Hlavní navigace

Postřehy z bezpečnosti: objeven univerzální otisk prstu

CESNET CERTS

V dnešním vydání se podíváme na výzkum podobnosti otisků prstů, nový protokol zneužívaný k DDoS útokům, napadené domácí routery v Alžírsku, nebo třeba na způsoby, jakými byly vykrádány bankomaty.

Nejnovější výzkum vědců z univerzit v New Yorku a Michiganu přišel s výzkumem podobnosti částí otisků prstů. Přestože převládá názor, že se na světě nevyskytují dva jedinci se stejnými otisky prstů, některé otisky jsou si v určitých částech podobné. Čtečky otisků, které se používají například pro odemykání počítačů či telefonů, obvykle nezkoumají celý otisk, ale jen jeho část. Navíc obvykle umožňují uložit víc než jeden otisk prstu. K úspěšné autentizaci pak stačí přiložit kterýkoli prst.

Vědci se snažili analýzou velkých vzorků otisků prstu najít jakýsi hlavní otisk, který by byl schopen odemknout netriviální množství zámků. „Jedná se o jakousi obdobu PIN kódu 1234, který odemkne zhruba 4 procenta zařízení,“ vysvětluje Nasir Memon, vedoucí výzkumného týmu. Takových částečných otisků našli 92 v každé sadě 800 otisků.

Vědci šli ale ještě dál a z nalezených vzorků vytvořili umělý částečný otisk. S tímto dosáhli úspěchu mezi 26 a 65 procenty uživatelů, v závislosti na tom, kolik prstů uživatel do zařízení naučil a za předpokladu pěti pokusů na jedno přihlášení. Čím víc částečných otisků bylo v zařízení uloženo, tím větší byla pravděpodobnost úspěchu s hlavním otiskem.

Adresář jako nový druh DDoS útoku

Společnost Akamai popisuje nový druh zesilujícího útoku, který zneužívá bezespojový adresářový protokol LDAP. Obdobně jako v případě útoků zneužívajících například protokoly DNS a NTP zde útočník odešle krátký dotaz se zfalšovanou adresou odesílatele na adresářový server, který je dostupný z Internetu. Adresářový server doručí mnohonásobně větší odpověď na adresu oběti. Adresářové servery obvykle používají protokol TCP a šifrování, přesto se neautentizovaná bezespojová varianta používá například jako telefonní seznam pro IP telefony.

Rozložení DDoS útoků využivajících CLDAP v čase
Autor: Akamai

Rozložení DDoS útoků využivajících CLDAP v čase

Společnost podobné útoky pozoruje od října 2016. Největší síla byla 24 Gbps, průměrný zesilující faktor dosahoval hodnoty 56×. Obrana je přitom stále stejná – implementovat filtrování zdrojových adres podle BCP-38/BCP-84 a nezpřístupňovat podobné zranitelné služby z internetu, není-li to nezbytné.

Domácí routery opět útočí

Je tu další útok zneužívající zranitelnost domácích routerů. Jak píše společnost Wordfence, více než deset tisíc IP adres z Alžírska útočí na stránky poháněné systémem WordPress. Společným jmenovatelem je webserver Allegro RomPager 4.07, běžící na portu 7547, poskytující služby TR-069, tedy jakousi dálkovou správu routeru operátorem. V této verzi je chyba CVE-2014–9222, umožňující router ovládnout. Jak bývá u zranitelností routerů zvykem, i přesto, že jde o problém dávno známý a opravený, opravy se na většinu zařízení nedostanou, a tak budou nadále sloužit nejrůznějším botnetům.

Mimochodem, nejnovější mutace známého botnetu Mirai se podle všeho kromě svých obvyklých činností snaží také těžit Bitcoiny. Vzhledem ke značně omezenému výkonu IoT zařízení to nejspíš nepůjde moc dobře; na druhou stranu, pokud těžba nic nestojí a může probíhat neomezeně dlouho, je to jednoduchý přivýdělek s nulovými náklady.

Tři způsoby, jak vykrást bankomat

Známá společnost Kaspersky Lab popisuje na blogu tři způsoby, jakými došlo k vykradení bankomatů. V prvním případě šlo o instalaci malware přímo prostřednictvím infikovaných ovládacích serverů banky. Ve druhém případě útočník nějakým způsobem potají instaloval do bankomatu adaptér Bluetooth spárovaný s klávesnicí. Pak počkal tři měsíce, až záznam o instalaci ovladače Bluetooth adaptéru zmizel z logů. Teprve potom přišel k bankomatu s bezdrátovou klávesnicí, restartoval bankomat do servisního režimu a nechal vyprázdnit zásobník peněz. Třetí způsob je čistě lokální – útočník vyvrtal do bankomatu díru o průměru 4 cm poblíž PIN klávesnice. Tímto otvorem se napojil na vedení uvnitř bankomatu, kterým poslal příkaz k vydání bankovek. Je až s podivem, že zatímco trezory bankomatů jsou velmi důsledně fyzicky zabezpečeny, zbytek bankomatu umožňuje tak snadnou kompromitaci.

Tři nové zranitelnosti name serveru BIND

Internet System Consorcium zveřejnilo tři zranitelnosti oblíbeného DNS serveru BIND – dvě se střední, jednu dokonce s vysokou závažností. Updatujte co nejdříve!

  • zranitelnost CVE-2017–3136 umožňuje shodit rekurzivní server s aktivní funkcí DNS64 speciálně vytvořeným dotazem
  • vysoce závažná zranitelnost CVE-2017–3137 dokáže způsobit pád rekurzivního resolveru při zpracování DNS odpovědi s neobvyklým pořadím CNAME a DNAME záznamů
  • konečně zranitelnost CVE-2017–3138 umožňuje shodit name server prostřednictvím dálkového ovládacího rozhraní (příkaz  rndc)

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?