Hlavní navigace

Postřehy z bezpečnosti: NSA a GCHQ umí dešifrovat většinu komunikace

Martin Čmelík 9. 9. 2013

Přečtěte si v tomto díle o nových skutečnostech z dokumentů Snowdena, které vás nemile překvapí, dále pak o kritických aktualizacích Microsoftu, upravování PE souborů, botnetu využívající Tor pro komunikaci, o novém bankovním trojanovi Hesperbot, mobilním malwaru Obad a o spoustě dalších.

Snowden je opravdu neuvěřitelným zdrojem informací o tajných praktikách NSA a dalších vládních skupin. Vlastně potvrzuje všechno to, co jsem si myslel a za což jsem byl označován za paranoika. Teď nám sdělil, že NSA a britská GCHQ pracují po mnoho let na tom, aby měli v aplikacích a systémech zadní vrátka, případně pak, že společnost s NSA přímo spolupracuje na designu aplikace a jejího šifrování, aby se tak v případě potřeby mohli k datům dostat. Jako třeba Microsoft při vývoji Windows. Na tento program je vyhrazeno ročně 250 milionů dolarů. Podobných metod je velká spousta avšak mít v programu přímo zadní vrátka celou situaci dost zjednodušuje. Myslíte si například, že vaše nastavení HTTPS je bezpečné? Zkuste si tento test SSL nastavení a možná budete nemile překvapeni.

Dokumenty zmiňují, že NSA a GCHQ jsou schopny dešifrovat HTTPS (SSL/TLS), VPN, IM a VoIP komunikaci. Podle Roba Grahama i Tor. Čili to nejběžnější, co dnes používáme a čemu například při komunikaci s bankou pevně důvěřujeme.

Jestli jsem to dobře pochopil, tak systém na louskání komunikace má název BULLRUN a nikdo o něm nesmí moc vědět, ani se na něj ptát. Navíc ze článku byly vypuštěny některé údaje na žádost bezpečnostních složek, takže možná, že šlo právě o tyto specifikace. Já si upřímně myslím, že mají backdoor přímo v AES, ale to samozřejmě nejsem schopen prokázat, nicméně NSA má ve svých řadách takové mozky, že by to mohlo ostatním kryptoanalitikům uniknout. Nicméně řekněme, že tento systém provádí jen brute force útok. Na strojích, které nebudou podobné serverům, které známe, ale bude se jednat spíš o farmu na zakázku postavených serverů s tisícovkou ASIC čipů s HW akcelerací lámání šifer v každém z nich, což je samozřejmě několika (tisíci?) násobně rychlejší než na konvenční architektuře. Jedná se pouze o mé spekulace. Třeba si o tom, jak to skutečně je, přečteme později.

Naše postřehy

Budou útočníci v budoucnu napadat auta? Bezpečnostní specialisté ukazují, že to rozhodně není nereálné. Rostoucí závislost automobilů na počítačích se může ukázat rozhodující v tomto nerovnocenném souboji.

Na Facebooku existovala bezpečnostní chyba umožňující smazat libovolnou fotografii z libovolného účtu. Arul Kumar si nahlášením této chyby přišel díky programu Bug Bounties na pěkných 12500 dolarů.

Naopak Ehraz Ahmed, který našel chybu umožňující smazat jakýkoliv účet na Facebooku ostrouhal a nedostal nic. Podle vyjádření Facebooku šlo o hoax a reportovaná chyba nikdy neexistovala.

Nebojme se upravovat PE soubory. Cílem toho seriálu je popsat techniky úpravy PE kódu. V prvním díle se seznámíme s nezbytnou strukturou PE souboru. Popíšeme si jak vytvořit v souboru novou sekci pomocí editoru a jak zajistit vykonání našeho kódu uloženého v této sekci.

Toto úterý vydá Microsoft opravu na kritickou chybu umožňující spuštění útočného kódu už jen při náhledu emailu v programech Outlook 2007 a 2010. Předpokládá se, že útočníci na základě analýzy tohoto opravného balíčku vytvoří velmi rychle funkční exploit (nazývaný jako 0.5 day exploit), který se začne masově šířit. Další kritickou, vzdáleně zneužitelnou, chybu postihuje SharePoint server 2003, Internet Explorer 6+, Windows XP a Windows Server 2003. Jasným cílem útočníků tak budou především korporátní uživatelé.

Během několika posledních týdnů bylo možné pozorovat masivní nárůst Tor klientů. Předpokládalo se, že se jedná o reakci uživatelů na informace ohledně špionážních programů NSA, ale šlo o botnet využívající Tor pro komunikaci. Botnet existuje podle analytiků společnosti Fox-IT již od roku 2009 a má název SBC. Tento botnet primárně komunikuje přes HTTP protokol a před pár týdny začal používat i síť Toru. Pochází nejspíše z Ruska a orientuje se především na finanční kyberzločiny. Výhodou této komunikace je z pohledu operátorů botnetu především anonymizace C&C serveru pomocí hidden služeb.

Nový bankovní trojan má název Hesperbot a na stanicích instaluje i VNC službu. Byl objeven vývojáři společnosti ESET a má označení Win32/Spy.Hesperbot. Je velmi podobný Zeusu a SpyEye. Na cílové stanici odposlouchává stisknuté klávesy, vytváří screenshoty a video z dění na obrazovce, instaluje proxy a skrytou VNC službu, hledá v systému emailové adresy a je prý schopen i vložit HTML do probíhající síťové komunikace. Cílem je zaznamenat heslo při přístupu do systému banky a jiných hesel k populárním službám. Tento trojan byl šířen v České republice phishingovými emaily od České Pošty.

Mobilní trojan Obad (Android) jako první začal šířit přes cizí mobilní botnet síť. Primárně zasílá z telefonu premium SMS na číslo útočníka a pomocí chyby v Androidu beží pod právy administrátora, takže není lehké ho smazat. Do mobilu se dostane většinou pomocí příchozí SMS s tímto textem “MMS message has been delivered, download from www[.]otkroi[.]com.” Při navštívení této stránky se stáhne mms.apk aplikace obsahující malware Opfake. Další informace na blogu Kaspersky.

Světoznámý server GitHub nabízející hosting pro ukládání/verzování zdrojových kódů nyní nabídnul všem svým uživatelům možnost dvoufaktorové autentizace (2FA). Jedním z podporovaných programů pro generování autentizačního kódu je i Google Authenticator. 2FA používejte všude, kde je to jen možné.

Startup bugcrowd získal od ICON Partners, Paladin Capital a Square Peg Capital 1,6 milionů dolarů, aby se stal centrálním místem pro ohlašování a vyplácení odměn za nalezenou chybu v komerčních programech. Takové centrální místo Bug Bounty programů, kdy ohlásíte nalezenou chybu a dále za vás jedná tato společnost.

Silent Circle, společnost zabývající se bezpečnou komunikací vydala aplikaci pro Android, která by měla bezpečně šifrovat komunikaci a soubory a dále je také bezpečně mazat. Jedním ze zakladatelů je známá legenda Phil Zimmerman.

Dle mého názoru nejlepší seriál o aplikační bezpečnosti Apple iOS a aplikací. Popisuje struktury a architekturu iOS, jak psát bezpečné programy, jak je analyzovat, debugovat a jak nabourávat/testovat.

Dva indičtí hackeři napsali exploit, který je schopen vytvořit ve známém softwaru pro fóra vBulletin nový účet s oprávněním administrátora. Verze 4.x.x.x jsou tímto postihnutelné. Updatujte na poslední verzi.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter

Děkujeme

Našli jste v článku chybu?

9. 9. 2013 8:52

Jaroslav Pinkava (neregistrovaný)

Nebudu komentovat autorovy hypotézy (AES, které vzniklo na základě otevřeného konkursu a jehož autory jsou nizozemští kryptologové, má mít zadní vrátka - obdobných "domněnek" lze nalézt v médiích spoustu), ale odešlu zájemce na blog Bruce Schneiera. Schneier měl totiž na rozdíl od jiných možnost se přímo seznámit se Snowdenovými dokumenty a jako renomovaný kryptolog dokáže jistě kvalifikovaně ocenit jejich obsah (samozřejmě ani v těchto dokumentech není zdaleka vše, co je potřebné pro posouzení …

9. 9. 2013 12:12

.. on si to myslí !!!

Je to jako s bohem.

Někdo si myslí, že je. Někdo si myslí, že není.

Ale jen fanatici ví, že je, i když na to důkaz nemají.
Ti druzí ví, že není, ale i jim důkaz schází.

Takže je to věc názoru.

Mysím, že bůh není, Elvis zemřel, JFK zabila CIA, Gagarin byl ve vesmíru první, Armstrong byl na Měsíci a Miloš Zeman neměl virózu.


Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Vitalia.cz: Žloutenka v Brně: Nakaženo bylo 400 lidí

Žloutenka v Brně: Nakaženo bylo 400 lidí

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí