Hlavní navigace

Postřehy z bezpečnosti: všechno co napíšete, může být použito proti vám

CSIRT.CZ

Dnes se věnujeme poslednímu vývoji okolo Facebooku, výpadku systému pro koordinaci letů, nové službě VirusTotal Droidy, zranitelnostem Cisco software a phishingové kampani využívající speciálního znaku řecké abecedy.

Doba čtení: 5 minut

Problémy Facebooku neberou konce

Už v předminulém dílu Postřehů jsme zmínili problémy spojené se společností Facebook, kdy se ukázalo, že analytická firma Cambridge Analytica využila soukromé informace z účtů padesáti miliónů Američanů k tomu, aby se pokusila ovlivnit výsledek prezidentských voleb v USA. Toto vyvolalo spekulace o možném odstoupení šéfa bezpečnosti společnosti Facebook. Následně se také objevila výzva jednoho z investorů, aby ve vedení společnosti skončil samotný Mark Zuckerberg. Facebook je také kvůli tomuto úniku vyšetřován FTC (Federal Trade Commision). Mark Zuckerberg bude příští týden vypovídat k této záležitosti v kongresu a na problém už v březnu zareagovaly propadem i akcie Facebooku.

Nicméně i nadále vylézají na světlo světa další nepříznivé informace týkající se této sociální sítě. Facebook tento týden přiznal, že uživatelů, kterých se týká původní skandál se společností Cambridge Analytica, bylo ve skutečnosti 87 miliónů. Další přiznání se týkalo zneužití vyhledávacích nástrojů, které mělo za následek shromažďování informací o dvou miliardách uživatelů Facebooku z celého světa. Údajně měla být dlouhodobě zneužita funkce umožňující dohledávat účty na základě e-mailové adresy nebo telefonního čísla. Uživatelé byli dohledáváni na základě úniků dat z jiných serverů. Tímto způsobem útočníci s pomocí e-mailové adresy nebo telefonního čísla dokázali získat kompletní jméno dotyčného uživatele, profilovou fotografii, město, ve kterém žije, případně další informace, které uživatel nastavil jako veřejné. Tyto informace pak byly pravděpodobně využívány k dalším útokům na konkrétní jedince. Chief Technology Officer Facebooku Mike Schroepfer k tomu uvedl: However, malicious actors have also abused these features to scrape public profile information by submitting phone numbers or email addresses they already have through search and account recovery. Given the scale and sophistication of the activity we’ve seen, we believe most people on Facebook could have had their public profile scraped in this way.

Některé uživatele služby také nadzvedl rozhovor, ve kterém Mark Zuckerberg přiznal, že Facebook kontroluje obsah soukromé komunikace vedené přes aplikaci Messenger. Pokud automatické nástroje označí nějaký odkaz nebo fotografii jako potenciálně porušující pravidla Facebooku, je tato komunikace přeposlána k ruční kontrole moderátorovi. Dlužno dodat, že podle oficiálního vyjádření Facebooku je primárním cílem zachytit fotografie zachycující zneužívání dětí a v případě odkazů odchytit pokusy o šíření malwaru.

Naše postřehy

Přibližně 15 000 letů (zhruba polovina z celkového počtu plánovaného v daný den) bylo během úterý zpožděno kvůli výpadku systému pro koordinaci letů v rámci celé Evropy. Výpadek systému „Enhanced Tactical Management System“ (ETFMS) byl podle všeho způsoben nesprávným propojením testu nového softwaru. Následkem toho Eurocontrol zavedl ochranná opatření a snížil tak kapacitu evropské sítě o 10 %. U řízení letového provozu České republiky se to projevilo tak, že nebyla k dipozici predikce počtu letadel v českém vzdušném prostoru v jednotlivých hodinách.

VirusTotal spustil novou sandboxovou službu nazvanou VirusTotal Droidy, která provádí statickou i dynamickou analýzu aplikací pro Android. Díky integraci služby do většího multisandbox projektu Tencent HABO tak Droidy poskytuje informace například o síťové komunikaci a aktivitách týkajících se SMS, používání SQLite databáze, interakcí se souborovým systémem a řadu dalších informací.

Co kdyby ransomware neunesl váš počítač, ale rovnou i letadlo? Poslední výkřik viru WannaCry jsme slyšeli z Boeingu: „Všichni muži na palubu!“ zavelel, ve středu před Velikonoci, šéfinženýr společnosti Boeing Commercial Airplane všem IT technikům, když vznikla hysterie, že by se malware dostal až na paluby letadel. Večer však už bylo jasné, že WannaCry zničil data pouze menšímu počtu strojů v obchodním oddělení.

O hysterii se však nejednalo v případě Baltimorské pohotovostní linky 911, která byla na květnou neděli ráno napadena malwarem. Trvalo až do pozdních nočních hodin, kdy s povedlo technikům nasadit zpátky zasažený server, který se stará o automatické přesměrovávání hovorů. Než se tak stalo, museli se o to postarat pracovníci manuálně. Není to poprvé, co byla lokální stanice linky 911 omezena na provozu z důvodu hackerského útoku. V říjnu loňského roku byl devatenáctiletý pachatel odsouzen na tři roky, když vážně narušil systém záchranné služby ve Phoenixu. Chtěl totiž udělat dojem na společnost Apple. V roce 2009 dostal sedmnáctiletý hacker jednoroční trest v dětském nápravném zařízení za svůj botnet, který velice legračně zahlcoval linku falešnými hovory.

Kryptoměny žijí jedním zajímavým záchvěvem za druhým. Bitcoin je zpátky na listopadových 6 000 dolarech, Google Chrome Web Store přestal přijímat rozšíření, která těží kryptoměnu, protože vývojáři příliš často překračovali podmínky a z 90 % doplněk těžil kryptoměnu na pozadí, bez vědomí uživatele (ten slyšel jen hučení žalostně ošoupávaného větráčku). Služba MailChimp změnila podmínky služby a nově nepodporuje rozesílání e-mailů s obsahem týkajícím se blockchainu, zvláště kryptoměn. Respektive smí se o kryptoměnách psát, odesílatel však nesmí být zapojen do jejich těžby (prodeje, úschovy apod.). Nakonec jeden aprílový příspěvek z vyvíjející se situace okolo českých kryptoměn.

Byly zveřejněny informace a proof-of-concept kritické zranitelnosti v Cisco IOS Software a Cisco IOS XE Software. Zneužití zranitelnosti může mít za následek převzetí kontroly nad síťovým zařízením nebo také odposlouchávání provozu. Poté, co Cisco zveřejnilo záplatu, uvedli také výzkumníci z Embedi podrobnosti týkající se zneužití zranitelnosti, a to díky speciálně upravené Smart Install zprávě na TCP portu 4876, který je defaultně otevřený. Zranitelnost je způsobena špatnou validací paketů v Smart Install Client Cisco zařízení. Detailní popis zranitelnosti je dostupný na blogpostu.

Byly objeveny nové varianty malwaru pro Android, který byl publikovaný jako falešná antivirová aplikace s názvem „Naver Defender“. Jedná se o malware „KevDroid“, Remote Administration Tool (RAT), který získává citlivé informace na infikovaných zařízení. Malware umožňuje útočníkům zaznamenávat telefonní hovory a aktuální pozici zařízení, získat informace z historie webového prohlížeče a přístup uživatele „root“ nebo zjistit jaké aplikace jsou na zařízení nainstalované. Jako prevence se doporučuje neinstalovat aplikace z nedůvěryhodných obchodů, naopak používat důvěryhodné antivirové programy a aktualizovat svoje zařízení.

MIF18 tip v článku témata

Nová phishingová kampaň využívá speciální znak řecké abecedy. Jméno existující britské letecké společnosti Virginatlantic bylo zneužito v rámci podvodné kampaně, která se snaží vylákat osobní údaje obětí. Na první pohled je téměř nemožné si v URL všimnout chyby v názvu společnosti, a to díky využití speciálního znaku, který pod klasickým písmenkem r obsahuje tečku – ṛ. Na první pohled je odkaz, lákající na rodinnou dovolenou zdarma, téměř k nerozeznání od oficiálního názvu společnosti. Ostatně klidně posuďte sami: www.virginatlantic.com a www.viṛginatlantic.com.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NICbezpečnostního týmu CESNET-CERTS sdružení CESNET

Našli jste v článku chybu?