Naše postřehy
Uznávaný bezpečnostní odborník Barnaby Jack (IOActive) nečekaně zemřel pár dnů před konferencí Black Hat USA 2013, kde měl přednášet. Nejvíce se zasadil o bezpečnost především svými poznatky o zranitelnostech medicínských zařízení (inzulínová pumpa, kardiostimulátor), kdy byli uživatelé těchto zařízení v přímém ohrožení života a zranitelnostech ATM zařízení (bankomaty), kdy pomocí kódu na USB klíčence přepsal operační systém a mohl tak kopírovat kreditní karty, zaznamenávat PIN, krást peníze z účtů atp. Díky úsilí a času lidí jako je Barnaby Jack je svět kolem nás bezpečnější. Díky!
Kolegové Barnabyho z IOActive zas přišli s objevem, kdy je možné provést útok na senzory používané v energetickém průmyslu k měření tlaku, teploty atd. které jsou řízeny bezdrátově. Některé ze senzorů používaných v různých společnostech prý dokonce používaly stejný šifrovací klíč. Útok byl proveditelný až na vzdálenost 64 kilometrů, byl nevystopovatelný a rozsah škod muže být obrovský.
Karsten Nohl bude na konferenci Black Hat USA 2013 mluvit o exploitu na SIM karty, kdy je možné pomocí skryté SMS ovládnout celý telefon. Bude pak prý možné odposlouchávat hovory, posílat placené SMS atd. Tento útok bude podle odhadů proveditelný nad 500 mil. mobilních zařízení. Počkejme si na detaily po konferenci.
Charlie Miller (Twitter) a Chris Valasek (IOActive) demonstrují jak se za pomocí notebooku a diagnostického systému automobilu mohou úplně zmocnit auta. Mohou např. měnit zobrazenou rychlost, stav nádrže, odstavit brzdy, ovládat řízení apod. Velice znepokojivé, že? Podívejte se na demonstrační video na konci článku.
Jiří Dlabaja souhrou náhod objevil chybu systému Komerční Banky, kdy si mohl zobrazit (i měnit) finanční stav všech klientů KB, kteří kdy žádali, nebo byli osloveni KB, o penzijní fond. Pokud jste slyšeli alespoň o dalších třech podobných slabinách systému KB, případně pak o prvotní metodě generování autorizačního SMS kódu, tak vás tento incident už nepřekvapí. Lidé by si měli lépe vybírat banku, které svěří své peníze.
V kauze Snowden mluvčí prezidenta Putina oznámil, že Rusko ještě nikdy nikoho nevydalo a nebude tomu jinak ani se Snowdenem. Snowden navíc dostal oficiální dokument umožňující mu opustit transitní prostor letiště v Moskvě, kde byl více než měsíc, a může nyní žít v Rusku až po dobu jednoho roku.
Informační systém Stanfordské univerzity byl nabourán. Všichni uživatelé byli vyzváni ke změně hesla. Zatím není znám způsob napadení, ale je známá přezdívka hackera: Ag3nt47. Stejná osoba napadla i informační systém Harvardu, MIT apod. Přezdívka je zřejmě přejatá z hry/filmu Hitman.
Víte jaké technologie pohání Facebook? V daném článku se s některými z nich seznámíte. Z bezpečnostního hlediska je každá použitá technologie riziko s vlastními vektory útoku.
SSH bruteforce útok je jedním z vůbec nejběžnějších a stále používaných útoků. Divili byste se, že se stále najdou systémy spravované lidmi bez špetky vědomí o bezpečnosti. Pár rad, jak předejít bruteforce útokům na SSH:
- root se nesmí přihlásit na SSH (jen uživatelem přes sudo). Používejte raději securetty a omezte přihlášení roota jen na konzoli
- na SSH se smí přihlásit jen uživatelé určité skupiny (např. sshusers)
- vynuťte používání SSH klíčů místo lokálních hesel
- pomocí PAM modulů vynuťtě používání silných hesel (pam_cracklib)
- nainstalujte si aplikaci schopnou detekovat bruteforce – mým oblíbeným je Fail2ban, který rozezná bruteforce na mnoho linuxových služeb a umí blokovat zdrojové IP i distribuovaně.
Byli zatčeni čtyři Rusové a jeden Ukrajinec, obžalovaní z krádeže 160 milionů kreditních karet. Skupina stojí za několika největšími kyberzločiny za poslední dekádu. Skupina má na svědomí více než to: napadení, nebo šíření malware v síti NASDAQ, Heartland Payment Systems, Carrefour, Visa, 7-Eleven, JetBlue, JCPenny, Dow Jones a další.
Expert na GPS a profesor univerzity v Texasu Todd Humphreys demonstruje jak je možné nabourat systém GPS s hardwarem za 3 000 USD. Pomocí svého “GPS spoofera” je schopen podvrhnout GPS polohu přijímače. Test byl proveden s GPS systémem lodi, kdy se nejednalo jen o vyvedení lodi z kurzu, ale byli schopni lodním systémům podvrhnout takovou polohu, aby plula tam, kam chtěli oni.
Spousta “nových” botnetů, trojanů, bankerů apod. má základ na kódech dříve uvolněných malware kitů. Většinou se provede v kódu pár drobných oprav či přidá nová funkčnost a prodává se pod novým názvem. Příkladem KINS (Kasper Internet Non-Security)
Kriteria výběru SIEM (Security Information & Event Management) systému. V daném článku se sice propaguje řešení od SolarWinds, ale kritéria jsou aplikovatelná všeobecně. Divili byste se, co vám renomované společnosti jsou schopny za miliony korun ročně nabídnout. Sestavte si vlastní kriteria za pomoci článku a nechte si produkty předvést. V počátcích nasazení a testování si zkuste sami simulovat útoky, výpadky na zařízení, změnu konfigurace či dosažení nadefinovaných limitů, a to pro každou použitou technologii zvlášť. Nevěřte bezhlavě společnostem, ať už je jejich jméno jakékoliv, protože můžete naletět. Stejný postup je aplikovatelný pro jakoukoliv jinou technologii.
Americké úřady by si prý velice přáli mít jednoduchou cestu, jak požádat společnosti o vydání jejich SSL certifikátu (resp. privátního klíče). Tím by pak mohli dešifrovat veškerou odposlechnutou komunikaci a i zpětně dešifrovat již proběhlou. Redaktoři zive.cz by měli číst naše PzB. Vyhnuli by se tak mylným závěrům a věděli by, že jednou z možných cest je použití HTTPS s PFS.
Egyptský researcher Ebrahim Hegazy našel slabinu v aktualizačním systému Barracuda Networks, která mu umožnila dostat se ke všem údajům zaměstnanců, protože byl schopen stáhnout soubor htpasswd ve formátu username:password.
Vývojářská část webu Applu byla od 19. července odstavena kvůli útoku na server a možnému úniku údajů všech 275000 účtů. Ukazuje se však, že šlo možná jen o test tureckého bezpečnostního specialisty Ibrahima Balica, který sice našel chybu umožnující vypsání údajů vývojářských účtů, ale tuto chybu ihned nahlásil přímo Applu a neměl v plánu data nijak zneužít.
Na serveru novinky.cz si můžete přečíst článek o studentce, která si během koupání ve vaně ráda pouštěla DVD, zatímco ji někdo vzdáleně pozoroval přes webkameru na jejím notebooku. Ignorujte pojem “hacker” na daném serveru, ale když už uživatel neví nic o bezpečnosti, tak může minimálně zakrýt kameru černou lepící paskou. Pomocí webkamery byl na druhou stranu odhalen i nejeden zločinec.
Společnost Cisco kupuje Sourcefire, známého tvůrce jednoho z nejlepších IDS/IPS (Intrusion Prevention System) systému Snort, který je distribuován jako open-source. Můžeme jen doufat, že se tento skvělý produkt bude i nadále vyvíjet a že ho Cisco nenechá umřít.
Internetem se začíná šířit útok na novou, kritickou, vzdáleně zneužitelnou chybu v oblíbeném DNS serveru BIND (CVE-2013–4854). Výsledkem útoku je odepření služby (DoS). Doporučeno je upgrade na poslední verzi BINDu a jeho poslední patch (9.8.5-P2, 9.9.3-P2).
NSA prý instaluje u operátorů servery pro odposlech komunikace. U nás se toto děje úplně stejně (jen jde o jiná “tři písmenka”) a nikdo se nad tím výrazněji nepozastavuje. Už když máte více než 1000 zákazníků, tak jste pro ně zajímavý, ale je pravdou, že jakožto malý poskytovatel máte většinou možnost odmítnout. Velcí už ne.
Stránky populárního komunikační programu (především pro VoIP hovory) Viber byly minulý týden napadeny, ale v sobotu se změnil i popis na App Storu, kde stálo: “We created this app to spy on you, PLEASE DOWNLOAD IT!”
Pro pobavení
V pátek 26. června byl den systémových administrátorů. Blahopřejeme! Vy ostatní byste si měli přečíst deset věcí, které nikdy nesmíte říkat sysadminům.
Závěr
Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter.