Hlavní navigace

Postřehy z bezpečnosti: telenovela z kyberpodsvětí

8. 6. 2020
Doba čtení: 6 minut

Sdílet

 Autor: CSIRT.cz
Dnes se podíváme na dokumentární film o pět let starém případu skimmovacího podvodu v Mexiku, na možnost účasti v soutěži CYBER COVID ESEJ a na zranitelnosti ve službě Sign in with Apple v aplikaci Zoom.

Starý skimmovací podvod

Vaší pozornosti doporučujeme YouTube kanál Organized Crime and Corruption Reporting Project. Minulou středu v něm vyšel dokumentární film o pět let starém případu skimmovacího podvodu v Mexiku, kterou tehdy pomohl objasnil Krebs on Security, který se k videu zajímavě vyjadřuje.

Rumunský gang na stovku bankomatů v turistickém ráji i po celém Mexiku nainstaloval čtečky karet a pomocí nich postupně tahal stodolarové výběry, což dělalo asi 20 miliónů dolarů měsíčně. Díky tomu, že oskenované karty nezneužíval v lokaci krádeže, ale na různých místech planety, bylo pro banky těžké určit, kde je hadí hnízdo, na které se vyšetřovatelé mohou zaměřit.

Skimmovací zařízení nebylo rozpoznatelné pouhým okem, do bankomatů jej instaloval podplacený personál. Jedna část ale vidět byla: bluetooth signál. Což sice umožňovalo pohodlné vybírání kořisti, ale značně ulehčilo práci novináři z Krebs on Security, který snadno a obyčejným chytrým telefonem identifikoval nakažené přístroje. To nepotěšilo šéfa gangu Tudora, který byl před dvěma lety zatčen, mimo jiné za držení zbraní a ve spojitosti s vraždou svého bodyguarda Marcu. Rozhovor mezi nimi probíhal tehdy jako v akčním filmu:

Tudor: Krebsonsecurity.com Koukej na to. Čum to video a všechno. Jsou z toho dvě epizody. Udělali telenovelu.
Marcu: Koukám. Blbý.
Tudor: Zničí nás. A hotovo. **** Všechno smaž. A napiš jim [těm, co o nás vyzradili informace], že je zabiju.
Marcu: Ok, můžu je zabít. Kdykoli.
Tudor: Kontrolují všechny stroje. Dokonce i v bankách. Už jich našli dvacet.
Marcu: Coožeee našliii?!? Už??

Studentská CYBER COVID ESEJ

Pokud máte ve svém okolí technicky zdatného mladého literáta nebo technika s básnickým střevem, řekněte mu o nové soutěži spočívající v napsání eseje na téma „kde vidíte zranitelnosti našich moderních společností, a jak by je mohl ohrozit útok z kybernetického světa, jehož následky by mohly být podobné, nebo i horší, než třeba epidemie COVID-19”.

„Sign in with Apple“: stotisícová zranitelnost

Bezpečnostní výzkumník Bhavuk Jain objevil zranitelnost v autentizační službě „Sign in with Apple“, která mohla umožnit kompletní převzetí kontroly nad uživatelským účtem u služeb třetí strany, která implementuje tento způsob přihlášení. Uživatel si během procesu přihlášení může zvolit, zda s externí službou bude sdílet své Apple Email ID či nikoliv. V případě druhé varianty pak výzkumník zjistil, že lze autentizační server Applu požádat o vygenerování JWT (JSON Web Token) pro jakékoliv Email ID a je mu vygenerován validní token (obsahuje adresu Apple e-mailového relay).

Pokud pak externí služba nemá žádný dodatečný autentizační mechanismus, tak je možné tímto způsobem získat přístup k uživatelskému účtu. Chybu výzkumník nahlásil v průběhu dubna bezpečnostnímu týmu Apple, který zranitelnost potvrdil, přičemž po prozkoumání logů se nezdá, že by šlo o aktivně zneužívanou zranitelnost. Výzkumník dostal v rámci programu bug bounty za svůj objev odměnu ve výši 100 000 dolarů.

Zranitelnosti Zoom aplikace

Výzkumníci ze skupiny Cisco Talos objevili dvě zranitelnosti v aplikaci Zoom, které mohou být zneužité k zapsání souborů na disk a pravděpodobně k spuštění libovolného kódu. První zranitelnost CVE-2020–6109 souvisí se zpracováním souborů GIF.

Při zneužití této zranitelnosti může útočník zasláním souboru s koncovkou .gif  – linuxoví uživatelé se asi pousmějí – uložit soubor libovolného typu (leč opět s koncovkou .gif) na počítač příjemce. Druhá, závažnější zranitelnost CVE-2020–6110, umožňuje útočníkovi uložit libovolný soubor do libovolného umístění; pokud tedy přepíše soubor, který se někdy v budoucnu spustí, docílí tak spuštění svého kódu. Pro tuto zranitelnost je však potřeba interakce uživatele. Ve zprávě zveřejněné skupinou Talos se uvádí, že obě tyto zranitelnosti jsou v klientské aplikaci Zoom ve verzi 4.6.10.

Ukončení podpory SHA-1 v OpenSSH

informacích o vydání OpenSSH 8.3 se řeší budoucí ukončení podpory SHA-1 (ssh-rsa). Pomocí kolizního útoku se zvoleným prefixem lze totiž v současnosti najít kolize pro SHA-1 za méně než 50 000 dolarů. A to se již může při útocích na cenné cíle vyplatit. Pokud jste tak ještě neučinili, je proto načase přejít na rsa-sha2–256/512, ssh-ed25519, nebo ecdsa-sha2-nistp256/384/521. Překontrolovat, zda váš SSH server stále používá slabý algoritmus, můžete příkazem:

# ssh -oHostKeyAlgorithms=-ssh-rsa uživatel@hostitel

Jestliže sestavení spojení skončí neúspěšně a nejsou dostupné žádné další podporované algoritmy, je vhodné SSH server aktualizovat. Podrobně se problematice věnujeme v článku OpenSSH ukončí podporu algoritmu ssh-rsa. Co přesně to znamená?

Je čas pro změnu přístupu k bezpečnosti?

Na serveru Security Intelligence se Paul Gillin zamýšlí nad tím, zda není na čase změnit přístup k řešení bezpečnosti IT. Přivádí ho k tomu obrovské množství zaměstnanců, kteří v poslední době pracovali nebo stále pracují z domova.

Zatímco klasické přístupy k bezpečnosti spoléhají na model různých perimetrů, kdy se příliš neřeší, co se děje „za zdí“, Paul Gillin předkládá model bezpečnosti založený na nulové důvěře, který vychází z toho, že věřit nelze nikomu, ani když s námi sdílí „bezpečný prostor“ naší vnitřní sítě.

Po úniku hesel si většina postižených uživatelů zvolí stejné nebo slabší heslo

Výzkumníci z Carnegie Mellon University publikovali studii týkající se účinnosti upozornění a vynucených postupů v případech úniků hesel. Z 249 účastníků výzkumu mělo 63 účet na napadené službě, 33 procent z těchto 63 uživatelů si změnilo heslo a pouze 13 procent to udělalo do tří měsíců od oznámení. Většina z nich pak použila stejné nebo slabší heslo.

Z celkového počtu účastníků průzkumu pak své heslo v posledních dvou letech změnilo 223 uživatelů. Nicméně 70 procent těchto nových hesel bylo slabších nebo na stejné úrovni jako původní heslo.

Útoků na cloudy dramaticky přibývá

Koronavirová pandemie přiměla firmy po celém světě ke změně organizace práce i pracovních postupů. Jednou z těch nejzřetelnějších je adaptace a integrace cloudových služeb, především pak kolaborativních nástrojů, jako jsou Microsoft Office 365, Slack či nejrůznější videokonferenční platformy.

Nová zpráva bezpečnostní společnosti McAfee ukazuje, že se na tuto změnu adaptovali také hackeři, což se projevilo v nárůstu počtu útoku právě na cloudová úložiště a účty. Společnost na základě analýzy cloudových dat více než 30 milionů firemních uživatelů její bezpečnostní platformy Mvision Cloud odhaduje, že v období od ledna do dubna vzrostlo využití cloudových služeb v průměru o 50 procent. U výrobních odvětví dokonce až o 144 procent, v segmentu vzdělávání o 114 procent, přičemž tyto oblasti zaznamenaly nejvyšší nárůst také ve využití kolaborativních a videokonferenčních nástrojů, a to v řádu stovek procent.

Roste počet pokusů o vykradení bankovních účtů

Mobilní bankovní trojští koně (označovaní také jako „bankers“) jsou kyberbezpečnostní komunitě známí dlouhá léta. Jejich motiv je jasný – hackeři je využívají ke krádežím financí přímo z mobilních bankovních účtů. Tyto škodlivé programy obvykle vypadají jako zcela legitimní finanční aplikace. Komplikace přichází ve chvíli, kdy se chce uživatel přihlásit právě do bankovní on-line aplikace a zadává proto své přihlašovací údaje. Kvůli těmto škodlivým programům se dostanou přímo do rukou hackerů.

CS24 tip temata

Od ledna do března tohoto roku zaznamenali odborníci z Kaspersky více než 42 000 modifikací různých rodin bankovních trojských koní, což je nejvyšší počet za posledních 18 měsíců. Mobilní bankovní trojany zároveň zvýšily svůj podíl na celkových hrozbách, kterým čelila mobilní zařízení. Za první čtvrtletí vystoupaly na podíl 3,65 procent, což je o 2,1 procentního bodu více než v posledním čtvrtletí roku 2019.

Ve zkratce:

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.