Hlavní navigace

Postřehy z bezpečnosti: neidentifikovatelný trojský kůň

Martin Čmelík 13. 6. 2016

Dnes se podíváme na nový typ hardwarového trojského koně, uděláme radost lidem infikovaným ransomwarem TeslaCrypt, řekneme si něco o 0day exploitu na všechny verze Windows a o kritické chybě Squidu.

Na 37. IEEE sympóziu o bezpečnosti a ochraně osobních údajů byla publikována nenápadná práce s názvem “A2: Analog Malicious Hardware”, která vyhrála první cenu.

Výzkumníci z Michiganské univerzity dokázali vytvořit hardware, který sloužil jako neidentifikovatelný backdoor za použití “new style fabrication-time attack” a analogových obvodů. Yonatan Zunger z Googlu to nazval jedním z nejchytřejších počítačových útoků, který za poslední léta viděl. Pokusím se obecně popsat, o co se jedná, ale nejsem odborníkem v této oblasti, takže pokud vás to opravdu zajímá, přečtěte si, prosím, originální dokument.

Výzkumníci použili open source procesor OpenRISC 1200 a k němu vyrobili čip s obvodem a kondenzátory, které se nabíjí nábojem z obvodů v jejich blízkém okolí. Když jsou kondenzátory plně nabité, tak spustí daný backdoor/útok, jehož výsledkem může být např. nastavení privilege bitu, CPU módu na procesoru, změna hodnoty v paměti apod. a to bez jakýchkoliv stop. Ačkoliv je útok analogový, přesto k němu může dojít jen za určitých okolností, jako např. navštívení stránky s kódem schopným spustit určité rutiny na procesoru/obvodu a tím tak útok iniciovat. Proto je identifikace takového backdooru téměř nemožná. Sami tvůrci uvádějí, že potvrdili funkčnost daného útoku, a teď se musí najít cesta, jak se proti tomuto útoku bránit.

Většina společností si nechává čipy a obvody vyrábět v Číně, protože je to levnější a tam právě může být ten kámen úrazu. Pokud výrobce upraví obvody výše diskutovaným způsobem, tak ani společnosti, kterým výrobu zadali, nebudou schopné tato zadní vrátka odhalit ani během testování, a vy je tak můžete mít ve svém počítači, serveru, mobilu, routeru, firewallu, IoT apod. Úplnou jistotu nebudete mít bohužel nikdy. Museli byste mít prostředky vyrábět si obvody, čipy a procesory sami. Existuje sice několik open-source HW komponent, jako výše zmíněný OpenRISC, ale náklady na výrobu jednoho počítače pouze z open-source komponent by dle mého názoru byly enormní. 

Otázkou ještě je, zda podobné techniky ve svých překladištích již po několik let nepraktikuje sama NSA (Access and Target Development), na základě materiálů od Snowdena, o kterých jsme mluvili v postřezích před dvěma roky (NSA a továrna na backdoory).

Naše postřehy

Pokud jste infikováni ransomwarem TeslaCrypt, tak pro vás máme dobrou zprávu. Společnost Kaspersky publikovala nástroj s názvem RakhniDecryptor, který je schopný dešifrovat soubory zašifrované tímto malwarem, a to TeslaCrypt verzí 3 a 4. Cisco pak aktualizovalo svůj vlastní open-source tool a ten nyní podporuje dešifrování všech verzí TeslaCryptu i AlphaCryptu.

Na Internetu se objevil 0day exploit na všechny verze Windows umožňující lokální eskalaci práv, což se hodí pro úplné ovládnutí systému, pokud již máte přístup s omezeným oprávněním. Původně se prodával za 95 tisíc dolarů a teď jeho cena klesla na 85 tisíc. Podle společnosti Trustwave to znamená, že exploit stále nebyl prodán. To může a nemusí být pravda. Nicméně prodejce zveřejnil dvě videa, na kterých demonstruje použití exploitu, a to i na systémech, kde je nainstalovaný EMET, který by měl proti podobným chybám systém chránit. Tím spíš by mohla být cena exploitu i vyšší. Každopádně je dobrým nápadem mít EMET nasazený na všech systémech. Pokud by vás zajímalo, co víc může Microsoft nabídnout pro ochranu svých produktů v korporátním prostředí, tak se podívejte na Windows Defender ATP (Advanced Threat Protection). Jen upozorním, že jiné systémy touto technologií bohužel neochráníte a že to asi nebude nic levného, ale můžete se zapojit do preview programu.

Tato SMS prišla na mobil Alex MacCawovi. Jedná se o ojedinělý případ podvodné zprávy, kdy se útočník snažil získat OTP (One Time Password) a dostat se tak pravděpodobně na Gmail účet. K tomu je potřeba znát ještě jeho heslo, ale je důležité na to upozornit. Stejně jako banka po vás nikdy nebude chtít PIN ke kartě, tak Google (ani jiná služba používající OTP) po vás nikdy emailem, či SMSkou nebude chtít OTP.

Mozilla uvolnila půl milionu dolarů na projekt SOS (Secure Open Source). SOS je součást Mozilla Open Source Support (MOSS) programu a cílem SOS je financovat bezpečnostní audity kódu populárních open source projektů. Cílem je předejít chybám typu HeartBleed, ShellShock apod.  V rámci programu už byly otestovány tři projekty. PCRE, libjpeg-turbo a phpMyAdmin, a celkem bylo nalezeno 43 chyb, z toho jedna kritická. Svůj projekt můžete zkusit přihlásit zde.

Na InfoSec Institute se objevil pěkný návod popisující způsoby extrakce filesystému z firmwaru IoT zařízení. Bude se jednat o celý seriál na toto téma.

Squid obsahuje kritickou chybu umožňující cache poisoning. Chyba se týká zpracování hlaviček, protože cache modul používá pro vytvoření záznamu adresu serveru z GET požadavku, ale ověřování se provádí nad Host HTTP hlavičkou. Tím je tak možné infikovat cache a podsouvat ostatním uživatelům vlastní data. Jak vypadá úspěšný útok se můžete podívat na videu od výzkumníků, kteří chybu objevili. Níže je pak příklad útoku.

GET http://victim.com/ HTTP/1.1
Host: attack.com 

Ve zkratce

Pro pobavení

Nepropadejte panice :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

13. 6. 2016 13:38

Jenže nástroje na generování FPGA bitstreamu jsou zase až na jednu výjimku proprietární. Navíc "nebude to stát skoro nic" je úplně mimo, vetší procesor (jako Pentia) fakt na FPGA nenavrhnete.

14. 6. 2016 11:06

drk (neregistrovaný)

Nemyslím si že by byl útok "amalogový" analogové je jen byhodnocení zda má být zahájen, pak to předpokládám funguje normálně "digitálně"....

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Sat novinky: Fransat UHD Demo

Sat novinky: Fransat UHD Demo

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky