Hlavní navigace

Postřehy z bezpečnosti: naivní zadní vrátka britské vlády

Martin Čmelík 25. 1. 2016

V tomto díle Postřehů se podíváme na britský standard pro VoIP přenosy obsahující backdoor umožňující dešifrovat komunikaci, na dnešní význam mobilních telefonů jakožto zařízení oprávněných resetovat hesla, kritickou chybu v linuxovém jádru, o zadních vrátkách v zařízeních Fortinetu a mnoho dalšího.

Steven J. Murdoch si posvítil na protokol MIKEY-SAKKE, založeným na Secure Chorus, který by se podle britské vlády měl stát standardem pro šifrování a implementovat do všech programů pro šifrované hovory a videopřenosy. Věc se však má tak, že každá taková implementace bude obsahovat backdoor, díky němuž může britská špionážní služba (GCHQ) jednoduše dešifrovat přenosy. Volně si to představte tak, jako kdybyste svůj privátní SSL klíč dali britské vládě a vypnuli PFS. Opravdu nevím, kde bere britská vláda představu, že zločinci budou používat jimi certifikovaná řešení.

Pokud chcete mít jistotu, že vás nikdo na cestě nemůže odposlouchávat, pronajměte si malý virtuální server a zprovozněte na něm např. FreeSWITCH s podporou ZRTP, jakožto asi jediný protokol, který se nemusíte bát provozovat na nezabezpečené síti (Internet) a který dokáže zjistit odposlech komunikace. Navíc se vyhnete používání a složitému nastavení certifikátů.

Naše postřehy

Na blogu společnosti Kaspersky se objevil článek, který z počátku nenápadně pojednává o tom proč útočníci čím dál více cílí na mobilní telefony a čeho je tím možné dosáhnout. Článek pojednává primárně o end-to-end šifrování komunikace uživatelů a dále o sortimentu Hacking Teamu pro infikování mobilních telefonů. Zamysleme se však více nad první části. Vezměte si, že pokud se alespoň trochu staráte o bezpečnost, tak určitě používáte na svém mobilu aplikace jako Google Authenticator, FreeOTP či Authy pro generování časových kódů pro přístup k Gmailu, Microsoft účtu, GitHubu, Dropboxu, Facebooku apod. Pokud ne, tak alespoň SMS s jednorázovým kódem pro reset hesla. Tím se právě váš mobilní telefon stává zajímavým, protože kdo k němu dostane přístup, dostane se i k ostatním službám a je schopen resetovat jejich heslo. Jen doplním, že Authy podporuje TouchID pro spuštění aplikace a Google Authenticator můžete použít i pro přístup na linuxové servery pomocí SSH. Je jen škoda, že pro přenos bezpečného kódu se v případě SSH musí opisovat z terminálu a vývojáři nepoužili např. ASCII/random art jako náhradu za QR kód.

Když už jsme u linuxových serverů, tak jen odkáži na článek zde na rootu, který zmiňuje kritickou chybu v linuxovém kernelu od verze 3.8 (tj. vydaném víceméně tři roky zpět), která postihuje z těch známějších distribucí Android od verze 4.4 (66 %, podle Googlu míň), Ubuntu od verze 13.04, RHEL 7 a Debian Jessie. Chybu je možné využít ke spuštění kódu s právy roota. Patche již existují.

Shodan začal prohledávat Internet, tentokrát se zaměřením na IoT zařízení v podobě webových kamer. Výsledky jsou více než znepokojující. Můžete se dostat k chůvičkám, prostorům bank, kancelářím, tanečním klubům, myslím, že jsem zahlédl i střelnice, a tak dále. Je to chyba výrobců. Nemůžete čekat, že každý majitel webové kamery bude něco vědět o bezpečnosti. Organizace FTC vydala seznam doporučení pro vývoj bezpečných IoT zařízení.

V jednom z předchozích dílů PzB jsme informovali o backdooru ukrytém v Juniper firewallech, běžících na Netscreen OS. Téměř na chlup stejná chyba byla objevena v produktech Fortinet. Fortinet říká, že jde o funkcionalitu remote managementu, kterou zapomněli odebrat. Ta podobnost hodně souvisí nejspíš s tím, že Fortinet a Netscreen byli založené stejnými lidmi. Nejdříve byl založen Netscreen, poté Fortinet a Netscreen byl prodán Juniperu. Proto i jejich prostředí příkazové řádky je velmi podobné. Postižené jsou produkty FortiOS, FortiAnalyzer, FortiSwitch a FortiCache.

Ransomware TeslaCrypt, o kterém se poprvé mluvilo asi před rokem, obsahuje chybu, díky níž je možné dešifrovat soubory. Chyba se týká způsobu uložení klíče potřebného pro dešifrování v souborech na infikovaném počítači. Chyba je opravena ve verzi 3.0, ale pokud se dostanete ke stroji infikovaným předchozí verzí, tak můžete použít volně dostupný program k dešifrování.

V dalším dílu seriálu o reverzním inženýrství se RD věnuje teorii breakpointům, struktuře procedur a jak používat komentáře v OllyDbg místo tužky a papíru.

Ve zkratce

Pro pobavení

Já jsem kolegům bash loopou tapetoval terminál, když si nezamknuli počítač, ale tohle je lepší :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Recenze Prostřeno: cirkus postižených

Recenze Prostřeno: cirkus postižených

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Měšec.cz: Přejete si číslo účtu na přání?

Přejete si číslo účtu na přání?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

DigiZone.cz: Sat novinky: slovenská TV8 HD i ruský NTV Mir

Sat novinky: slovenská TV8 HD i ruský NTV Mir

Vitalia.cz: Často čůrá a má žízeň? Příznaky dětské cukrovky

Často čůrá a má žízeň? Příznaky dětské cukrovky

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: Co nabídne největší výživová konference FOOD21?

Co nabídne největší výživová konference FOOD21?

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: Hledáte investora? Neunáhlete se

Hledáte investora? Neunáhlete se

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí