Postřehy z bezpečnosti: ohlédnutí za rokem 2020

Jsou SMS zprávy bezpečným druhým faktorem?

Říká se, že je-li v novinovém titulku zjišťovací otázka, odpověď bude určitě „ne“. Nejinak tomu je v tomto případě a jak už to dnes bývá, k odpovědi na tuto otázku byla zřízena i speciální webová stránka isSMS2FAsecure.com. Ve zveřejněném průzkumu mezi vydavateli předplacených telefonních karet v USA výzkumníci z centra informačních technologií Princetonské univerzity odhalili, že všichni mají vážné nedostatky autentizace držitele karty, které umožňují útok SIM-swap, tedy přenos telefonního čísla na novou SIM kartu za asistence mobilního operátora.

Operátorům AT&T a Verizon například k ověření výměny SIM karty stačí informace o datu a částce posledního dobití kreditu. Tyhle informace sice cizí útočník nezná, ale zároveň je může snadno ovlivnit tím, že na čísle oběti dobije kredit sám; k takové akci není třeba žádná autentizace ze strany držitele čísla.

Bezpečné není ani ověření pomocí historie hovorů: útočník může na čísle oběti nechat zmeškaný hovor a tím motivovat oběť k odchozímu volání na číslo, které útočník zná.

Sociální inženýrství je dalším nebezpečným faktorem: přestože operátoři Tracfone a US Mobile ověřovali pouze pomocí otázek, na které simulovaný útočník neznal odpovědi, v devíti případech byla nakonec stejně výměna SIM karty provedena.

Součástí výzkumu byl i test více než 140 webových služeb, které používají SMS k ověření uživatele. 83 z nich používá nezabezpečenou výchozí konfiguraci. U 13 služeb dokonce výměna SIM karty zcela postačuje k převzetí účtu, není třeba prolamovat se přes žádné další heslo. Jinými slovy, SMS zde není druhým faktorem, ale prvním a jediným faktorem. Výsledky testu webových služeb jsou zveřejněny.

Emotet, TrickBot a Ryuk na návštěvě v OSN

V lednu 2020 se na scénu opět dostala známá trojice Emotet, TrickBot, Ryuk. Po benešovské nemocnici a OKD se tito tři králové podívali do zahraničí. Vše začalo v e-mailových schránkách 600 zaměstnanců OSN. Kriminálníci využili jako návnady přítomnost norské diplomacie v New Yorku a podepsali se za ni ve zprávě, která zněla přibližně: Ahoj, vyskytl se dnes nový problém. Co se týká této otázky, viz níže. Prosím, dejte mi vědět, zda potřebujete něco dalšího.

Potom škodlivý dokument požádal o povolení k editaci, což spustilo klasickou katastrofu: první úřaduje Emotet, ten stáhne TrickBot, který začne rozkládat síť zevnitř, a nakonec, když má dost, stáhne ransomware Ryuk. Vypadá to, že zločinci budou čím dál více cílit na vlády a jiné vysoké cíle.

Sběr dat o uživatelích

Dělají to všichni a kdo tvrdí, že ne, ten to dělá dodnes. Touto replikou ze známého českého filmu máme na mysli sledování uživatelů a přeprodávání jejich dat. Prodávání dat uživatelů navzdory možnému postihu a ostudě zřejmě představuje neodolatelnou obchodní příležitost.

V lednu 2020 se v souvislosti s prodejem dat o uživatelích hodně mluvilo o společnosti Avast. Podle serverů PCMag a Motherboard prodává společnost Avast informace o chování svých uživatelů prostřednictvím dceřiné firmy Jumpshot. To samo o sobě není nová informace. Dle dřívějších prohlášení Avastu mají být data kompletně anonymizována. To je také pravda. Ale díky v podstatě permanentnímu identifikátoru každého anonymního uživatele a zcela podrobným údajům o chování tohoto uživatele včetně času uváděného na milisekundy nebude podle výše uvedených serverů a jimi oslovených odborníků pro většinu společností, které si data kupují, problém zpětně se dobrat skutečné identity uživatele porovnáním s jejich vlastními údaji.

Otázkou je, nakolik si to sama společnost Avast uvědomovala. Společnost Avast vydala k této záležitosti vlastní vyjádření. Přečíst si pak můžete ještě zajímavý rozhovor s jejím bývalým zaměstnancem.

To v sousedním Německu mají jinou zábavu. Data o svých zaměstnancích tam měla údajně sbírat firma H&M (Hennes & Mauritz). Nejednalo se přitom o žádnou troškařinu: 60 GB dat obsahovalo informace o jednotlivých zaměstnancích, o jejich zdraví, počínaje problémy s močovým měchýřem až po rakovinu, o jejich osobním životě, rodinných sporech či plánech na dovolenou.

Příliš sdílný tablet

Člověk by si řekl, že tablet je v podstatě glorifikovaná myš. Robert Heaton se ale pozastavil nad tím, proč po něm instalátor ovladače pro Wacom chce odsouhlasit podivné podmínky – a jal se zkoumat, k čemu by tak mohly být. Zjistil nejen to, že driver odesílá (do Google Analytics) informaci o všech aplikacích spouštěných na počítači, ale také, že sdílení má dokonce na mateřské lodi kill switch.

Cílený phishing

Phishingové útoky patří k velmi oblíbeným praktikám podvodníků. Za poslední dobu můžeme pozorovat nejen zvýšenou aktivitu, ale také sofistikovanější podvodné praktiky. Podle „Anti-Phishing Working Group“ bylo identifikováno přes 266 000 aktivních podvodných webů. Ačkoliv se bezpečnostní programy stále zlepšují, riziko selhání lidského faktoru nadále trvá.

V roce 2019 se až 33 % případů úniku dat událo v důsledku sociálního inženýrství. Hackeři také své metody stále vylepšují, takže kromě klasického phishingového útoku se můžeme setkat s takzvaným „spear phishingem, který cílí na konkrétní skupinu obětí, což útočníkům umožňuje například vystupovat pod jménem ředitele dané firmy. Podle zprávy společnosti Symantec 66 % zaměstnanců otevřelo přílohu obsahující malware či rozkliklo podvodný odkaz, který je přesměroval na falešné webové stránky.

Organizace intenzivně investují do podnikových bezpečnostních řešení, aby zabezpečily každý možný vektor útoku, jako jsou zabezpečení koncových stanic, brány firewallu a filtry proti spamu. Ale i přes velké investice je stále mnoho firem zranitelných právě kvůli riziku lidské chyby. Podle společnosti Kaspersky je nedbalost zaměstnanců druhou nejčastější příčinou úniku dat. Někteří zaměstnanci například nepřikládají důležitost bezpečnostním záplatám a nechávají své pracovní počítače neaktualizované.

Velké množství bezpečnostních nástrojů ve firmách může u zaměstnanců vytvořit falešný pocit bezpečí, a oni tak mohou ztrácet ostražitost. Proto je důležité pravidelně školit zaměstnance v oblasti bezpečnosti. Jednou z možností mohou být školení pomocí simulovaných phishingových útoků.

Své o tom ví i hvězda investičního pořadu Shark Tank Barbara Corcoranová. Její účetní dorazila koncem února 2020 výzva k platbě, která se tvářila jako přímý pokyn od Barbařina výkonného asistenta. Přestože požadovaná částka na renovaci nemovitosti činila téměř 389 tisíc dolarů, nebylo na samotné transakci nic podezřelého, neboť Barbařina firma často investuje do realit. Účetní si sice vyžádala doplňující informace, ale přehlédla změnu jediného písmene v e-mailové adrese, a tak místo asistentovi odepsala zpátky zločincům. Ti ji ubezpečili, že je vše v pořádku, a peníze změnily majitele.

Soumrak šifrování?

V USA se řešil návrh zákona, který by dle jeho kritiků umožnil prosazovat monitoring v on-line službách. Vše se skrývá pod bohulibou pokličkou boje proti zneužívání dětí. To je sice velký problém, ale nelze proti němu bojovat tím, že budeme útočit na bezpečnost a soukromí.

Návrh zákona, který dostal název EARN IT („Eliminating Abusive and Rampant Neglect of Interactive Technologies Act“), počítá s tím, že vznikne devatenáctičlenná národní komise pro prevenci on-line zneužívání dětí, která bude vydávat soubor doporučených postupů určených provozovatelům on-line služeb. Tato doporučení by měla předcházet, redukovat a reagovat na on-line zneužívání dětí.

Problém je v tom, že vzniklý dokument bude mít do toho, co si běžně představujeme pod pojmem „best practices“, hodně daleko, neboť bude právně vymahatelný a jeho porušení bude pro dotyčnou službu znamenat, že ztratí ochranu paragrafu 230, který zajišťuje on-line službám ochranu před tím, co na nich říkají uživatelé. Jinými slovy, díky tomuto paragrafu nejsou provozovatelé on-line služeb zodpovědní za to, co jejich uživatelé napíší a nehrozí jim pokuty ani vězení.

Svou ochranu ovšem tyto služby ztratí, pokud se odmítnou podřídit zmiňovaným doporučením. Podle kritiků sice návrh zákona přímo nemluví o šifrování, ale otevírá dveře útokům na ně.

Poznámka 20201227: Spoluautor zákona EARN IT, senátor Lindsey Graham, navrhl změny zákona, které vycházejí vstříc jeho kritikům.

Hackeři vylákali ze tří britských firem 1,3 milionu dolarů

Velmi pozoruhodným a sofistikovaným způsobem se v dubnovém vysoce cíleném útoku podařilo skupině nazývané „The Florentine Banker“ vylákat ze tří britských firem více než 1,3 milionu dolarů v domnění, že tím financují startupy.

Typ útoku má označení Business Email Compromise (BEC) a spočívá ve dvou fázích. V první fázi získají útočníci přístup k emailovým účtům vytipovaných vysoce postavených úředníků cílové firmy a monitorují komunikaci. Po vytipování vhodného obchodního jednání, během kterého budou od někoho někam posílány peníze, přejdou do druhé, aktivní fáze. V té založí domény podobné doménám na obou stranách emailové komunikace a pomocí nastavení filtrování emailů provedou útok typu MITM, při kterém zachytávají emaily mezi oběma stranami a mění klíčové informace jako třeba čísla účtů pro bankovní převody.

Americká FBI bije na poplach, protože dle zprávy z roku 2019 hlášených podvodů typu BEC bylo celkem 23 775 a celková škoda se vyšplhala až na 1,7 miliard dolarů.

Největší DDoS v historii

Podle zprávy „AWS Shield Threat Landscape“ se podařilo společnosti Amazon zastavit v únoru letošního roku největší DDoS útok v historii. Síla útoku dosáhla 2,3 Tbps. Ze zprávy není zřejmé, kdo konkrétně byl cílem útoku. Je však uvedeno, že hlavním „nástrojem“ bylo zneužití řady CLDAP (Connection-less Lightweight Directory Access Protocol) serverů, což je alternativa ke staršímu LDAPu. Tento protokol je aktivně zneužíván zhruba od roku 2016 a umožňuje zesílení vstupního provozu na 56 až 70násobek, což ho činí pro útočníky vysoce atraktivním.

Poslední rekordní DDoS byl naměřen v březnu roku 2018 a dosahoval síly 1,7 Tbps a o měsíc dříve útok na GitHub o síle 1,3 Tbps. Oba byly provedeny zneužitím služeb Memcached otevřených do Internetu.

Zajímavá příručka pro nastavení soukromí na Androidu

Na první pohled nejde Android a soukromí dohromady. Google je přece známý pro své reklamní praktiky a shromažďování ohromného množství uživatelských dat. V realitě nám však dává překvapivě velikou kontrolu nad tím, co se s našimi daty stane.

Tato příručka vás provede labyrintem všech možných nastavení. Nad každým bodem se hluboce zamyslete a zvažte všechny plusy a mínusy, abyste dosáhli přesně toho, co potřebujete.

Zaplaťte, nebo vás udáme

O vyděračských útocích na databáze MongoDB jsme v tomto seriálu psali již mnohokrát. Více než u jiných databází se tu bohužel stává, že jsou v důsledku ponechání výchozí konfigurace přístupné bez jakékoliv autentizace z veřejného Internetu. Útočník si pak jen velmi jednoduše stáhne kompletní data, databázi následně smaže a ponechá v ní jen vše vysvětlující dokument  READ_ME_TO_RECOVER_YOUR_DATA.

Až potud nic nového, nicméně skupina Bad Actors přišla se zajímavou motivací, jak přinutit více svých obětí zaplatit výkupné. Ke klasickým dvěma argumentům (1. přijdete o data a/nebo 2. data zveřejníme a už nebudete mít žádná tajemství) přidala novinku: zaplaťte, nebo vás nahlásíme úřadům dohlížejícím na GDPR, jak mizerně bdíte nad daty svých uživatelů, a pak teprve budete mít průšvih a budete platit, ale pokuty.

Vyděrači útočí

Stále větší oblibě se těší útoky ransomware. Poslední dobou se spekuluje, že společnost GARMIN zaplatila miliony výkupného za šifrovací klíč. Společnost byla napadena koncem července a její provoz byl naprosto ochromen.

Další společnost, která se stala obětí útoku, byla cestovní kancelář CWT, která zaplatila 4,5 milionu dolarů za rozšifrování 30 tisíc počítačů. Hackeři zároveň odcizili dva terabajty dat a společnost zaplatila mimo jiné za jejich smazání.  Zajímavé je, že společnost CWT zveřejnila průběh komunikace, podařilo se jí vyjednat slevu z výkupného a návdavkem obdržela ještě několik doporučení k zabezpečení infrastruktury.

Úplně odlišný průběh měly útoky na společnosti LG a XEROX. Útočníci se rozhodli celou proceduru zrychlit a místo šifrování pouze odcizili 80 GB dat včetně částí zdrojových kódů firmware pro různá zařízení, jako jsou mobilní telefony a notebooky. Obě společnosti odmítly zaplatit výkupné a vyděrači nakonec odcizená data zveřejnili. Společnost XEROX nereaguje na žádné dotazy a podle analýzy zveřejněných dat došlo k úniku informací o technické podpoře a zaměstnancích.

Další útok pravděpodobně probíhal ve společnosti CANON; podle všeho bylo odcizeno 10 TB dat. Opět se pravděpodobně jedná o scénář jako u CWT, takže ransomware nejprve data odcizil a následně zašifroval. Podle nejnovějších informací se zdá, že firmě se podařilo ukradená data (osobní údaje zaměstnanců od roku 2005) obnovit ze záloh a vyděrači žádné peníze nedostali; ti totiž zveřejnili část ukradených dat, což by v případě zaplacení výkupného asi neudělali.

Další společností, která zaplatila 80 miliónů dolarů za únik dat, je Capital One, provozovatel a poskytovatel platebních karet. Tentokrát se nejedná o výkupné, ale o pokutu za loňský masivní únik dat, kdy se jedinému útočníkovi podařilo odcizit údaje o platebních kartách více než 106 miliónů zákazníků.

Útočníci začínají být více kreativní, kombinují oba druhy útoků. Nejprve odcizí data a následně je zašifrují; získají tím lepší vyjednávací pozici. Pokud se oběť rozhodne nezaplatit a obnoví data z vlastních záloh, stále je zde riziko, že útočníci data zveřejní. Přesouvají se od běžných uživatelů do korporátní sféry, vždyť uživatelé se raději smíří se ztrátou dat než se ztrátou peněz.

Nová hrozba jménem vishing – voice phishing

Kromě klasických phishingových útoků, jejichž počet vzrostl kvůli pandemii covid-19, kdy útočníci využívají toho, že uživatelé pracují z domova a mohou být méně obezřetní, se objevila skupina, která kombinuje klasický phishing s osobními hovory se zaměstnanci cílové společnosti. Mezi ty pak podle Briana Krebse, který na problém upozornil, patří hlavně velké mezinárodní společnosti.

Útok většinou začíná sérií telefonátů zaměřených na zaměstnance pracující z domova. Útočníci se vydávají za IT oddělení zaměstnavatele, kteří se snaží vyřešit problém s VPN připojením. Cílem je přesvědčit uživatele, aby vyzradil své přihlašovací údaje po telefonu nebo je zadal na podvodné stránce, která napodobuje korporátní identitu dané firmy.

Aby zvýšili svou důvěryhodnost, vydávají se účastníci za nové zaměstnance IT oddělení a neváhají si při tom ani zřídit falešné profily LinkedIn, na kterých se zároveň snaží propojit s dalšími zaměstnanci dané firmy. Samozřejmě toho pak neváhají patřičně využít a upozornit na to, že si je může uživatel snadno na této sociální síti vyhledat.

Samotné phishingové stránky jsou provozovány na doménách, které se snaží napodobit název společnosti, před nímž jsou výrazy jako „vpn“, „ticket“, „portal“ a podobně. Na útoku se obvykle podílejí dva pachatelé. Jeden vede hovor, zatímco druhý čeká, až uživatel zadá na dané webové stránce potřebné údaje, a rychle je zneužije pro připojení k VPN dané společnosti. Tímto způsobem se jim daří připojit i tam, kde je kromě jména a hesla vyžadováno také ověření druhým faktorem v podobě nějakého řetězce, který je vygenerovaný aplikací či zaslaný SMS.

Před hrozbou vishingu již vydaly varován i FBI a CISA.

Obcházení cenzorských zásahů

Studenti z projektu Breakerspace univerzity v Marylandu přišli s výzkumem, jak obejít cenzuru internetového připojení ze strany serveru. Vyvinuli nástroj nazvaný Geneva (Genetic Evasion), který upravuje síťový provoz. Jak název napovídá, je postaven na genetickém algoritmu, který se umí přizpůsobit konkrétnímu způsobu cenzury a dokáže zjistit způsob, jakým ho obejít.

Nástroj trénovali na serverech v šesti zemích: Austrálii, Německu, Irsku, Japonsku, Jižní Koreji a Spojených státech, na pětici protokolů: DNS (over TCP), FTP, HTTP, HTTPS a SMTP a čtyřech klientech v zemích, kde existuje státní cenzura: Čína, Indie, Írán a Kazachstán. Trénink probíhal na každém z pěti zmíněných protokolů, na kterém se výzkumníkům podařilo prokazatelně spustit cenzuru (pouze Čína cenzuruje všech pět protokolů), a celkem nalezli jedenáct strategií (plus čtyři specifické v případě Číny) k obejití cenzury.

Cenzura v případě HTTP je realizována například tak, že pokud požadavek obsahuje některé z cenzurovaných slov, cenzor vstoupí do spojení a zavře je (např. injektováním RST paketu oběma stranám). Jako první ukazují příklad Kazachstánu, kde se jim podařilo obejít HTTP cenzuru pomocí dvojitého neškodného požadavku GET.

Během standardního třícestného handshaku, kdy server na SYN paket odpovídá obvykle jedním SYN+ACK, odeslali tento paket dvakrát a k oběma přiložili jednoduchý a neškodný GET. Tím podle všeho nejspíš došlo ke zmatení cenzora v určování role, kdo je server a kdo klient. Protože kazašský cenzor necenzuruje požadavky toho, koho považuje za server (v tomto případě reálně klient), může tak v rámci tohoto spojení reálný klient komunikovat necenzurovaně.

Výzkumníci testovali mnoho platforem (různé verze Windows, Linux, Mac a mobilní zařízení) a ve většině případů tyto strategie zmatení cenzora neměly žádný negativní dopad na klientův systém.

Rozhodnutí Soudního dvora EU o uchovávání provozních dat

Soudní dvůr Evropské Unie v Lucemburku nedávno rozhodl, že vlády nesmí paušálně ukládat data o volání a používání internetu, tzv. data retention. To je v rozporu s nálezem českého Ústavního soudu z května 2019, který naopak sběr dat schválil.

Odůvodnění rozhodnutí shrnuje ve svém komentáři na blogu CZ.NIC Jaromír Novák, komentář z pohledu ISP připojuje i mluvčí ISP Aliance Rostislav Kocman. Téma podrobně rozebírá také Jan Cibulka z datového oddělení Českého rozhlasu v podcastu Vinohradská 12.

Neplaťte vyděračům

KrebsonSecurity upozorňuje, že platit za smazání ukradených dat je „střelený“ nápad. Řeč je o exfiltraci dat, která poslední dobou provází útoky ransomwaru, kdy útočník požaduje peníze nejen za zpřístupnění zašifrovaných dat, ale také za to, že nezveřejní citlivá data, která před útokem ransomware stáhl.

Samozřejmě, že oběť nemá žádnou jistotu, že útočník data smaže. A nový výzkum ukazuje, že slušný počet obětí najde svá citlivá data dostupná online i přesto, že zaplatily. Ve své zprávě na to upozornila společnost Coveware, která se specializuje na pomoc firmám napadeným ransomwarem. Podle této společnosti je nyní téměř polovina všech případů útoku ransomwarem spojená s výhrůžkou zveřejnění odcizených dat.

Coveware upozorňuje své zákazníky, že musí počítat s několika variantami. Data nebudou skutečně smazána a budou prodána nebo použita k dalšímu vydírání. Ukradená data ve skutečnosti drží několik hráčů zapojených do útoku a pokud zaplatí jednomu, tak ten v lepším případě smaže pouze jím drženou kopii a oběť může být v budoucnu vydírána někým jiným. Podle Coveware se také stává, že jsou data omylem či úmyslně zveřejněna ještě předtím, než oběť stihne reagovat na nabídku výpalného. Coveware také uvádí skupiny šířící ransomware, u kterých se zákazníci Coveware setkali s problémy.

Solarwinds ohrožuje tisíce organizací

Firma FireEye, která jako první zjistila, že se stala cílem dosud neznámého typu útoku, vyšetřuje útok typu supply chain, při kterém útočník označovaný jako UNC2452 distribuoval prostřednictvím softwarových updatů produktu SolarWinds Orion backdoor SUNBURST. Útok probíhal zhruba od března tohoto roku. Společnost FireEye informovala 33 000 zákazníků produktu, nicméně tvrdí, že zákazníků používajících verzi s backdoorem je méně než 18 000.

Společnosti FireEye, GoDaddy a Microsoft v tomto týdnu vytvořily „killswitch“ backdooru SUNBURST. Využily toho, že při resolvování domény avsvmcloud[.]com využívané backdoorem na určité rozsahy IP adres dojde k zablokování tohoto backdooru. Pokud však útočníci do dané sítě mezitím nainstalovali jiný backdoor, toto opatření na něj nebude mít vliv.

Pro správce systémů kritické informační infrastruktury významných informačních systémů nebo systémů základní služby vydal NÚKIB v souvislosti s touto kauzou také reaktivní opatření.