DVR je zařízení pro nahrávání videa a většinou se používá k záznamu obrazu z bezpečnostních kamer. Johannes Ullrich z institutu SANS objevil v jednom takovém (Hikvision DVR) malware, který spustil program pro mining bitcoinů a pokoušel se nalézt v síti Synology zařízení poslouchající na portu 5000. Pokud takové zařízení nalezl, tak zjišťoval verzi firmwaru ( GET /webman/info.cgi?host= HTTP/1.0). Zřejmě proto, aby jeho další verze využila nedávno publikovanou a již opravenou bezpečnostní chybu. Zjištěné údaje poslal na server s IP adresou 162.219.57.8. Jádro malwaru bylo uloženo v souboru /dev/cmd.so a v adresáři /dev měl pár dalších podpůrných programů. Zajímavostí je, že malware běžel na ARM platformě.
Naše postřehy
Internet Explorer 12, který by měl vyjít tento rok, bude podporovat protokol HSTS (HTTPS Strict Transport Protocol). Tento protokol vynucuje používání HTTPS, i když některé součásti webu odkazují na HTTP, nebo používají nešifrované spojení pro komunikaci s ostatními součástmi. Některé služby, jako například Dropbox, Foursquare a Twitter, tento protokol již podporují a Facebook, LinkedIn, Tumblr a Yahoo podporu hodlají brzy nasadit. Podobného chování u webů, které HSTS nepodporují, můžete dosáhnout pomocí pluginu HTTPSEverywhere. Nutno podotknout, že Firefox a Chrome tento protokol podporují od roku 2011.
Dva studenti Izraelské univerzity, Shir Yadid a Meital Ben-Sinai, oklamali populární aplikaci Waze, kterou koupil Google minulý rok za jednu miliardu dolarů. Studenti dokázali simulovat dopravní zácpy na silnicích pomocí vlastního programu, který vytvořil stovky Waze uživatelů a pomocí falešných GPS souřadnic ohlašoval problémy na komunikacích.
„Tohle dokáže nabourat i dítě,“ říká se u některých systémů. Konkrétně obejít heslo k XboxLive účtu dokázalo pětileté dítě ze SanDiega. Rodičům bylo divné, jak mohl malý Kristoffer hrát pod účtem svého otce, a pak zjistili, že k obejití hesla stačí zadat do pole mezeru. Multimiliardová společnost dala Kristofferovi účet na rok zdarma a 50 dolarů. Ne, nejedná se o vtip.
Výzkumníci společnosti Incapsula objevili aplikační DDoS útok na nejmenovaný web hostující video obsah, který je však mezi padesáti nejnavštěvovanějšími weby světa. Tento útok vyústil ve 20 milionů GET požadavků od 22 tisíc uživatelů. Pomocí perzistentní XSS chyby mohli útočníci vložit do profilu uživatele webu javascript (do <img> tagu), který se pak spustil všem uživatelům, kterým se profilová fotografie zobrazila. Pod takto napadeným profilem poté rozeslali stovky komentářů k populárním videím a všem obětem, kterým se zobrazila tato fotografie, se spustil v prohlížeči script, který kontaktoval C&C server a začal útočit na server. Jednalo se sice jen o jeden GET požadavek za vteřinu, ten byl však znásoben tisíci uživateli. Tento útok se navíc špatně blokuje, protože nastavit nižší limit než jednotky požadavků za vteřinu je u dnešních webů nereálné.
Společnost Kaspersky spustila webovou aplikaci Cybermap (Cyberthreat real-time map) zobrazující interaktivní mapu světa jak z hollywoodských filmů, s aktuálně probíhajícími útoky rozlišenými barevně podle jejich typu. Česká republika je podle míry infekce aktuálně na 98. místě.
Jedním z prvních Android Bootkitů byl malware známý jako Oldboot.A, který infikoval na půl milionu zařízení. Výzkumníci ze společnosti „360 Mobile Security“ našli jeho novou variantu, označenou jako Oldboot.B. Nová verze používá pokročilé metody skrývání v systému proti antivirovým programům, malware analyzérům a dalším forenzním utilitám. C&C server je na adrese az.o65.org (61.160.248.67), tak zkuste projít logy firewallů, či proxy serverů.
Podle zprávy společnosti Nominum má až 24 milionů domácích routerů povolený DNS proxying a útočníci takto zneužívají zařízení k masivním amplifikačním DDoS útokům. Jen v únoru tohoto roku bylo k útokům zneužito 5,3 milionu těchto zařízení.
Danor Cohen, izraelský výzkumník ze společnosti An7i Security, objevil chybu ve známém programu WinRAR umožňující oklamat uživatele, který nevědomky spustí program/malware, tvářící se například jako obrázek, textový soubor nebo PDF. Postižené jsou všechny verze. Problémem je, že WinRAR přidává do komprimovaného souboru parametr názvu souboru a názvu souboru po dekompresi. Tím je tak možné při výpisu obsahu souboru zobrazit soubory tvářící se jako cokoliv co si budete přát, ale půjde o malware. Tato chyba se podle zprávy společnosti IntelCrawler začala již používat a útočníci cílí na přední světové společnosti, vojenský sektor a ambasády. V komprimovaném souboru byla nalezena varianta trojského koně Zeus a C&C server běží na adrese 185.9.159.211.
O zadních vrátkách v knihovně BSafe společnosti RSA, za které NSA zaplatila 10 milionů, dolarů jsme již psali. Šlo o systém generování náhodných čísel u Dual EC DRBG, který není příliš náhodný a je tak možné relativně rychle a přesně odhadnout tato “náhodná čísla” použitá pro šifrování a tím je tak dešifrovat. Výzkumníci z univerzity ve Winsconsinu však objevili zřejmě další. Jedná se o rozšíření s názvem “Extended Random” pro bezpečné webové aplikace. Namísto rozšíření či zvýšení bezpečnosti je při použití tohoto modulu zjištění náhodných dat až 65000× rychlejší. No nekupte to.
Díky špatné politice hesel a absenci zamykání účtu je možné dostat se pomocí aplikace do systému high-end elektromobilu TeslaS a odemknout si tak dveře či trasovat uživatele.
Ve zkratce
Nové vládní nařízení vyžaduje ochranu a monitorování DoS útoků u finančních institucí
Facebook Bug Bounty program vyplatil za rok 2013 na odměnách 1,5 milionu dolarů
Aktualizace prohlížeče Safari opravuje desítky bezpečnostních chyb
Pro pobavení
Star Wars v ASCII artu? Pořád se najdou lidé, co to neznají.
Připravte si popcorn a zkuste se připojit na: telnet towel.blinkenlights.nl
Pokud byste si nemohli vzpomenout na epizody, zkuste traceroute na IP adresu 216.81.59.173.
