Hlavní navigace

Postřehy z bezpečnosti: překlep za miliardu dolarů

Martin Čmelík 21. 3. 2016

Dnes se podíváme na chybu, díky které útočníkům nevyšla krádež v hodnotě jedné miliardy dolarů, na to jak nainstalovat skimmer karet během tří vteřin, na několik chyb Androidu a spoustu dalšího.

Útočníci se dostali do systémů banky v Bangladeši a tím k údajům potřebným pro mezinárodní bankovní převody. Pomocí nich zaslali několik požadavků o převod peněz z federální centrální banky v New Yorku a úspěšně provedli čtyři operace v celkové sumě 81 milionů dolarů. Když se však pokoušeli o pátý převod v hodnotě 20 milionů dolarů na účet neziskové organizace (NGO: Shalika Foundation) ve Srí Lance, tak udělali překlep a místo “Shalika Foundation” napsali “Shalika Fandation”. Pracovníci banky v Německu, kteří byli jednou z entit zakomponovaných v tomto mezinárodním převodu peněz, si toho však všimli a převod pozastavili se žádostí o vysvětlení od banky v Bagladeši. Banka v Bangladéši poté tuto a všechny návazné transakce zrušila.

Útočníci jsou stále neznámí, ale pokud by se neupsali v názvu, tak by byly nejspíš zprocesované i další platby, které se snažily o převod 850–870 milionů dolarů z bangladéšských národních rezerv. 81 milionů dolarů bylo úspěšně převedeno, ale chyba v názvu zabránila dalším převodům v celkové sumě 950 milionů dolarů.

Útok se stal během 4. a 5. února tohoto roku a dle bezpečnostního analytika Tanvir Hassan Zoha, který případ vyšetřoval, byl útok úspěšný díky žalostné bezpečnosti bankovních systémů. Bohužel se ukázalo, že Tanvir je od minulé středy nezvěstný. Když jel domu v rikše se svým spolupracovníkem Yaminem, tak jim cestu zablokovalo auto (Jeep) a oba unesli. Yamina po chvíli vyhodili na ulici.

Je zbytečné spekulovat, kdo za útokem stojí, ale z vlastní zkušenosti mohu potvrdit, že úroveň bezpečnosti bankovních systémů je daleko od představy běžných lidí. Systémy staré tak, že je již nikdo nepodporuje, používání slabých šifer pro bankovní transakce (s nemožností používat ani TLS 1.0), bezpečnostní systémy jako jsou IPS bez jakéhokoliv nastavení politik, VPN brány používající slabé klíče, nezávislost bezpečnostních kódů na detailech transakce a naprostá absence vyladění webových aplikačních firewallů je víceméně standardem. Navíc v případě jakýchkoliv problémů s bankovní službou se běžně jako první věc vypínají všechny bezpečnostní prvky, jakožto řešení všech incidentů. Samozřejmě to neplatí všude. Jen jsem o jiných případech zatím neslyšel.

Naše postřehy

Boje mezi společností Apple a všeobecně americkou vládou pokračují (nově i proti WhatsApp). Po výhrůžkách z DoJ (Department of Justice), že bude společnost muset zveřejnit své zdrojové kódy, čímž se Apple nenechal zastrašit, teď přišla DoJ se zprávou, ve které uvádí, že chtějí nejen kódy, ale i klíče používané k podepisování iOS systémů. To proto, aby si FBI mohla do iOS dopsat backdoor a pak ho i distribuovat. Šerif z Floridy dokonce varoval Tima Cooka, že ho zatkne pro nespolupracování s úřady při vyšetřování. Asi již nejsou zvyklí, že by případy nešlo řešit jen od stolu počítače jako před zveřejněním informací od Snowdena.

Pokud byste si chtěli vydělat 100 tisíc dolarů, tak stačí taková drobná věc jako exploit umožňující vzdálené využití chyby přes webovou stránku na Google Chomebooku. Částka byla před pár týdny “jen” 50 tisíc, ale byla zdvojnásobena, aby více motivovala bezpečnostní experty. Jen za minulý rok Google svým bug bounty programem vyplatil přes dva miliony dolarů.

Téměř 300 milionů telefonů bežících na systému Android je napadnutelných novým útokem umožňujícím převzít kontrolu nad zařízením. Útok dostal název Metaphor a objevili jej výzkumníci izraelské společnosti NorthBit. Chyba se opět týká mediální knihovny Stagefright a je zneužitelná na verzích 2.2 až 4.0, spolu s 5.0 a 5.1. K jejímu využití stačí navštívit webovou stránku se škodlivým kódem. Kód je schopný obejít ASLR ochranu a k infikování zařízení mu stačí 20 sekund až dvě minuty. PoC video je zveřejněno na Youtube.

Bohužel u Androidu ještě chvilku zůstaneme. Další chyba už postihuje miliardy Android a IoT zařízení kvůli Qualcomm Snapdragon SoC (System on Chip) umožňující plné ovládnutí zařízení. Ačkoliv Google chybu již opravil, pokud nemáte Nexus zařízení, tak se k vám oprava může dostat (pokud vůbec) až s delším časovým odstupem.

Aby někdo neřekl, že jsme si zasedli jen na Android, tato nová forma útoku postihuje i iOS zařízení. Říká se jí AceDeceiver a byla objevena výzkumníky společnosti Palo Alto. Zajímavé na něm je, že k útoku nepotřebujete enterprise certifikáty a dokonce ani jailbreaknuté zařízení. Zranitelnost se týká DRM funkce FairPlay. Můžete si tak koupit aplikaci přes iTunes na vašem počítači a pomocí autorizačního kódu ji nechat nainstalovat na všechna vaše iOS zařízení. Na zařízeních stejně musíte zadat kód pro instalaci aplikace a útočník by musel tou dobou fungovat jako MitM mezi iTunes a vaším počítačem, který by také musel být napadený. Pak by musel útočník řešit fakt, že iOS zařízení ověřují podpisy aplikací, certifikáty iTunes serverů a spousty dalších prvků a že aplikace pomocí které by převzal vládu nad telefonem musí být dostupná z App Storu. Je to nedostatek, který by měl být opraven, ale úspěšné zneužití této chyby je závislé na mnoha okolnostech.

Skimmer je nenápadné zařízení, které dokáže zaznamenat čísla kreditních karet i váš PIN a většinou se instaluje na bankomaty, nebo čtečky kreditních karet na benzínkách, restauracích a kavárnách. Pokud tedy provedete platbu, útočníci znají údaje vaší karty a jsou schopni je dále použít. Krebs se tomuto tématu věnuje již několik let a na jeho webu se můžete podívat na fotografie různých typů takových skimmerů. Minulý týden se na webu objevilo video, kdy byl skimmer nainstalován na čtečku karet během tří vteřin. Skoro to člověk ani nezpozoruje.

Máme tu výsledky soutěže Pwn2Own. První den výzkumníci pokořili jak Adobe Flash (360Vulcan Team), tak Apple Safari (JungHoon Lee a Tencent Security) a přišli si na 282 500 dolarů. Druhý den si výzkumníci odnesli dokonce 460 tisíc dolarů. Celkem se během soutěže nalezlo 21 nových zranitelností v tomto rozdělení – Microsoft Windows (6), Apple OS X (5), Adobe Flash (4), Apple Safari (3), Microsoft Edge (2) a jedna v Google Chrome.

Registrace na Security Session 2016

Po roce Vás opět rádi uvidíme již na šestém ročníku nekomerční konference Security Session. Konference se koná 2.4. (sobota) od 09:00 na adrese Božetěchova 1, Brno. Na našem webu můžete najít program konference a workshopů, jako i možnost registrace na konferenci. Vstup na konferenci je zdarma po předchozí registraci. Kvůli omezené kapacitě workshopů, bude v hale seznam, kam se budete moct zapsat, takže neváhejte přijít včas, protože opravdu stojí za to. Další informace můžete sledovat na našem Facebook či Twitter profilu.

Ve zkratce

Pro pobavení

Takový ten pocit, jako když máte pohotovost a snažíte se vyřešit závažný incident přes VPN a SSH klientem v mobilním telefonu :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

21. 3. 2016 8:14

tomfi (neregistrovaný)

Měl na mysli to, že pokud máš na sebe vystavený certifikát hovořící o platnosti tvého klíče, jsi zodpovědný za cokoliv co se tím klíčem podepíše. Jedinou logickou reakcí Applu, pokud by je někdo donutil "odevzdat klíč" je jeho okamžité zneplatnění z důvodu ztráty kontroly nad tím klíčem.

Jelikož se ty klíče využívají k podepisování (v tomto případě nějspíš iOSů), tak vlastně vláda chce po subjektu oprávnění podepisovat se jako tento subjekt.

Takový příklad:

když budete řiditel velké…

22. 3. 2016 9:47

Nejsou z rise pohadek, jen nesmim rict nic konkretniho...

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Vitalia.cz: Žloutenka v Brně: Nakaženo bylo 400 lidí

Žloutenka v Brně: Nakaženo bylo 400 lidí

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET