Od dob Unicode už WYSIWYG není co býval ani u obyčejných textových souborů – jako jsou kupříkladu zdrojové kódy.
Nicolas Boucher a Ross Anderson z Univerzity v Cambridgi popsali způsob, jak vytvořit zdrojový kód, který pro člověka vypadá jinak, než pro stroj. Využity jsou kódové pozice v unikódu, které definují směr textu – pomocí nich je možné části textu vizuálně „přeházet“.
Autoři uvádějí příklady předčasného návratu z funkce, neviditelného zakomentování kódu či například obsahu stringů, které jsou jiné, než vypadají – nicméně to je jistě jen špička ledovce možných využití.
Ukázka rozdílů zdrojového kódu na disku a na obrazovce programátora
Druhá varianta je podobná homoglyfovému útoku na doménové jméno – u jazyků, které podporují unikódové identifikátory, lze využít podobně vypadajících znaků pro záměnu jmen funkcí, proměnných, atd.
Řešení je možné (či nutné) na více frontách, od varování před kontrolními znaky přes změny specifikací jazyků po úpravy textových editorů a IDE.
Útoky jsou vedeny pod CVE-2021–42574 a CVE-2021–42694.
Drahá hra na oliheň
Na vlně popularity seriálu Hra na oliheň se svezli podvodníci, kteří vytvořili digitální měnu (sic) „SQUID“, a propagovali ji jako vstupenku do hry se stejnými pravidly. Když na počátku listopadu kryptoměna začala raketově stoupat, vlastníkům SQUID tokenů nebylo dovoleno kvůli „anti-dumping“ mechanismu prodávat.
Po dosažení ceny přes 2800 USD cena spadla prakticky na nulu, a ukázalo se, že šlo pouze o podvod, na kterém tvůrci velice slušně vydělali. Zahrajete si také… třeba vybíjenou?
Facebook přestává používat rozpoznávání obličeje
Facebook prohlašuje, že přestává používat rozpoznávání obličejů, tedy alespoň co se týče identifikace lidí na nahraných fotkách a videích. Jako důvody uvádí problematické přijetí ve společnosti a nejasná pravidla regulace.
Může se jednat o prevenci žalob, podobných té v Illinois, kde jsou velice striktní zákony, týkající se biometrických údajů.
RCE chyba v linuxovém jádře
V TIPC modulu linuxového jádra byla objevena kritická chyba, která umožňuje vzdálené spuštění kódu. Jedná se o poměrně typické přetečení haldy – kód nekontroluje délku klíče, udávanou odesílatelem, v poměrně nedávno přidané zprávě typu MSG_CRYPTO. Útočník tedy může zkonstruovat zprávu, která způsobí přepsání vhodných dat za koncem alokovaného bufferu.
Chyba je zneužitelná lokálně i vzdáleně, musí ale být nahrán modul tipc. Zranitelná jsou jádra 5.10-rc1 až 5.15.
Zranitelnost objevil Max van Amerongen ze Sentinel Labs a je evidována jako CVE-2021–43267.
Unikla zdravotní data stovek tisíc uživatelů v Izraeli
Íránská skupina Black Shadow zveřejnila zdravotní data 290 000 pacientů institutu Machon Mor (včetně výsledků různých vyšetření – CT, ultrazvuky, krevní testy, očkování), a také celou databázi LGBTQ seznamky Atraf, opět s mnoha citlivými údaji, například adresami či výsledky testů HIV.
Zdá se, že data unikla hostingu CyberServer, který odmítl zaplatit dolarové milionové výkupné (nicméně zaplacení výkupného neznamená, že by se data na veřejnost nedostala stejně).
Ve zkratce
- Microsoft našel chybu v macOSu, která umožňuje obejít SIP.
- Google v security bulletinu upozornil, že zranitelnost CVE-2021–1048 (use-after-free) je aktivně využívána. Patchlevel 2021–11–06 ji řeší spolu s 39 dalšími chybami.
- Podle HN Security a Damiana Menschera z Googlu je k DDoSům aktivně využívána i zranitelnost GitLabu CVE-2021–22205 (špatná validace obrázkových souborů).
- Avast uvolnil dešifrovací nástroj pro ransomware AtomSilo a LockFile. Nástroj je založen na práci Jiřího Vinopala.
- Z Kaspersky Labs unikl Amazon Simple Email Service token – a byl využit pro spear phishingovou kampaň, která se věrohodně tvářila jako přicházející z domény kaspersky.com, a snažila se vylákat přístupové údaje k Office 365.
Pro poučení
Opět od mého oblíbeného Davida Wheelera: práce se jmény souborů v shellu je jednoduchá, že?
Pro pobavení
Při softwarových chybách obvykle potřebujeme trochu uklidnění – proč tedy nejsou chybové hlášky psané třeba jako haiku?
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
