Hlavní navigace

Postřehy z bezpečnosti: platíme účty cizí kreditní kartou

30. 11. 2015
Doba čtení: 5 minut

Sdílet

V aktuálním díle Postřehů se podíváme na to jak si vytvořit cizí kartu a provádět s ní platby na jakémkoliv terminálu, na nekompetentnost inženýrů Dellu, audit TLS implementace od Amazonu, kdy přestaneme používat hesla, Reverse ATM útok ruské skupiny, DNS threat model Spike Rank a spoustu dalšího.

Samy Kamkar vymyslel a zkonstruoval zařízení, kterému říká MagSpoof. Celý příběh začal tím, že si všiml určité podobnosti číselné řady svých Amex (American Express) karet a pak navrhl algoritmus, který je schopen předpovídat budoucí číslo karty. K úspešnému útoku tedy stačí ukrást kartu a pak počkat, až majiteli dorazí nová. MagSpoof je schopen takovou kartu emulovat a provádět platby jako se skutečnou. Umí však nejen to. Je plně bezdrátový a to i v případě, že by prodejce měl terminál, kde je možné použít pouze magnetický pásek (to se dnes nevidí). MagSpoof totiž vytváří dostatečně silné pole na to, aby v tomto případě stačilo být jen několik centimetrů od čtecího zařízení, které si bude myslet, že jste kartou terminálem projeli.

Magnetický proužek nevyžaduje zadání PINu, ale obsahuje informaci o tom, jestli daná karta má i chip. Pokud ano, tak může být použití chipu a zadání PINu preferovanou volbou u prodejce, ale i to lze pomocí MagSafe obejít. Prostě tento údaj změní. To vše dokáže zařízení, které jste schopné sestavit sami za deset dolarů, protože kód (ano, schválně omezený) máte již na Githubu.

Detaily včetně ukázky můžete shlédnout na tomto videu

Naše postřehy

Není tomu tak dávno, co jsme psali o malwaru předinstalovaném na počítačích od Lenova a máme tu další podobný případ, tentokrát u konkurenční společnosti Dell. Nekompetentní inženýři Dellu přidali do systému nových notebooku vlastní certifikační autoritu eDellRoot, a to tak chytře, že k certifikační autoritě máte i privátní klíč přímo v systému! Útok je nasnadě. Stačí použít tu samou certifikační autoritu pro generování HTTPS certifikátů a vesele odposlouchávat veškerou komunikaci vlastníků těchto notebooků. Věc je však ještě horší, protože certifikační autorita se vám po jejím smazání po restartu opět přidá do systému. A už vůbec se nebudu zmiňovat o možnosti sledování uživatelů Dellu na každém webu pomocí unikátního servisního čísla zařízení. Hoši, děkujem.

Na blogu společnosti Perfect Privacy se objevila informace o “novém útoku”, kterému dali jméno Port Fail. Jsou tím postižena prý všechna spojení VPN a spousta poskytovatelů VPN. Musel jsem to číst vícekrát, abych se ujistil, že to opravdu myslí vážně. Tak si to trochu demystifikujme. Jedná se pouze o klientská VPN spojení, která mají “anonymizovat” klienty, kde je povolený port forwarding a výsledkem celého snažení je, že se dozvíte originální IP adresu uživatele. Přičemž musíte být připojeni s obětí na stejném VPN koncetrátoru a musíte mu podsunout odkaz, na který klikne, nebo používat klienta, který se standardně zkouší připojit na klienty v lokální síti. Když se trochu zamyslíte, přijdete na spoustu závažnějších věci, protože všeobecně řečeno port forwarding (obvykle povolen na SSH…) vám otevře přístup všude tam, kam ho má daný server či koncentrátor. Takže naprosto nic nového pod sluncem. Pokud by vás tato problematika zajímala a chtěli byste si sami vyzkoušet zpřístupnění vnitřní sítě serveru pomocí pár vlastních scriptů, dobrým začátkem mohou být webové servery. Některé z nich povolují metodu connect.

Koncem června Amazon oznámil uvolnění open source implementace TLS protokolu pod názvem S2N (Signal to Noise). Ze 70 000 řádků v implementaci OpenSSL se dostali na pouhých 6000 řádků i tím, že odstranili parametry TLS, které se prakticky nepoužívají. Díky tomu je tato implementace rychlejší, méně náročná na prostředky a lepe auditovatelná. Ačkoliv dle vývojářů prošel kód s2n třemi bezpečnostními audity, tak během pěti dnů profesor Kenny Paterson (jeden z autorů Lucky 13) a jeho kolega Martin Albrecht zjistili, že je kód náchylný k útoku Lucky 13. Zákazníci Amazonu se nemusí bát, protože daná verze nebyla nikdy použita v produkci, ale rád bych zdůraznil, že kód prošel třemi audity a i tak chyba nebyla odhalena. Já jsem také používal (legálně) komerční nástroj pro statickou analýzu bezpečnosti kódu. Raději nebudu zveřejňovat jméno, ale jen licence stála několik milionů korun. Nicméně zkusil jsem analyzovat známou chybu v určité verzi Apache a Nginxu. Ačkoliv jsem přesně věděl, kde se chyba v kódu nalézá a jak k ní dochází, tak mě tento program na ni ani vzdáleně neupozornil. Nespoléhejte se tedy jen na to. Raději vyškolte vaše vývojaře na bezpečné psaní kódu a svěřte audit odborníkům v dané oblasti (to bývají ti, co publikují). Aplikaci i tak omezte volání na minimum a uzavřete ji ve vlastním kontejneru.

Další zajímavý článek je o aktuálním trendu dát konečně sbohem heslům jakožto nejhoršímu způsobu autentizace a kam asi směřují budoucí technologie. Já osobně bych se konečně rád dočkal autentizace pomocí otisku prstu na mobilu (Touch ID), který by takto vyřizoval požadavky aplikací běžících na počítači komunikující s mobilem přes API a Bluetooth. Pokud byste někdo věděl, že na tom už někdo pracuje, tak dejte, prosím, vědět do komentářů.

Ruská skupina byla za pomoci platebních terminálů v Americe a České republice schopna ukrást téměř čtyři miliony dolarů útokem označovaným jako „Reverse ATM“. Útok spočíval v tom, že několik bílých koní vkládalo pomocí bankomatů na ruské účty tisíce rublů a ihned poté transakci zrušili a vybrali peníze zpět. Poté údaje ze stvrzenky (číslo účtu, kód transakce, zrušená částka apod.) poslali ostatním členům skupiny, kteří pomocí tisíců ovládnutých platebních terminálů zrušili předchozí zrušení. Už se v tom motáte? Díky nedodržení ověřovacích postupů společností VISA a MasterCard, byli schopni u některých bank získat z bankomatu všechny bankovky, aniž by systému chyběly.

Thomas Mathew a Dhia Mahjoub (OpenDNS / Cisco) na konferenci BruCON představili nový threat model, kterému říkají Spike Rank (SPRank). Předchozí modely se hodně zaměřovaly na historická data o neposlušnosti dané domény, či adresního bloku. Což je poměrně nefér, když dostanete IP blok na kterém se dříve hojně hostoval malware, tak můžete mít problémy s přístupy a typicky se vůči tomuto bloku provádí více útoků. SPRank analyzuje DNS dotazy 65 milionů zákazníků OpenDNS a hledá v něm vzory, aby odhalil na jaké doméně se začal šířit nový malware, exploit kit, spam, phishing, amplification útoky apod. Jsou díky tomu schopni sledovat aktuálně probíhající kampaně Angleru, RIGu a Nuclear Exploit kitu.

CS24 tip temata

Ve zkratce

Pro pobavení

Patch Management :)

(klikněte na obrázek pro spuštění animace)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Security Architect, šéfredaktor serveru Security-Portal.cz, spoluorganizátor konference Security Session a hlavní vývojář distribuce Securix GNU/Linux.