Postřehy z bezpečnosti: výrobce vlaků blokoval opravy umělými chybami

11. 12. 2023
Doba čtení: 5 minut

Sdílet

 Autor: Eurotram na Wikipedii, podle licence: CC BY-SA 4.0
Pravidelná pondělní sonda do světa počítačové bezpečnosti nás tentokrát zavede do drážního provozu. Čekají nás vlaky, servery, routery a slevy. Všechny porouchané, zastaralé, zranitelné či falešné.

Nekalá konkurence

Legendární kazítko posunula na nevídanou úroveň polská společnost Newag. Jedná se o výrobce vlakových souprav Impuls 45WE, který se nedokázal smířit s tím, že vlaky vyrobil, ale na jejich údržbu si provozovatel vlaků vysoutěžil jinou firmu. Ta postupovala dle rozsáhlého manuálu výrobce: vlak rozebrala, nechala opravit díly a složila zpět. K velkému překvapení zúčastněných se ale vlak už nerozjel. Počítač tvrdil, že je vše v pořádku a vlak je připravený k jízdě, nicméně invertory nedodávaly do motorů napětí a nikdo netušil, proč.

Protože postupně přestávaly jezdit i další vlaky a nakonec už jich bylo nepojízdných šest z jedenácti, všimla si problému i média. Výrobce vlaků odmítal pomoci, a tak nakonec v zoufalství někdo ze servisní firmy zkusil vygooglit polské hackery a našel skupinu Dragon Sector, která byla požádána, aby se na problém podívala.

Po měsících analýz a reversního inženýrství tato skupina odhalila hned několik mechanismů znemožňujících vlakům pohyb. Pokud vlak strávil více než deset dnů na konkrétních GPS souřadnicích, které shodou okolností všechny směřovaly na dílny konkurence, pak se už nedal do pohybu. Podobně po výměně jedné z komponent, pokud došlo ke změně sériového čísla, bylo nutné v kabině strojvedoucího zmáčknout správnou kombinaci tlačítek. Pokud se tak nestalo, vlak se opět odmítal rozjet.

Že se jednalo o nedokumentovanou vlastnost, je nasnadě. V jednom případě pak byla porucha vlaku naplánovaná v souvislosti s jeho plánovanou údržbou na 21. listopadu 2021. K tomuto datu měl vlak začít vykazovat fiktivní vadu kompresoru. Shodou okolností se však tato podmínka k uvedenému datu nenaplnila, a protože programátor udělal chybu, aktivovala se o rok později, ačkoliv vlak v opravě nebyl. Zajímavé překvapení čekalo v jednom z vlaků i na hardwarové úrovni, kde bylo nalezeno zařízení, které pravděpodobně umožňovalo vzdálenou komunikaci s vlakem.

Zastaralé servery Microsoft Exchange

Na veřejném internetu jsou vystaveny desítky tisíc e-mailových serverů Microsoft Exchange, které jsou zranitelné vůči chybám umožňujícím vzdálené spouštění kódu. Tyto servery používají verze Exchange Server 2007, 2010 a 2013, které již nejsou podporovány a nedostávají žádné aktualizace. Hrozí tak zneužití zranitelností jako ProxyLogon, ProxyShell a ProxyToken k získání přístupu k serverům, spouštění škodlivého kódu nebo krádeži dat.

Podle výsledků skenování od The ShadowServer Foundation je na veřejném internetu dosažitelných téměř 20 000 serverů Microsoft Exchange, které dosáhly konce životnosti. Microsoft doporučuje prioritizovat instalaci aktualizací na serverech, které jsou dostupné z vnější sítě. V případě serverů, které dosáhly konce podpory, je jedinou možností aktualizovat na verzi, která stále dostává alespoň bezpečnostní aktualizace.

Zranitelné směrovače Sierra Wireless AirLink

Bylo zjištěno 21 bezpečnostních chyb ve směrovačích Sierra Wireless AirLink a open-source softwaru, jako jsou TinyXML a OpenNDS. Tyto zranitelnosti, známé jako Sierra:21, postihují více než 86 tisíc zařízení v klíčových odvětvích, včetně energetiky, zdravotnictví nebo maloobchodu. Většina postižených zařízení se nachází v USA, Kanadě, Austrálii, Francii a Thajsku.

Společnost Forescout Vedere Labs upozorňuje, že tyto bezpečnostní chyby mohou představovat vážné riziko umožňující útočníkům převzít kontrolu nad zařízením, vstoupit do kritických sítí, získat přístup k citlivým údajům nebo provést DDoS útok na zranitelné zařízení. Forescout zdůrazňuje nutnost aktualizovat postižená zařízení, zejména pokud jsou součástí kritické infrastruktury.

Kdo je nejčastěji obětí sociálního inženýrství?

Útoky iniciované sociálním inženýrstvím jsou činnosti, jejichž cílem je zneužít lidskou chybu nebo neopatrné chování k získání přístupu k informacím nebo službám. Využívá se k tomu celá řada technik počínaje phishingem přes kompromitaci obchodních e-mailů až po fyzické kontaktování.

Největší intenzity dosáhly útoky v květnu 2023, kdy jejich počet dosáhl zhruba pětinásobku průměrné hodnoty druhé poloviny loňského roku, jak ukázala studie, kterou uveřejnila firma Atlas VPN ve spolupráci s agenturou European Union Agency for Cybersecurity (ENISA).

Jsou Black Friday a Cyber Monday pouze přetvářky?

Výzkum společnosti Netcraft zjistil, že na konci října 2023 vzrostl počet falešných obchodů o 135 %. To je o 63 % více než v říjnu loňského roku, což znamená, že meziroční nárůst se více než zdvojnásobil ve srovnání s již alarmujícím nárůstem v říjnu předchozího roku.

Falešné internetové obchody, které tvrdí, že nabízejí zboží s vysokými slevami, se buď vydávají za webové stránky luxusních značek, nebo za stránky známých prodejců. Tyto stránky jsou často zástěrkou pro získání platebních údajů (a dalších citlivých informací). Údaje, které kupující poskytnou, mohou být použity přímo, nebo prodány dalším kyberzločincům. V takovém případě, pokud je zboží doručeno, což se obvykle nestane, je zboží s největší pravděpodobností padělané.

Proxy Trojan pro uživatele macOS

Výzkumníci z Kaspersky identifikovali malware sloužící jako proxy trojan, který cílí na uživatele macOS. Tento malware můžou útočníci využít k různým DDoS útokům či obecně využít jako přístup do další sítě a maskovat se za počítač oběti. To může mít pro oběť i nepříjemné právní následky.

Komunikace s řídicím serverem probíhá přes DNS-over-HTTPS (DoH), čímž malware obchází některé dostupné metody detekce. Jak tedy dochází k prvotní infekci? Naprosto nepřekvapivě instalací pirátských verzí různých softwarových balíků.

Kdyby se cloud zbláznil, za jak dlouho mě crackne?

Vrátíme se k letošnímu článku od HiveSystems, kde popisují svou barevnou Hive Systems Password Table. Ta ukazuje, jak dlouhé heslo je ještě příliš krátké. Kromě standardních GPU do výpočtů zahrnuli nejprve pronajatý cloud. Potom si položili otázku, o kolik by se crackování hesel zrychlilo, kdyby na ně použili veškerý hardware, který má k dispozici ChatGPT.

Sice použili pouze odhadovaná data, protože opravdový test by stál astronomickou sumu peněz, i tak v něm ale úspěšně drtí i hesla o 13 znacích. Použili sice dávno zavržený hashovací algoritmus MD5, který se opravdu nemá používat, ale argumentují tím, že údaje z průlomů hesel ukazují, že tvůrci různých stránek a diskusních fór MD5 ještě stále nezavrhli.

bitcoin_skoleni

Připomínají průlom LastPassu, kdy uniklo 30 miliónů hesel. O průlomech slyšíme často, tohle je však přece jen větší sousto. Zajímavé na tom je, že hesla stále nevyplavala na povrch, ač je útočníci už přes rok mají.

Ve zkratce

Pro pobavení

Upřímnost nadevše

Autor: TB4A.com

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.