Postřehy z bezpečnosti: autonomní systémy opravují bezpečnostní chyby

8. 8. 2016
Doba čtení: 5 minut

Sdílet

Dnes si řekneme něco o soutěži Cyber Grand Challenge, kde soutěžily autonomní systémy schopné najít a opravit chyby v programech, o bezpečnostních chybách protokolu HTTP/2 a kritické chybě v LastPass.

Ve čtvrtek 4. srpna uspořádala agentura DARPA soutěž Cyber Grand Challenge během konference DEF CON. Cílem soutěže byla bitva o vlajku mezi sedmi týmy jejichž plně autonomní systémy měly za cíl nacházet v aplikacích slabiny (např. pomocí statické analýzy, dynamické analýzy, sledováním data flow, fuzzingem, …) a zároveň je automaticky opravovat, aniž by poškodily/znefunkčnily danou aplikaci. Soutěž byla o to zajímavější, že se nepoužívaly standardní aplikace ani binární formát, ale unikátní prostředí CRS (Cyber Reasoning System) pro potřeby soutěže, které si můžete sami částečně sestavit z Githubu. V devadesáti šesti kolech měly autonomní systémy během pár minut analyzovat binární soubory, které nikdy předtím neměly šanci zkoumat a opravit všechny zranitelnosti, které do nich organizátoři konference umístili. Jedno řešení dokonce našlo zranitelnost, o které nevěděli ani autoři binárních souborů. Tato soutěž je vyvrcholením tří let testování a vyřazovacích kol, kdy se přihlásilo okolo stovky týmů.

Vítězem první plně autonomní soutěže se stal tým ForAllSecure se svým systémem Mayhem a vyhrál 2 milióny dolarů. Jeden milión dolarů a druhé místo si odnesl tým TECHx se systémem Xandra. Xandra právě s vypětím všech sil (2400 jader procesoru a 1,8M fuzzing operací za vteřinu) našla i tu chybu, o které organizátoři nevěděli.

Pokud vás dané téma opravdu zajímá, tak ještě doporučím podívat se na tým Shellphishs, který má svůj Python framework Angr pro binární analýzu ke stažení na webu angr.io

Výborný nápad. Víc podobných soutěží a ideálně, aby pak účastníci uvolnili kód jako open source.

Naše postřehy

Cisco routery pro menší pobočky obsahují několik závažných zranitelností. Modely RV110W, RV130W a RV215W obsahují chybu (CVE-2015–6397) umožňující pomocí přednastaveného účtu získat root oprávnění. RV180 a RV180W VPN obsahují chyb hned několik (CVE-2016–1430, CVE-2016–1429), od spuštění kódu s root oprávněním po přístup k souborům na filesystému.

Na konferenci Black Hat Apple oznámil detaily spuštění svého prvního bug bounty programu, který by měl začít koncem roku. Pro začátek budou odměny vypláceny jen v případě, že odhalíte chybu v jedné z níže vypsaných komponent či služeb, ale s postupem času se bude seznam rozšiřovat. Rozhodně se jedná o finančně velice lákavou výzvu.

  • Secure boot firmware components: Up to $200,000

  • Extraction of confidential material protected by the Secure Enclave: Up to $100,000.

  • Execution of arbitrary code with kernel privileges: Up to $50,000.

  • Access from a sandboxed process to user data outside of that sandbox: Up to $25,000.

  • Unauthorized access to iCloud account data on Apple servers: Up to $50,000.

Když už jsme u konference Black Hat (konkrétně Black Hat USA), je důležité zmínit i konferenci DEF CON, která probíhala také minulý týden. BlackHat se považuje za primárně komerční konferenci, což je odvoditelné už z ceny vstupenky (~$2000). To však neznamená, že se tam neprezentují i zajímavé přednášky, protože právě díky své popularitě se tam společnosti chtějí zviditelnit. DEF CON je naopak konference se známkou punku, která původně vznikla z nevydařené rozlučkové párty a nyní se jedná o jednu z největších a nejuznávanějších konferencí na světě, kde spíš než obchodníky v oblecích potkáte komunitu opravdových hackerů. Vstupenka na DEF CON navíc stojí desetkrát míň. Stojí zato projít si přednášky obou konferencí, protože když už se prezentuje nějaké zásadní téma, nebo průlom v určité oblasti, tak to většinou bývá na těchto konferencích.

Dva týdny po zrušení služby a zatknutí administrátora Kickass Torrents se nyní uživatelé museli rozloučit i se serverem Torrentz, který sloužil jako vyhledávač mezi The Pirate Bay, Kickass Torrents a ExtraTorrent.

Před 25 lety (6. srpna 1991) byla vytvořena první webová stránka Timem Berners-Lee, přezdívaný jako otec World Wide Webu. První WWW stránka běžela na počítači NeXT, který byl zároveň prvním webový serverem, v CERNu a stále je dostupná. NeXT byla společnost založená Stevem Jobsem, když ho vyhodili z Applu v roce 1985.

Výzkumníci společnosti Imperva odhalili čtyři bezpečnostní chyby protokolu HTTP/2. Jedna z nich je velmi podobná útoku Slowloris a dokáže způsobit DoS/DDoS útok na webový server, který přestane odpovídat. Dále útok související s kompresí dat, kdy pomocí 4KB zpráv dokážete snadno zaplnit celou paměť serveru, problém zacyklení požadavků a poslední chyba se týká streamování. Všechny čtyři chyby by již dnes měly být opraveny.

Chyba v populárním E2E šifrovaném komunikátoru Telegram ukládala vše co jste zkopírovali do chat okna i do systémového logu. I když aplikace z AppStoru mohou do syslogu pouze zapisovat a ne ho číst, je to hloupá chyba. Postižena byla jen verze pro macOS.

Tavis Ormandy z Google Project Zero objevil několik bezpečnostních chyb v cloudové službě LastPass sloužící pro ukládání hesel. Detaily nejsou známy, chyby opravili před pár dny a bylo díky nim možné plně ovládnout cizí databázi hesel. Navíc to není první případ.

Informace o 200 milionech účtů společnosti Yahoo se prodává na černém trhu za 3 Bitcoiny. Podle údajů z webu Motherboard informace obsahují osobní údaje i hashe hesel. Předpokládá se, že dump databáze uživatelů je z roku 2012. Yahoo se k celé věci nevyjádřilo a prý prověřují situaci.

ict ve školství 24

Ve zkratce

Pro pobavení

Linux je sexy!

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Security Architect, šéfredaktor serveru Security-Portal.cz, spoluorganizátor konference Security Session a hlavní vývojář distribuce Securix GNU/Linux.