Hlavní navigace

Postřehy z bezpečnosti: šifrování je důležitější než kdy dřív

Martin Čmelík 12. 8. 2013

V tomto díle seriálu se (mimo jiné) dozvíte, jak dlouho lze ještě považovat RSA za bezpečný algoritmus, jak NSA infikovala Tor síť svým exploitem, o ukončení služeb bezpečného zasílání emailů, o síti levných a distribuovaných analyzátorů WiFi, o botnetu distribuovaného úložiště v JavaScriptu a spoustu dalšího.

DEF CON

Skupina výzkumníků ze společnosti Neohapsis Labs na konferenci DEF CON představila novou/rychlejší techniku pro Man-in-the-Middle útoky na IPv6 síti. SLAAC (Stateless Address Auto Configuration) je mechanizmus umožňující generování unikátní IPv6 adresy na síti bez DHCP. Nástroj vlastně simuluje router na síti, a tak jde veškerý provoz skrz něj. Tool “Sudden Six”, který vytvořili, je možné stáhnout na Githubu.

Jak jsme již informovali. Charlie Miller (Twitter) a Chris Valasek (IOActive) demonstrovali na konferenci DEF CON, jak se za pomocí notebooku a diagnostického systému automobilu mohou úplně zmocnit auta. Mohou např. měnit zobrazenou rychlost, stav nádrže, odstavit brzdy, ovládat řízení apod. Velice znepokojivé, že? Podívejte se na demonstrační video.

Výzkumník Sean T. Malone (FusionX) představil na konferenci botnet HiveMind, napsaný v JavaScriptu, který byl schopen sestavit z prohlížečů uživatelů distribuované úložiště dat. Pomocí technologií HTML5 (WebSockets, Web Storage) a šifrování souborů algoritmem AES. Každý z účastníků takovéhoto botnetu jen stáhne script a použije prostor na svém disku k distribuovanému ukládání a dalšímu šíření dat.

Dvouhodinový dokument o konferenci DEF CON 20.

DEF CON v obrazech

Naše postřehy

Analýza cíleného útoku. V tomto dvoudílném článku o analýze cíleného útoku, který byl veden na náš server security-portal.cz, se dozvíte jak probíhal útok, jakou slabinu vlastně útočníci využili, jaké skripty u nás nechali (se zdrojovými kódy), jak se dostali ke kořenovému adresáři webu, proč jsme se stali zajímavým cílem útoku a jak podobným útokům předejít. 

V návaznosti na nový SSL/TLS útok BREACH se spekuluje, kolik let bude ještě RSA vůbec bezpečný algoritmus. Na konferenci Black Hat měl na dané téma přednášku Alex Stamos. Podle něj do pěti let bude matematika na takové úrovni, kdy již nebude tak časově náročné uhodnout klíče algoritmu RSA. Je čas pro eliptické křivky. Patent však vlastní BlackBerry.

FBI nechala zatknout Erica Eoin Marquese, provozovatele největšího hostingu Tor/hidden služeb “Freedom Hosting”. Důvodem je, že se na těchto serverech prý často vyskytovala dětská pornografie. Výpadek tohoto hostingu afektoval většinu běžících služeb na sítí Tor. Co je však nejzajímavější, NSA na servery hostingu vložila exploit zneužívající chybu v prohlížeči Firefox (17.0, 21.0), čímž se dostala do systému uživatelů a dále trasovala návštěvníky těchto stránek.

Americká společnost sídlící v Texasu Lavabit donedávna nabízela službu bezpečného zasílání emailů (GPG, TLS), kterou využíval i Edward Snowden při komunikaci s novináři. Hlavním rozdílem oproti ostatním velkým poskytovatelům bylo, že i emailové zprávy byly uložené na discích serveru pomocí GPG, takže ani administrátor Lavabitu nemohl dešifrovat obsah bez soukromého klíče uživatele. Něco podobného, jako používá úložiště MEGA. Bohužel však jak se v novinách objevila zpráva, že službu používá Edward Snowden,začaly se o ni zajímat bezpečnostní složky a nyní byl majitel služby donucen ji zrušit. Detaily bohužel nemůže sdělit. Službu používalo okolo 350 000 uživatelů.

Podobná služba Silent Circle/Mail byla zrušena také. Dle vyjádření na webu ještě neobdrželi žádnou obsílku, ale protože by se to dle nich stalo brzy, tak tomu raději předejdou a službu zruší již teď. Důvodem je to, že služba je oficiálně zrušena, takže stát po nich již nic nemůže chtít (logy a data ze serverů), protože servery byly smazány.

Jednadvacetiletý člen skupiny LulzSec Raynaldo Riviera byl odsouzen k jednoletému vězení, ke třinácti měsícům domácího vězení a tisíci hodinám prospěšných prací, a to vše kvůli nabourání do serverů sítě Sony Pictures Entertainment a zveřejnění databáze uživatelů.

OpenX, populární poskytovatel technologie pro internetové a mobilní reklamy, v poslední verzi svého produktu OpenX Source 2.8.10 obsahoval backdoor. Útočníkem byly pozměněny dva soubory umožňující pomocí funkce eval() úplně ovládnout server/web, který tuto technologii používal. Backdoor lze jednoduše identifikovat spuštěním toho příkazu:

grep -r --include "*.js" '<?php' /cesta/k/vasemu/webu

Arbor Networks odhalili botnet s názvem “Fort Disco”, který již kompromitoval přes 6000 webů založených na populárních CMS jako WordPress, Joomla apod. Je aktuálně tvořen 25 tisíci počítači s OS Windows a seznam cílů a hesel pro bruteforce odebírají ze šesti centrálních C&C serverů.

CreepyDOL (Creepy Distributed Object Locator) je levný WiFi senzor odposlouchávající provoz a zaznamenávající všechny informace vázané k jedné osobě nebo zařízení (iPhone, Android, …). Uvnitř běží Raspberry Pi, dvě WiFi antény a napájení je zajištěno přes USB s možností připojení i na elektrickou síť. Další zajímavosti je F-BOMB (Falling or Ballistically Launched Object that Makes Backdoors), což si představte jako síť těchto CreepyDOL zařízení, které jsou v dosahu a vyměňujících si informace o nalezených zařízeních a nasbíraných datech. Můžete takto v řetězci propojit zařízení přes celé městské bloky a odposlouchávat komunikaci všech v dosahu.

Úvod do automatizovaného řešení CAPTCHA obrázků. Popisuje existující služby, implementaci a pochopení funkce automatického luštění textu z obrázků, včetně ukázkového kódu a testování úspěšnosti.

Microsoft objevil chybu ve Windows Phone OS, kdy za použití PEAP-MS-CHAPv2 při autentizaci na WiFi AP by útočník mohl dešifrovat i přihlašovací údaje do domény, pokud by dané AP kontroloval. Jedná se spíše o upozornění a doporučení, ať zařízení ověřují vždy certifikát, čímž se vyhnou připojení na nastrčený access point.

Ve zkratce

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter.

Našli jste v článku chybu?

12. 8. 2013 12:12

Nobody (neregistrovaný)

Hlavne to jsou jen kecy, protoze OpenSSL i NSS sifry zalozene na eliptickych krivkach obsahuji jiz nekolik let. A jedina z velkych distribuci ktera je odstranuje je Fedora. I Ubuntu je normalne podporuje.

12. 8. 2013 7:56

Jaroslav Pinkava (neregistrovaný)

"Je čas pro eliptické křivky. Patent však vlastní BlackBerry."
To je bohužel situaci zkreslující tvrzení. Přečtěte si odkazovanou prezentaci. Patenty Certicomu (nyní Blackberry)
se netýkají samotných šifrovacích algoritmů, ale některých cest k jejich implementacím (efektivní násobení, komprese atd.). NSA má od Blackberry licenci na postupy pro algoritmy na bázi eliptických křivek, které budou používány pro potřeby národní bezpečnosti. Komerčním subjektům licenci poskytne Blackberry (nikoliv poch…

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: Sat novinky: Fransat UHD Demo

Sat novinky: Fransat UHD Demo

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

120na80.cz: Vitaminová abeceda

Vitaminová abeceda

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?