Všichni velcí hráči na poli internetových prohlížečů (Firefox, Chrome, IE, Safari) byli opět pokořeni na soutěži Pwn2Own konané ve Vancouveru. Hvězdou této soutěže byl Jung Hoon Lee („lokihardt“), který pracoval sám a odnesl si za nalezené chyby 110 tisíc dolarů. Jeho prezentace měla jen dvě minuty, a tak si (obrazně řečeno) vydělával 916 dolarů za vteřinu. To byl ale jen druhý den soutěže a šlo o chybu v prohlížeči Chrome. V ten první ještě nalezl chybu v Internet Exploreru a Safari, takže si celkem odnesl 225 tisíc dolarů.
I když se prohlížeče jako Chrome a Firefox dají považovat za prakticky nejbezpečnější masově používaný software, kde se opravdu dbá na bezpečné psaní kódu, tak nám soutěže jako tato dokazují, že stále je co vylepšovat a že žádný software není bez chyb. Také to dokazuje, že na trhu bude vždy k mání 0day chyba na prodej a ten, kdo bude mít dostatek financí, si vždy najde cestu k vašim datům.
Naše postřehy
Jeden z modulů (nls_933w.dll) používaný APT skupinou Equation je velice sofistikovaný kód umožňující přepsat firmware disku a tím pádem si tak zajistit doživotní persistenci v systému. Netřeba zmiňovat, že odhalit upravený firmware dokáže jen několik desítek lidí na světě, protože se jedná o velice specifické zaměření. Na konferenci CanSecWest dva výzkumníci představili kód, který je schopen sám nalézt chyby v implementacích ochran BIOSu a přepsat ho vlastním kódem. Vloží svého agenta do System Management módu, o který se stará firmware a operační systém ho vůbec nevidí. V rámci prezentace (kterou nemohu nikde najít), mají spustit oblíbený OS Edwarda Snowdena (Tails) z USB a vyexportovat obsah paměti (tj. PGP klíče apod.). Infikování počítače trvá okolo dvou minut. Velice znepokojující.
Výzkumníci společnosti Cisco zveřejnili detaily o novém PoS (Point-of-Sale) malwaru, který nazvali PoSeidon. Malware je persistentní, skrývá se v systému, dokáže se aktualizovat a hledá v paměti údaje o bankovních kartách, které pak ještě ověří Luhnovým algoritmem. Na blogu Cisca je pak také ID pravidla pro Snort umožňující detekci tohoto malwaru v síti. Pokud jste to nezaznamenali, tak před dvěma roky Cisco koupilo Sourcefire (tvůrce Snortu) a jejich produkty jsou nyní stěžejní nabídkou bezpečnostních řešení.
Google Chrome na OS X obsahuje chybu, díky které je možné shodit okno prohlížeče, pokud se na stránce objeví konkrétní, třináct znaků dlouhé slovo, které zřejmě pochází z Asýrie. Opravdu unikátní chyba.
Jen pro zajímavost, nově některé malwary ukryté v makrech čekají na to, až bude uživatel chtít zavřít daný dokument. Spustí se tak event AutoClose a až ten obsahuje škodlivý kód. Daří se tím podle všeho zmást některé antiviry.
Výzkumníci na konferenci CHI zveřejní data z měření mozku pomocí magnetické rezonance (MRI) ukazující, že uživatelé počítačů víceméně ignorují opakovaná varovná hlášení systému či problému s SSL certifikáty a jen 14 % rozezná změnu obsahu varovné zprávy. Dle mého skromného názoru je to způsobené také tím, že především produkty Microsoftu, staré Nokie a některé další masově používané aplikace vyžadovaly potvrzení téměř každé akce, a tak si uživatelé spojují varovná hlášení s něčím, co je jen obtěžuje nebo zdržuje.
Nová chyba OpenSSL (CVE-2015–0291) umožňuje DoS útok cílového serveru pomocí renegociace spojení s použitím nevalidních algoritmů pro podpis zpráv. Chyba se týká OpenSSL 1.0.2, oprava je dostupná ve verzi 1.0.2a. Ve stejné zprávě se také překlasifikovala závažnost FREAK chyby z low na high. Důvodem pro nízkou závažnost byla domněnka, že na straně serverů není šifrovací sada příliš podporovaná, což se však ukázalo mylným.
Zločinci začali instalovat skimmovací zařízení, které je schopné zkopírovat údaje na vaší kartě, i do dveří, které většinou jen umožní vstup do prostoru s bankomatem. Nevkládejte tedy kartu do čteček, které vám přijdou podezřelé,a především si dávejte neustálý pozor na vaše bezkontaktní karty, u kterých ani není třeba je někam vkládat. Případně si všijte alobal do peněženky :)
Byla spuštěna registrace na konferenci Security Session 2015, která se koná 11.4. (Sobota) v Brně. Máme pro vás nové přednášející, nové workshopy a určitě spoustu zajímavých témat.
Ve zkratce
- Policista NYPD si zřídil vzdálený přístup ke chráněným počítačům
- Aktualizace Drupalu opravuje chybu umožnující neoprávněnou změnu hesla
- ČVUT na dopravní fakultě rozšíří výuku o kybernetickou bezpečnost
- Devět největších hrozeb pro příští dva roky
- Cracking WPA2 pomocí Amazon cloudu
- Přes Facebook Messenger bude moci posílat peníze
- Základy bezpečnosti GSM
- Windows 10 bude podporovat biometrické přihlášení
Do vašich čteček
Surreptitiously Weakening Cryptographic Systems – Bruce Schneier, Matthew Fredrikson, Tadayoshi Kohno, a Thomas Ristenpart (informace)
Pro pobavení
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.