Starý skimmovací podvod

Vaší pozornosti doporučujeme YouTube kanál Organized Crime and Corruption Reporting Project. Minulou středu v něm vyšel dokumentární film o pět let starém případu skimmovacího podvodu v Mexiku, kterou tehdy pomohl objasnil Krebs on Security, který se k videu zajímavě vyjadřuje.

Rumunský gang na stovku bankomatů v turistickém ráji i po celém Mexiku nainstaloval čtečky karet a pomocí nich postupně tahal stodolarové výběry, což dělalo asi 20 miliónů dolarů měsíčně. Díky tomu, že oskenované karty nezneužíval v lokaci krádeže, ale na různých místech planety, bylo pro banky těžké určit, kde je hadí hnízdo, na které se vyšetřovatelé mohou zaměřit.

Skimmovací zařízení nebylo rozpoznatelné pouhým okem, do bankomatů jej instaloval podplacený personál. Jedna část ale vidět byla: bluetooth signál. Což sice umožňovalo pohodlné vybírání kořisti, ale značně ulehčilo práci novináři z Krebs on Security, který snadno a obyčejným chytrým telefonem identifikoval nakažené přístroje. To nepotěšilo šéfa gangu Tudora, který byl před dvěma lety zatčen, mimo jiné za držení zbraní a ve spojitosti s vraždou svého bodyguarda Marcu. Rozhovor mezi nimi probíhal tehdy jako v akčním filmu:

Tudor: Krebsonsecurity.com Koukej na to. Čum to video a všechno. Jsou z toho dvě epizody. Udělali telenovelu.

Marcu: Koukám. Blbý.

Tudor: Zničí nás. A hotovo. **** Všechno smaž. A napiš jim [těm, co o nás vyzradili informace], že je zabiju.

Marcu: Ok, můžu je zabít. Kdykoli.

Tudor: Kontrolují všechny stroje. Dokonce i v bankách. Už jich našli dvacet.

Marcu: Coožeee našliii?!? Už??

Studentská CYBER COVID ESEJ

Pokud máte ve svém okolí technicky zdatného mladého literáta nebo technika s básnickým střevem, řekněte mu o nové soutěži spočívající v napsání eseje na téma „kde vidíte zranitelnosti našich moderních společností, a jak by je mohl ohrozit útok z kybernetického světa, jehož následky by mohly být podobné, nebo i horší, než třeba epidemie COVID-19”.

„Sign in with Apple“: stotisícová zranitelnost

Bezpečnostní výzkumník Bhavuk Jain objevil zranitelnost zranitelnost v autentizační službě „Sign in with Apple“, která mohla umožnit kompletní převzetí kontroly nad uživatelským účtem u služeb třetí strany, která implementuje tento způsob přihlášení. Uživatel si během procesu přihlášení může zvolit, zda s externí službou bude sdílet své Apple Email ID či nikoliv. V případě druhé varianty pak výzkumník zjistil, že lze autentizační server Applu požádat o vygenerování JWT (JSON Web Token) pro jakékoliv Email ID a je mu vygenerován validní token (obsahuje adresu Apple e-mailového relay).

Pokud pak externí služba nemá žádný dodatečný autentizační mechanismus, tak je možné tímto způsobem získat přístup k uživatelskému účtu. Chybu výzkumník nahlásil v průběhu dubna bezpečnostnímu týmu Apple, který zranitelnost potvrdil, přičemž po prozkoumání logů se nezdá, že by šlo o aktivně zneužívanou zranitelnost. Výzkumník dostal v rámci programu bug bounty za svůj objev odměněnu ve výši 100 000 dolarů.

Zranitelnosti Zoom aplikace

Výzkumníci ze skupiny Cisco Talos objevili dvě zranitelnosti v aplikaci Zoom, které mohou být zneužité k zapsání souborů na disk a pravděpodobně k spuštění libovolného kódu. První zranitelnost CVE-2020–6109 souvisí se zpracováním souborů GIF.

Při zneužití této zranitelnosti může útočník zasláním souboru s koncovkou .gif – linuxoví uživatelé se asi pousmějí – uložit soubor libovolného typu (leč opět s koncovkou .gif ) na počítač příjemce. Druhá, závažnější zranitelnost CVE-2020–6110, umožňuje útočníkovi uložit libovolný soubor do libovolného umístění; pokud tedy přepíše soubor, který se někdy v budoucnu spustí, docílí tak spuštění svého kódu. Pro tuto zranitelnost je však potřeba interakce uživatele. Ve zprávě zveřejněné skupinou Talos se uvádí, že obě tyto zranitelnosti jsou v klientské aplikaci Zoom ve verzi 4.6.10.

Ukončení podpory SHA-1 v OpenSSH

V informacích o vydání OpenSSH 8.3 se řeší budoucí ukončení podpory SHA-1 (ssh-rsa). Pomocí kolizního útoku se zvoleným prefixem lze totiž v současnosti najít kolize pro SHA-1 za méně než 50 000 dolarů. A to se již může při útocích na cenné cíle vyplatit. Pokud jste tak ještě neučinili, je proto načase přejít na rsa-sha2–256/512, ssh-ed25519, nebo ecdsa-sha2-nistp256/384/521. Překontrolovat, zda váš SSH server stále používá slabý algoritmus, můžete příkazem: