Hlavní navigace

Postřehy z bezpečnosti: platíme účty cizí kreditní kartou

Martin Čmelík

V aktuálním díle Postřehů se podíváme na to jak si vytvořit cizí kartu a provádět s ní platby na jakémkoliv terminálu, na nekompetentnost inženýrů Dellu, audit TLS implementace od Amazonu, kdy přestaneme používat hesla, Reverse ATM útok ruské skupiny, DNS threat model Spike Rank a spoustu dalšího.

Samy Kamkar vymyslel a zkonstruoval zařízení, kterému říká MagSpoof. Celý příběh začal tím, že si všiml určité podobnosti číselné řady svých Amex (American Express) karet a pak navrhl algoritmus, který je schopen předpovídat budoucí číslo karty. K úspešnému útoku tedy stačí ukrást kartu a pak počkat, až majiteli dorazí nová. MagSpoof je schopen takovou kartu emulovat a provádět platby jako se skutečnou. Umí však nejen to. Je plně bezdrátový a to i v případě, že by prodejce měl terminál, kde je možné použít pouze magnetický pásek (to se dnes nevidí). MagSpoof totiž vytváří dostatečně silné pole na to, aby v tomto případě stačilo být jen několik centimetrů od čtecího zařízení, které si bude myslet, že jste kartou terminálem projeli.

Magnetický proužek nevyžaduje zadání PINu, ale obsahuje informaci o tom, jestli daná karta má i chip. Pokud ano, tak může být použití chipu a zadání PINu preferovanou volbou u prodejce, ale i to lze pomocí MagSafe obejít. Prostě tento údaj změní. To vše dokáže zařízení, které jste schopné sestavit sami za deset dolarů, protože kód (ano, schválně omezený) máte již na Githubu.

Detaily včetně ukázky můžete shlédnout na tomto videu

Naše postřehy

Není tomu tak dávno, co jsme psali o malwaru předinstalovaném na počítačích od Lenova a máme tu další podobný případ, tentokrát u konkurenční společnosti Dell. Nekompetentní inženýři Dellu přidali do systému nových notebooku vlastní certifikační autoritu eDellRoot, a to tak chytře, že k certifikační autoritě máte i privátní klíč přímo v systému! Útok je nasnadě. Stačí použít tu samou certifikační autoritu pro generování HTTPS certifikátů a vesele odposlouchávat veškerou komunikaci vlastníků těchto notebooků. Věc je však ještě horší, protože certifikační autorita se vám po jejím smazání po restartu opět přidá do systému. A už vůbec se nebudu zmiňovat o možnosti sledování uživatelů Dellu na každém webu pomocí unikátního servisního čísla zařízení. Hoši, děkujem.

Na blogu společnosti Perfect Privacy se objevila informace o “novém útoku”, kterému dali jméno Port Fail. Jsou tím postižena prý všechna spojení VPN a spousta poskytovatelů VPN. Musel jsem to číst vícekrát, abych se ujistil, že to opravdu myslí vážně. Tak si to trochu demystifikujme. Jedná se pouze o klientská VPN spojení, která mají “anonymizovat” klienty, kde je povolený port forwarding a výsledkem celého snažení je, že se dozvíte originální IP adresu uživatele. Přičemž musíte být připojeni s obětí na stejném VPN koncetrátoru a musíte mu podsunout odkaz, na který klikne, nebo používat klienta, který se standardně zkouší připojit na klienty v lokální síti. Když se trochu zamyslíte, přijdete na spoustu závažnějších věci, protože všeobecně řečeno port forwarding (obvykle povolen na SSH…) vám otevře přístup všude tam, kam ho má daný server či koncentrátor. Takže naprosto nic nového pod sluncem. Pokud by vás tato problematika zajímala a chtěli byste si sami vyzkoušet zpřístupnění vnitřní sítě serveru pomocí pár vlastních scriptů, dobrým začátkem mohou být webové servery. Některé z nich povolují metodu connect.

Koncem června Amazon oznámil uvolnění open source implementace TLS protokolu pod názvem S2N (Signal to Noise). Ze 70 000 řádků v implementaci OpenSSL se dostali na pouhých 6000 řádků i tím, že odstranili parametry TLS, které se prakticky nepoužívají. Díky tomu je tato implementace rychlejší, méně náročná na prostředky a lepe auditovatelná. Ačkoliv dle vývojářů prošel kód s2n třemi bezpečnostními audity, tak během pěti dnů profesor Kenny Paterson (jeden z autorů Lucky 13) a jeho kolega Martin Albrecht zjistili, že je kód náchylný k útoku Lucky 13. Zákazníci Amazonu se nemusí bát, protože daná verze nebyla nikdy použita v produkci, ale rád bych zdůraznil, že kód prošel třemi audity a i tak chyba nebyla odhalena. Já jsem také používal (legálně) komerční nástroj pro statickou analýzu bezpečnosti kódu. Raději nebudu zveřejňovat jméno, ale jen licence stála několik milionů korun. Nicméně zkusil jsem analyzovat známou chybu v určité verzi Apache a Nginxu. Ačkoliv jsem přesně věděl, kde se chyba v kódu nalézá a jak k ní dochází, tak mě tento program na ni ani vzdáleně neupozornil. Nespoléhejte se tedy jen na to. Raději vyškolte vaše vývojaře na bezpečné psaní kódu a svěřte audit odborníkům v dané oblasti (to bývají ti, co publikují). Aplikaci i tak omezte volání na minimum a uzavřete ji ve vlastním kontejneru.

Další zajímavý článek je o aktuálním trendu dát konečně sbohem heslům jakožto nejhoršímu způsobu autentizace a kam asi směřují budoucí technologie. Já osobně bych se konečně rád dočkal autentizace pomocí otisku prstu na mobilu (Touch ID), který by takto vyřizoval požadavky aplikací běžících na počítači komunikující s mobilem přes API a Bluetooth. Pokud byste někdo věděl, že na tom už někdo pracuje, tak dejte, prosím, vědět do komentářů.

Ruská skupina byla za pomoci platebních terminálů v Americe a České republice schopna ukrást téměř čtyři miliony dolarů útokem označovaným jako „Reverse ATM“. Útok spočíval v tom, že několik bílých koní vkládalo pomocí bankomatů na ruské účty tisíce rublů a ihned poté transakci zrušili a vybrali peníze zpět. Poté údaje ze stvrzenky (číslo účtu, kód transakce, zrušená částka apod.) poslali ostatním členům skupiny, kteří pomocí tisíců ovládnutých platebních terminálů zrušili předchozí zrušení. Už se v tom motáte? Díky nedodržení ověřovacích postupů společností VISA a MasterCard, byli schopni u některých bank získat z bankomatu všechny bankovky, aniž by systému chyběly.

Thomas Mathew a Dhia Mahjoub (OpenDNS / Cisco) na konferenci BruCON představili nový threat model, kterému říkají Spike Rank (SPRank). Předchozí modely se hodně zaměřovaly na historická data o neposlušnosti dané domény, či adresního bloku. Což je poměrně nefér, když dostanete IP blok na kterém se dříve hojně hostoval malware, tak můžete mít problémy s přístupy a typicky se vůči tomuto bloku provádí více útoků. SPRank analyzuje DNS dotazy 65 milionů zákazníků OpenDNS a hledá v něm vzory, aby odhalil na jaké doméně se začal šířit nový malware, exploit kit, spam, phishing, amplification útoky apod. Jsou díky tomu schopni sledovat aktuálně probíhající kampaně Angleru, RIGu a Nuclear Exploit kitu.

Ve zkratce

Pro pobavení

Patch Management :)

(klikněte na obrázek pro spuštění animace)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

30. 11. 2015 16:12

jc (neregistrovaný)

Radeji menit hesla - nez otisky prstu.

23. 12. 2015 14:07

ubnt (neregistrovaný)

Podle náhodného hesla se uživatel identifikovat nedá. Podle jeho vlastního otisku prstu ano.

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Flix TV: dva set-top boxy za korunu

Flix TV: dva set-top boxy za korunu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Měšec.cz: Stavební spoření: alternativa i pro seniory

Stavební spoření: alternativa i pro seniory

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?