Postřehy z bezpečnosti: kdo hlídá hlídače?

4. 11. 2019
Doba čtení: 3 minuty

Sdílet

Dnes si povíme něco o nezodpovědných antivirech, distribuovaném krmení koček a vtipném využití MIME. Zmíníme Facebook a PirateBay, i vybranou společnost v podobě UniCredit Bank a Organizace Spojených národů.

Kdo hlídá hlídače

Software, který má naše počítače chránit, k tomu často potřebuje téměř absolutní oprávnění. Dá se tedy očekávat, že dříve nebo později někdo zaútočí na něj. SafeBreach Labs ale zjistily, že jak Avast a AVG, tak Avira se při startu snaží nahrát a spustit neexistující DLL – čehož lze využít ke spuštění kódu v kontextu antivirového programu.

Dá se samozřejmě (spolu s Avirou, která útok zpochybňuje) namítat, že je k tomu potřeba oprávnění administrátora. Antivirové programy se ale i proti potenciálním maligním akcím administrátora brání, a zranitelnost umožňuje malwaru ochrany obejít a skrýt svou činnost pod pláštík antivirového programu.

Krmení koček botnetem

Už jsme tu měli hacknuté žárovky i panenky. Anna Prosvetova z Petrohradu zjistila, že automatizovaná krmítka FurryTail komunikují s nechráněným API, ze kterého dokáže z něj získat seznam všech připojených zařízení a ovládat jejich základní funkce. Vyhladovět tisíce psů a koček by asi nebyl zrovna lukrativní cíl, Anna ale zjistila, že na zařízeních je zranitelný čipset ESP8266, což už by znamenalo přístup do systému a šanci na zajímavý botnet.

Případ má ještě další rozměr – firma Xiaomi na upozornění reagovala tím, že FurryTail je pod její značkou prodáván bez svolení, tudíž to není její problém. Je-li tomu tak, je to další oblíbený problém dnešní doby – výrobek anonymního výrobce z nedosažitelné jurisdikce. Za jak dlouho uživatelé zjistí, že krom rozesílání spamu jejich krmítko už nejde ani ovládat, protože servery výrobce přestaly existovat..?

Office 365 nekontroluje přiložené emaily

Mailové služby a programy se obvykle snaží své uživatele chránit například detekcí maligních URL. A útočníci se ochrany snaží obcházet například různými dokumentovými či archivními přílohami. Jan KopřivaAlefu si všiml, že Office 365 své ochrany aplikuje pouze na hlavní zprávu, ne na přílohy, které jsou samy ve formátu emailu.

Email, který je součástí jiného emailu, je zcela korektní konstrukt, používaný například pro přeposílání mailů při zachování jejich podpisů. V tomto případě ale lze nezkušené uživatele, kteří jistě neznají specifika a flexibilitu MIME formátu, zmást – otevřená příloha pro ně vypadá jako validní mail, ovšem leccos v ní může být bez kontroly podvrženo. Microsoft se k upozornění staví jako k problému někoho jiného, neb je nutné sociální inženýrství či uživatelská nepozornost.

Úspěšná odhalení

ESET úspěšně odhalil identitu vývojáře, který zveřejňoval desítky aplikací s přílepkem adware rodiny Android/AdDisplay.Ashas. Zajímavé na adwaru je, že (za pomoci C&C serveru) hlídá, zda není spouštěn z adresového rozsahu Googlu, kde se chová mravně. Reklamy se pak maskují za vzhled a ikony dalších obvyklých aplikací. Vývojář nebyl právě opatrný, takže identifikace, zmapování a křížové ověření nebylo právě složité.

Facebook před nějakou dobou záplatoval zranitelnost WhatsApp, která útočníkovi umožňuje převzít kompletní kontrolu. Zranitelnost byla ale zakomponována do spyware Pegasus firmy NSO Group, která prodává spyware vládám. Facebook ovšem tvrdí, že nejen vládám, ale že sama NSO Group během dubna a května zkompromitovala tímto způsobem cca 14 000 mobilních telefonů – na základě čehož ji (a mateřskou firmu Q Cyber Technologies) nyní žaluje.

Ve zkratce

  • Automatizovaný skener Lookout Phishing AI objevil phishingový útok na Organizaci Spojených národů, UNICEF a další humanitární organizace. Zajímavostí phishingových stránek je, že odesílají jednotlivé stisky kláves (i když si tedy uživatel odeslání rozmyslí, může být pozdě), a mají i verzi cílenou na uživatele mobilních telefonů.
  • The Pirate Bay je už několik týdnů pod záplavou DDoS útoků. Útočníci zahlcují službu dotazy specificky cílenými na vlastnosti open source fulltextového prohledávače Sphinx.
  • Bankovní společnosti UniCredit se sídlem v Itálii unikly záznamy minimálně 3 milionů domácích zákazníků. UniCredit slibuje, že se nejedná o data, která by mohla být zneužita k přístupu k účtům či kartám, nicméně zákazníci mají být ostražití.
  • Registrátorovi Web.com (který vlastní také Network Solutions a Register.com) unikly „miliony“ záznamů o zákaznících. Údajně nedošlo k úniku hesel ani čísel kreditních karet, která jsou snad zašifrována.
  • ProtonMail zveřejnil zdrojový kód své aplikace pro iOS.

Pro poučení

Dodavatelský řetězec nekončí nákupem: Jak vyřazujete zařízení z provozu?

ict ve školství 24

Pro pobavení

Facebook vyvinul technologii, která nepatrně (ale stále realisticky) pozměňuje vzhled tváře ve videu, s cílem anonymizace videí například v dalších projektech strojového učení. Po shlédnutí ukázkového videa si ale nejsem jist, zda je řešením z Willema Dafoe udělat Marka Ruffala a z Jennifer Lawrence Lisu Kudrow

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.