Hlavní navigace

Postřehy z bezpečnosti: špehují nás USB kabely

Autor: mich
CESNET CERTS

Dnes se podíváme na USB kabel s vestavěným GSM trackerem, najdeme webové stránky těžící kryptoměny, vypravíme se po stopách falešné aplikace a také si připomeneme, jak ochránit doménové jméno před odcizením.

Analýza špehovacího USB kabelu

Na první pohled jde o obyčejný USB kabel, použitelný třeba pro nabíjení mobilního telefonu, který se i jako obyčejný chová. Ve skutečnosti však kryt konektoru USB obsahuje plnohodnotný GSM tracker, který umožňuje nahrávat zvuk či sledovat přibližnou polohu. Bohužel, sledování polohy využívá internetovou službu výrobce, který tak má plný přehled o polohách a chování všech zařízení.


Autor: mich

Vypadá to jako obyčejný kabel. V krytu je však plnohodnotný GSM tracker.

Bezpečnostní výzkumník vystupující pod jménem mich sepsal velmi podrobnou analýzu takového kabelu s cílem zjistit, jak přesně cloudová služba funguje a zda je ji možné nějak vyřadit z činnosti. I když nakonec neuspěl, detailní analýza zařízení rozhodně stojí za přečtení.

Seznam slovenských webů, které na pozadí těží kryptoměny

Těžba kryptoměn na pozadí v prohlížeči se ukazuje býti zajímavým doplňkem či alternativou ke klasické webové reklamě. Server DSL.sk se situací na tamním webu začal zabývat po zjištění, že takovou činnost provádějí stránky Denníku N. Vypracovali sofistikovanou metodu dynamické analýzy v prostředí PhantomJS, kde stránku navštíví virtuální návštěvník a následně měří vytížení CPU vlákny JavaScriptu. Tím je možné odhalit i těžicí kód maskovaný jako obrázek či jiný HTML objekt. Výsledkem je seznam více než 200 slovenských webů, které na pozadí kryptoměny těží.

Nedělitelná mezera mezi pravou a falešnou aplikací

Vidíte tu nedělitelnou mezeru na konci jména vývojáře? My tedy ne.

Vidíte tu nedělitelnou mezeru na konci jména vývojáře? My tedy ne.

Už v minulém vydání jsme zmínili falešnou alternativu aplikace WhatsApp, kterou si stáhlo víc než milion uživatelů. Aplikace se jmenovala Update WhatsApp Messenger a podvedené uživatele nalákala zřejmě na to, že se jméno vývojáře vizuálně shodovalo s oficiálním provozovatelem, společnosti WhatsApp, Inc.. Ve skutečnosti však byl jejím autorem zcela jiný vývojář jménem WhatsApp, Inc.\xa0  – na konci přebývá znak U+00A0, tedy nedělitelná mezera. Tento drobný, okem nepostřehnutelný detail bohužel unikl automatickým detektorům v Googlu.

Aplikace se po nainstalování v zařízení skrývá použitím prázdného názvu a průhledné ikony a její jediná funkce zřejmě spočívá v otevření webové stránky určené zkrácenou URL z bit.ly, jejíž adresa je natvrdo uložena v kódu aplikace. Podle další diskuze na Redditu vývojáři zareagovali velmi rychle a změnili své jméno na Live Update Apps, později i odstranili všechny reference na WhatsApp změnou ikony a přejmenováním na Dual Whatsweb Update. Teprve poté byla aplikace Googlem odstraněna. Na tomto příkladu se prokazuje, že obezřetnost je třeba i při používání oficiálních obchodů s aplikacemi.

Ukradená doména? Stačí E-mail!

Problém s jindy neviditelnou infrastrukturou doménových jmen vás může potkat nejen u domény .io, ale i u obyčejné české domény. Nejde zde však o technická pochybení, jako spíše o nedostatečnou ochranu přístupových údajů na straně držitele. Minulý týden popsal na Twitteru Petr Soukup ze společnosti ShopAPI, s. r. o. případ odcizené domény e-shopu na základě nabouraného e-mailu držitele.

I když někteří registrátoři zabezpečují provedení převodu domény více než jiní, vždy může útočník změnit registrátora. K tomu mu stačí heslo, které lze kdykoli nechat zaslat na adresu evidovanou v registru. Je proto na místě nejen důsledně střežit přístup k e-mailovým schránkám, které jsou vedeny jako držitel domény, ale i aktivovat zvýšené zabezpečení doménového jména přímo v registru. Tak je možné zamknout doménové jméno buď před převodem k jinému registrátorovi, nebo i před všemi změnami. Kromě použití úředně ověřené listiny či elektronického podpisu je možné v případě CZ.NIC zvýšené zabezpečení aktivovat také prostřednictvím aplikace doménový prohlížeč, za předpokladu, že je doména registrována na mojeID kontakt a tento prošel validací.

Horší situace je u jiných domén nejvyšší úrovně. Obdobné zamykání na úrovni registru nabízí i například doména .eu, nebo generické domény spravované společností Verisign. V obou případech se však aktivace zvýšeného zabezpečení provádí prostřednictvím registrátora, přičemž službu nenabízejí zdaleka všichni registrátoři. Mezi českými registrátory se nám například nepodařilo najít žádného, který by danou službu nabízel.

Lávové lampy jako zdroj entropie

Dostatečně náhodný generátor náhodných čísel je klíčový pro v podstatě veškeré kryptografické operace. Své o tom vědí i v Cloudflare, kde si jako generátor entropie postavili řadu lávových lamp. Scéna je pak snímána statickou kamerou, jejíž výstup slouží jako jeden ze zdrojů entropie. Efekt to dělá jistě velký, ale podobného efektu lze dosáhnout i méně pompézně třeba vzorkováním šumu na tranzistoru, jako to dělá třeba USB dongle ChaosKey. Když není k dispozici ani ten, stačí prostě používat generátor náhodných čísel v linuxovém jádře. Podle dávného rozhovoru s jedním z vývojářů jádra by měl být kryptograficky bezpečný i ten, s jedinou výjimkou těsně po startu systému.

Řešení úloh „The Catch“

V průběhu října jste mohli prověřit své analytické schopnosti ve hře The Catch, kterou připravili kolegové z Forenzní laboratoře sdružení CESNET. Vzhledem k tomu, že soutěž již byla uzavřena, bylo zveřejněno vzorové řešení všech úloh, které nabízí pohled na základní metody práce forenzního analytika. Přečtení proto stojí za to i v případě, že vás vlastní hra minula.

Ve zkratce

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?