Hlavní navigace

Postřehy z bezpečnosti: s NTP proti proudu času

Martin Čmelík 30. 5. 2016

Dnes probereme útoky na NTP servery, podíváme se na spor Oraclu a Googlu o devět miliard dolarů, jak vydělávat na bug bounty programech, jak je 184 serverů Visa napadnutelných TLS chybou a mnoho dalšího.

Výzkumnící čínské společnosti Qihoo360 představili na konferenci Hack in the Box (HITB) zařízení, pomocí kterého je možné pudsunout vašemu NTP serveru falešné informace o aktuálním času, které sbírá pomocí GPS nebo rádiových vln. To vše až na vzdálenost 2 km. Jedinou zajímavostí je, že zařízení je možné si složit z cenově dostupných součástek. Útok jako takový není ničím překvapivým. Například v roce 2011 byl v Iránu zadržen americký dron, za pomoci rušení signálu pozemních stanic a podvrhování GPS signálu (U.S. RQ-170 incident). NTP, ač se to většině lidí nezdá, je jeden z nejdůležitějších infrastrukturních protokolů. Nesynchronizovaný čas na zařízeních, může mít za následek, že se vůbec nepřihlásíte k AD, nebudete moci ověřit svůj uživatelský či serverový certifikát, autentizovat se pomocí Kerberosu, zařízení v clusteru se nebudou schopná synchronizovat, nebude možné provádět žádnou investigaci nad logy a spousta dalších s tím spojených problémů. Některé aplikace jsou na času tak závislé, že i pouhá vteřina/minuta rozdílu v čase může zapříčinit nefunkčnost celé služby. A to se teď ani nebavíme o ostatních problémech NTP implementací a protokolu, jako že se jedná o UDP protokol, který je možné podvrhnout, či modifikovat a že se hojně zneužívá špatně nastavených serverů pro amplifikaci DDoS útoků.

Proti podvržení časového signálu se úplně jednoduše bránit nedá. Pomůže však, když máte několik vlastních stratum 1 NTP serverů synchronizovaných s časem z GPS, který je pak uložen do vnitřních hodin S0 s vlastním oscilátorem. Ideální je mít NTP servery rozmístěné různě po světě (např. US, Evropa, Asie) a stratum 2 servery používající hash/certifikát pro synchronizaci s S1 a peering mezi sebou. Pomocí monitorovacího systému budete sbírat aktuální čas ze stratum 1 serverů + např. jeden NTP server z pool.ntp.org. Poté budete porovnávat čas a pokud se bude lišit o několik vteřin, tak se odešle event SOCu pro další analýzu odpovědným týmem.

Topologie pak může vypadat jako na obrázku níže, ale já osobně bych před S3 dal load balancery pro vysokou dostupnost a jednodušší správu pro operations tým. Zauvažujte také o nástupci NTP protokolu, kterým je PTP (Precise Time Protocol).

Naše postřehy

Reklamní síť Facebooku nyní cílí i na uživatele, kteří nemají účet na Facebooku. Bude se tedy více podobat reklamním platformám jako Google AdWords. Pokud na svém webu máte tlačítko “Like”, bude nově Facebook generovat cookies pro všechny uživatele a trasovat jejich pohyb, zájmy apod. a na základě toho podsouvat cílenou reklamu.

Po šestiletém soudním sporu mezi Google a Oraclem o 11 500 řádků Javy a požadovaném odškodnění v sumě devíti miliard dolarů konečně vyhrál Google. To by bylo těch nejdražších jedenáct a půl tisíce řádků na světě. Oracle na tom asi nebude finančně nejlépe, když se uchyluje k takto ubohým krokům. Na trhu se to ještě neprojevilo, ale co vím tak ztrácí poměrně hodně zákazníků, kteří přecházejí od jejich předražených produktů k Amazon Aurora, PostgreSQL, MongoDB, Cassandra apod.

Polský bezpečnostní výzkumník Mariusz Mlynski dokazuje, že se dá na bug bounty programech slušně vydělávat. Jen za květen mu Google vyplatil 45 500 dolarů (přes milión korun) za bezpečnostní chyby, které odhalil v prohlížeči Chrome. Celkem se jednalo o šest nově nalezených chyb v jednom měsíci, což je úctyhodné.

Symantec potvrdil předchozí domněnky, že za útokem na bangladéšskou banku (a dalších dvou) nejspíš stojí stejná skupina, která v roce 2009 útočila na cíle v US a Jižní Koreji a v roce 2014 na Sony Pictures. Podobnost útoků je prý v kódu, který se stará o bezpečné mazání stop na systémech. SWIFT síť by už konečně měla nasadit blockchain technologii, která by v tomto případě mohla pomoci.

184 serverů společnosti Visa a 70 tisíc serverů na Internet obsahuje TLS chybu umožňující útočníkovi v pozici Man-in-the-Middle vložit do šifrovaného provozu vlastní obsah. Útok je známý pod jménem Forbidden Attack a týká se špatné implementace AES-GCM. Útočníci jsou tak schopni do aktuální TLS komunikace vložit vlastní kód ať už ve formě JavaScriptu, který je schopen změnit chování webové aplikace, zaznamenávání stisknutých kláves až pro přidánín vlastních polí do webové aplikace. A to vše i bez znalosti šifrovacího klíče, pokud se pro generování nonce (number used once) používá náhodně generované číslo, které se může použít více než jednou. Jedním z postižených zařízení byly load balancery od společnost Radware používající pro akceleraci TLS spojení šifrovací karty Cavium (velmi populární karty). Dalšími postiženými produkty byliy Lotus Domino a produkty společnosti Sangfor (čínský výrobce síťových zařízení). Na Youtubu můžete shlédnout video ukazující praktický útok na jeden ze serverů společnosti Visa.

Microsoft nově na svých službách ověřuje, zda nepoužíváte jednoduše uhádnutelná hesla. Má to svůj smysl, vzhledem k tomu že na základě uniklých 167 milionů údajů uživatelů LinkedIn, 750 tisíc z nich používalo heslo 123456 a 172 tisíc mělo jako heslo “password”. Víc sympatická je však idea Googlu, že do roku 2017 úplně zruší hesla pomocí Trust API používající Trust Score. Můžete si to představit jako vylepšenou verzi Smart Locku pro Android. Bude se jednat o kombinaci několika údajů. Dostupnost WiFi sítí, Bluetooth zařízení ve vašem okolí, vaše poloha, váš hlas, obličej apod. Pořád to má však daleko k jednoduchosti a jednoznačnosti Touch ID na Apple zařízeních, protože spousta z výše zmíněných faktorů lze podvrhnout. Ideální by asi byla kombinace obou.

Ve zkratce

Pro pobavení

Potřeboval bych přesunout data do notebooku, tak vám posílám svůj starý disk.

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

30. 5. 2016 8:41

Souhlasím (pokud jsou tím myšleny ty vševědoucí komentáře autora, např. „SWIFT síť by už konečně měla nasadit blockchain technologii“ nebo „co vím tak ztrácí poměrně hodně zákazníků, kteří přecházejí od jejich předražených produktů k Amazon Aurora, PostgreSQL, MongoDB, Cassandra apod.“).

Spolehlivě se podle nich pozná, že tento týden není na řadě kvalitní díl od CZ.NIC, ale dozvíme se spoustu ničím nedoložených názorů – které vrhají pochybnost i na to, zda „fakta“ uváděná v článku jsou opravdu …

30. 5. 2016 2:31

. (neregistrovaný)

Marťo, vynech ty vlastní postřehy. Vždycky je to blbost.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA