Hlavní navigace

Postřehy z bezpečnosti: nechráněná poloha

CSIRT.CZ

Dnes se podíváme na ukecané sportovce, dále na to, jak obejít novou bezpečnostní funkci od Applu, podepisování malwaru pomocí ukradených certifikátů, průzkum trhu kybernetických zločinů, otevřený port 5555 a další.

Doba čtení: 4 minuty

Rádi se pochlubíte veřejně sportovními výkony a fyzickými aktivitami?Jestli ne, nevadí. Sportovní přístroje Polar Flow o vás leccos řeknou za vás. Z pohybů na mapě lze snadno odhadnout, kde bydlíte i kde pracujete, zpětně až do roku 2014. Zvlášť strašidelný je fakt, že se spojením různých informací lze dopátrat i jména osoby, která by měla zůstat anonymní z bezpečnostních důvodů. 

Holandským reportérům z De Correspondent a Bellingcat se povedlo identifikovat na šest tisíc sportovců v lokalitách, které jsou veřejnosti nepřístupné, jednalo se například o Bílý dům, americkou NSA, londýnské MI6, francouzskou DGSE, ruskou GRU, ale také třeba o Guantanamo, vojenské nebo raketové základny.

Server ZDnet požádal o vyjádření několik amerických autorit. Ukázalo se, že například američtí vojáci nemají povoleno používat náramky, které umožňují využití Wi-Fi nebo mobilní sítě, ale dovolují GPS a Bluetooth, kterým se citlivé informace dostanou do mobilu, odkud se už mohou synchronizovat naprosto volně. Nařízení se zřejmě bude muset přehodnotit.

Naše Postřehy

V rámci updatu od Applu pro iOS verze 11.4.1 byla přidána nová bezpečnostní funkce omezeného přístupu USB portu, vytvořená pro ochranu zařízení proti přístupu bez nutnosti autentizace. Omezený režim pro USB funguje tak, že po zamčení zařízení se zapne časovač a po jedné hodině se uzamkne datový port, aniž by se přerušilo dobíjení. Jakmile se zapne omezený USB přístup, není možné se do zařízení dostat bez uživatelských oprávnění.

Nicméně bezpečnostní pracovníci našli snadný způsob, který může komukoliv dovolit resetovač časovač omezeného přístupu k USB portu a efektivně tak obejít novou bezpečnostní funkci. Stačí jenom, aby zařízení připojil na nějaký USB adaptér, který vynuluje časovač omezeného přístupu.

Tchaj-wanským společnostem, včetně společnosti D-Link, byly ukradeny validní digitální certifikáty. Ty byly využity při podepisování různých malwarů, které díky podpisům snižují šanci na detekování. Bezpečnostní pracovníci od společnosti ESET identifikovali dvě skupiny malwaru. Jedním je malware nazývaný Plead, který vzdáleně může ovládat zadní vrátka.  Je určený k odcizení důvěrných dokumentů a špehování uživatelů. Druhý malware je navržen tak, aby shromažďoval uložená hesla z prohlížečů Google Chrome, Microsoft Internet Explorer a Mozilla Firefox.

Výzkumný tým McAfee Advanced Threat Research udělal zajímavý „průzkum trhu“ kybernetických zločinů, při kterém se zaměřili na stránky prodávající přístupy k Windows strojům skrze Remote Desktop Protocol. RDP je proprietární protokol společnosti Microsoft, který slouží ke vzdálenému ovládání počítače skrz grafické rozhraní. Je užitečný zejména pro správce. Nezřídka se pak stává, že je tato služba nevhodnou konfigurací přístupná z Internetu (obvykle na portu 3389). Kombinace přístupu z Internetu a slabého přihlašovacího hesla je lákadlem pro pokusy útočníků heslo prolomit hrubou silou nástroji jako Hydra, NLBrute či RDP Forcer.

Takto získaný přístup pak prodávají na tržištích dalším zájemcům o jejich zneužití. To může zahrnovat krádeže kreditních karet či dalších přihlašovacích údajů, rozšíření ransomwaru po síti oběti, těžbu kryptoměn, rozesílání spamu a další. Cena se prý pohybuje mezi třemi až 19 dolary podle toho, jak je stroj výkonný, jak kvalitním připojením disponuje a zda je kompromitovaný uživatel administrátorem.

Výzkumníkům se podařilo například nalézt nabídku letištního zařízení, které je součástí automatického systému na přepravování cestujících mezi letištními terminály – cena přístupu byla pouhých 10 dolarů. Kromě samotné nabídky jsou na stránkách obchodu k dispozici také návody (například jakým způsobem povolit na Windows zařízeních víceuživatelský přístup či jak vytvořit skrytého uživatele) nebo screenshoty ukazující přibližnou výkonnost těžby kryptoměn.

Výzkumníci z organizace Internet Storm Center tento týden zaznamenali výrazný nárůst skenů TCP portu 5555. Zjistili, že cílem je Android Debug Bridge a ukázalo se, že někteří výrobci prodávají své zařízení, ve stavu, ve kterém je právě Android Debug Bridge přístupný na portu 5555. Díky tomu je možné se k zařízení připojit bez jakékoliv autentizace a získat tak root oprávnění. Nárůst je také dobře vidět na naší službě PorTrend. Na grafu je vidět, že intenzita skenů se již pomalu snižuje.

MIF18_Michálek

Thermanator je jméno pro nový vektor útoku, jehož cílem je uhodnout vaše heslo. Sleduje-li vás někdo kamerou, může vás natočit, jak své heslo zadáváte. Pokud však má k dispozici termokameru, nemusí vám pomoci, ani když se při zadávání kryjete. Stačí, když do minuty odstoupíte od přístroje a útočník podle teploty na klávesách velmi dobře heslo odhadne.

Ve zkratce

Pro pobavení

https://res.cloudinary.com/peerlyst/image/upload/c_limit,h_182,w_470/v1/post-attachments/AWARENESS4_fmflf0

https://res.cloudinary.com/pe­erlyst/image/upload/c_limit,h182,w470/v1/post-attachments/AWARENESS4_fmflf0

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?