Postřehy z bezpečnosti: Ahoj Zucku, máš tam chybku

26. 8. 2013
Doba čtení: 4 minuty

Sdílet

Khalil Shreateh objevil chybu na Facebooku, pomocí které byl schopen posílat zprávy na jakýkoliv wall/timeline, i když vás daný profil neměl v přátelích. Tuto chybu nahlásil dvakrát na Bug Bounty program Facebooku, leč neúspěšně. Nebyl schopen zreprodukovat chybu na testovacích účtech, tak zvolil jinou cestu.

Podle vyjádření security týmu Facebooku byla jeho angličtina na špatné úrovni a prostě nechápali, jak to myslí. Místo toho napsal post přímo na profil Marka Zuckerberga, kdy už byl security tým mnohem pohotovější a kontaktovali ho do několika minut. Bohužel však tím, že chybu zneužil, porušil podmínky vyplacení odměny a nedostane žádný honorář.

Na webu GoFundMe však vznikla veřejná sbírka pro Khalila a aktuálně je již vybráno přes 13 000 dolarů.

Naše postřehy

Exploit no nově objevenou chybu ve všech verzích Javy do verze Java 7 Update 25 se již začal integrovat do exploit kitů, jako například Styx. Tato chyba umožňuje vzdálené spuštění kódu (CVE-2013–2465). Jak jsme již informovali, pro Java 6 již nejsou distribuovány bezpečnostní aktualizace.

Indický výzkumník Rahul Sasi na konferenci CanSecWest představil zajímavý vektor útoku na USB modemy (mobilní internet). Za pomocí SMS je schopen spustit na daném modemu/počítači kód a zpřístupnit ho tak celý útočníkovi. V některých zemích jsou telefonní čísla USB modemu predikovatelná, a tak je možné masově útočit na počítače a případně je i odpojovat od Internetu. Samozřejmě je tento útok limitován použitým hardwarem a softwarem na ovládání modemu.

Výzkumníci v Kaspersky Lab objevili, že Android malware používá pro funkci Command and Control Google Cloud Messaging Service (GCM), kterou běžně využívají vývojáři aplikací pro zasílání zpráv aplikacím v JSON formátu. Malware tímto dostává nové příkazy, updaty apod.

Miss Teen USA 2013 se stala obětí, kdy útočník požadoval peníze za to, že nezveřejní její choulostivé fotografie, které pořídil webovou kamerou na jejím domácím počítači. Překvapilo ji prý to, že kontrolka u kamery nesvítila. Na základě tohoto incidentu teď prý jezdí po státních školách a informuje o důležitosti počítačové bezpečnosti a časté změny hesel. Už jsme to říkali, používejte černou lepící pásku.

Algoritmus asymetrické kryptografie schopný odolat kvantovým počítačům? NTRUEncrypt. Je založen na matematickém problému nejkratšího, nenulového vektoru v mřížce. Jedná se o nejmladší používaný systém, byl popsán a vytvořen v roce 1996. Ze začátku měl problém s dešifrováním a některými typy útoků, to vše však bylo vyřešeno v roce 2005. Tento algoritmus je (někdy mnohonásobně) rychlejší než RSA a nepotřebuje pro stejnou míru bezpečnosti tak velké klíče. Existuje i open source SSL knihovna CyaSSL podporující NTRU, TLS 1.2, DTLS 1.2 a je 20× méně náročnější na prostředky než OpenSSL.

Google distribuuje patch opravující problém se šifrováním, respektive s generováním pseudo-náhodných čísel, v Android zařízeních, který mohl kompromitovat stovky tisíc aplikací. Na problém s PRNG upozornil vývojář Bitcoinu Mike Hearn. Výsledkem toho je, že všechny generované privátní klíče jsou slabé a za určitých podmínek je možné je odhadnout. Několika majitelům Bitcoinů se tak stalo, že byly jejich Bitcoiny ukradeny a převedeny na účet útočníků.

Nový exploit pro CMS Joomla infikoval tisíce webových stránek, které hostovaly malware a phishing obsah. Report na stránkách Versafe obsahuje detailní popis útoku.

Článek pojednávající o nebezpečnosti rozšíření třetích stran pro prohlížeč Chrome. Je to samozřejmě aplikovatelné pro jakýkoliv jiný prohlížeč. Musíte brát stále na vědomí, že se prakticky jedná jen a pouze o software, který může mít své vlastní bezpečnostní problémy. První, na co jsem si vzpomněl, byl “útok” na známého bezpečnostního odborníka RSnake, na něhož byl připraven útok umožnující obejít ochranu rozšíření NoScript, o kterém věděli, že ho používá.

“Hand of Thief” nový trojan zameřený na čistě Linuxové desktop distribuce. Po instalaci v systému zaznamenává údaje vepsané do formulářů webových stránek, vytvoří backdoor a blokuje přístup k updatům antivirových definic. Na černém trhu se prodává za 2000 $ a s funkcí web injectingu za 3000 $.

Ebrahim Hegazy (Q-CERT) objevil chybu na webu společnosti Kaspersky umožňující nevalidované přesměrování, čímž je možné dosáhnout šíření malwaru pomocí phishingu jakoby z důvěryhodného webu Kaspersky. Ve článku je přiložené video na Youtube.

Google Cloud Storage nyní defaultně šifruje všechna uložená data. Používá se AES-128 a každý takový klíč se dále šifruje rotující kolekcí hlavních klíčů. Ve výsledku je to jen PR novinka. Protože se k datům dostane Google, dostane se k nim i jakákoliv vládní organizace s povolením. Pokud chcete mít jistotu, data si zašifrujte sami před jejich uložením na Cloud Storage. Oblíbeným programem je například TrueCrypt.

Osm let starý trojský kůň Poison Ivy je stále hojně používán při útocích na finanční, lekářské a vládní systémy. Trojský kůň nejvíce proslavený během útoku na RSA SecureID (2011) se stále znovu a znovu objevuje, což je poměrně neobvyklé. Je pravděpodobné, že tomu napomáhá fakt, že se jedná o poměrně schopný a velice jednoduše spravovatelný malware.

bitcoin_skoleni

Ve zkratce

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter.

Děkujeme

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Security Architect, šéfredaktor serveru Security-Portal.cz, spoluorganizátor konference Security Session a hlavní vývojář distribuce Securix GNU/Linux.