Hlavní navigace

Postřehy z bezpečnosti: přeházená písmenka

8. 11. 2021
Doba čtení: 3 minuty

Sdílet

 Autor: Pixabay
Dnes si trochu přeházíme písmenka ve zdrojovém kódu, pořídíme si draze novou kryptoměnu, přestaneme s Facebookem poznávat na fotkách kamarády a obligátně zmíníme nějaké ty chyby a uniklá data.

Od dob Unicode už WYSIWYG není co býval ani u obyčejných textových souborů – jako jsou kupříkladu zdrojové kódy.

Nicolas Boucher a Ross Anderson z Univerzity v Cambridgi popsali způsob, jak vytvořit zdrojový kód, který pro člověka vypadá jinak, než pro stroj. Využity jsou kódové pozice v unikódu, které definují směr textu – pomocí nich je možné části textu vizuálně „přeházet“.

Autoři uvádějí příklady předčasného návratu z funkce, neviditelného zakomentování kódu či například obsahu stringů, které jsou jiné, než vypadají – nicméně to je jistě jen špička ledovce možných využití.

Ukázka rozdílu zdrojového kódu na disku a na obrazovce programátora

Autor: Nicolas Boucher a Ross Anderson

Ukázka rozdílů zdrojového kódu na disku a na obrazovce programátora

Druhá varianta je podobná homoglyfovému útoku na doménové jméno – u jazyků, které podporují unikódové identifikátory, lze využít podobně vypadajících znaků pro záměnu jmen funkcí, proměnných, atd.

Řešení je možné (či nutné) na více frontách, od varování před kontrolními znaky přes změny specifikací jazyků po úpravy textových editorů a IDE.

Útoky jsou vedeny pod CVE-2021–42574 a CVE-2021–42694.

Drahá hra na oliheň

Na vlně popularity seriálu Hra na oliheň se svezli podvodníci, kteří vytvořili digitální měnu (sic) „SQUID“, a propagovali ji jako vstupenku do hry se stejnými pravidly. Když na počátku listopadu kryptoměna začala raketově stoupat, vlastníkům SQUID tokenů nebylo dovoleno kvůli „anti-dumping“ mechanismu prodávat.

Po dosažení ceny přes 2800 USD cena spadla prakticky na nulu, a ukázalo se, že šlo pouze o podvod, na kterém tvůrci velice slušně vydělali. Zahrajete si také… třeba vybíjenou?

Facebook přestává používat rozpoznávání obličeje

Facebook prohlašuje, že přestává používat rozpoznávání obličejů, tedy alespoň co se týče identifikace lidí na nahraných fotkách a videích. Jako důvody uvádí problematické přijetí ve společnosti a nejasná pravidla regulace.

Může se jednat o prevenci žalob, podobných té v Illinois, kde jsou velice striktní zákony, týkající se biometrických údajů.

RCE chyba v linuxovém jádře

TIPC modulu linuxového jádra byla objevena kritická chyba, která umožňuje vzdálené spuštění kódu. Jedná se o poměrně typické přetečení haldy – kód nekontroluje délku klíče, udávanou odesílatelem, v poměrně nedávno přidané zprávě typu MSG_CRYPTO. Útočník tedy může zkonstruovat zprávu, která způsobí přepsání vhodných dat za koncem alokovaného bufferu.

Chyba je zneužitelná lokálně i vzdáleně, musí ale být nahrán modul tipc. Zranitelná jsou jádra 5.10-rc1 až 5.15.

Zranitelnost objevil Max van Amerongen ze Sentinel Labs a je evidována jako CVE-2021–43267.

Unikla zdravotní data stovek tisíc uživatelů v Izraeli

Íránská skupina Black Shadow zveřejnila zdravotní data 290 000 pacientů institutu Machon Mor (včetně výsledků různých vyšetření – CT, ultrazvuky, krevní testy, očkování), a také celou databázi LGBTQ seznamky Atraf, opět s mnoha citlivými údaji, například adresami či výsledky testů HIV.

Zdá se, že data unikla hostingu CyberServer, který odmítl zaplatit dolarové milionové výkupné (nicméně zaplacení výkupného neznamená, že by se data na veřejnost nedostala stejně).

Ve zkratce

Pro poučení

Opět od mého oblíbeného Davida Wheelera: práce se jmény souborů v shellu je jednoduchá, že?

Root školení Linux

Pro pobavení

Při softwarových chybách obvykle potřebujeme trochu uklidnění – proč tedy nejsou chybové hlášky psané třeba jako haiku?

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.