Steven J. Murdoch si posvítil na protokol MIKEY-SAKKE, založeným na Secure Chorus, který by se podle britské vlády měl stát standardem pro šifrování a implementovat do všech programů pro šifrované hovory a videopřenosy. Věc se však má tak, že každá taková implementace bude obsahovat backdoor, díky němuž může britská špionážní služba (GCHQ) jednoduše dešifrovat přenosy. Volně si to představte tak, jako kdybyste svůj privátní SSL klíč dali britské vládě a vypnuli PFS. Opravdu nevím, kde bere britská vláda představu, že zločinci budou používat jimi certifikovaná řešení.
Pokud chcete mít jistotu, že vás nikdo na cestě nemůže odposlouchávat, pronajměte si malý virtuální server a zprovozněte na něm např. FreeSWITCH s podporou ZRTP, jakožto asi jediný protokol, který se nemusíte bát provozovat na nezabezpečené síti (Internet) a který dokáže zjistit odposlech komunikace. Navíc se vyhnete používání a složitému nastavení certifikátů.
Naše postřehy
Na blogu společnosti Kaspersky se objevil článek, který z počátku nenápadně pojednává o tom proč útočníci čím dál více cílí na mobilní telefony a čeho je tím možné dosáhnout. Článek pojednává primárně o end-to-end šifrování komunikace uživatelů a dále o sortimentu Hacking Teamu pro infikování mobilních telefonů. Zamysleme se však více nad první části. Vezměte si, že pokud se alespoň trochu staráte o bezpečnost, tak určitě používáte na svém mobilu aplikace jako Google Authenticator, FreeOTP či Authy pro generování časových kódů pro přístup k Gmailu, Microsoft účtu, GitHubu, Dropboxu, Facebooku apod. Pokud ne, tak alespoň SMS s jednorázovým kódem pro reset hesla. Tím se právě váš mobilní telefon stává zajímavým, protože kdo k němu dostane přístup, dostane se i k ostatním službám a je schopen resetovat jejich heslo. Jen doplním, že Authy podporuje TouchID pro spuštění aplikace a Google Authenticator můžete použít i pro přístup na linuxové servery pomocí SSH. Je jen škoda, že pro přenos bezpečného kódu se v případě SSH musí opisovat z terminálu a vývojáři nepoužili např. ASCII/random art jako náhradu za QR kód.
Když už jsme u linuxových serverů, tak jen odkáži na článek zde na rootu, který zmiňuje kritickou chybu v linuxovém kernelu od verze 3.8 (tj. vydaném víceméně tři roky zpět), která postihuje z těch známějších distribucí Android od verze 4.4 (66 %, podle Googlu míň), Ubuntu od verze 13.04, RHEL 7 a Debian Jessie. Chybu je možné využít ke spuštění kódu s právy roota. Patche již existují.
Shodan začal prohledávat Internet, tentokrát se zaměřením na IoT zařízení v podobě webových kamer. Výsledky jsou více než znepokojující. Můžete se dostat k chůvičkám, prostorům bank, kancelářím, tanečním klubům, myslím, že jsem zahlédl i střelnice, a tak dále. Je to chyba výrobců. Nemůžete čekat, že každý majitel webové kamery bude něco vědět o bezpečnosti. Organizace FTC vydala seznam doporučení pro vývoj bezpečných IoT zařízení.
V jednom z předchozích dílů PzB jsme informovali o backdooru ukrytém v Juniper firewallech, běžících na Netscreen OS. Téměř na chlup stejná chyba byla objevena v produktech Fortinet. Fortinet říká, že jde o funkcionalitu remote managementu, kterou zapomněli odebrat. Ta podobnost hodně souvisí nejspíš s tím, že Fortinet a Netscreen byli založené stejnými lidmi. Nejdříve byl založen Netscreen, poté Fortinet a Netscreen byl prodán Juniperu. Proto i jejich prostředí příkazové řádky je velmi podobné. Postižené jsou produkty FortiOS, FortiAnalyzer, FortiSwitch a FortiCache.
Ransomware TeslaCrypt, o kterém se poprvé mluvilo asi před rokem, obsahuje chybu, díky níž je možné dešifrovat soubory. Chyba se týká způsobu uložení klíče potřebného pro dešifrování v souborech na infikovaném počítači. Chyba je opravena ve verzi 3.0, ale pokud se dostanete ke stroji infikovaným předchozí verzí, tak můžete použít volně dostupný program k dešifrování.
V dalším dílu seriálu o reverzním inženýrství se RD věnuje teorii breakpointům, struktuře procedur a jak používat komentáře v OllyDbg místo tužky a papíru.
Ve zkratce
Pro pobavení
Já jsem kolegům bash loopou tapetoval terminál, když si nezamknuli počítač, ale tohle je lepší :)
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.