Hlavní navigace

Postřehy z bezpečnosti: ransomware bude obrovským problémem

Martin Čmelík

Podíváme se na možný budoucí vývoj ransomwaru a jeho dopad, jak to doopravdy vypadá s bezpečností BlackBerry, na malware skrytý v CCTV kamerách, na novou chybu Badlock ve Windows a Sambě a spoustu dalšího.

Podle Cisca jsou tři miliony serverů napadnutelných ransomwarem. Nejedná se jen o Red Hat JBoss chybu, kterou využíval také ransomware Samsam (Samas), ale také o Destiny management systém, který se používá především na univerzitách a státních institucích. Ransomware je již dnes velkým byznysem. Podle statistik FBI bylo oznámeno tolik incidentů, že jen za minulý rok se jednalo o sumu 24 milionů dolarů. To jsou však jen ohlášené incidenty, takže se jedná o mizivé procento. Autoři CryptoWallu si podle odhadů přišli již na 325 milionů dolarů, ale teď ho poprvé z prvního místa ohrožuje Locky, který ukazuje kam se vývoj ransomwaru bude ubírat. Do teď stačilo mít alespoň nějakou zálohu, ale až budou potichu v podobě boot/root-kitu vyčkávat a pomalu šifrovat data, aby tak znehodnotili zálohy, tak teprve pak to bude obrovský problém. Můžeme se jen modlit, aby útočníci nezměnili i obchodní model a neplatili jste za velikost zašifrovaných dat. To by mohlo být pro některé firmy likvidační. Hlavně tam kde neexistuje řízení identit a přístupu, takže všichni mohou všude a všechno, protože tak je to nejjednodušší. Cisco skupina Talos předpovídá budoucí vývoj ransomwaru v podobě cryptowormu.

Není tomu tak dávno, co se objevil i RansomWeb šifrující databázi nebo některé soubory na webovém serveru. V případě, že se do systému dostane pomocí privilegovaného oprávnění (root/admin), který má přístup ke všem databázím, tak je schopen zašifrovat všechny databáze na daném serveru, což může mít obrovský dopad pro vaše zákazníky. Soubory na vašem laptopu jsou víceméně neměnné. Sem tam nahrajete fotky z dovolené, oscanujete nějaký dokument, ale hlavní data mají vetšinou lidé na mailovém serveru, nebo na úložišti typu Dropbox, Google Drive, Microsoft OneDrive apod., takže stačí jedna jejich záloha a jste víceméně chráněni. Na serverech je však situace jiná. I chybějící jedna vteřina dat může mít obrovský dopad (bankovní transakce, eshopy, …) a teď si představte, že by museli obnovit ze zálohy den stará data.

Naše postřehy

Mobilní telefony BlackBerry se dlouhou dobu považovaly za velice bezpečný telefon, který používali i američtí prezidenti. Nikdy jsem úplně nechápal, proč ho veřejnost považuje za bezpečný telefon (jen kvůli šifrování úložiště?). Možná jen ti co ho nikdy nepoužívali. Já jsem z jejich Messenger klienta obdržel během prvního týdne používání asi 30 spamů a šifrování jsem si musel zapnout sám i když podle firemní politiky mělo být aktivované od první synchronizace. Zmiňuji to proto, že podle dokumentů, které se dostaly k redaktorům serveru Vice, měla kanadská policie minimálně od roku 2010 master klíč, který je schopen veškerou, rádoby end-to-end, komunikaci Messengera dešifrovat. Určitě ne jen kanadská policie. Používejte raději aplikaci Signal nebo Threema.

V jednom z minulých dílů jsme psali o ransomwaru Petya a že naštěstí nešifruje data, ale používá jen XOR. Nyní se objevila webová aplikace, kam stačí poslat 512 bytů z vašeho disku, čímž získáte klíč k vašemu MFT souboru. Pokud byste měli problém se získáním výše zmíněné části diku, tak i na to existuje program. Protože z napadeného disku nemůžete nastartovat systém, tak disk vyjměte a připojte ho přes USB k jinému počítači.

Mike Olsen objevil v několika CCTV kamerách, které koupil přes Amazon, malware. Po přihlášení na webové rozhraní si všiml, že chybí základní funkce potřebné pro správu kamer a pak pomocí doplňku pro webové vývojáře objevil skrytý iFrame odkazující na doménu Brenz.pl. Tato doména byla podle Sucuri v roce 2011 zapojena v kampani šířící malware. Dnes je sice neaktivní, ale i tak na ní odkazují dnes prodávané kamery a bůhví jaký další malware může být v kamerách nainstalovaný. Pokud byste měli chuť a čas si reverznout vlastní embedded systém (kameru, WiFi router, IoT, …), tak doporučuji web /dev/ttys0.

Senátor Richard Burr a senátorka Dianne Feinstein připravili zákon, který by ukládal velkým společnost za povinnost pomoci státním složkám s dešifrováním informací. Záleží na výkladu a finální verzi, ale vlastně chtějí mít backdoor v každém zařízení. Naštěstí návrh nebude podporován ani Bílým domem, takže snad vůbec neprojde.

Badlock je název nově objevené chyby postihující Windows (CVE-2016–0128) a Sambu (CVE-2016–2118). Chyba se týká DCE/RPC protokolu a je možné díky ní provést man-in-the-middle útok, eskalaci oprávnění, nebo DoS. Postižené jsou víceméně všechny verze.

Ředitel FBI, který by nejraději zakázal end-to-end šifrování a jakýkoliv nárok lidí na soukromí, má na svém notebooku webovou kameru přelepenou černou páskou. Neprotiřečí si trochu? Jak ho teď ostatní složky mohou monitorovat? Například NSA projekt Optic Nerve náhodně zaznamenával každých pět vteřin obraz z kamery uživatelů Yahoo.

Ve zkratce

Pro pobavení

Informační bezpečnost v praxi :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

18. 4. 2016 3:53

Jenda (neregistrovaný)

(tl;dr síť byla zvenku dobře zabezpečená, ale používali nějaký embedded VPN endpoint, ve kterém hacker našel 0day. Tím se dostal dovnitř a tam už byly otevřené Samba shary, iSCSI disky a další)

18. 4. 2016 14:04

Otazka je, kolik z toho jsou skutecne chyby v usability a nakolik je to proste jinak a proto spatne...

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách