Postřehy z bezpečnosti: nemluvme už o Heartbleedu?

21. 4. 2014
Doba čtení: 5 minut

Sdílet

V dnešním díle Postřehů se podíváme na novinky chyby Heartbleed, doporučené postupy u systémů postižených touto chybou, na několik malwarů pro platformu Android, ukázkový kód form grabbingu ve Firefoxu používaný bankovním malwarem, o prolomení čtečky otisku prstů Samsung Galaxy S5 a mnoho dalšího.

Trochu jsem v titulku zalhal, protože téma „Heartbleed“ je stále tím hlavním v oblasti bezpečnosti a pokud bych o něm nic nenapsal, tak by byl tento díl asi příliš krátký.

Nebudu zde popisovat co že to je za chybu a jaké mohou být následky, protože to jste museli číst snad už stokrát. Lze říci, že kolem této chyby v OpenSSL se strhla až hysterie a ví o ní i lidé, kteří by vás nikdy nenapadli. Pozitivem může být, že se o bezpečnost bude zajímat více lidí, ale šířit pochybnými médii zprávu ve smyslu, že všechny šifrovací klíče jsou kompromitované je holý nesmysl. Nechci nijak zlehčovat závažnost této chyby, kterou ještě zvyšuje jednoduchost útoku, ale hysterie ve smyslu ”všechny vaše účty, hesla, data a šifrovací klíče jsou zcizeny” nevede k ničemu a jen mate a děsí ostatní.

Shrnul bych tady však pár nových informací ze článků, které vyšly minulý týden.

OpenVPN zkompilované s postiženou verzí OpenSSL je možné napadnout pokud klienti používají klientské SSL VPN spojení. Se zprávou přišla společnost Mandiant a je tak prý možné použít aktivní spojení klientů a vydávat se za ně. Vícefaktorová autentizace je v tomto případě k ničemu, protože útočník vystupuje s validním session tokenem. Ve zprávě si můžete přečíst i doporučení pro nastavení IDS/IPS zařízení.

OpenVPN je asi nejrozšířenější open-source software pro vytváření/správu VPN spojení vůbec. Švédská společnost Mullvad byla schopna dostat se díky chybě Heartbleed i k privátním klíčům OpenVPN serveru.

Nmap scripting engine (NSE) má také script pro detekci heartbleed chyby na systémech. Stačí aktualizovat nmap s podporou NSE a spustit:

nmap -sV --script=ssl-heartbleed <target>

Postižena je i Tor síť. Vetší část serverů v síti Tor používala postiženou verzi OpenSSL a tak správci Tor sítě začali odklánět uživatele od těchto serverů, aby je ochránili, protože šifrování je alfou a omegou sítě Tor. V současně době už se jedná jen o deset procent.

Na blogu Googlu je seznam aktualizovaných systémů a služeb a časová osa podle které aktualizace probíhala, nebo teprve bude probíhat.

Podle společnosti Netcraft bylo chybou postiženo na půl milionu HTTPS serverů (přibližně 17 % z celkového počtu). Z toho jen 80 tisíc revokovalo svůj certifikát, takže zde stále potenciálně hrozí, že útočník může mít privátní klíč systémů, které jen aktualizovaly verzi OpenSSL. Tato společnost také vydala doplňky pro Chrome, Firefox a Operu umožňující zjistit zranitelnou verzi OpenSSL na právě prohlíženém webu.

Z mobilních platforem je postižen Android ve verzi 4.1.1, dále některá zařízení společnosti BlackBerry a iOS netrpí touto chybou vůbec.

Doporučený postup:

  • Aktualizace na poslední verzi OpenSSL

  • Revokování/zneplatnění aktuálního certifikátu

  • Generování nového privátního klíče

  • Generování nového SSL certifikátu

Samozřejmě to platí jen pro klíče, které byly v paměti serveru. Klíče uložené např. v HSM modulech tímto ohrožené nejsou.

Pokud vás toto téma ještě pořád zajímá, můžete se podívat ne detailní časovou osu od objevení chyby až do posledních zpráv. Věděli jste, že ji objevil člen Google security teamu Neel Mehta 21. března?

Naše postřehy

Čtečku otisků prstů na Samsungu Galaxy S5 lze jednoduše oklamat. Na Youtube si můžete pustit video názorně ukazující, že se nejedná o poplašnou zprávu. Stejným způsobem lze oklamat i iPhone 5S a pokud jste měli to štěstí navštívit konferenci Security Session 2014, tak, díky přednášce Michala Doležela – Falsifikace biometrické charakteristiky a detekce živosti, víte, z jakých všech materiálů je možné vlastní otisk pořídit a jakými způsoby lze čtečky všech typů oklamat. Video bude již brzy na kanálu konference. Mně se nejvíce líbili rozpuštění gumoví medvídci :).

Trojan-SMS.AndroidOS.Stealer.a je jednou z hlavních hrozeb platformy Android a cesta vede k autorům z Ruska. Jedná se ve zkratce o malware řízený z C&C serveru, který hledá v telefonu soukromé údaje, SMS, geolokační údaje a odesílá je zpět.

iBanking (Android/Spy.Agent.AF) je bankovní trojský kůň pro Android, který se tváří jako “Bezpečnostní aplikace” a pomocí injekce HTML kódu sbírá bankovní účty uživatelů a i aktivně provádí falešné platby, kdy je malware schopen číst verifikační kódy bank zasílané pomocí SMS, nebo přesměrovat hovory. V nové verzi se snaží podvrhnout i aplikaci pro Facebook a nabádá uživatele ke stažení.

K tomu bych chtěl jen dodat, že platforma Android ve mě stále nevzbuzuje důvěru. Schvalovací proces iOS aplikací není nic, čemu byste chtěli být vystaveni každý den, ale očividně to nějaký smysl má ve spojení s důkladným ověřováním aplikací. Nedávno jsem na půjčený tablet instaloval hru z oficiálního Play Storu a po prvním spuštění mi aplikace hlásila, že v systému “nalezla 13 virů”. To vzbuzuje všechno, jen ne důvěru. Pokud máte obavy, co všechno byste s sebou mohli v telefonu či tabletu nosit, stáhněte si raději aplikaci Mobile Security & Antivirus od společnosti Avast a proveďte úplný scan systému.

Kritický (jaký také jiný) update Javy obsahuje opravu pro celkem 104 chyb, z toho 37 bezpečnostních chyb. Čtyři chyby dosáhly CVSS (Common Vulnerability Scoring System) skóre 10 a 35 je vzdáleně zneužitelných.

První fáze analýzy kódu populárního šifrovacího programu TrueCrypt má dobré výsledky.

Form grabbing v prohlížeči Firefox, aneb jak pracuje bankovní malware. 100 řádků ukázkového kódu, který umožní kyberzločincům ukrást vaše peníze nebo mailové účty.

Ve zkratce

Pro pobavení

Expert ve firmě

bitcoin_skoleni

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Security Architect, šéfredaktor serveru Security-Portal.cz, spoluorganizátor konference Security Session a hlavní vývojář distribuce Securix GNU/Linux.