Hlavní navigace

Postřehy z bezpečnosti: vykutálený PayPal

Martin Čmelík 10. 6. 2013

Většina významných společností motivuje bezpečnostní odborníky programem Bug Bounty, kteří tak za nahlášení neznámé chyby v jejich aplikaci/systému dostanou honorář. Nově se o prohnanosti a skrblictví společnosti PayPal přesvědčil teprve sedmnáctiletý německý student, který nalezl chybu typu XSS.

Na reportovanou chybu typu XSS mu PayPal poslal odpověď, že chybu již nahlásil někdo jiný a navíc je údajně příliš mladý a proto nemá nárok získat finanční odměnu. Pomineme-li fakt, že v ‚pravidlech hry‘ není o věkové hranici ani jedna zmínka, může se takové počínání firmě šeredně vymstít. Nálezce totiž bez váhání chybu pustil do světa. Podobným způsobem začínají smýšlet i další odmítnutí nálezci (v něktrých případech odmítnutí během jediného dne opakovaně s tím, že každou z chyb již někdo oznámil – i když byly třeba i více než měsíc nezalátané). Jediným řešením je v tomto případě řešit hlášení chyb přes třetí stranu, populární firmu, si kterou se podobné společnosti jako PayPal nedovolí hrát nefér hru.

Naše postřehy

Mysleli jste si, že americké tajné služby si o data mimosoudně zažádají společnost a dostanou je? Realita je mnohem morbidnější. Některé společnosti s tajnými službami spolupracují. Konkrétně NSA má údajně přímý přístup ke všem datům takových společností jako je Facebook, Microsoft, Yahoo!, Google a další. NSA má tak přístup k mailům, videům, fotkám, VoIP a prakticky všemu, aniž by musela hnout prstem. I když má sbírat data o lidech z celého světa, nemusí se bát získávání dat o Američanech.

Kyberkriminální podsvětí vydalo nový druh nástroje. Jedná se o platformu určenou nejen pro hackování FTP a SSH účtů, ale rovněž eskalaci práv na postiženém serveru, nebo vložení iframů do PHP/ASP/HTML/JS/SWF douborů, případně proměna infikovaného serveru v SOCKS proxy a podobně. Z přiloženého seznamu dalších vlastností je zřejmé, jakým směrem se bude ubírat budoucí vývoj, protože téměř jistě nezůstane tento produkt osamocen a brzy se objeví jeho konkurence.

27. května byla zasažena online finanční směnárna DoS útokem typu DNS Reflection se silou 167 gigabitů za sekundu. Podle společnosti Prolexic (jedná se o společnost zaměřenou na ochranu klientů před DoS a DDoS útoky), která útok detekovala, se jedná o největší útok, jaký zaregistrovala za desetiletou existenci firmy. 92 % všech zařízení, ze kterých byl útok veden, byly open DNS resolvery.

Praktická ukázka pro server BBC ukazuje, jak může útočník ovládnout nejen webovou kameru, ale celý systém.

OWASP vypustil do světa svůj nový produkt: OWASP Xenotix XSS Exploit Framework. Jedná se o penetrační nástroj pro detekci a exploitaci XSS zranitelností.

O tom, že i z ‚good apps‘ se mohou stát ‚bad apps‘, svědčí následující DORK pro vyhledávání v GitHubu. Ten napomáhá relativně efektivně detekovat potenciální chyby v aplikacích umístěných na GitHubu bez většího úsilí. V tomto případě SQL injection ve všemožných formách.

Anglická policie se rozhodla vyšlápnout si na torrent servery. Aktérům zainteresovaných v šíření materiálů podléhajících copyrightu bez povolení autorů údajně hrozí až deset let ve vězení. Pro zájemce o bližší informace jsou v článku připojeny i konkrétní zákony vztahující se k porušování licence v rámci UK.

Je tomu rok, co bylo ze sítě LinkedIn ukradeno přes 6,5M hesel k účtům a až nyní po vzoru Googlu, Twitteru a dalších aktivovali dvoufaktorovou autentizaci. Můžete si ji zapnout v Nastavení účtu → Účet → Správa nastavení zabezpečení.

Národní doména SU patřící bývalému Sovětskému svazu se údajně stává útočištěm hackerů z postsovětských republik. Důvodem přesunu je prý zpřísnění podmínek pro doménu RU.

Doména Drupal.org padla za oběť útočníkům. Těm se pravděpodobně podařilo dostat, díky chybě v aplikaci třetích stran, i do databází. Proto administrátoři resetovali všem uživatelům hesla a doporučili všem členům komunity změnu hesel u všech účtů, kde stejná hesla používají.

Wordpress a Joomla jsou nejčastěji exploitované CMS. Proto není divu, že v posledních několika letech roste počet útoků právě vůči těmto CMS. Lidé mají představu, že za tímto počínáním stojí jednotlivci/hackeři. Realita je poněkud jiná. V současnosti za velkým počtem těchto útoků stojí boti. V krátkém článku se můžete podívat na některé z ukázkových příkladů botů.

Populární cracker John the Ripper se dočkal nové verze 1.8.0. Krom pár dalších drobností jde především o zrychlení crackování hesel.

Mark Russinovich oznámil update některých aplikací z dílny SysInternals. Konkrétně je zmiňován Process Monitor, Autoruns, Sigcheck, a Process Explorer.

Botnety a exploity

Krátké představení pojmu APT, který do budoucna nevěstí nic dobrého.

První díl třídílného seriálu o hackingu/úpravách bajtkódu javy. Seriál je vhodným odrazovým můstkem pro reverzery a AVery, kteří mají zájem se podívat na zoubek Java bajtkódu.

Vzpomínáte na botnet Kelihos, alias Waledac? Je zpět! A v novém kabátě. Virus Virut, který infikoval počítače v poslední době zafungoval jako dropper a stáhl na cílový počítač Waledac.D. Aby toho nebylo málo Waledac.D stáhnul Rloader.B, což je trojan, a loader a ten následně stáhnul trojana Spachanel. Proč tolik povyku kvůli jednomu počítači? Rloader updaví záznamy v hosts tak, aby pokusy o přístup na frekventované a populární stránky vedly na infikované/nastrčené weby. Spachanel pak zajišťuje zobrazování reklamy v prohlížeči.

Pěkná analýza botnetu Asprox, který odesíla phishingové email od společností jako DHL/Fedex/USPS/American Airlines a snaží se vás nalákat na spuštění infikovaného ZIP souboru.

Travis Ormandy publikoval R0 exploit pro všechny verze Windows NT. Exploit je postaven na chybě v driveru win32k.

Pro pobavení

Nevíte jaké internetové rádio zvolit při programování? Zkuste rádio Linux.FM, které přehrává pomocí text-to-speech programu eSpeak celý kod Linux kernelu :]

Honeypotting

honeypotting

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru Security-Portal.cz (RubberDuck). Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na Facebook, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

11. 6. 2013 23:58

Ale nenahlasil. Paypal je banda tem se neda verit s tema mam hodne spatny zkusenosti. Zablokuji vam ucet a nic ochota resit to je nulova.

Profesionalni security teamy jsou jen machrujou a prodavaji svy predrazeny sluzby, kolik jsme za 20 let nasli bugu buffer overflow v oraclu a db2 - asi tak 10 dohromady. Takovy zakladni veci maji mit osetrene treba Rational app scanem.

11. 6. 2013 17:01

NooN (neregistrovaný)

Ak niekto nema osetrene vstupy a vystupy, tak do ruky lopatu...
Toto je zakladne pravidlo, zialbohu vela rychlokvasenych "programatorov" si tieto veci vobec neuvedomuje.
Preto sa mi dany sposob utoku zdal len nieco ako lacne ohurenie "pomalsie chapajucich"...



Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Žloutenka v Brně: Nakaženo bylo 400 lidí

Žloutenka v Brně: Nakaženo bylo 400 lidí

Lupa.cz: E-shopy: jen sleva už nestačí

E-shopy: jen sleva už nestačí

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Podnikatel.cz: Platební brány a EET? Stále s otazníkem

Platební brány a EET? Stále s otazníkem

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu