Hlavní navigace

Postřehy z bezpečnosti: rybaření bez povolení

 Autor: Petr Špringer (NIC.CZ)
V dnešním dílu se podíváme na rafinovaný phishing, napadení letectví a obrany, největší DDoS v historii, návod na nastavení soukromí u zařízení Android a na závěr na zranitelnosti u TCP/IP knihovny a E-Business Suite (EBS).
CSIRT.CZ 22. 6. 2020
Doba čtení: 4 minuty

Sdílet

Phishing bez povšimnutí

Jak nejlépe zlomit silnou šifru a vymámit z uživatelů citlivá data? Originální a velmi výnosný způsob phishingu úspěšně provozovali celý minulý rok vynalézaví zloději, kteří se seznámili se stránkou privnote.com. Ta se zaměřuje na zasílání velmi dobře zabezpečených zpráv – nejen že se ve výchozím nastavení samy zničí po přečtení (nebo nejdéle do třiceti dnů), ale ani vlastníci serveru si je nemohou přečíst. Dešifrovací klíč, který si uživatel vygeneruje spolu s odkazem na zprávu, si totiž server neukládá.

Jak se však dostat k této zlaté žíle soukromých informací? Napadení serveru a zcizení databáze by zlodějům dle všeho nijak nepomohlo. Na Internetu je však místa dost, vznikla tedy služba privnotes.com (všimněte si přebývajícího „s“ v doméně). Její design vypadal zcela totožně jako originální služba, s tím malým rozdílem, že informace nebyly soukromé ani trochu. Protože se zdálo, že plní svůj účel bezvadně, nebyly stížnosti a ve výsledcích vyhledávání se začala řadit poměrně vysoko, hned za původní službu.

Mezitím si šťastní majitelé falešné služby pročetli stohy soukromé korespondence a napsali si skript, který dělal maličkou úpravu, a sice, že pozměnil adresy BitCoin peněženek na adresu jedinou, aby v tom byl pořádek. Určitě to však neudělali v momentě, kdy IP adresa příjemce byla totožná s adresou odesílatele a v několika dalších případech, které by mohly vzbudit podezření.

Stránka nyní není dostupná, v Google cachi jsou však stále vidět pozůstatky tohoto výnosného businessu.

Napadení letectví a obrany

Došlo k napadení nejméně dvou středoevropských společnostní působících v oblasti letectví a obrany pomocí dokumentů zaslaných přes LinkedIn. Útočníci se v tomto případě vydávali za náboráře dvou amerických společností Collins Aerospace a General Dynamics (GD.N). Stačilo jim k tomu oslovit zaměstnance napadených firem s nabídkou vymyšlené pozice a donutit je k otevření dokumentů obsahujících zákeřný kód.

Společnost ESET, která s touto informací přišla z pochopitelných důvodů nesdělila jména poškozených společností, ale uvedla, že přestože pravá identita útočníků je neznámá, byly nalezeny spojnice ukazující na severokorejskou skupinu Lazarus. ESET dále uvádí, že se pro ně jedná o první případ, kdy byl LinkedIn použit přímo k doručení zákeřného kódu.

Největší DDoS v historii

Podle zprávy „AWS Shield Threat Landscape“ se podařilo společnosti Amazon zastavit v únoru letošního roku největší DDoS útok v historii. Síla útoku dosáhla na 2,3 Tbps. Ze zprávy není zřejmé, kdo konkrétně byl cílem útoku. Je však uvedeno, že hlavním „nástrojem" bylo zneužití řady CLDAP (Connection-less Lightweight Directory Access Protocol) serverů, což je alternativa ke staršímu LDAPu. Tento protokol je aktivně zneužíván zhruba od roku 2016 a umožňuje zesílení vstupního provozu na 56 až 70 násobek, což ho činí pro útočníky vysoce atraktivním.

Poslední rekordní DDoS byl naměřen v březnu roku 2018 a dosahoval síly 1,7 Tbps a o měsíc dříve útok na GitHub o síle 1,3 Tbps. Oba byly provedeny zneužitím služeb Memcached otevřených do Internetu.

Zajímavá příručka pro nastavení soukromí na Androidu

Na první pohled nejde Android a soukromí dohromady. Google je přece známý pro své reklamní praktiky a shromažďování ohromného množství uživatelských dat. V realitě nám však dává překvapivě velikou kontrolu nad tím, co se s našimi daty stane.

Tato příručka vás provede labyrintem všech možných nastavení. Nad každým bodem se hluboce zamyslete a zvažte všechny plusy a mínusy, abyste dosáhli přesně toho, co potřebujete.

Na zálohování si nehrajeme

Mobilní telefon odemykáme nejčastěji otiskem prstu, o něco méně PIN kódem a třetina Čechů svá soukromá data nikdy nezálohuje. Když už, tak zálohují více muži a domácnosti s vyššími příjmy. Více než třetina Čechů (37 %) nezná kybernetická rizika. Nižší povědomí o hrozbách Internetu převládá u starších ročníků a u lidí bez maturity.

Naopak větší povědomí panuje hlavně u mužské části populace a u lidí s vyšším vzděláním. Mezi nejčastěji uváděná rizika a hrozby zmiňují: počítačové viry, phishing, hackerské útoky, zneužití osobních údajů, podvodné e-maily, ale i kyberšikanu.

TCP/IP knihovna a jejích 19 zranitelností

Tým JSOF nalezl 19 zranitelností (Ripple20) v Trac TCP/IP knihovně. Zajímavý je nejenom počet zranitelností, ale také fakt, že tato knihovna (implementace TCP/IP zásobníku) je široce používána výrobci různých zařízení a dopad zranitelností je tak masivní. Podle odhadu se může jednat až o miliony zařízení firem, jako jsou HP, Caterpillar, Intel, Rockwell, Schneider electric, Cisco (Starent) a další.

Minimálně tři zranitelnosti umožňují vzdálené vykonání kódu. Dvě z nich (CVE-2020–11896, CVE-2020–11897) přímým zasláním zákeřných paketů protokolem IPv4 resp. IPv6. A třetí (CVE-2020–11901), pomocí  DNS odpovědi na dotaz generovaný samotným zařízením. Pomocí DNS cache poisoningu a dalších metod tak lze ovládnout i zařízení v interních sítích.

Neaktualizované systémy E-Business Suite

Pokud používáte E-Business Suite (EBS) v rámci vašich obchodních operací a zabezpečení citlivých dat, ujistěte se, že používáte aktuální verzi softwaru. Oracle informuje o dvou zranitelnostech nazývaných „BigDebIT” s hodnocením CVSS skóre 9,9. Některé byly opraveny v jednom patchi na začátku ledna, ale podle průzkumu okolo 50 % společností používá neopravenou verzi programu a jsou stále možným terčem daného útoku.

MIF obecny

Útočník může spustit automatizovaný exploit na modul „General Ledger”, aby získal přístup například k finančním údajům nebo účetním tabulkám společnosti a to vše, aniž by zanechal nějakou stopu.

Ve zkratce:

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…