Hlavní navigace

Postřehy z bezpečnosti: šifrované DNS soukromí nezvýší

CESNET CERTS

Přestože čím dál víc šifrujeme, míra soukromí se nezvyšuje. Příběh o kritické zranitelnosti VLC, která není ani moc VLC, ani moc kritická. NTP klient, který se nenechá zmást, ale asi neexistuje.

Doba čtení: 4 minuty

Sdílet

Co se dá zjistit z navštívených IP adres

Za dávných dob bylo na internetu všechno nešifrované, kdokoli na drátě si mohl přečíst, nebo dokonce pozměnit jakoukoli část komunikace. To dnes neplatí, standardem je šifrování pokud možno všeho. Při použití HTTPS na webu už útočník nemá šanci zjistit přesné URL ani obsah komunikace, stále ale dokáže zjistit použité doménové jméno, což může být v některých případech dostačující.

Doménové jméno uniká jednak v DNS provozu, jednak v SNI hlavičce, kterou posílá TLS klient a konečně v certifikátu, který předává server. Šifrování předaného certifikátu řeší TLS 1.3, SNI hlavička se také začíná šifrovat. Pro zašifrování DNS existují dokonce dva protokoly DoT a DoH, které se pozvolna začínají prosazovat. V blízké budoucnosti tedy útočník nebude mít k dispozici ani doménové jméno, ke kterému se účastník připojuje. Způsobí to zásadní ochranu soukromí?

Touto otázkou se zabývali Simran Patil a Nikita BorisovUniversity of Illinois at Urbana-Champaign. Ve své práci analyzovali IP adresy milionu nejpopulárnějších webových stránek. Téměř polovina všech analyzovaných IP adres přitom patří právě jednomu doménovému jménu. Webové stránky navíc obvykle načítají nejrůznější objekty třetích stran z různých domén. Díky tomu lze s velkou mírou pravděpodobnosti odhadnout informace o navštívené doméně jen na základě analýzy sady IP adres, na kterou se oběť připojuje. „Šifrování DNS a SNI poskytuje pouze omezenou ochranu soukromí,“ tvrdí výzkumníci v závěru své studie a doporučují zejména operátorům CDN sítí, aby více sdíleli IP adresy mezi svými zákazníky.

Co můžeme přiřadit k IP adrese

Pohled tak říkajíc z opačného konce drátu přináší na blogu APNIC Ólafur Guðmundsson z Cloudflare. Stěžuje si například, že spousta výzkumníků, kteří se zabývají například určováním vzdálenosti na internetu, zcela ignoruje anycastové sítě, tedy sítě používající stejné IP adresy na více místech.

IP adresy jsou také čím dál více sdíleny, takže za jednou adresou se může stejně tak schovávat jeden uživatel jako stovky uživatelů a naopak jeden uživatel může používat od jedné do několika desítek IP adres. „O IP adrese přemýšlejte jako o dočasném identifikátoru. Může se kdykoli změnit.“

VLC není zranitelné, zastaralé externí knihovny ano

Minulý týden byla zveřejněna zranitelnost CVE-2019–13615 populárního multimediálního přehrávače VLC. Protože umožňuje vzdálené spuštění kódu, dostala vysoké hodnocení 9.8 a označení za kritickou zranitelnost. Jenže ve skutečnosti to zřejmě není tak horké. Jak vzkazuje VLC v dlouhém vlákně na Twitteru, chyba je ve skutečnosti v knihovně třetí strany jménem libebml a byla opravena už před 16 měsíci. Od verze VLC 3.0.3 z května loňského roku je opravená verze knihovny součástí oficiálních distribucí VLC. Také, ono vzdálené spuštění kódu není až tak vzdálené; ve většině běžných použití nástroje VLC je to uživatel, který nechá vědomě přehrát konkrétní video soubor. Po intervenci vývojářů bylo tedy hodnocení sníženo na 5.5.

Zranitelnost objevil německý federální CERT. Ihned pro ni otevřel lístek (ticket) na veřejném vývojářském portále a teprve poté, co se vývojářům nepodařilo problém na žádné z podporovaných verzí VLC reprodukovat, poznamenal, že používá Ubuntu 18.04 LTS, které používá VLC sestavené proti zastaralé verzi libebml. Přestože je daná verze Ubuntu stále podporovaná, příslušný balíček je součástí sady universe, pro kterou není žádná podpora garantovaná. Problém je tedy zcela mimo sféru vlivu vývojářů VLC a musí být opraven na úrovni správců distribučních balíčků.

Želví grafika v LibreOffice umožňuje spouštět kód v Pythonu

Kancelářský balík LibreOffice v sobě mimo jiné obsahuje i LibreLogo – interpret jazyka Logo. Je implementován jako makro, které se interně překládá do Pythonu. A protože jde o makro vestavěné v distribuci LibreOffice, spouští se bez ohledu na nastavení zabezpečení maker.

Zranitelnost pojmenovaná CVE-2019–9848 spočívá v chybě ve vestavěném makru, která umožňuje spouštět libovolný kód v Pythonu jen tím, že uživatel otevře závadný dokument. Zranitelnost byla opravena ve verzi 6.2.5. Další informace jsou na blogu Nilse Emmericha, objevitele zranitelnosti.

Chronos je nový NTP klient odolný proti některým útokům

Správný čas je na internetu klíčový například pro validaci TLS certifikátů nebo DNSSEC podpisů. Obvykle se synchronizuje pomocí tradičního protokolu NTP. Ten však může být podvržen, což může způsobit i výpadky služeb. Výzkumníci z Hebrejské univerzity v Jeruzalémě se pokusili vyvinout nového klienta pro stávající protokol NTP verze 4. Ten by měl proti několika druhům útoků být odolný například tím, že používá současně stovky NTP serverů, ze kterých náhodně vybírá malé podmnožiny. Detailně klienta popisuje odborný článek a návrh v IETF. Zdrojové kódy se nám však dohledat nepodařilo.

Nedávno také vyšlo RFC 8633, které shrnuje nejlepší současnou praxi při provozování protokolu NTP. Zdůrazňuje se zde potřeba mít víc nezávislých zdrojů, ideálně čtyři a víc. Řeší se zde i ochrana před zneužitím pro DDoS útoky a správné zpracování přestupných sekund.

Pro pobavení

Kolegové ze společnosti Binary House objevili několik zranitelností aplikace eID klient, která se používá pro správu elektronických občanských průkazů na Slovensku. Vládní CSIRT Slovenské republiky vyjádřil poděkování etickým hackerům a předala bug bounty.


Autor: CSIRT.SK

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…