Hlavní navigace

Postřehy z bezpečnosti: vždyť tam byla ta zelená ikonka

CSIRT.CZ

V dnešním díle Postřehů se podíváme na trable s certifikáty, na útok BiTerrant týkající se torrent souborů, na malware DNSMessenger nebo na nový zákon připravovaný v USA, který má umožnit obětem hackerského útoku zaútočit zpět.

Jedno z ožehavých témat současnosti je, zda má certifikační autorita ověřovat, že doména žádající o certifikát není určena k phishingu nebo jiným škodlivým aktivitám. Přestože je posuzování náročné (spolupráce s blacklisty, ruční ověřování), nemusí být spolehlivé. Například už jen proto, že po vydání certifikátu, nebrání nic útočníkovi zcela vyměnit obsah stránky. Projekt Let's Encrypt, který rozvířil šifrovací vody a udělal z HTTPS slovo, které nestojí tisíce korun, domény neprohlíží a vydává certifikát každému. Kontrolu nechává službám jako Google Safe Browsing a Microsoft’s SmartScreen.

Čtěte: Budou mít všechny phishingové weby platný certifikát?

Na webu thesslstore.com vyšel nyní otevřený dopis určený certifikační autoritě Let’s Encrypt: Chápeme, že je ruční posuzování domén náročné, nežádáme o to, pouze nevydávejte certifikáty pro domény obsahující slovo „PayPal”!

Útočníci si totiž všimli, že vzhledem k dřívější výjimečné dostupnosti certifikátů si uživatelé zvykli ztotožňovat ikonku Secure HTTPS s pocitem bezpečí a důvěry. Počínaje listopadem se raketově roztrhl pytel se žádostmi certifikátů pro domény obsahující „PayPal". Již je jich téměř tisíc.


https://www.thesslstore.com/

Web thesslstore.com si je vědom, že zamítat „PayPal" domény není systémové řešení phishingu, ale na rozdíl od ostatních velkých značek by se téměř vždy jednalo o trefu do černého. Zatímco např. domény SEO společností obsahují řetězec „Google“ a mnoho domén obsahuje obecné slovo „Apple“, doména s „PayPal“ bude téměř jistě phishingová.

V CSIRT.CZ teď také řešíme s jednou z českých bank phishingovou stránku, která využívá záměnu písmen „i“ a „l“ v doménovém jménu a má vystaven certifikát od Let’s Encrypt. Problém se tedy týká v podstatě všech. Je načase začít uživatelům vysvětlovat, že zelená ikonka zámku v prohlížeči neznamená, že můžou veškerou obezřetnost hodit za hlavu.

Naše postřehy

Zařízení z rodiny Western Digital My Cloud obsahují koktejl zranitelností, jejichž zneužitím může útočník zařízení kompletně kompromitovat a získat tak uložená data nebo zařízení použít pro další útoky uvnitř LAN. Identifikované zranitelnosti jsou konkrétně Unauthenticated Arbitrary File Upload, CSRF a Unauthenticated OS Command Injection.

O kolizích SHA-1 jste se dočetli už v minulých dílech Postřehů. Týká se to i protokolu BitTorrent. Kolize umožňují vytvořit rozdílné verze jednoho torrentu. V .torrent souboru jsou SHA-1 hashe jednotlivých bloků souborů. V útoku nazvaném BitErrant se výzkumníkům podařilo vytvořit 2 spustitelné soubory se stejnými SHA-1 sumami jednotlivých bloků, přižemž jedna verze je neškodná, a druhá spouští Meterpreter, který naslouchá na všech síťových rozhraních. Oba soubory obsahují zašifrovaný škodlivý kód. Kód se spustí, jen pokud stažený soubor obsahuje „správný" SHATTERED blok, který aktivuje dešifrování a spuštění škodlivého kódu. Obranou je kontrola hashe staženého souboru. Otázkou je, kolik stránek s torrenty uvádí kontrolní hashe.

Za velkou louží se řeší návrh zákona nazvaného „Active Cyber Defense Certainty", který má umožnit v určité omezené míře obětem hackerského útoku provést „protiútok”. Pokud bude zákon schválen, budou mít napadení právo proniknout do počítače „útočníka”, ale pouze za účelem získání informací o útočníkovi a jejich předání příslušným orgánům nebo za účelem narušení aktivit útočníka, namířených proti systémům oběti. Celá věc samozřejmě vzbuzuje spoustu otázek, které jsou rozebírány v odkazovaném článku.

Je obecně známo, že záporňáci jsou velice vynalézaví a kreativní, což se potvrdilo také v případě nového malwaru nazvaného DNSMessenger, který v nedávné době analyzovali výzkumníci společnosti Cisco. Malware samotný je šířen pomocí infikovaného Word dokumentu a v několika fázích spustí obsažený PowerShell skript, otestuje některá systémová nastavení, zajistí si persistenci i po restartu počítače a nakonec naváže komunikaci s C&C serverem. Právě tato komunikace zde stojí za zmínku, protože probíhá pomocí DNS TXT dotazů, což dělá malware velice obtížně detekovatelný. Další detaily odhaluje blogový příspěvek analytiků z Cisco.

Ve zkratce

Pro pobavení


Jiný úhel pohledu…


http://www.lolwot.com/

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?