Hlavní navigace

Postřehy z bezpečnosti: všechny prohlížeče opět pokořeny

Martin Čmelík

V nejnovějším díle pravidelných pondělních zpráv z oblasti bezpečnosti se podíváme na výsledky soutěže Pwn2Own, na kód, který je schopen během dvou minut infikovat jakýkoliv BIOS, nový PoS malware PoSeidon, unikátní chybu Google Chrome, novou chybu OpenSSL umožnující DoS serveru a spoustu dalšího.

Všichni velcí hráči na poli internetových prohlížečů (Firefox, Chrome, IE, Safari) byli opět pokořeni na soutěži Pwn2Own konané ve Vancouveru. Hvězdou této soutěže byl Jung Hoon Lee („lokihardt“), který pracoval sám a odnesl si za nalezené chyby 110 tisíc dolarů. Jeho prezentace měla jen dvě minuty, a tak si (obrazně řečeno) vydělával 916 dolarů za vteřinu. To byl ale jen druhý den soutěže a šlo o chybu v prohlížeči Chrome. V ten první ještě nalezl chybu v Internet Exploreru a Safari, takže si celkem odnesl 225 tisíc dolarů.

I když se prohlížeče jako Chrome a Firefox dají považovat za prakticky nejbezpečnější masově používaný software, kde se opravdu dbá na bezpečné psaní kódu, tak nám soutěže jako tato dokazují, že stále je co vylepšovat a že žádný software není bez chyb. Také to dokazuje, že na trhu bude vždy k mání 0day chyba na prodej a ten, kdo bude mít dostatek financí, si vždy najde cestu k vašim datům.

Naše postřehy

Jeden z modulů (nls_933w.dll) používaný APT skupinou Equation je velice sofistikovaný kód umožňující přepsat firmware disku a tím pádem si tak zajistit doživotní persistenci v systému. Netřeba zmiňovat, že odhalit upravený firmware dokáže jen několik desítek lidí na světě, protože se jedná o velice specifické zaměření. Na konferenci CanSecWest dva výzkumníci představili kód, který je schopen sám nalézt chyby v implementacích ochran BIOSu a přepsat ho vlastním kódem. Vloží svého agenta do System Management módu, o který se stará firmware a operační systém ho vůbec nevidí. V rámci prezentace (kterou nemohu nikde najít), mají spustit oblíbený OS Edwarda Snowdena (Tails) z USB a vyexportovat obsah paměti (tj. PGP klíče apod.). Infikování počítače trvá okolo dvou minut. Velice znepokojující.

Výzkumníci společnosti Cisco zveřejnili detaily o novém PoS (Point-of-Sale) malwaru, který nazvali PoSeidon. Malware je persistentní, skrývá se v systému, dokáže se aktualizovat a hledá v paměti údaje o bankovních kartách, které pak ještě ověří Luhnovým algoritmem. Na blogu Cisca je pak také ID pravidla pro Snort umožňující detekci tohoto malwaru v síti. Pokud jste to nezaznamenali, tak před dvěma roky Cisco koupilo Sourcefire (tvůrce Snortu) a jejich produkty jsou nyní stěžejní nabídkou bezpečnostních řešení.

Google Chrome na OS X obsahuje chybu, díky které je možné shodit okno prohlížeče, pokud se na stránce objeví konkrétní, třináct znaků dlouhé slovo, které zřejmě pochází z Asýrie. Opravdu unikátní chyba.

Jen pro zajímavost, nově některé malwary ukryté v makrech čekají na to, až bude uživatel chtít zavřít daný dokument. Spustí se tak event AutoClose a až ten obsahuje škodlivý kód. Daří se tím podle všeho zmást některé antiviry.

Výzkumníci na konferenci CHI zveřejní data z měření mozku pomocí magnetické rezonance (MRI) ukazující, že uživatelé počítačů víceméně ignorují opakovaná varovná hlášení systému či problému s SSL certifikáty a jen 14 % rozezná změnu obsahu varovné zprávy. Dle mého skromného názoru je to způsobené také tím, že především produkty Microsoftu, staré Nokie a některé další masově používané aplikace vyžadovaly potvrzení téměř každé akce, a tak si uživatelé spojují varovná hlášení s něčím, co je jen obtěžuje nebo zdržuje.

Nová chyba OpenSSL (CVE-2015–0291) umožňuje DoS útok cílového serveru pomocí renegociace spojení s použitím nevalidních algoritmů pro podpis zpráv. Chyba se týká OpenSSL 1.0.2, oprava je dostupná ve verzi 1.0.2a. Ve stejné zprávě se také překlasifikovala závažnost FREAK chyby z low na high. Důvodem pro nízkou závažnost byla domněnka, že na straně serverů není šifrovací sada příliš podporovaná, což se však ukázalo mylným.

Zločinci začali instalovat skimmovací zařízení, které je schopné zkopírovat údaje na vaší kartě, i do dveří, které většinou jen umožní vstup do prostoru s bankomatem. Nevkládejte tedy kartu do čteček, které vám přijdou podezřelé,a především si dávejte neustálý pozor na vaše bezkontaktní karty, u kterých ani není třeba je někam vkládat. Případně si všijte alobal do peněženky :)

Byla spuštěna registrace na konferenci Security Session 2015, která se koná 11.4. (Sobota) v Brně. Máme pro vás nové přednášející, nové workshopy a určitě spoustu zajímavých témat.

Ve zkratce

Do vašich čteček

Surreptitiously Weakening Cryptographic Systems – Bruce Schneier, Matthew Fredrikson, Tadayoshi Kohno, a Thomas Ristenpart (informace)

Pro pobavení

Job interview

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

29. 3. 2015 11:28

„máte v prohlížeči nainstalován certifikát té autority, příslušný self-signed certifikát, nebo používáte prohlížeč, který netrénuje uživatele v automatickém odklikávání všech hlášek.“
IMHO to je dost vzácná situace, jak jsem psal.

Pokud máte web a chcete uživatelům znemožnit odklikávání hlášek o chybném certifikátu, doporučuji použít HSTS a ideálně se ještě nechat zapsat do HSTS preload listu. Já to už u jednoho webu takto udělal. Zkuste si třeba ve Firefoxu nebo Chrome jít na

29. 3. 2015 9:44

Na web, který má certifikát autority, která je předinstalována v jednom prohlížeči a v jiném ne, nebo který má self-signed certifikát, se bez problémů dostanete tak, že máte v prohlížeči nainstalován certifikát té autority, příslušný self-signed certifikát, nebo používáte prohlížeč, který netrénuje uživatele v automatickém odklikávání všech hlášek.

tak už to není pohyb v rámci jednoho webu
Nastudujte si, co je to same-origin policy. V oblasti bezpečnosti webových prohlížečů je to dost podstatný…

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Jmelí je více léčivé než jedovaté

Jmelí je více léčivé než jedovaté

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka