Postřehy z bezpečnosti: jak to dopadá, když někdo šmíráky nabourá

13. 7. 2015
Doba čtení: 3 minuty

Sdílet

V tomto díle postřehů se podíváme blíže na to, co bylo nalezeno ve 400 GB dat z nabourané šmírovací společnosti Hacking Team, dále pak na to, že v německém raketovém systému došlo ke spuštění nevysvětlitelných příkazů, na chybu v Google Chrome umožňující spoofing URL v adresním řádku a mnoho dalšího.

Hlavní zprávou tohoto týdne je jednoznačně hack Hacking Teamu, italské společnosti prodávající šmírovací software včetně celé infrastruktury vládám a státním organizacím. V podstatě se však ukázalo, že komukoliv kdo má peníze. Nemusíte vědět ani co je to exploit, stačí jen zaplatit pár desítek či stovek tisíc dolarů a z kontrolního centra řídíte infikování a sběr dat od šmírovaných uživatelů. Tak právě takovouto společnost někdo napadl (jejich bezpečnost byla slabá a hesla zaměstnanců také) a na Internetu zveřejnil 400 GB firemních dat včetně emailů, zdrojových kódu a dokumentů.

Pěkný článek o tom vyšel zde na Rootu, takže není třeba sepisovat to, co už bylo řečeno, ale od té doby se vyskytlo pár nových poznatků, které bych tu chtěl shrnout.

Předně ve zdrojových kódech byly nalezeny tři 0day exploity (2× Adobe Flash, 1× Windows Kernel), díky kterým jste mohli neidentifikovatelně infikovat jakýkoliv počítač s téměř jakýmkoliv prohlížečem používající Adobe Flash. První z nich (Use After Free) našel Trend Micro, má označení CVE-2015–5119, umožňuje spuštění vzdáleného kódu a CVSS závažnost je 10.0 (high). Oprava již existuje.

Druhá 0day chyba ve Flashi, nalezená v datech Hacking Teamu, byla ohlášena Dhaneshem Kizhakkinanem ze společnosti FireEye. Její označení je CVE-2015–5122 a přímo Hacking Team o ní v interních dokumentech prohlásil, že se jedná o jednu z “nejkrásnějších” chyb za poslední čtyři roky. Oprava je plánovaná na 13. 7.

Hacking Team ani nebyl autorem všech exploitů. Z emailové komunikace vyplývá, že 0day exploity kupovali od jednotlivců (Vitaliy Toropov například). Daniele Milan z Hacking Teamu také psal do České republiky (přes prostředníky Michala Martínka a Tomáše Hlavsu ze společnosti Bull s.r.o), že Hacking Team najímá lidi i do specializovaného interního týmu. Do iOS zařízení se však vlámat neuměli. To se musíte zeptat na ceník skupiny TAO z NSA :)

V České Republice si kupoval služby Hacking Teamu Útvar zvláštních činností (česká policie), který měl zájem o infikování návštěvníků stránek společností jako ČSOB, Unicredit Bank, Seznam.cz, Komerční Banky, Raiffeisenbank, RWE, NS LEV 21, dTest, Parlamentní Listy, online obchody, soukromé stránky apod.

Spousta lidí si myslí, že se v ČR odposlouchávání nikdo nemusí bát, protože česká policie nedisponuje technickými odborníky, ale jak vidíte, oni ani nemusí. Stačí mít dost peněz.

Naše postřehy

V německém raketovém systému vyvinutém v Americe bylo objeveno spuštění nevysvětlitelných příkazů. Na první pohled se předpokládá, že šlo o akci backdooru nainstalovaného americkou vládou, což by byl ještě ten lepší případ, protože pokud je možné se k těmto systémům dostat z veřejných sítí, tak stačí jen slabší chvilka paranoidního či schizofrenního hackera a celosvětový průšvih na sebe nenechá dlouho čekat.

Chyba v Androidu umožňuje do zálohy přidat vlastní APK balíčky. Když je spuštěn BackupAgent, tak mu můžete podsunout vlastní balíčky a on je bez problému nainstaluje s právy administrátora. Pro detaily si prostudujte PoC kód a postup na GitHubu. V tuto chvíli neexistuje oprava.

Google Chrome obsahuje chybu umožňující spoofnout URL v adresním řádku. Díky tomu můžete předpokládat, že jste na stránkách banky, ale přihlašovací údaje pošlete útočníkovi. Google to nejdřív nepovažoval za chyby a označil to jako špatné renderování adresního řádku, avšak řada bezpečnostních odborníků jim jejich domněnku vyvrátila. Chybu není jednoduché plně využít, ale nakonec se bude opravovat.

bitcoin_skoleni

Micro:bit je miniaturní počítač (4×5cm) vyvinutý ve spolupráci společností ARM, Microsoft, Samsung a mnoha dalších. Cílem je motivovat děti ke vztahu k IT technologiím, učit je jak věci fungují a jak se dají programovat k různým účelům. BBC plánuje distribuovat milión těchto zařízení zdarma. Veřejně dostupná budou koncem roku.

Ve zkratce

Pro pobavení

Proč neříkat některým manažerům o problémech :)

Scott Adams

dilbert.com

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Security Architect, šéfredaktor serveru Security-Portal.cz, spoluorganizátor konference Security Session a hlavní vývojář distribuce Securix GNU/Linux.