Hlavní navigace

Postřehy z bezpečnosti: PayPal chce, aby člověk byl heslem

20. 4. 2015
Doba čtení: 5 minut

Sdílet

V tomto díle Postřehů se podíváme na budoucnost autentizace podle PayPalu za pomoci podkožních implantátů a kapsulí, na chybu Safari postihující miliardu zařízení, nebezpečnosti anonymizačních routerů, jak DoubleClick šiřil malware, kritickou Microsoft chybu v HTTP stacku a mnoho dalšího.

Nevýhody hesla, nebo spíše lidského mozku, jakožto nepřesného, pomalého a zapomnětlivého chemického stroje, jsou známé. Ideálně bychom pro každou službu měli mít unikátní, velice komplikované heslo či frázi, a toho prostě není každý schopen, a tak většina lidí používá jedno či dvě hesla na vše. Toho hojně využívají kriminálníci rozesílající e-maily pod hlavičkou např. České Spořitelny, které vás odkáží na webovou stránku podobnou přihlášení do elektronického bankovnictví, kam běžný uživatel laskavě zadá své heslo. To samé heslo pak mohou útočníci vyzkoušet k jeho e-mailu, Facebooku, Twitteru, ale v podstatě úplně stačí e-mail, na který si pak mohou hesla ke všem ostatním službám nechat resetovat.

Jonathan Leblanc ze společnosti PayPal vidí budoucnost autentizace jinak. Nejedná se ani tak o scan oční duhovky, otisku prstů, či jiné biometrie, ale spíše o implantáty. Jeho prezentaci s názvem „Kill all Passwords“ můžete shlédnout na SlideShare.

Takový implantát funguje nejen jako token, jehož hlavní výhodou oproti ostatním je, že ho třikrát v týdnu nezapomenete doma, ale pomocí signatury vašeho těla vás dokáže jednoznačně identifikovat. Komunikovat s počítačem dokáže kapsule/implantát pomocí bezdrátového modulu nebo počítačového/elektronického tetování. V prezentaci se o tom nezmiňuje, ale další výhodou může být možnost výměny implantátu, pokud (jakoukoliv metodou) dojde k jeho prozrazení/nabourání, což v případě prozrazení otisku prstu jednoduše změnit nelze. Samozřejmě celý systém musí být bezpečně navržen a pečlivě testován.

Již v roce 1998 si Kevin Warwick nechal implantovat podkožní RFID chip, kterým pak ovládal dveře, světla, topení a jiné komponenty ve svém okolí. V roce 2002 se projekt posunul ještě dál a byl ve zkratce schopen na dálku ovládat robotickou ruku svojí myslí, protože měl již mozkový implantát a jeho nervový systém monitorovalo sto elektrod. Na jeho přednášce mě nejvíce překvapilo, že prý i cítí tlak vzdálené ruky svírající míček.

Chápu, že se jedná o poměrně kontroverzní téma a ne každý bude chtít ve svém těle nějakou kapsli, ale na druhou stranu si uvědomte, že tyto kapsle již dávno fungují ve zdravotnictví a pomáhají měřit dlouhodobé hodnoty krve, dávkovat léky, vyšetřit trávicí ústrojí, identifikovat nádor, detekovat zástavu srdce a okamžitě přivolat pomoc apod. Já osobně se považuji za transhumanistu, takže tuto cestu vítám, avšak chápu, že pro spoustu dalších je používání implantátu naprosto neakceptovatelné.

Naše postřehy

Jouko Pynnoen ze společnosti Klikki Oy objevil chybu (CVE-2015–1126), která je zneužitelná na „miliardě“ Apple zařízení. Cross-domain chyba zneužívá chyby prohlížeče Safari, je díky ní možné obejít restrikce cookies a pomocí speciálně upraveného webu je následně modifikovat. Tím je možné dostat se k aktuálním session cookie (přihlášení do webových služeb) a zneužít tuto informaci k ovládnutí vašich účtů. Ukázkovou adresou „ftp://user%40attacker.com%2Fex­ploit.html%23@apple.com/“ je tak možné dostat se ke cookie údajům platným pro doménu apple.com. Chybu si můžete sami vyzkoušet pomocí této testovací stránky. Oprava chyby již existuje, a tak je doporučeno ihned aktualizovat.

Bylo opět opraveno několik kritických, vzdáleně zneužitelných, chyb v Javě 5, 6, 7 a 8. Pro přesnost oprava existuje jen pro verze 7 a 8, protože starší se již neaktualizují. Toto je zároveň poslední aktualizace pro verzi 7, takže pokud opravdu potřebujete Javu (potřebujete?), tak aktualizujte rovnou na verzi 8.

Slyšeli jste už o projektech jako Anonabox, InvizBox či PORTAL project? Jedná se o malá zařízení, které připojíte do počítačové sítě a pomocí WiFi přes ně komunikujete do Internetu skrz Tor síť. I když by se mělo jednat o zařízení, která zvýší vaší anonymitu, tak se ve článku na Arstechnica rozebírá jak špatné to je s jejich bezpečností a jsou vlastně pro uživatele nebezpečnější, než kdejaký router. Základní hesla, přístup přes SSH, firewall, který propustí některé protokoly i přímo (mimo Tor síť) a nemožnost aktualizace firmwaru je jen počáteční výčet chyb řešení Anonabox. InvizBox už vypadá lépe, resp. se na něm podílel někdo, kdo má základní znalosti bezpečnosti linuxových systémů.

Reklamní službou Googlu – DoubleClickem – byl šířen flash malware skrývající se za reklamní kampaň Hugo Boss. Malware se snažil o stažení Cryptowallu na počítač oběti a po zašifrování disku dostat z oběti zaplacení poplatku. Kampaň odhalili výzkumníci Malwarebytes a v době útoku měl malware nulovou detekci na VirusTotal. Jen abyste svůj antivir, i když má v názvu něco jako Total Security, nepovažovali za všemocnou zbraň, protože dokáží detekovat jen cca 45% nového malwaru.

MS15–034 popisuje chybu v HTTP stacku Windows (HTTP.sys) umožnující způsobit DoS útok a teoreticky i spustit vzdáleně kód na serveru. Jedná se o GET požadavek se speciálně upravenou hlavičkou (Range: bytes = 2 – 18446744073709551615), která je sice platná dle RFC 2616, ale na Windows způsobuje BSOD.

Právník Matthew Campbell zastupuje tři informátory, kteří svědčí v případu zkorumpovaného policejního oddělení ve Fort Smith. Když přinesl prázdný pevný disk na stanici se žádostí o zkopírování důkazních materiálů ze systému policejní stanice, tak tam následně našel tři trojské koně, kteří dle něj měli ovládnout jeho počítač, aby tak policisté zapletení do tohoto případu měli přístup k jeho datům. Trojské koně byli zaměření na krádež dat a hesel, včetně ovládání z CnC serveru.

Redirect to SMB je 18 let stará chyba, kterou se Microsoft rozhodl neopravovat, protože to prý není tak kritické. Ve zkratce musí být útočník schopen MitM útoku a oběť být přesměrována na SMB share (file://), kam se systém automaticky pokusí přihlásit s běžícím účtem. SMB share kontrolovaný útočníkem pak získá (záleží na nastavení) username a hash hesla, který zkusí prolomit.

Botnet Simda, čítající na 770 000 strojů, byl za pomoci několika bezpečnostních složek několika států zničen organizovaným vypnutím čtrnácti CnC serverů ve stejnou dobu.

Ve zkratce

Pro pobavení

Testování chyby MS15–034 (klikněte pro spuštění animace).

root_podpora

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?