Hlavní navigace

Postřehy z bezpečnosti: spousta pseudo, málo náhodných dat

Martin Čmelík

V nejnovějším díle Postřehů se podíváme na bitcoin peněženku, pro kterou byla náhodná data chybová hláška webového serveru, na nový ransomware kit a nové schopnosti předních exploit kitů, chyba iOS, která restartuje zařízení, VPN službu fungující jako masivní botnet a spoustu dalšího.

Blockchain je velice populární (možná nejpopulárnější) peněženka pro bitcoiny. Verze pro Android však obsahovala kryptografickou chybu, díky níž bylo možné zaslat peníze omylem někomu úplně jinému.

Šlo o to, že aplikace brala pseudonáhodná čísla pomocí vlastní LinuxSecureRandom class, která pomocí XOR a dat z HTTP dotazu na web random.org (nepříliš dobrý nápad a koncept) vytvořila entropii pro vytvoření peněženky. Pokud však XOR metoda selhala (kvůli další chybě), tak bylo náhodné číslo z random.org jedinou entropií. Web random.org ale přešel kompletně na HTTPS a při dotazu na HTTP vrátil chybu 301, a tak se tato chybová hláška stala jedinou entropií pro vygenerování adresy (1Bn9ReEocMG1WEW1qYjuDrdFzEFFDCq43F).

Šťastný majitel tohoto účtu obdržel 34 BTC, tj. cca 8100 dolarů. Pokud máte větší částku v měně BTC, zkuste raději Coinbase, která bere bezpečnost svědomitěji.

Naše postřehy

O exploit kitech, jste jistě již slyšeli. Teď je však na scéně Ransomware Kit Tox. Služba běžící na Tor síti umožní během pár kliků spustit kampaň šířící ransomware ve stylu CryptoLockeru na všechny strany. Bonus navíc, služba je zdarma. Provozovatelé si berou „jen“ 20 % z částky, kterou jim zaplatí oběti těchto útoků.

V této době velice populární exploit kit Angler, jistě potěší všechny své zákazníky, protože přidal mezi svou škálu použitelných exploitů jeden z posledních pro Adobe Flash (CVE-2015–3090), který má podle CVSS nejvyšší možnou závažnost 10.0 (HIGH).

Když už jsme u těch exploit kitů, tak je dobré ještě dodat, že nově jeden z nich dokáže detekovat desítky domácích routerů a pomocí CSRF se snaží měnit DNS nastavení, aby tak mohl uživateli předkládat vlastní odpověď na DNS dotazy a tím tak úspěšně provést MitM, phishing, krádež identity apod. Je schopen využít i jedny z posledních nalezených chyb na routerech D-Link a TRENDnet. Cílit na domácí routery je jednoduché a efektivní, protože je nikdo neaktualizuje, a tak je možné zneužít i několik let starou chybu.

Chybou v iOS je možné na dálku restartovat zařízení. Způsobují to určité arabské znaky a to jen za předpokladu, že se vám ve standby režimu zobrazují celé zprávy na zamčené obrazovce zařízení. Může se tak jednat o SMS, Tweet, či cokoliv jiného, co vám zobrazí přijatý text jako notifikaci na obrazovce. Pokud máte detailní notifikace v zamčeném stavu vypnuté, chyba se neprojeví (vyzkoušeno :)). Zde je ukázka zmíněného textu: effective. Power لُلُصّبُلُلصّبُررً ॣ ॣh ॣ ॣ 冗.

Hola je VPN služba umožňující uživatelům např. sledovat vysílání blokované v jiných zemích (Netflix) tím, že se ke službě připojíte přes bránu v zemi, kde toto omezení není. Služba je „zdarma“, ale spousta uživatelů si asi nepřečetla, jak funguje business model pro tyto uživatele. Jejich připojení k Internetu je přeprodáváno ostatním společnostem k jejich vlastním účelům. Konkrétně jedna z nich, společnost Luminati, byla takto zneužita a uživatelé sítě Hola se tak na okamžik stali masivním botnetem (9 milionů IP adres) útočícím na server 8chan.

Flame a Stuxnet jsou bez výjimky pěkným příkladem, jak mocný a komplexní dokáže vládní malware být. To co si většina lidí neuměla ani představit, tyto malwary již po několik let běžně používaly. O době tři roky po objevení Flamu a dalších věcech mluví Chris Soghoian na své přednášce „Lessons from the Bin Laden Raid and Cyberwar: Immunizations and Security Updates“.

Kampaň jménem Volatile Cedar, původem z Libanonu, byla odhalena výzkumníky ze společnosti Check Point. Nešíří se pomocí spear phishingu, jak je tomu zvykem, ale pomocí nabouraných webových serverů, kam umístí trojského koně s názvem Explosive. Zajímavostí je, že malware pečlivě sleduje své nároky na systém, výsledky antivirového scanu a je tak schopen dílčí část pozastavit, aby nebyl odhalen.

Bylo dotázáno 550 expertů na umělou inteligenci a 18 % věří, že vytvoření umělé inteligence bude znamenat zánik lidstva. I podle jiné studie na Oxfordu  „12 rizik ohrožujících lidskou civilizaci“, je umělá inteligence na desátém místě.

Zajímavé statistiky společnosti Kaspersky o botnet DDoS útocích za období Q1 2015.

  • 23095 útoků oznámeno, o 11 % méně než Q4 2014
  • 12281 unikátních obětí DDoS útoků
  • Cíle v Číně, USA a Kanadě byly pod největšími útoky
  • Nejdelší útok trval cca 6 dnů
  • SYN flood a HTTP DDoS byly nejčastějšími typy útoků

Ve zkratce

Pro pobavení

Léto se blíží, a tak by měli network inženýři urychleně implementovat tento důležitý síťový prvek do každé serverovny!

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

4. 6. 2015 21:28

ebik (neregistrovaný)

Mas pocit, ze tvuj mozek je extremne vykonny? Ja mam za to, ze mozek obecne je podprumerne vykony, ale je celkem dobre navrzen na beh jednoho konkretniho "software". A s umelou inteligenci to muze byt podobne, dojde k (umyslnemu, lec nedomyslenemu) propojeni ruznych "polointeligentich" systemu, ktere obsahuji nejakou formu uceni a zpetne vazby, a muze se nahodou stat, ze se to zacne ucit jako celek, a ze to nakonec zacne "premyslet". Pravdepodobnost bude mala, ale prirovnal bych ji k pravdepodob…

1. 6. 2015 13:13

S tím že "vznikne" nesouhlasím. K AI je třeba extrémní výpočetní výkon, takže první AI bude vytvořena zcela vědomě na nějakém superpočítači nebo jiné speciální platformě. Stejně tak jsou podle mě nesmyslné předpoklady, že se po vytvoření začne samovolně šířit, jednoduše proto, že jiné platformy (v té době) nebudou pro ni postačující. Ani distribuovaný výkon, protože tam zas bude problémem latence a kapacita vzájemného propojení.

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

120na80.cz: Boreliózu nelze žádným testem prokázat

Boreliózu nelze žádným testem prokázat

Vitalia.cz: 7 originálních adventních kalendářů pro mlsné

7 originálních adventních kalendářů pro mlsné

Lupa.cz: Obchod budoucnosti je bez front, košíků i pokladen

Obchod budoucnosti je bez front, košíků i pokladen

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: Ohrozí Freedom TV přechodové sítě?

Ohrozí Freedom TV přechodové sítě?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

DigiZone.cz: Sat novinky: slovenská TV8 HD i ruský NTV Mir

Sat novinky: slovenská TV8 HD i ruský NTV Mir