Hacker, který o sobě tvrdí, že je studentem střední školy v USA, se naboural do privátního e-mailového účtu ředitele CIA Johna Brennana. Podle jeho slov byly v e-mailové schránce také citlivé informace, jako 47stránková přihláška k bezpečnostní prověrce na úroveň top-secret, čísla sociálního zabezpečení (SSN), která jsou obdobou našeho rodného čísla, a osobní informace o více než tuctu vysoce postavených úředníků rozvědky. Ve schránce měl být také dokument diskutující drsné výslechové metody používané proti osobám podezřelým z terorismu.
K získání citlivých informací útočník předstíral, že je zaměstnancem společnosti Verizon, která službu AOL vlastní. Tak se mu podařilo přesvědčit jiného zaměstnance společnosti, aby mu prozradil Brennanovy osobní informace. S jejich pomocí pak byl schopen opakovaně resetovat heslo u Brennanova osobního účtu, jak s ním Brennan bojoval o převzetí svého účtu zpět. Nakonec byl účet ředitele CIA vypnut. Opět se ukázalo, že sociální inženýrství je nebezpečná technika, před kterou není nikdo stoprocentně imunní.
Asi bych se tomu celému zdráhal věřit, kdyby se v průběhu týdne neobjevily některé z avizovaných dokumentů na Wikileaks. Je zarážející, že někdo v takovém postavení používá svou privátní e-mailovou adresu pro komunikaci o citlivých informacích. V americkém kongresu se aktuálně projednává návrh zákona CISA, který by měl umožnit CIA a NSA ještě větší sledování uživatelů. Někdo škodolibý by tak mohl říci, že je dobře, že se ředitel CIA rozhodl jít příkladem a nechat ostatní nahlédnout do svého soukromí. A podle některých informací se stejný útočník dostal i k soukromému účtu tajemníka Department of Homeland Security u společnosti Comcast.
Naše postřehy
Facebook nyní upozorní své uživatele, pokud bude přesvědčen, že jsou cílem útoku organizace či jedince pracujícího pro stát. Facebook to zdůvodňuje mimořádnou nebezpečností těchto útoků. Neupřesňuje, jak bude k identifikaci takových útoků docházet, ale lze předpokládat, že to bude kombinace více faktorů. Facebook zároveň tvrdí, že toto oznámení dostanou pouze uživatelé, u kterých si bude velmi silně jist.
Tisíce stránek běžících na platformě Magento určené pro provozování e-shopů bylo během posledního víkendu zneužito k šíření malware. Pravděpodobným vektorem napadení těchto stránek byla zranitelnost remote code execution. Díky tomu mohl útočník přidat do stránek iframe směřující na doménu guruincsite[.]com. Na této doméně pak byl další iframe směřující na další doménu, ze které pak byl prohlížeč nasměrován na exploitKit Neutrino. Po úspěšné exploitaci zranitelnosti FlashPlayeru pak došlo k infikování malwarem Andromeda/Gamarue.
Internet věcí nejsou jen rychlovarné konvice prozrazující hesla k WiFi sítím, které minulý týden po čtvrt roce upoutaly pozornost médií, ale také řada dalších zařízení. Jedny z nich, konkrétně CCTV kamery, byly nyní zneužity k DDoS útoku na velkou cloudovou službu obsluhující miliony uživatelů po celém světě. Na kamerách podílejících se na útoku byl nalezen malware, který se staral o odesílání HTTP GET požadavků z devíti set CCTV kamer z celého světa. Problematice Internetu věcí se také věnoval kolega Tomáš Suchan na akci !SECURITY Fest! pořádané minulý týden sdružením CESNET ve spolupráci se sdružením CZ.NIC. Pokud jste akci nestihli, můžete si Tomášovu prezentaci vyslechnout v naší akademii a ještě si od nás odnést vlastní funkční IoT WiFi gadget.
Analytička Axelle Aprville ze společnosti Fortinet demonstrovala na akci Hack.lu, jak během deseti sekund hacknout náramky Fitbit. S pomocí bluetooth dokázala změnit informace o naměřených krocích a vzdálenosti. Také ovšem uvedla, že je možné napadené zařízení využít k rozšíření malware na spárovaná zařízení.
Na univerzitě v Alabamě sledovali pohyby očí a mozkovou aktivitu uživatelů, kteří měli rozpoznat phishingové útoky a malware. Díky tomu nyní víme, že uživatelé nevěnují dostatečný čas klíčovým prvkům ukazujících na phishing a často selhávají při detekci phishingových útoků. Na druhou stranu uživatelé vykazují dobré reakce v případě malware, například na varování webových prohlížečů. Smyslem těchto pokusů však není zjistit, že se uživatelé nechají snadno nachytat na phishing. Získaná data by měla pomoci při budování mechanismů pro automatickou detekci phishingu postavených na neurální aktivitě.
Pokud někdy budete mít před sebou počítač s Windows s podezřením na nákazu a klasické metody a antiviry nebudou úspěšné, zkuste entropii. Tyto nástroje fungují, protože tvůrci malware obvykle používají různé metody pro obfuskaci svých výtvorů. Jejich použití však vede k tomu, že jejich soubory pak mají větší entropii než normální spustitelné soubory ve Windows.
Ve zkratce
- Útočníci z Pawn Storm napadli vyšetřovatele havárie letu MH17
- Sony Pictures stála ukradená data zaměstnanců 8 milionů Záplaty zranitelností v CMS Drupal, Joomla
- Nebojte se reverzního inženýrství I.
- Zranitelnost v LibreSSL
- Cryptolocker a jeho varianty
- Zranitelnost v ntpd
- Jak napadnout Chip-and-PIN karty
- Milion certifikátů stále používá SHA-1
- Dridex je stále aktivní
- Bezplatné lekce sociálního inženýrství
- Top 10 šifrovacích nástrojů, které by měl každý znát
- 0-day exploit pro kritickou infrastrukturu za $8000
- 18 000 Android aplikací s knihovnou pro krádeže SMS
Pro pobavení
Kdo ví, jak to s tou schránkou ředitele CIA vlastně bylo.
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.