DEF CON
Skupina výzkumníků ze společnosti Neohapsis Labs na konferenci DEF CON představila novou/rychlejší techniku pro Man-in-the-Middle útoky na IPv6 síti. SLAAC (Stateless Address Auto Configuration) je mechanizmus umožňující generování unikátní IPv6 adresy na síti bez DHCP. Nástroj vlastně simuluje router na síti, a tak jde veškerý provoz skrz něj. Tool “Sudden Six”, který vytvořili, je možné stáhnout na Githubu.
Jak jsme již informovali. Charlie Miller (Twitter) a Chris Valasek (IOActive) demonstrovali na konferenci DEF CON, jak se za pomocí notebooku a diagnostického systému automobilu mohou úplně zmocnit auta. Mohou např. měnit zobrazenou rychlost, stav nádrže, odstavit brzdy, ovládat řízení apod. Velice znepokojivé, že? Podívejte se na demonstrační video.
Výzkumník Sean T. Malone (FusionX) představil na konferenci botnet HiveMind, napsaný v JavaScriptu, který byl schopen sestavit z prohlížečů uživatelů distribuované úložiště dat. Pomocí technologií HTML5 (WebSockets, Web Storage) a šifrování souborů algoritmem AES. Každý z účastníků takovéhoto botnetu jen stáhne script a použije prostor na svém disku k distribuovanému ukládání a dalšímu šíření dat.
Dvouhodinový dokument o konferenci DEF CON 20.
Naše postřehy
Analýza cíleného útoku. V tomto dvoudílném článku o analýze cíleného útoku, který byl veden na náš server security-portal.cz, se dozvíte jak probíhal útok, jakou slabinu vlastně útočníci využili, jaké skripty u nás nechali (se zdrojovými kódy), jak se dostali ke kořenovému adresáři webu, proč jsme se stali zajímavým cílem útoku a jak podobným útokům předejít.
V návaznosti na nový SSL/TLS útok BREACH se spekuluje, kolik let bude ještě RSA vůbec bezpečný algoritmus. Na konferenci Black Hat měl na dané téma přednášku Alex Stamos. Podle něj do pěti let bude matematika na takové úrovni, kdy již nebude tak časově náročné uhodnout klíče algoritmu RSA. Je čas pro eliptické křivky. Patent však vlastní BlackBerry.
FBI nechala zatknout Erica Eoin Marquese, provozovatele největšího hostingu Tor/hidden služeb “Freedom Hosting”. Důvodem je, že se na těchto serverech prý často vyskytovala dětská pornografie. Výpadek tohoto hostingu afektoval většinu běžících služeb na sítí Tor. Co je však nejzajímavější, NSA na servery hostingu vložila exploit zneužívající chybu v prohlížeči Firefox (17.0, 21.0), čímž se dostala do systému uživatelů a dále trasovala návštěvníky těchto stránek.
Americká společnost sídlící v Texasu Lavabit donedávna nabízela službu bezpečného zasílání emailů (GPG, TLS), kterou využíval i Edward Snowden při komunikaci s novináři. Hlavním rozdílem oproti ostatním velkým poskytovatelům bylo, že i emailové zprávy byly uložené na discích serveru pomocí GPG, takže ani administrátor Lavabitu nemohl dešifrovat obsah bez soukromého klíče uživatele. Něco podobného, jako používá úložiště MEGA. Bohužel však jak se v novinách objevila zpráva, že službu používá Edward Snowden,začaly se o ni zajímat bezpečnostní složky a nyní byl majitel služby donucen ji zrušit. Detaily bohužel nemůže sdělit. Službu používalo okolo 350 000 uživatelů.
Podobná služba Silent Circle/Mail byla zrušena také. Dle vyjádření na webu ještě neobdrželi žádnou obsílku, ale protože by se to dle nich stalo brzy, tak tomu raději předejdou a službu zruší již teď. Důvodem je to, že služba je oficiálně zrušena, takže stát po nich již nic nemůže chtít (logy a data ze serverů), protože servery byly smazány.
Jednadvacetiletý člen skupiny LulzSec Raynaldo Riviera byl odsouzen k jednoletému vězení, ke třinácti měsícům domácího vězení a tisíci hodinám prospěšných prací, a to vše kvůli nabourání do serverů sítě Sony Pictures Entertainment a zveřejnění databáze uživatelů.
OpenX, populární poskytovatel technologie pro internetové a mobilní reklamy, v poslední verzi svého produktu OpenX Source 2.8.10 obsahoval backdoor. Útočníkem byly pozměněny dva soubory umožňující pomocí funkce eval() úplně ovládnout server/web, který tuto technologii používal. Backdoor lze jednoduše identifikovat spuštěním toho příkazu:
grep -r --include "*.js" '<?php' /cesta/k/vasemu/webu
Arbor Networks odhalili botnet s názvem “Fort Disco”, který již kompromitoval přes 6000 webů založených na populárních CMS jako WordPress, Joomla apod. Je aktuálně tvořen 25 tisíci počítači s OS Windows a seznam cílů a hesel pro bruteforce odebírají ze šesti centrálních C&C serverů.
CreepyDOL (Creepy Distributed Object Locator) je levný WiFi senzor odposlouchávající provoz a zaznamenávající všechny informace vázané k jedné osobě nebo zařízení (iPhone, Android, …). Uvnitř běží Raspberry Pi, dvě WiFi antény a napájení je zajištěno přes USB s možností připojení i na elektrickou síť. Další zajímavosti je F-BOMB (Falling or Ballistically Launched Object that Makes Backdoors), což si představte jako síť těchto CreepyDOL zařízení, které jsou v dosahu a vyměňujících si informace o nalezených zařízeních a nasbíraných datech. Můžete takto v řetězci propojit zařízení přes celé městské bloky a odposlouchávat komunikaci všech v dosahu.
Úvod do automatizovaného řešení CAPTCHA obrázků. Popisuje existující služby, implementaci a pochopení funkce automatického luštění textu z obrázků, včetně ukázkového kódu a testování úspěšnosti.
Microsoft objevil chybu ve Windows Phone OS, kdy za použití PEAP-MS-CHAPv2 při autentizaci na WiFi AP by útočník mohl dešifrovat i přihlašovací údaje do domény, pokud by dané AP kontroloval. Jedná se spíše o upozornění a doporučení, ať zařízení ověřují vždy certifikát, čímž se vyhnou připojení na nastrčený access point.
Ve zkratce
- Ruská společnost Dr. Web při své analýze aplikací pro Android odhalila několik aplikací zasílajících tajně premium SMS
- Jak si napsat vlastní parser (příkladem DEX)
- Chrome umožňuje zobrazit uložená hesla v textové formě, pokud nemáte nastaveno “master password”. Příliš povyku nad něčím, co je a bylo zřejmé.
- Android konečně můžete lokalizovat, na dálku ho smazat, nebo nechat prozvonit.
- Cybercrime-as-a-Service (CaaS). Vše co potřebujete od DoS útoků, přes malware, botnety až po tvorbu cílených exploitů.
- Analýza staré chyby šířící se kombinací/pomocí několika anti-heuristických technik.
- SIM card root attack o kterém jsme informovali dříve, umožňující přes cracknutý DES klíč SIM karty a OTA vzdáleně přepsat data telefonu, instalovat malware, naklonovat SIM, dešiforvat 2G/3G/4G provoz apod.
Závěr
Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter.
ČLÁNKY DO MAILU