Postřehy z bezpečnosti: vždyť tam byla ta zelená ikonka

13. 3. 2017
Doba čtení: 3 minuty

Sdílet

V dnešním díle Postřehů se podíváme na trable s certifikáty, na útok BiTerrant týkající se torrent souborů, na malware DNSMessenger nebo na nový zákon připravovaný v USA, který má umožnit obětem hackerského útoku zaútočit zpět.

Jedno z ožehavých témat současnosti je, zda má certifikační autorita ověřovat, že doména žádající o certifikát není určena k phishingu nebo jiným škodlivým aktivitám. Přestože je posuzování náročné (spolupráce s blacklisty, ruční ověřování), nemusí být spolehlivé. Například už jen proto, že po vydání certifikátu, nebrání nic útočníkovi zcela vyměnit obsah stránky. Projekt Let's Encrypt, který rozvířil šifrovací vody a udělal z HTTPS slovo, které nestojí tisíce korun, domény neprohlíží a vydává certifikát každému. Kontrolu nechává službám jako Google Safe Browsing a Microsoft’s SmartScreen.

Čtěte: Budou mít všechny phishingové weby platný certifikát?

Na webu thesslstore.com vyšel nyní otevřený dopis určený certifikační autoritě Let’s Encrypt: Chápeme, že je ruční posuzování domén náročné, nežádáme o to, pouze nevydávejte certifikáty pro domény obsahující slovo „PayPal”!

Útočníci si totiž všimli, že vzhledem k dřívější výjimečné dostupnosti certifikátů si uživatelé zvykli ztotožňovat ikonku Secure HTTPS s pocitem bezpečí a důvěry. Počínaje listopadem se raketově roztrhl pytel se žádostmi certifikátů pro domény obsahující „PayPal". Již je jich téměř tisíc.


https://www.thesslstore.com/

Web thesslstore.com si je vědom, že zamítat „PayPal" domény není systémové řešení phishingu, ale na rozdíl od ostatních velkých značek by se téměř vždy jednalo o trefu do černého. Zatímco např. domény SEO společností obsahují řetězec „Google“ a mnoho domén obsahuje obecné slovo „Apple“, doména s „PayPal“ bude téměř jistě phishingová.

V CSIRT.CZ teď také řešíme s jednou z českých bank phishingovou stránku, která využívá záměnu písmen „i“ a „l“ v doménovém jménu a má vystaven certifikát od Let’s Encrypt. Problém se tedy týká v podstatě všech. Je načase začít uživatelům vysvětlovat, že zelená ikonka zámku v prohlížeči neznamená, že můžou veškerou obezřetnost hodit za hlavu.

Naše postřehy

Zařízení z rodiny Western Digital My Cloud obsahují koktejl zranitelností, jejichž zneužitím může útočník zařízení kompletně kompromitovat a získat tak uložená data nebo zařízení použít pro další útoky uvnitř LAN. Identifikované zranitelnosti jsou konkrétně Unauthenticated Arbitrary File Upload, CSRF a Unauthenticated OS Command Injection.

O kolizích SHA-1 jste se dočetli už v minulých dílech Postřehů. Týká se to i protokolu BitTorrent. Kolize umožňují vytvořit rozdílné verze jednoho torrentu. V .torrent souboru jsou SHA-1 hashe jednotlivých bloků souborů. V útoku nazvaném BitErrant se výzkumníkům podařilo vytvořit 2 spustitelné soubory se stejnými SHA-1 sumami jednotlivých bloků, přižemž jedna verze je neškodná, a druhá spouští Meterpreter, který naslouchá na všech síťových rozhraních. Oba soubory obsahují zašifrovaný škodlivý kód. Kód se spustí, jen pokud stažený soubor obsahuje „správný" SHATTERED blok, který aktivuje dešifrování a spuštění škodlivého kódu. Obranou je kontrola hashe staženého souboru. Otázkou je, kolik stránek s torrenty uvádí kontrolní hashe.

Za velkou louží se řeší návrh zákona nazvaného „Active Cyber Defense Certainty", který má umožnit v určité omezené míře obětem hackerského útoku provést „protiútok”. Pokud bude zákon schválen, budou mít napadení právo proniknout do počítače „útočníka”, ale pouze za účelem získání informací o útočníkovi a jejich předání příslušným orgánům nebo za účelem narušení aktivit útočníka, namířených proti systémům oběti. Celá věc samozřejmě vzbuzuje spoustu otázek, které jsou rozebírány v odkazovaném článku.

Je obecně známo, že záporňáci jsou velice vynalézaví a kreativní, což se potvrdilo také v případě nového malwaru nazvaného DNSMessenger, který v nedávné době analyzovali výzkumníci společnosti Cisco. Malware samotný je šířen pomocí infikovaného Word dokumentu a v několika fázích spustí obsažený PowerShell skript, otestuje některá systémová nastavení, zajistí si persistenci i po restartu počítače a nakonec naváže komunikaci s C&C serverem. Právě tato komunikace zde stojí za zmínku, protože probíhá pomocí DNS TXT dotazů, což dělá malware velice obtížně detekovatelný. Další detaily odhaluje blogový příspěvek analytiků z Cisco.

bitcoin školení listopad 24

Ve zkratce

Pro pobavení


Jiný úhel pohledu…


http://www.lolwot.com/

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.