Hlavní navigace

Postřehy z bezpečnosti: PayPal chce, aby člověk byl heslem

Martin Čmelík 20. 4. 2015

V tomto díle Postřehů se podíváme na budoucnost autentizace podle PayPalu za pomoci podkožních implantátů a kapsulí, na chybu Safari postihující miliardu zařízení, nebezpečnosti anonymizačních routerů, jak DoubleClick šiřil malware, kritickou Microsoft chybu v HTTP stacku a mnoho dalšího.

Nevýhody hesla, nebo spíše lidského mozku, jakožto nepřesného, pomalého a zapomnětlivého chemického stroje, jsou známé. Ideálně bychom pro každou službu měli mít unikátní, velice komplikované heslo či frázi, a toho prostě není každý schopen, a tak většina lidí používá jedno či dvě hesla na vše. Toho hojně využívají kriminálníci rozesílající e-maily pod hlavičkou např. České Spořitelny, které vás odkáží na webovou stránku podobnou přihlášení do elektronického bankovnictví, kam běžný uživatel laskavě zadá své heslo. To samé heslo pak mohou útočníci vyzkoušet k jeho e-mailu, Facebooku, Twitteru, ale v podstatě úplně stačí e-mail, na který si pak mohou hesla ke všem ostatním službám nechat resetovat.

Jonathan Leblanc ze společnosti PayPal vidí budoucnost autentizace jinak. Nejedná se ani tak o scan oční duhovky, otisku prstů, či jiné biometrie, ale spíše o implantáty. Jeho prezentaci s názvem „Kill all Passwords“ můžete shlédnout na SlideShare.

Takový implantát funguje nejen jako token, jehož hlavní výhodou oproti ostatním je, že ho třikrát v týdnu nezapomenete doma, ale pomocí signatury vašeho těla vás dokáže jednoznačně identifikovat. Komunikovat s počítačem dokáže kapsule/implantát pomocí bezdrátového modulu nebo počítačového/elektronického tetování. V prezentaci se o tom nezmiňuje, ale další výhodou může být možnost výměny implantátu, pokud (jakoukoliv metodou) dojde k jeho prozrazení/nabourání, což v případě prozrazení otisku prstu jednoduše změnit nelze. Samozřejmě celý systém musí být bezpečně navržen a pečlivě testován.

Již v roce 1998 si Kevin Warwick nechal implantovat podkožní RFID chip, kterým pak ovládal dveře, světla, topení a jiné komponenty ve svém okolí. V roce 2002 se projekt posunul ještě dál a byl ve zkratce schopen na dálku ovládat robotickou ruku svojí myslí, protože měl již mozkový implantát a jeho nervový systém monitorovalo sto elektrod. Na jeho přednášce mě nejvíce překvapilo, že prý i cítí tlak vzdálené ruky svírající míček.

Chápu, že se jedná o poměrně kontroverzní téma a ne každý bude chtít ve svém těle nějakou kapsli, ale na druhou stranu si uvědomte, že tyto kapsle již dávno fungují ve zdravotnictví a pomáhají měřit dlouhodobé hodnoty krve, dávkovat léky, vyšetřit trávicí ústrojí, identifikovat nádor, detekovat zástavu srdce a okamžitě přivolat pomoc apod. Já osobně se považuji za transhumanistu, takže tuto cestu vítám, avšak chápu, že pro spoustu dalších je používání implantátu naprosto neakceptovatelné.

Naše postřehy

Jouko Pynnoen ze společnosti Klikki Oy objevil chybu (CVE-2015–1126), která je zneužitelná na „miliardě“ Apple zařízení. Cross-domain chyba zneužívá chyby prohlížeče Safari, je díky ní možné obejít restrikce cookies a pomocí speciálně upraveného webu je následně modifikovat. Tím je možné dostat se k aktuálním session cookie (přihlášení do webových služeb) a zneužít tuto informaci k ovládnutí vašich účtů. Ukázkovou adresou „ftp://user%40attacker.com%2Fex­ploit.html%23@apple.com/“ je tak možné dostat se ke cookie údajům platným pro doménu apple.com. Chybu si můžete sami vyzkoušet pomocí této testovací stránky. Oprava chyby již existuje, a tak je doporučeno ihned aktualizovat.

Bylo opět opraveno několik kritických, vzdáleně zneužitelných, chyb v Javě 5, 6, 7 a 8. Pro přesnost oprava existuje jen pro verze 7 a 8, protože starší se již neaktualizují. Toto je zároveň poslední aktualizace pro verzi 7, takže pokud opravdu potřebujete Javu (potřebujete?), tak aktualizujte rovnou na verzi 8.

Slyšeli jste už o projektech jako Anonabox, InvizBox či PORTAL project? Jedná se o malá zařízení, které připojíte do počítačové sítě a pomocí WiFi přes ně komunikujete do Internetu skrz Tor síť. I když by se mělo jednat o zařízení, která zvýší vaší anonymitu, tak se ve článku na Arstechnica rozebírá jak špatné to je s jejich bezpečností a jsou vlastně pro uživatele nebezpečnější, než kdejaký router. Základní hesla, přístup přes SSH, firewall, který propustí některé protokoly i přímo (mimo Tor síť) a nemožnost aktualizace firmwaru je jen počáteční výčet chyb řešení Anonabox. InvizBox už vypadá lépe, resp. se na něm podílel někdo, kdo má základní znalosti bezpečnosti linuxových systémů.

Reklamní službou Googlu – DoubleClickem – byl šířen flash malware skrývající se za reklamní kampaň Hugo Boss. Malware se snažil o stažení Cryptowallu na počítač oběti a po zašifrování disku dostat z oběti zaplacení poplatku. Kampaň odhalili výzkumníci Malwarebytes a v době útoku měl malware nulovou detekci na VirusTotal. Jen abyste svůj antivir, i když má v názvu něco jako Total Security, nepovažovali za všemocnou zbraň, protože dokáží detekovat jen cca 45% nového malwaru.

MS15–034 popisuje chybu v HTTP stacku Windows (HTTP.sys) umožnující způsobit DoS útok a teoreticky i spustit vzdáleně kód na serveru. Jedná se o GET požadavek se speciálně upravenou hlavičkou (Range: bytes = 2 – 18446744073709551615), která je sice platná dle RFC 2616, ale na Windows způsobuje BSOD.

Právník Matthew Campbell zastupuje tři informátory, kteří svědčí v případu zkorumpovaného policejního oddělení ve Fort Smith. Když přinesl prázdný pevný disk na stanici se žádostí o zkopírování důkazních materiálů ze systému policejní stanice, tak tam následně našel tři trojské koně, kteří dle něj měli ovládnout jeho počítač, aby tak policisté zapletení do tohoto případu měli přístup k jeho datům. Trojské koně byli zaměření na krádež dat a hesel, včetně ovládání z CnC serveru.

Redirect to SMB je 18 let stará chyba, kterou se Microsoft rozhodl neopravovat, protože to prý není tak kritické. Ve zkratce musí být útočník schopen MitM útoku a oběť být přesměrována na SMB share (file://), kam se systém automaticky pokusí přihlásit s běžícím účtem. SMB share kontrolovaný útočníkem pak získá (záleží na nastavení) username a hash hesla, který zkusí prolomit.

Botnet Simda, čítající na 770 000 strojů, byl za pomoci několika bezpečnostních složek několika států zničen organizovaným vypnutím čtrnácti CnC serverů ve stejnou dobu.

Ve zkratce

Pro pobavení

Testování chyby MS15–034 (klikněte pro spuštění animace).

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

21. 4. 2015 20:35

Obavam se, ze mas chybu hned ve dvou zakladnich premisach
- klicova informace je v RFID menitelna
- muze se pouzivat trebas challenge/response, takze cteni na dalku zadna vyhra neni

Myslim, ze je tady na miste opatrnost, ale tvoje kritika miri nejspis dost mimo.



23. 4. 2015 13:39

Hellraiser (neregistrovaný)

No jo, koukam ze se tokeny nechaji i programovat.
Uznavam svou chybu.

Ale pochybuju, ze se do pasivniho tokenu necha nacpat nejaky poradny sifrovani (jestli neco takovyho existuje).Takze se da predpokladat ze pri rozsireni tohoto zabezpeceni se rozsiri i nastroje na rychle desifrovani (stejne jako napr. kodovani dvd, wep sifrovani, wps, atd.).

BTW. Kdyz lidi tolik rvou kvuli zareni z mobilu, tak si urcite poridi jeste RFID ctecku, ktera ma podobny vykon (Dobre na ruznych frekvencich jsou ruzne…


Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí