Hlavní navigace

Postřehy z bezpečnosti: šmírující televize jako z románu 1984

Martin Čmelík 2. 12. 2013

Podíváme se na šmírující „smart“ televizory, potvrdíme si hack 50 000 sítí díky teamu TAO z NSA, co umí nový banker Neverquest, o 0day exploitu na Windows XP a Server 2013, použití PFS v HTTPS komunikaci, SMS DoS na Google Nexus, jak nalézt soubory zašifrované CryptoLockerem a spoustu dalšího.

První větou bych chtěl předejít zbytečným diskuzím v komentářích. Ano, vím, že o tomto tématu informoval již Lukáš Malý v předchozích postřezích, ale přišlo mi, že informace podané k tomuto tématu nebyly dostatečné a navíc se objevilo pár nových.

Situace jak vystřižená z románu 1984 od George Orwella, ve kterém televize instalovaná do do všech bytových prostor sledovala, co právě děláte. Podobně se chová „smart“ televize od společnosti LG a bůhví od kterých dalších značek. Nemusí jít však jen o televizi, ale i o herní konzole vybavené kamerou. Jako se například spekulovalo, že Xbox bude sledovat vaše reakce (obličeje) na cílenou reklamu a podle toho dávat zpětnou vazbu zadavateli. Dále tu máme stále zapnutý mikrofon na Google Nexus 5 a už jen pro pobavení odposlouchávací zařízení ve varných konvicích s připojením na WiFi.

LG odesílá názvy programů které sledujete, jaké kanály sledujete a kdo je vysílá, názvy souborů na vašem disku/USB a i na síťových discích. Tyto názvy navíc uchovává a posílá je i po odpojení disku nebo smazání souboru. Při zapnutí televize tuto událost nahlásí, stejně tak jako při vypnutí, takže LG ví, jak dlouho a kdy máte zapnutou televizi. I když dle testů server odpoví chybou 404, všechna data samozřejmě byla předána. LG se snažilo vymlouvat, nečekali však, že někdo si opravdu přečte smluvní podmínky.

Teď si vezměte, že ostatní společnosti dělají to samé, ale např. tato data šifrují, používají unikátní klíče pro každou televizi, nebo data posílají vlastním protokolem. Přišlo by se na to? Lze to udělat tak, že nic nepoznáte ani z odposlechu síťové komunikace. 

Možná by EU byrokrati místo stostránkového dokumentu popisujícího správné zahnutí banánu měli definovat, jakých všech práv nás vůbec společnosti mohou zbavit ve smluvních podmínkách.

Problémem samozřejmě není jen LG, Samsung TV zas díky chybě umožňuje vzdálený přístup a zrovna těmito chybami, nebo pomocí defaultních hesel, se baví poměrně velká komunita na Internetu. Přepínají vám programy a sledují kamerou dění před televizí.

Dejte si pozor, koho pouštíte do svých domovů.

Naše postřehy

Zas ta NSA. Dle dalších informací od Snowdena se potvrdilo, že NSA infikovala na 50 000 sití svým malwarem a sbírala z nich takto data. K tomuto účelu měla NSA tým zvaný TAO (Tailored Access Operations), čítající tisícovku hackerů, pardon, zločinců nabourávajících tyto sítě. Malware je možné vzdáleně kontrolovat a zároveň jedním příkazem nechat zničit. To se takhle člověk bojí, kdo ze zločinců se bude snažit nabourat jeho infrastrukturu, a pak se dozví, že tím největším je americký úřad.

Známý čínský Velký Firewall, který sedí na internetovém připojení Číny a omezuje přístup na weby, služby, či konkrétní URL, které jsou nepřípustné podle tamního režimu, je v poslední době nově obcházen pomocí cloudových služeb. Nepřístupný web se prostě zkopíruje (mirror) na servery Amazonu, Googlu a dalších a je tak možné obejít ochranu. Tomuto kroku prý předcházelo blokování některých stránek čínského Reuters a Wall Street Journal.

0day exploit využívající nově objevenou chybu ve Windows XP a Windows Server 2013 (CVE-2013–5065) se šíří spolu s kódem využívající chybu v Adobe Readeru (CVE-2013–3346). Chyba v Adobe slouží jako dropper, kdy se pak spustí kód s chybou Windows umožnující eskalaci práv díky chybě v ovladači NDPROXY.SYS.

Jak jsme dříve informovali o možnosti získat data z HTTPS provozu i několik let zpět, pokud se dostanete k soukromému klíči, a že jedinou dnes použitelnou možností obrany je použití HTTPS společně s PFS (Perfect Forward Secrecy), tak nově se k takto zabezpečeným službám přidal i Twitter. Všeobecně se standard dodržování bezpečné komunikace nazývá HSTS (HTTP Strict Transport Security) a pro zajištění generování nového unikátní klíče poslouží právě PFS. Pokud byste měli zájem používat PFS i na svých serverech, použijte například šifrovací sadu ECDHE-RSA-AES128-GCM-SHA256 (Elliptic Curve Diffie-Hellman).

Nový banker má název Neverquest. K hlavním zajímavostem patří především to, že je schopen rozeznat až 100 bank a finančních institucí a tím pádem i vám ukrást peníze, pokud některou z podporovaných používáte. Dále spustí na napadeném počítači VNC službu a čeká na příkazy z C&C serveru. Dále podporuje snad všechny známé FTP klienty a pokud zde máte uložené heslo, tak i tyto údaje předá C&C, kde jej autoři mohou použít pro další šíření malwaru. K šíření používá i váš emailový účet (spam) a účet na sociálních sítích.

Google Nexus je napadnutelný DoS útokem založeným na SMS zprávách. Útočník takto může nechat mobilní telefon nebo tablet, restartovat, zatuhnout nebo odpojit od sítě. Chyba postihuje všechny Android verze 4.x a jak zařízení Google Galaxy, tak Nexus 4 i Nexus 5. Stačí poslat přibližně 30 tzv. flash SMS.

Linuxový červ Linux.Darlloz útočí na všechna zařízení (servery, routery, kamery, …) používající zranitelnou verzi PHP (PHP-CGI, CVE-2012–1823). Po napadení systému náhodně vygeneruje další IP adresu a šíří se dál. Zvláštní je, že dělá jen tuto rutinu. Dál v systému nijak neoperuje. Možná testovací kód, který omylem unikl.

Bezpečnostní odborník nalezl metodu umožňující určit, které ze souborů jsou zašifrované ransomewarem CryptoLocker a které nikoliv. Obnovit ze zálohy pak můžete jen ty napadené a rapidně tak snížit dobu obnovy.

Twitter účet magazínu TIME byl hijacknut známou skupinou Syrian Electronic Army (SEA). Prý TIME v hlasovací anketě o osobnost roku nepíše moc hezky o prezidentu Sýrie. Kdo má důvod, bezpečnostní díru si vždy najde.

Ve zkratce

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

4. 12. 2013 20:03

Presne takto končí všetka snaha o upozornenie na nekalé praktiky súčasného sveta. Niekto sa chytí nadsádzky, čím presmeruje pozornosť.

Ja Vám prajem krivé banány a tiež hlavnú rolu v porno filme vlastnej obývačky!!!

2. 12. 2013 8:43

Neexistuje zadna norma ktera by zakazovala prodavat zahnute banany.
Je videt ze tahle urban legend prezije v cesku cokoliv. ;o)


Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...