Členové skupiny AnonSec zveřejnili 276 GB dat ze serverů úřadu NASA. Data obsahují 631 videí z letadel a meteorologických radarů, 2143 záznamů o letech a záznamy 2141 zaměstnanců NASA včetně kontaktů a emailových adres.
Skupina vydala zpravodaj pod názvem Zine #OpNasaDrones, kde jsou tyto informace zveřejněné a kde je popsané (mimo jiné) co je z daných dat možné zjistit a co je k útoku a zveřejnění informací motivovalo. Tyto informace mají podle všech údajů díky infikování jednoho ze serverů virem Gozi a slabému heslu jednoho z SSH serverů, kde se pomocí odposlechu síťového provozu dostali k dalším informacím potřebným k infiltraci dále do sítě. Dostali se tak i k bezpečnostním kamerám, do sítí Glenn Research Center, Goddard Space Flight Center a Dryden Flight Research Center, ke třem NAS (Network Attached Storage) serverům (někde se uvádí diskům) plných dat o leteckých záznamech, které patřily zaměstnanci Eric Jensen. Výše zmíněná videa obsahovala i údaje o GPS souřadnicích letu, název dronu či model letadla a videozáznam letu.
Skupina se i přes nesoulad mnoha členů pokusila o zničení dronu NASA (GlobalHawk za 222 milionů dolarů). Dozvěděli se, že určité soubory s letovým plánem se ze serverů nahrávají do dronů před jejich odletem. Pozměnili tedy trasu tak, aby spadl do oceánu. V momentě, kdy se dron neřídil předem naplánovanou trasou, se však kontroly řízení ujal operátor NASA a pádu zabránil.
Dle skupiny byla hlavním důvodem zveřejnění těchto informací manipulace (geoengineering) NASA s počasím pomocí uvolňování jodidu stříbrného v horních vrstvách atmosféry. Skupina AnonSec upozornila i na několik patentů, které se přímo zabývají změnou počasí. Dost to připomíná velice zábavnou konspirační teorii o původu vzdušných čar, kterou vytvářejí letadla. Ano, poměrně chabý důvod. Zahrávání si s počasím, ať už to je špatný, či jen velice špatný nápad, není nic nového.
NASA jakýkoliv úspěšný průnik do jejich sítě, či změnu letového plánu drona odmítá. Upozornila, že spousta vystavených informací je veřejně dostupná, ale na druhou stranu už se nevyjádřila k několika hodinám záznamů, které na svých kanálech rozhodně nemají.
Naše postřehy
Již v minulých Postřezích se objevila zprávička, že VirtusTotal nově umožňuje analýzu BIOS/UEFI firmwaru. Mě osobně však tato zpráva natolik potěšila, že bych na ní chtěl více upozornit, protože antivirové programy vám proti této hrozbě, která je závažnější než kdejaký malware, moc nepomohou. Vemte si příkladem tento vzorek. Podle 56 antivirových programů se jedná o zcela normální program (detekce 0/56). Klikněte však na tab “File detail” a všimněte si, co to je za podezřelý, dokonce podepsaný, spustitelný soubor s názvem “NovoSecEngine2”. Ano, je to známý Lenovo rootkit!
Pobavila mě aktuální situace kolem bankovního malwaru Dridex, kdy neznámý dobrodinec zřejmě naboural servery distribující tento malware a soubor s malwarem nahradil antivirovým programem Avira. Pokud tedy uživatel otevře soubor, šířený některou z emailových kampaní Dridexu, tak se neinfikuje, ale nainstaluje si validní (podepsaný) Avira antivirus. Autoři Aviry popírají, že by s tím měli co do činění.
Na webu emgn[.]com se šířila scareware kampaň. Pod záminkou staré verze Flash přehrávače pobízela k instalaci nové, která však obsahovala malware. Cílem byli uživatelé Mac OS X, protože balíček byl podepsán validním Apple certifikátem vývojáře Maksima Noskova, který již figuroval v podobném případu před dvěma roky. Scareware spolu s validním Flash přehrávačem instaloval program na detekci problému, který samozřejmě v systému odhalil několik trojských koní, virů apod. a nabádal ke koupi programu, který je dokáže odstranit.
Google aktualizuje několik kritických chyb Androidu. Ta nejzávažnější postihuje Nexus zařízení (od buildu LMY49G dál) a konkrétněji jejich WiFi ovladač Broadcom (CVE-2016–0801 a CVE-2016–0802). Pomocí upravených kontrolních zpráv WiFi, je možné přepsat bloky paměti a spustit vzdálený kód. Není potřeba žádná interakce od uživatele, stačí jen být na stejné síti. Mimo to, se objevilo několik kritických chyb i v ovladači do Qualcomm, v Mediaserveru (obdoba Stagefright, CVE-2016–0803 a CVE-2016–0804), a mnoho dalších, takže určitě aktualizujte hned jak to jen bude možné.
Internetem se šířila zpráva o tom jak jednoduše deanonymizovat servery používající hidden služby sítě Tor. Jedná se však jen o nedodržení doporučení projektu Tor o nastavení serveru provozující hidden služby. Samozřejmě pokud máte zapnutý modul mod_status, tak to o vašem serveru může říct víc, než byste si přáli (počet požadavků, poslední požadavky, vytížení CPU, uptime, časovou zónu).
Socat, což je rapidně vylepšený netcat, upozorňuje, že v jejich kódu byla chyba, která při sestavování výměny klíčů pomocí Diffie-Hellman používá natvrdo zapsané 1024bit dlouhé prvočíslo, které vlastně není prvočíslem. Je tak možné dešifrovat komunikaci mezi klientem a serverem a dostat se ke klíči. Tento “bug” do projektu zavedl Zhiang Wang z Oraclu. Chyba je již opravena a používá se 2048bit dlouhé prvočíslo.
Minulý týden byla vydána oprava pro WordPress (4.4.2), umožnující (mimo jiné) SSRF přesměrování na jinou stránku, která využívala Nuclear exploit kit k šíření Teslacrypt ransomwaru. Malware infikoval každý javascript soubor svým kódem a není lehké se ho zbavit ze stránek. Není zatím jisté, zda oprava řeší problém úplně, protože přesný vektor útoku není znám.
Ve zkratce
Pro pobavení
Sophos prodává pěkná trička :)
„Dance like no one’s watching. Encrypt like everyone is.“
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
