Musím přiznat, že když jsem sledoval úvodní přednášku loňského BlackHat Europe, přišlo mi celé to povídání o tom, jak přednášející s kolegy po večerech z parkoviště ozařoval laserovým paprskem skener multifunkční tiskárny v nedaleké budově, aby si mohl s malwarem umístěným v připojeném počítači vyměňovat data, poněkud potrhlé. Nicméně dostat se k datům v systémech izolovaných od internetu je jednoznačně velkým lákadlem a různých více či méně bizarních nápadů, jak se k nim dostat, nás jistě čeká ještě dlouhá řada.
Ten poslední nápad počítá s přenosem dat s pomocí tepla. Ale pojďme pěkně po pořádku. „Air-gapped“ počítačové systémy jsou považovány za velmi bezpečné, neboť jsou zcela odděleny od Internetu i dalších počítačů, připojených do externích sítí. Jsou používány všude tam, kde se pracuje s vysoce tajnými informacemi, nebo na místech, kde jsou prováděny kritické operace, jako jsou jaderné elektrárny, zdravotnictví, či některé finančnické systémy.
I když i do těchto systémů lze dostat malware, což ostatně v minulosti ukázal příklad Stuxnetu, stále tu z pohledu útočníka zůstává jeden nedořešený problém. Tím je případná komunikace s malware, ať již kvůli předání instrukcí od útočníka, nebo naopak kvůli přenosu ukradených dat k útočníkovi.
Nově uveřejněná technika přenosu dat nazvaná BitWhisper využívá výměny tepla mezi dvěma počítači. Využívá se zvýšené produkce tepla procesorem, grafickou kartou a dalšími částmi základní desky při zvýšeném zatížení systému. Druhý počítač pak sleduje nárůst tepla zabudovanými termálními senzory a změny v teplotě interpretuje jako nuly a jedničky.
Pravda, přenos dat rychlostí 8 bitů za hodinu, nutnost nejdříve na oba počítače nějak dostat příslušný malware a maximální vzdálenost mezi počítači 40 centimetrů představují určité omezení, ale tvůrci této techniky předpokládají její další vylepšení, případně využití IoT (Internet of Things), či k internetu připojených topení a klimatizačních jednotek. Osobně vidím problém i v tom, že na počítačích se obvykle pracuje, což samozřejmě také vede k různým změnám v zátěži, takže to, co funguje někde v laboratorních podmínkách, nebude tak snadné převést do praxe.
Naše postřehy
Podle reportu společnosti Akamai za poslední čtvrtletí loňského roku zůstávají IP adresy přidělené do Číny na pomyslném žebříčku nejčastějších zdrojů útoků, konkrétně generují celých 41 procent útočného provozu. Nejčastějším cílem pokusů o útok je pak port 23, ten následován porty 445, 8080, 3389 a 22. Jen pro zajímavost, v rámci projektu Turris pozorujeme intenzivní pokusy o přístup z čínských IP adres, které jsou i u nás na prvním místě v počtu podezřelých pokusů o komunikaci. Nejčastější jsou pak pokusy o přístup na port 23 a 22, pokud se zaměříme pouze na čínské IP adresy, pak se jedná o porty 22, 23 a 1433 (SQL).
Společnost Trend Micro vydala zprávu popisující modus operandi „sextortion“ gangů, operujících ve východní Asii. Sextortion je spojením slov sex a extortion, což dost přesně vystihuje podstatu této hrozby. Útočníci, kteří se vydávají za ženu, se nejdříve pokusí oběť zlákat k provozování kybersexu, což jim umožní posbírat různé kompromitující materiály, jako záznamy chatu, fotografie a videa. Novinkou je, že se útočníci zároveň pokusí přesvědčit oběť, aby si nainstalovala do svého mobilního telefonu malware, který pak útočníkům pošle kompletní seznam uložených kontaktů. To útočníkům umožní vyvinout na oběť větší tlak, neboť jí pak následně mohou vyhrožovat posláním kompromitujících materiálů přímo jejím přátelům a rodině. Každá z obětí měla za neposlání kompromitujících materiálů zaplatit 1 milion KRW, tedy asi 900 dolarů.
Jakub Kroustek, analytik společnosti AVG, publikoval detailní analýzu nového kmenu bankovního trojského koně Vawtrak. Asi nejzajímavější vlastností je používání steganografie ke skrývání přenosu dat do faviconů. Kromě toho má malware implementované mechanismy pro kradení finančních informací, hesel k FTP přístupům, privátních klíčů a pro provádění bankovních transakcí přímo z počítače oběti. Varianta detekovaná společností AVG dokáže také spustit MITM útoky či získávat videa a screenshoty z kompromitovaných počítačů. Malware se nejvíce vyskytuje v České republice, USA, UK a v Německu.
Velmi nepříjemná zranitelnost byla nalezena v zařízeních ANTLabs InnGate, což jsou internetové brány umožňující připojení hostů v hotelech, nebo třeba v konferenčních centrech. K systémům je možné se bez hesla připojit přes démona rsync. Jakmile útočník systém napadne, nic mu nebrání například přidat do uživatelem stahovaného programu vlastní malware. Pokud si vybavíme operaci Darkhotel, tak lze očekávat, že takováto chyba nezůstane nevyužita.
Tisíce kompromitovaných instancí WordPressu přesměrovává své návštěvníky na exploit kit Fiesta. Malware, který se po úspěšném exploitování některé ze zranitelností nainstaluje do počítače oběti, je různý. Byl reportován jak výskyt bankovních trojanů, tak také Cryptowallu 3.0. Samotné instance WordPressu jsou napadány skrz plug-in RevSlider. Česká republika není mezi TOP 10 zeměmi. Během tohoto týdne chceme identifikovat v našem MDM weby na doméně .CZ zasažené v rámci této kampaně a zaměřit se na jejich rychlé vyčištění a záplatování.
UglyEmail je rozšíření pro Chrome, které pomůže uživatelům služby Gmail zjistit, které e-maily v jejich inboxu jsou sledovány pomocí některé ze společností pro sledování e-mailů, které svým klientům umožňují zjistit, kde a na jakém zařízení byl otevřen jejich e-mail. UglyEmail slouží pro informování uživatele o těchto praktikách, pokud si však přejete trackování pomocí pixelů zcela zablokovat, můžete použít jiné rozšíření pro chrome – PixelBlock.
Pro pobavení
Ve zkratce
- Polovina uživatelů Androidu ohrožena novou zranitelností
- Nástroj Dell System Detect ohrožuje PC
- Falešné certifikáty Google
- Nové záplaty pro Cisco IOS
- Zranitelnost IP telefonů Cisco řady Small Business
- Blogovací platforma Ghost má několik zranitelností
- Nový útok Bar Mitzvah
- Nejhorší hesla se sportovní tématikou
- Nové záplaty od Schneider Electric
- DoS zranitelnost v MongoDB
- MiTM chyba v knihovně AFNetworking pro iOS a OS X
- Programy s největším počtem zranitelností za rok 2014
- A ani minulý týden nemohl v našich schránkách chybět…
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
