Hlavní navigace

Postřehy z bezpečnosti: TorMoil a .onion nové generace

CSIRT.CZ

Dnes se podíváme na novinky a zranitelnosti projektu Tor Browser, na inovativní způsob obcházení varování na stránkách bez HTTPS, na aplikace z Google Play potajmu těžící kryptoměny nebo na citlivá data z Heathrow.

V uplynulém týdnu byly provedeny zásadní změny v infrastruktuře služeb .onion a zároveň bylo oznámeno vydání nové verze Tor 0.3.2.1-alpha, která by již měla podporovat novou generaci .onion služeb. Vylepšení se mají týkat používaného šifrovacího algoritmu a zároveň by změny měly chránit proti únikům informací a celkově snížit příležitosti k útokům na síť a její klienty. Z pohledu uživatele bude nejvíce patrná větší délka .onion adres.

Ve čtvrtek pak byla oznámena kritická zranitelnost v balíku Tor Browser, pojmenovaná TorMoil. Detaily zranitelnosti zatím nebyly publikovány, ale podle krátkého blogpostu, který byl k tématu zatím vydán, je jádro problému v tom, jakým způsobem Firefox pracuje, pokud odkaz na stránce směruje na soubor, tedy pokud je cílem file://URL. Problém se týká pouze uživatelů, kteří Tor Browser provozují v Linuxu nebo na macOS. Ti by měli co nejdříve přejít na novou verzi 7.0.9.

Naše postřehy

Už asi málo koho překvapí, že se čas od času přímo v oficiálním Google Play marketu objeví škodlivé aplikace. Výzkumníci z Trend Micro se tentokrát podívali na aplikace, které na pozadí jejich původního určení těží kryptoměny a dvě z nich podrobili hlubší analýze. Aby se aplikace vyhnuly detekci, používají dynamické načítání JavaScriptu. Tyto těžební aplikace pak výzkumníci identifikovali jako ANDROIDOS_JSMINER a ANDROIDOS_CPUMINER. V případě první z nich je také zajímavé, do jakých aplikací je tato těžební aplikace přibalena. Jednou z nich je aplikace, která by měla být uživatelům nápomocna při modlení s růžencem, druhá pak zprostředkovává různé slevy. Hned po prvním spuštění pak aplikace bez váhání stahuje a načítá JavaScriptovou knihovnu z Coinhive a rovnou začíná těžit kryptoměnu. Samozřejmě ve prospěch útočníka. Uživatel pak může zaznamenat aktivitu pouze tím, že aplikace konzumuje neobvyklé množství baterie, což je dáno vysokou zátěží procesoru. Analýza pak podrobně rozebírá i případ druhé aplikace ANDROIDOS_CPUMINER.

Tým složený ze čtyř expertů z univerzity v Marylandu představil automatizovaný systém unCAPTCHA. Jak název napovídá, tento systém dokáže prolomit systém reCAPTCHA společnosti Google až s 85% přesností. UnCAPTCHA necílí na systém reCAPTCHI, který nutí uživatele vybrat z nabídnutých obrázků ty s předem zadanou tématikou, ale na jejich audio verzi, která je určena primárně pro osoby se zrakovým omezením. UnCAPTCHA v takovém případě ukládá audio a posílá ho do šesti systémů syntetizátorů řeči (text-to-speech), výsledky následně agreguje, vyhodnocuje a nejpravděpodobnější odpověď posílá zpět jako odpověď Google serveru. Výzkumníci uvedli, že unCAPTCHA dokázala prolomit 450 reCAPTCHA výzev s 85.15% spolehlivostí v průměrném čase 5.42 sekund, což je pro zajímavost méně času, než člověk reálně potřebuje pouze k poslechu jedné z takových výzev. Projekt je také k dispozici na GitHubu.

Až dvacet let vězení může dostat zápasník a dřívější student university v Iowě, který byl v úterý zatčen FBI. Důvodem je svérázný způsob, jímž se svého studia na zmiňované univerzitě zhostil. Spolu s minimálně pěti dalšími studenty instaloval na školní počítače keylogger „pinneapple” a takto získaná data využíval ke krádežím testových otázek a úloh. Během 21 měsíců také více než devadesátkrát změnil své studijní výsledky.

Problém čipů německého výrobce Infineon Technologies, kvůli kterému pozastavilo před dvěma týdny Slovensko vydávání občanských průkazů se zaručeným elektronickým podpisem (eID), měl v uplynulém týdnu další dějství. Slovenské ministerstvo vnitra od úterý nabízí možnost bezplatné výměny certifikátu a Estonsko pak v pátek zablokovalo 760 000 elektronických občanských průkazů s problematickým čipem.

Kolik bezpečnostních směrnic a postupů musí člověk porušit, než se na londýnské ulici najde USB flash disk s nezašifrovanými informacemi o umístění CCTV kamer, o pohybu bezpečnostních hlídek, o ultrazvukových radarech chránících perimetr a o dalších bezpečnostních prvcích? Navíc, teď se podržte, týkajících se bezpečnosti letiště Heathrow? Podle některých zdrojů mají být na disku i takové perly jako informace o bezpečnostním protokolu, který se týká cest samotné královny.

Nezávislý bezpečnostní expert Troy Hunt dostal tip, aby si prohlédnul stránku ShopCity.com. A nestačil se divit – provozovatelé stránky totiž HTTPS komunikaci nepovažují za bezpečnostní výdobytek, ale za výmysl Googlu, který má tímto monopolizovat viditelnost obsahu. Prohlížeč Chrome totiž zobrazuje bezpečnostní varování, pokud nešifrovaná stránka používá formulářové pole pro zadání hesla. Provozovatelé se však bezpečnostnímu varování mazaně vyhnuli – místo formulářového pole s heslem použili všude formulářové pole pro text. Toto pole používalo textový font, jehož jediný znak byl kulatý disk, který je známý z heslových polí.

Vývojáři tak bezpečnost hesel ještě o krůček oslabili (ve smyslu, že heslo z textového pole lze bez újmy vykopírovat). Troy Hunt je známý především díky bezpečnostní službě Have I Been Pwned, kterou provozuje. Shromažďuje uniklé přihlašovací údaje a díky tomu si na jeho stránce uživatelé mohou ověřit, zda se heslo k jejich účtu nestalo součástí nějakého známého úniku.

V minulosti představovalo seznamování a poznávání druhých pro některé problém. Dnes lze ovšem druhého poznat velmi jednoduše a ani se s dotyčným nemusíte vidět. Velké množství sociálních sítí umožňuje snadno zjistit informace o druhých. Stinnou stránku pak předvedli výzkumníci z Kaspersky Lab, kteří dokázali, že díky některým populárním seznamovacím aplikacím jako jsou například Tinder, Bumble a Happn mohou útočníci poměrně snadno získat velké množství informací o dotyčné osobě včetně geografické polohy uživatele. Sledováním na sociálních sítích útočníci nemusí získat jen citlivé údaje o uživatelích, ale útočníci mohou v krajním případě zachytit i autorizační údaje a převzít kontrolu nad účtem, např. díky krádeži autentikačních tokenů. Je důležité si uvědomit, že žádná data, která o sobě zveřejníme na sociálních sítích, nejsou v bezpečí, a proto bychom neměli zveřejňovat informace, které by mohly vést třeba dokonce i k vydírání. Ukázkou toho, jak velké je množství dat, které o nás služby shromažďují, může být situace, kdy si novinářka vyžádala data o své osobě z Tinderu a dostala 800 stránek informací, například na jakých místech byla a kdy, s kým si psala, jaké přátele měla na Facebooku a mnoho dalšího.

Ve zkratce

Pro pobavení

Trochu sofistikovanější způsob skrývání věcí, než je známé působení pole problému někoho jiného.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTSsdružení CESNET.

Našli jste v článku chybu?