Hlavní navigace

Postřehy z bezpečnosti: součástí bezpečnosti je učení se z chyb

Martin Čmelík 6. 4. 2015

V nejnovějším díle pravidelných pondělních zpráv z oblasti bezpečnosti se podíváme na podrobný popis využití jedné z mnoha chyb Microsoftu, způsob, jak utéct z vězení pomocí e-mailu, jak se nedá věřit certifikačním autoritám, poznáme Čecha co provozoval Sheep Marketplace, DoS útoky v síti Tor a spoustu dalšího.

Tento týden jsem nedokázal vybrat jedno téma, které by předčilo ty ostatní. Je jich totiž hned několik. Alespoň trochu popíšu jednu z mnoha zranitelností produktů Microsoftu, protože originální článek obsahuje spoustu detailů a zajímavostí ohledně fungování některých protokolů.

Většinou nemá cenu psát o nových zranitelnostech produktů Microsoftu, protože jich je příliš a proto je nutné striktně dodržovat pravidlo: aktualizuj v úterý, neboť už ve středu se exploituje (Patch Tuesday, Exploit Wednesday). Tentokrát udělám výjimku, protože na konferenci SyScan proběhla přednáška o využití chyb z února tohoto roku (MS15–011 a MS15–014) a vše bylo pěkně sepsané v blogu. Jedná se o postup, při kterém je třeba mít možnost man-in-the-middle útoku (tj. na lokální síti neexistují ochrany jako IP Source GuardDHCP Snooping) a na počítače bude aplikovaná jakákoliv GPO (Group Policy Objects), což je případ asi tak 99% sítí s Windows klienty a AD servery.

Útočník pomocí některého typu poisoningu (ARP, DNS, …) a za použití nejspíše ettercapu (ano, může použít i třeba netwox a sestavit si packety, ale v dnešní době to nepředpokládejme) sám ze sebe udělá router a pak například pomocí Scapy může modifikovat za běhu provoz tak, aby byl posléze schopen poslat klientu sítě svoji vlastní group policy a tím plně ovládnout všechny systémy na síti. Zásadním je v tomto případě základní nastavení AD kontrolérů, které nevyžaduje podepisování SMB zpráv od klientů. To se opravovalo nadvakrát, protože i když jste nainstalovali MS15–011, se základním nastavením tak bylo nucené podepisování i od klienta, tak pokud komunikace selhala, použilo se jako záchranné nastavení – nevyžaduj podepisování, což bylo doopraveno právě aktualizací MS15–014.

Ve článku je spousta videí a pokud vás problematika zajímá, tak ho doporučuji přečíst celý.

Naše postřehy

Sheep Marketplace byla černá burza/trh podobná Silk Road, která byla uzavřena v prosinci 2013, pro údajný hack systémů a zcizení bitcoinů v hodnotě 40 milionů dolarů. Ukázalo se však, že o hack zřejmě nešlo a majitel této služby s penězi prostě „utekl“. Pro nás je zajímavostí především to, že se jmenuje Thomas (Tomáš) Jiříkovský a ano, je to Čech. Odhalení jeho totožnosti nebylo složité, stačil k tomu jeho facebook účet. České policii se dostal do hledáčku, když se snažil pod jménem svého dědečka koupit dům za devět milionů korun.

Chrome a Firefox odebrali čínskou certifikační autoritu CNNIC z důvěryhodných autorit, protože CNNIC vydala intermediate CA certifikát společnosti MCS Holding nepoužívající Name Constraints. To v jednoduchosti znamená, že tato CA mohla (a udělala) vydat certifikát na Google.com, ten umístit na proxy server a odchytávat veškerou vaší komunikaci. Bez toho, aby vám prohlížeč dal jedinou varovnou hlášku. Abych byl úplně přesný, tak pokud byste šli na takto zmanipulovaný Google prohlížečem, který podporuje certificate pinning či HSTS, tak varovnou zprávu dostanete. Nejde samozřejmě jen o Google, certifikát mohl být vygenerován na jakoukoliv doménu, banky nevyjímaje. Pokud by byl vydán CA certifikát s omezením pomocí Name Constraints, tak by se něco podobného nemohlo stát. Jedna nebezpečná certifikační autorita je pryč (nejspíš jen dočasně), teď zbývajících ±500. Pokud nevěříte společnostem, o kterých jste v životě ani neslyšeli, tak můžete celý koncept autorit hodit do koše a používat některou z metod, nebo spíše jejich kombinaci: Certificate Pinning, HSTS preloading, DNSSEC/TLSA pomocí DANE. Každá má svá omezení, ale naštěstí společnosti jako Google tlačí na ostatní vývojáře.

Zdá se, že útočníci vyžívají chyb, respektive nedostatků sítě Tor k DoS útokům vůči službám běžícím přes protokol hidden services. Chybným článkem se jeví možnost klientů poslat několik INTRODUCE zpráv při pokusu o připojení k hidden services, čímž se vytvoří několik (stovky) rendezvous (místo setkání) okruhů s cílovým serverem v rámci jednoho spojení. To může mít za následek vyčerpání prostředků cílového serveru. Existuje několik postupů jak se tomu bránit na straně serveru, ale pro většinu uživatelů bude lepší počkat na opravené vydání implementující některé z možných řešení.

Neil Moore, toho času vězeň ve věznici South West London Wandsworth, za použití propašovaného mobilu vytvořil doménu podobnou oficiálnímu názvu soudní služby a napsal email, který se tvářil jako by byl od nadřízených vyšších úředníků s instrukcemi o jeho propuštění. Plán se zdařil a až jeho advokáti si všimli, že není v cele, když ho šli navštívit. Po třech dnech se sám udal. Soudce David Hunt označil tento útěk za geniální.

Bezpečnostní audit TrueCryptu neprokázal zadní vrátka v programu. Druhá fáze analýzy byla dokončena 13. března a zveřejněna až teď. Byli objeveny čtyři problémy, z toho dvě označené jako závažné. Žádná z nich však nenaznačuje, že by program za určitých okolností umožňoval přístup k datům. Pro spoustu lidí určitě dobrá zpráva. I když se TrueCrypt již dále nevyvíjí, tak jeho fork VeraCrypt je velice nadějným nástupcem. Já osobně ho používám několik měsíců a zatím bez problému. Jen když mountujete svazky vytvořené TrueCryptem, tak nezapomeňte zaškrtnout volbu „TrueCrypt Mode“, jinak operace selže.

Začátkem týdne se šířily zprávy o DDoS útoku na populární službu hostingu zdrojových kódů GitHub. Podle prvotních údajů byl útok veden z Číny, ale bezpečnostní odborníci odhalili, že útočníkem je vlastně každý uživatel, který navštívil web na kterém byla analytická služba od Baidu (čínský Google). Ta obsahovala škodlivý JavaScript, který vedl útok na servery GitHubu pomocí soustavného načítání dvou stránek. Příběh však pokračuje a Rob Graham dokázal identifikovat prostředníka na cestě k serverům Baidu, který škodlivý kód vkládal. Jedná se o zařízení v síti operátora China Unicom, kterýžto je známý napomáháním blokování obsahu (Velký čínský firewall).

Kamil Hismatullin objevil chybu ve službě YouTube, která mu umožnila smazat jakékoliv video. V podstatě hloupá chyba neověřující oprávnění nad daným videem. Za ohlášení chyby získal pět tisíc dolarů. Přečtěte si, prosím, více informací ve článku v odkazu, ale neklikejte na jeho blog. Útočníci očividně využili aktuální obrovské popularity jeho blogu a umístili na něj vlastní malware (alespoň v době psaní článku). Jednalo se o využití chyby v modulu RevSlide, infikování favicon.ico a kompromitování celého WordPressu.

Security Session konference proběhne již tuto sobotu 11. dubna 2015 od 09:00! Těšíme se na vás.

Ve zkratce

Pro pobavení


Autor: Geek&Poke

Trojan Horse

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

6. 4. 2015 14:46

„pokud byste šli na takto zmanipulovaný Google prohlížečem, který podporuje certificate pinning, či HSTS, tak varovnou zprávu dostanete.“

Ponechám stranou, že to není dostačující podmínka – nějak ten pinning se do prohlížeče prvně musí dostat, třeba návštěvou stránky nebo preloadnutím. Ponechám též stranou, že Google HSTS zdaleka nepoužívá všude*. Moje otázka zní, jak zde pomůže HSTS proti certifikátu vydanému důvěřovanou certifikační autoritou?

Jistě, v celém schématu to je podstatná v…

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: Často čůrá a má žízeň? Příznaky dětské cukrovky

Často čůrá a má žízeň? Příznaky dětské cukrovky

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR