Hlavní navigace

Postřehy z bezpečnosti: Poodle v TLS kabátku

Martin Čmelík 15. 12. 2014

V dnešním díle Postřehů se podíváme na novou odnož chyby Poodle, kterou je možné využít i bez SSLv3, hacking chytrých hodinek, nový modul rodiny APT s názvem Penquin Turla, návrat APT RedOctober, code execution díky Bitlockeru, OWASP meeting, malware podepsaný certifikátem Sony a spoustu dalšího.

Přibližně před dvěma měsíci se rozšířila zpráva o chybě Poodle vyskytující se v protokolu SSLv3, pomocí které je možné dostat se k obsahu šifrované komunikace – především ke jménům a heslům, session cookie a čemukoliv jinému, co by mohlo být pro útočníka zajímavé.

Ivan Ristic, známý bezpečnostní odborník, který vydal např. knihu Bulletproof SSL and TLS, na svém blogu oznámil, že při špatné implementaci TLS protokolu, který je jinak velice striktní a není na něj známá žádná bezpečnostní chyba, je možné využít Poodle i při absenci SSLv3. Objevení chyby jako takové, nebo spíše na její poukázání je připisováno Brianu Smithovi. Využití chyby je přitom jednodušší, protože není potřeba snížit komunikaci na SSLv3, ale klidně můžete použít TLS 1.2. Útočným JavaScriptem je pak možné pomocí 256 dotazů získat jeden znak hodnoty cookie, případně pak pomocí 4096 dotazů 16 znaků.

Známý nástroj SSL Labs test, na jehož vývoji se Ivan Ristic podílí, je schopný tuto (a i ostatní známé) chybu na cílovém serveru rozpoznat a ihned tím tak ohodnotí server známkou F.

Touto chybou byly postiženy velké banky jako Bank of America, HSBC, Suntrust, Citibank, některé investiční skupiny a samozřejmě stovky tisíc dalších webů. Podle odhadů se jedná o 10 % webů.

Nejznámějším postiženým produktem je load balancer společnosti F5. Hotfix již existuje, ale bude nějakou chvilku trvat, než se aplikuje všude. Společnost F5 je lídrem v oblasti load balancerů a velká část (jestli ne většina) velkých společností používá jejich produkty. Především pak LTMGTM, které lze plně ovládat z terminálu pomocí TM shellu, což uvítají především správci těchto zařízení.

Naše postřehy

Protože jsou chytré hodinky na vzestupu, tak se o ně začínají více zajímat útočníci a naštěstí i bezpečnostní firmy. Kamenem úrazu je pokus o šifrovanou komunikaci mezi zařízeními přes Bluetooth, která očividně není vždy dobře navržená. Výzkumníci rumunské společnosti Bitdefender tak byli schopni pomocí běžných nástrojů provést brute-force útok na PIN párující hodinky Samsung Gear Live a Google Nexus 4, aby pak již byli schopni odchytnout veškeré SMS zprávy, Facebook updaty, chatovou komunikaci apod. Většina nových technologií se bohužel od počátku nevyvíjí s ohledem na bezpečnost.

Byla objevena další část skládačky malwaru Turla, jeden z nejpokročilejších APT malwaru. Jedná se o modul, který cílí na linuxové operační systémy, proto se mu přezdívá Penquin Turla. Předpokládá se, že tento modul existuje již několik let a nebyl do této doby nikým identifikován. Je napsaný v C/C++ a je schopen skryté síťové komunikace, přijímání příkazů a vzdáleného managementu. C&C server běžel na doméně news-bbc.podzone.org. Použitý backdoor je založen na PoC kódu cd00r, který čeká na řetězec v síťové komunikaci, indikující příkaz, který spustí.

K dalším novinkám patří comeback APT RedOctober. Během analýzy cílených útoků se výzkumníci společnosti Kaspersky dostali k zajímavým dokumentům, které při spuštění, oproti běžným zvyklostem, využily chyby MS Office a neuložily na disk dropper, nebo backdoor, ale místo toho se uložil zašifrovaný Visual Basic script. Ten po spuštění vygeneroval šifrovaný malware a klíč k němu. Byl použit polymorfní kód, a tak se jednalo o unikátní soubor i klíč na každém infikovaném zařízení. C&C server byl na cloudové službě cloudme.com. Nepředpokládá se, že by útočníci provozovali tuto službu, jen prostě založili několik bezplatných účtů a využili infrastrukturu této služby.

Pro milovníky tématu doporučuji zprávu společnosti Kaspersky o vývoji malwaru. Určitě stojí za přečtení.

Pokud máte šifrovaný disk pomocí Bitlockeru od Microsoftu, tak tím máte vyřešenou fyzickou bezpečnost. Nikdo se nedostane k datům, ani není schopen např. modifikováním dat na disku spustit kód pod systémovým oprávněním, správně? Nebo že by spuštění kódu bylo přeci jen možné?

OWASP Czech Republic local chapter meeting. Ve čtvrtek 18. prosince (od 15:30 do 20:00 v posluchárně 309 v budově Fakulty elektrotechnické ČVUT) proběhne konference na téma IT bezpečnosti pořádaná českou pobočkou mezinárodní neziskové organizace zaměřující se na bezpečnost v IT – OWASP Czech Republic. Na konferenci na půdě pražského ČVUT vystoupí zahraniční bezpečnostní experti Dr. Mario Heiderich a Nicolas Gregoire, i zástupce OWASP Czech Republic Jan Kopecký.

Během útoku na společnost Sony, byly očividně odcizeny i certifikáty pro podepisování programů/kódů (code-signing), protože malware Destover, použitý během útoku na Sony, měl právě tímto certifikátem podepsaný kód. Kód byl podepsaný 5. prosince a je identický se vzorkem známým již z července. Tento kód se tak mohl dostat i na systémy, které používaly např. aplikační whitelisting, protože se tím jednalo o důvěryhodný program.

Cryptelo je nová česká služba cílící na vysokou bezpečnost uložených dat v cloudovém prostředí. Jedním ze členů je i Vlastimil Klíma a podle standardů NSA jejich řešení dosahuje úrovně pro data s klasifikací Top Secret.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

15. 12. 2014 8:48

Díky, opraveno. Nahoře pod perexem je tlačítko pro hlášení podobných chyb.

16. 12. 2014 19:29

Komo (neregistrovaný)

Z pracovneho prostredia - platia sa velke prachy za support pre Cisco a Checkpoint support je z network environmentu jeden z najdrahsich a level supportu tiez nic moc :)

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Vitalia.cz: Často čůrá a má žízeň? Příznaky dětské cukrovky

Často čůrá a má žízeň? Příznaky dětské cukrovky

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel