Hlavní navigace

Postřehy z bezpečnosti: v podstatě jsou za všemi problémy programátoři

Martin Čmelík

V dnešním díle Postřehů se podíváme na kritickou RCE chybu na webu Yahoo, novou verzi OWASP příručky, studii blackmarketů, jak vypnout za běhu PatchGuard, další operaci NSA s názvem „Treasure Map“, malware BoSSaBoTv2, pěknou službu pro deobfuskování JavaScriptu, analýzu dropperu FinFisher a spoustu dalšího.

Yahoo opravilo velice vážnou chybu typu SQL injection, ale spíše celá aplikace je koncepčně úplně špatně. Heslo pro plný přístup do administrační sekce bylo v databázi zakódované ve formátu Base64. Čili tak bezpečné jako kdyby bylo v clear textu. Chyba umožňovala ve výsledku nahrát jakýkoliv soubor a spustit kód (RCE) s oprávněním roota, což je v dnešní době až překvapivě hloupá chyba. Navíc tomu Yahoo nasadilo korunu v tom, že egyptský bezpečnostní odborník Ebrahim Hegazy, který tuto chybu objevil, nedostal žádnou finanční odměnu. Nedovedu si představit co horšího než RCE by to muselo být. Podle print screenu to vypadá na aplikaci psanou společností Accenture.

Smutné je, že než aby se programátoři donutili naučit alespoň základy bezpečného programování a testování aplikací, tak se v dnešní době spíš implementují aplikační firewally (WAF), jejichž cílem je zamaskovat chyby programátorů a odškrtnout si položku “Bezpečnost” na seznamu úkolů projektových manažerů. V mnoha případech si však nikdo neuvědomuje, že špatně navržená aplikace je stále napadnutelná, i když ji chrání WAF. Jeden příklad za všechny, pokud dokážu predikovat session tokeny, tak to, že si ho sám změním v hlavičce, žádný WAF neodhalí. Je to validní dotaz splňující předem definované nebo naučené parametry.

Toto jsou základní kontroly:

  • Identita, autentizace a řízení přístupu
  • Validace všech vstupních parametrů a kódování
  • Šifrování
  • Správa uživatelů a session tokenů
  • Správa chyb a výjimek
  • Auditování a logování

Naše postřehy

S výše uvedeným souvisí uvolnění nové verze OWASP příručky pro testování bezpečnosti aplikací. Nejedná se o bezduché povídaní. Naopak. Naleznete zde konkrétní příklady, ukázky kódů a doporučené postupy, které použít. Pokud chcete být opravdu dobrý v bezpečném programování, tak doporučuji projít celý OWASP web. Pár dnů to zabere.

Chyby typu SQL Injection jsou s námi již více než deset let. I přes všechny snahy se za tu dobu stále nepodařilo tuto chybu vymýtit. V článku se můžeme dočíst, jaká řešení proti SQL Injection můžeme najít na trhu.

Příští verze Androidu (L) bude již také, jako iOS 8, šifrovat všechna data na zařízeních. V obou případech jsou privátní klíče uložené v zařízení a ani Google či Apple by se k nim neměly mít možnost dostat. Teoreticky samozřejmě.

Rozsáhlá studie na téma blackmarketů. Zabývá se nejen komoditami, ale rovněž samotnou strukturou a zvyklostmi.

PatchGuard je technologie Microsoftu monitorující, že ovladače, které běží na úrovni jádra v systému, nijak nemodifikovaly určité struktury, které by mohly infikovat (rootkity) či poškodit systém. Více informací zde. Kód pro vypnutí této technologie za běhu systému je zde. :)

Něco pro fajnšmekry. Analýza uniklého vzorku dropperu nechvalně známého vládního trojana FinFisher.

Nikdy jste nebyli na DEFCONu nebo BlackHatu a rozhodujete se, který navštívit? Tento článek od Matta Edmonsona by vám mohl pomoci. Ideálně na oba samozřejmě :)

PPL varuje před phishingovými zprávami, které se snaží vylákat citlivé a přihlašovací údaje. Když už jsme u tohoto tématu, tak na Facebooku se spolu se startem prodeje iPhone 6 šířila zpráva o možnosti nabíjet tento telefon v mikrovlné troubě. Je až zarážející, kolik lidí tomu opravdu věřilo a zkusilo to.

Deník Der Spiegel oznámil, že podle informací od Edwarda Snowdena NSA mělo tajný přístup k několika německým operátorům, včetně Deutsche Telekom. Operace měla opět vtipný název “Treasure Map” a cílem bylo zmapovat každé zařízení v Internetu a ty zobrazit na interaktivní mapě. Druhá, útočná, část měla zobrazit plán exploitace vybraných zařízení a bitevní mapu pro případ kybernetické války. Nepřipomíná vám to film WarGames?

Společnost Zscaler ve své studii popisuje úplný cyklus infekce oběti za pomoci jednoho z nejpoužívanějších exploit packů současnosti – Nuclear EP.

A Cybercriminal's Guide to Exploiting DNS for Fun and Profit“ – asi není třeba rozvádět vzhledem k popularitě tohoto tématu.

Od LFI k úplnému ovládnutí WordPressu. Článek popisuje, jakým způsobem útočníci zneužívají autentizaci ve WordPressu za předpokladu, že došlo k vyzrazení obsahu skriptu wp-config.php.

Dostal se vám do rukou zapackovaný nebo obfuskovaný JS malware/skript? Nechce se vám zdlouhavě řešit jeho deobfuskace/rozpackování? Pak je služba jsbeautifier.org přesně pro vás.

Malware BoSSaBoTv2 zneužívá nedávno objevenou zranitelnost PHP-CGI umožňující přepisovat konfiguraci PHP a dokonce i spustit PHP kód na napadeném stroji. Samotný BoSSaBoTv2 je primárně určen pro těžbu kryptoměn (BTC a LTC) a anonymizaci (HTTP/S, SOCKS4/5). 

Vojenské dodavatele pro US Transportation Command údajně během jediného roku dvacetkrát úspěšně nabourala skupina napojená na čínskou vládu. Nejedná se ani zdaleka o první podobný případ. Jedná se tedy o přípravu na kybernetickou válku? Neběží už?

Ve zkratce

Pro pobavení

Kde byste nečekali klasickou střílečku Doom? Na tiskárně? Ale kdežeGrafika by chtěla doladit, ale jinak úspěch (video).

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

23. 9. 2014 10:35

sgt (neregistrovaný)

Jeden z tych lepsich dielov Postrehov v Bezpecnosti. Zaujimave odkazy a vysvetlenia.

22. 9. 2014 20:18

Duri (neregistrovaný)

... a za vserchny umrti jedine doktori :)

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

DigiZone.cz: TV Philips a Android verze 6.0

TV Philips a Android verze 6.0

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?