Hlavní navigace

Postřehy z bezpečnosti: podivný příběh s dobrým koncem

Pavel Bašta 8. 6. 2015

V dnešním díle postřehů si povíme zvláštní příběh ransomwaru Locker, jehož autor přešel z temné Strany síly na její světlejší variantu, podíváme se na údajný hack s pomocí obrázku, na chybu Skype, nový podvod na Facebooku a jednu chvályhodnou aktivitu Facebooku a řekneme si o jednom překvapení od Microsoftu.

Toto je trochu podivný příběh. Žil, byl jeden zlý Hax0r, který připravil nový ransomware a pravděpodobně pomocí exploit kitů, ačkoliv se spekuluje i o kompromitovaných instalačních souborech Minecraftu, infikoval počítače nic netušících uživatelů. Ti o problémech svých počítačů neměli ani zdání a to až do půlnoci 25. května tohoto roku, kdy se ransomware, pojmenovaný svým tvůrcem Locker, jal šifrovat jejich důležité soubory s koncovkami .doc, .docx, .xlsx, .ppt, .wmdb, .ai, .jpg, .psd, .nef, .odf, .raw, .pem, .rtf, .raf, .dbf, .header, .wmdb, .odb, .dbf a řadou dalších. Pokud chtěl uživatel svá data zpět, musel zaplatit poplatek ve výši 0.1 bitcoinu. Pokud tak neučinil do 72 hodin, byl poplatek navýšen na 1bitcoin.

Není známo, kolik uživatelů poplatek zaplatilo. Nicméně údajný autor tohoto malware vydal 30. května na serveru pastebin omluvný text, ve kterém mimo jiné píše, že to vlastně nikdy udělat nechtěl. Kromě toho publikoval údajně kompletní databázi privátních klíčů používaných tímto ransomware. Navrch přidal slib, že uživatelům, kteří dosud samotný ransomware z počítače neodstranili, budou 2. června automaticky dešifrovány všechny zašifrované soubory. To se podle informací od samotných uživatelů také stalo. Po dešifrování se pak ještě objevil omluvný text a vzkaz „Be good to the world and don't forget to smile.“

Avšak ani uživatelé, kteří již infekci odstranili, nejsou ztraceni. Uživatel s přezdívkou Nathan vytvořil, s pomocí autorem zveřejněné databáze klíčů, nástroj pro opětovné dešifrování souborů.

Jedinou nezodpovězenou otázkou v tomto příběhu zůstává, proč se autor ransomware k tomuto kroku odhodlal. Spekulace se různí, někteří se domnívají, že už získal dost peněz, nebo že se tímto krokem chce vyhnout dopadení ze strany vyšetřovatelů či jiného zločineckého gangu. Dost možná si někdo pouze testoval, co dokáže. Každopádně je to dost neobvyklý příběh, pro mnoho uživatelů naštěstí s dobrým koncem.

Naše postřehy

Minulý týden přineslo několik serverů informaci o konferenci Hack In The Box v Amsterdamu, na níž byl prezentován údajný útok provedený pouze s pomocí obrázku. V prezentaci pojmenované „Stegosploit: Hacking With Pictures“ prezentoval její autor novou techniku, která údajně umožňuje skrýt „nebezpečný kód“ do obrázku a následně jej pomocí HTML5 elementu Canvas spustit. Jak nicméně upozornil Christian Bundy, vše je možná jinak. Při útoku byl spouštěn pouze javascript, což na celou věc vrhá úplně jiné světlo. Jak to celé je, to se nejspíš s jistotou dozvíme teprve, až bude zveřejněn proof-of-concept.

V USA došlo k úniku informací o čtyřech milionech federálních zaměstnanců. Na útok se přišlo již v dubnu, ale veřejnost o něm byla informována až v uplynulém týdnu. Zajímavé je, že USA celkem bez skrupulí označili za pravděpodobného původce incidentu Čínu, což by buď naznačovalo, že mají opravdu silné důkazy, nebo že kolem celé události a jejího vyšetřování panuje trochu chaos. Otázkou je, k čemu všemu bude možné data zneužít, zda například k vydírání státních zaměstnanců cizími mocnostmi, jak spekulují některá média, či třeba k spear phishingovým útokům.

V posledním díle postřehů jsme informovali o chybě v IOS, díky které bylo možné restartovat zařízení na dálku posláním určitých arabských znaků. Minulý týden bylo pro změnu v aplikaci Skype hitem zasílání zpráv obsahujících znaky „http://:“, které u příjemce způsobily nekonečnou smyčku pádů této aplikace. Nepomáhalo ani smazání historie zpráv, neboť Skype si zprávu po přihlášení znovu načetl ze serveru.

Nový podvod na Facebooku vyhrožuje vypnutím účtu kvůli údajné stížnosti na jeho zneužití. Ke zprávě je připojen odkaz na stránku, která má umožnit obnovení účtu. Tam je uživatel vyzván k zadání jména a hesla a následně je ještě přesměrován na stránku vyžadující jeho jméno, detaily platební karty a fakturační adresu. Nejedná se o jediný problém uživatelů Facebooku oznámený minulý týden. Aplikace „UnfriendAlert“, která má informovat uživatele, pokud si jej někdo odebere z přátel, odesílá podle analýzy společnosti Malwarebytes přihlašovací údaje k uživatelskému účtu na server yougotunfriended.com.

Společnost Facebook oznámila, že bude nově posílat citlivá data, jako jsou e-mail s odkazem na resetování hesla nebo jiné notifikace, šifrované pomocí PGP klíčů. Pokud si tedy toto šifrování nastavíte, nebude potenciální útočník schopen získat přístup do vašeho facebookového účtu ani v případě, že se mu podaří získat přístup do vaší e-mailové schránky.

Jednou těžko uvěřitelnou zprávou jsme dnes začali, tak proč se ve stejném duchu i nerozloučit. Věřte či ne, ale příští verze Windows PowerShell přinese do Windows klienta i server OpenSSH.

Ve zkratce

Pro pobavení

Tohle turné si nenechte ujít. VIP místa jsou k dispozici pouze pro administrátory.

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

8. 6. 2015 12:26

"Nepomáhalo ani smazání historie zpráv, neboť Skype si zprávu po přihlášení znovu načetl ze serveru."

Máte predstavu co všechno ta je?
Zvlášť když je skype tak oblíbený v podnikové sfére.


8. 6. 2015 12:29

Petr M (neregistrovaný)

Hmm, tak jestli je tam tolik dat a takový banální chyby, tak první pokus o SQLI budecelkem zajímavý...

Podnikatel.cz: Platební brány a EET? Stále s otazníkem

Platební brány a EET? Stále s otazníkem

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase