, že s těmito daty je snadnější manipulovat sociální sítě a dál podkopávat fungující struktury demokracie. Skupiny na Dark webu přímo za stovky až tisíce dolarů nabízejí útoky na vládní entity – manipulaci s databázemi, ekonomickou/komerční špionáž apod.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Našli jste v článku chybu?