Hlavní navigace

Postřehy z bezpečnosti: technika nám naslouchá

9. 1. 2023
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V aktuálním dílu Postřehů si připomeneme rizika zneužití techniky kolem nás k odposlechům, na útoky ve zdravotnictví, na problémy frameworku PyTorch, na překvapivý cíl phishingových útoků nebo pokutu pro společnost Meta.

Technika naslouchá

Se zvyšující se citlivostí akcelerometrů v mobilních telefonech se zlepšují i možnosti odposlechu s využitím tohoto postranního kanálu. V roce 2020 jsme slyšeli o analýze zvuků z reproduktorů a nyní je možné takové odposlechy provádět i u zvuků vycházejících ze sluchátka telefonu. Akcelerometry jsou tak citlivé, že zaznamenávají už i chvění sluchátka a na základě analýzy dat poskytnutých akcelerometrem lze určit poměrně s přesností pohlaví mluvčího, identifikovat konkrétní osobu a částečně i rekonstruovat obsah rozhovoru. Pokud snížíte hlasitost reproduktoru, můžete tedy nejenom ochránit své uši, ale i soukromí.

Dalším příkladem jsou reproduktory Google Home, které umožňovaly potenciálnímu útočníkovi odposlouchávat okolní konverzaci. Matt Kunze, který chybu našel, popsal jeden z možných postupů útočníka následně:

„Útočník se musí dostat do bezdrátového dosahu zařízení Google Home, které chce napadnout, přičemž nepotřebuje přístup do Wi-Fi sítě oběti. Poté odposlechem provozu zjistí MAC adresu zařízení. Vyšle paket deauth, kterým zařízení odpojí od sítě. Díky jedné z nalezených chyb se zařízení přepne do výchozího módu a vytvoří svou vlastní otevřenou Wi-Fi síť. Útočník se pak připojí k zařízení přes tuto síť a získá informace potřebné k propojení zařízení s jím ovládaným účtem. Následně je možné iniciovat z napadeného zařízení hovor a odposlouchávat tak vše, co bylo v jeho dosahu řečeno.“

Autor: Google

Zdravotnictví v ohrožení

Útoky se nevyhýbají ani zdravotnickým zařízením, proto je dobře, že se na tuto problematiku zaměřilo cvičení Health Czech, jehož cílem bylo připravit účastníky na zvládání kybernetických útoků ve zdravotnickém sektoru. Účastnilo se ho celkem 15 týmů z různých koutů České republiky. Týmy složené z IT techniků, právníků, pracovníků vztahů s veřejností, manažerů kybernetické bezpečnosti, ale i z lékařů měly za úkol řešit různé bezpečnostní scénáře, které obsahovaly různé typy bezpečnostních incidentů. Cvičení bylo doplněno o odborné přednášky a dle slov ředitele Národního úřadu pro kybernetickou a informační bezpečnost se akce vydařila.

Že jsou útoky na nemocnice trvalý problém, ukazuje i ransomwarový útok v nemocnici v Luisianě, který zasáhl 270 000 pacientů. Oznámení o neoprávněném přístupu k citlivým datům pacientů rozesílá největší lékařský komplex v Luisianě. Bezpečnostní tým nemocnice zjistil neobvyklou aktivitu v počítačové síti, jejíž vyšetřování odhalilo, že hackeři získali neoprávněný přístup do sítě a následně ukradli citlivé soubory obsahující údaje o pacientech včetně lékařských záznamů. K útoku se přihlásila skupina Hive ransomware, která nemocnici uvedla na svém webu o úniku dat, což je krok, který obvykle činí po neúspěšných jednáních o zaplacení výkupného.

Nelze se tedy spoléhat na to, že se útočníci omluví, jako se tomu stalo v případě útoku gangu LockBit ransomware na dětskou nemocnici, a ještě zdarma poskytnou dešifrovací klíče.

Machine stealing namísto machine learning

O řádění škodlivého kódu v oficiálním repozitáři Python knihoven PyPi jsme psali naposledy v polovině listopadu. Konec minulého roku přinesl útok na jednu z nejznámějších knihoven pro machine learning. Framework PyTorch, který má na GitHubu přes šedesát tisíc hvězd, pět dní kradl data. Útočníkům se podařilo škodlivý kód vložit do jedné ze závislostí frameworku, do repozitáře projektu Torchtriton.

Pokud někdo v inkriminovaném vánočním čase upgradoval na nejnovější verzi PyTorch (nikoli stabilní, té se útok nedotkl) a současně explicitně použil import Torchtritonu, spustila se mu škodlivá binárka. Ta vzala prvních tisíc menších souborů v domácí složce, zvlášť privátní klíče v .ssh. Administrátoři PyTorch zareagovali poměrně rychle, závislost vyřadili ve spolupráci s PyPi a zabrali jména svých projektů, aby předešli podobnému typu útoku.

Irský ekvivalent úřadu na ochranu osobních údajů udělil pokutu společnosti Meta

Společnost Meta dostala pokutu 390 miliónů eur od irské „Data Protection Commission (DPC)“ což je něco jako český Úřad na ochranu osobních údajů. Celková pokuta sestává ze dvou menších. První je v hodnotě 210 milionů za porušení GDPR ve spojitosti se službou Facebook a druhá v hodnotě 180 milionů ve spojitosti se službou Instagram. Meta dle svých slov řádně splňuje všechny požadavky a má v plánu se odvolat.

Flipper Zero phishing

Flipper Zero – víceúčelové zařízení pro hackery, jehož tvůrcům se v kampani na Kickstarteru podařilo překonat hlavní cíl více než 80×, se kvůli špatné dostupnosti a velké žádanosti stalo novým terčem phishingových kampaní.

UX DAy - tip 2

Vyrojila se řada falešných účtů na sociálních sítích, objevily se podvodné e-shopy. Na Instagramu měli tvůrci problém nahlásit napodobeniny svého účtu, protože ten svůj oficiální se jim nedařilo ověřit. Doporučením je mít se na pozoru před slibnými nabídkami a sledovat dostupnost v oficiálním obchodu.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.