sobota 21. prosince 2013

NSA zaplatila 10 milionů dolarů za oslabení šifrovacího algoritmu RSA

Za tuto částku byl v některých aplikacích jako výchozí použit generátor náhodných čísel Dual_EC_DRBG obsahující backdoor.

O tom, že NSA vytvořila vadný algoritmus pro generování náhodných čísel, se vědělo již od září, kdy tuto informaci zveřejnil list New York Times. V Reuters zprávu doplnili a tvrdí, že hlavním distributorem toho chybného algoritmu byla společnost RSA, která ho používala jako výchozí například v softwarovém nástroji Bsafe.

Ovšem až nyní vyplavalo na povrch, že RSA za používání generátoru Dual_EC_DRBG obdržela 10 000 000$. Někomu se částka může zdát směšná, je ale potřeba si uvědomit, že částka představuje více než třetinu ročního přijmu této divize.

Zveřejnění spolupráce mezi RSA a NSA bylo pro bezpečnostní odborníky opravdu šokující, jelikož RSA vždy prosazovala soukromí a bezpečnost a v minulosti měla vedoucí úlohu v boji proti NSA, která navrhovala povinné použití speciálních čipů umožňujících odposlech rozličných počítačových a komunikačních prostředků.

RSA, nyní dceřiná společnosti EMC Corporation, po zveřejnění vyzvala zákazníky, aby přestali vadný algoritmus používat.

čtvrtek 5. prosince 2013

Policie ČR nachává vyřazovat domény ze zóny

K vyřazení domény nebylo potřeba rozhodnutí soudu, stačil souhlas státního zástupce.

Včera bylo ze zóny .cz vyřazeno doménové jméno Growshopu greenhome.cz. Podle aktuality, která se objevila na abclinuxu, doménu vyřadil správce české domény CZ.NIC na základě rozhodnutí Police ČR, které bylo vydáno dle ustanovení § 79e zákona č. 141/1961 Sb., trestní řádu.

Toto ustanovení se týká "Zajištění jiné majetkové hodnoty". Důležitá je hned první věta, která říká:

Nasvědčují-li zjištěné skutečnosti tomu, že jiná majetková hodnota, než která je uvedena v § 78 až 79d, je určena ke spáchání trestného činu nebo k jeho spáchání byla užita, nebo je výnosem z trestné činnosti, může předseda senátu a v přípravném řízení státní zástupce nebo policejní orgán rozhodnout o zajištění takové majetkové hodnoty. Policejní orgán k takovému rozhodnutí potřebuje předchozí souhlas státního zástupce.

Ve zkratce to znamená, že k zabavení domény Policii stačí pouze podezření, že byla použita k nějaké trestné činnosti, a rozhodnutí státního zástupce.

středa 4. prosince 2013

Falešné varování od MasterCard přináší malware

Znepokojující e-mail přišel do schránek několika tisíců uživatelů po celém světě.

Před Vánoci objevilo několik tisíc uživatelů znepokojující zprávu o tom, že jejich debitní karta byla dočasně zablokována. E-mail je po řemeslné stránce velmi dobře zpracován.

MasterCard phishing

Zjistili jsme neobvyklou aktivitu na Vašem debitním účtu. Z bezpečnostních důvodů byla karta dočasně zablokována. Pro odblokování vyplňte dokument v příloze a zašlete ho zpět na tuto adresu.

Příloha MasterCard_D77559FFA7.zip obsahuje variantu Trojanu Fareit, který se specializuje na krádeže soukromých dat a přihlašovacích údajů z prohlížečů a FTP klientů.

Malware je podle VirusTotal schopno detekovat pouze asi polovina antivirových řešení.

Po 20 let bylo heslo k odpálení amerických jaderných bomb 00000000

Vedení americké armády si tak chtělo zajistit možnost odpálení jaderných zbraní bez souhlasu prezidenta.

Kódy, známé pod zkratkou PAL, měly zabránit použití jaderných zbraní - a zejména jaderných zbraní pod společnou kontrolou zemí NATO - bez souhlasu prezidenta USA. Potřeba takové kontroly se objevila během tzv. kyperské krize, která probíhala v letech 1963-1964, kdy vyšlo najevo, že členské státy NATO Kypr a Turecko se pokusily použít společné jaderné zbraně jeden proti druhému.

Opatření zavedl tehdejší prezident USA J. F. Kennedy. Naneštěstí pro něj (a možná i pro celý svět) se armádním generálům nelíbilo, že by přišli o možnost odpálit mezikontinentální balistické střely typu Minuteman s jadernými hlavicemi prakticky podle vlastního uvážení, a tak sice nechali u všech sil zavést systém PAL, ale za heslo zvolili 8 nul.

Na řídícím serveru botnetu Pony bylo nalezeno přes 2 miliony kradených hesel

Uživatelská jména a hesla patří uživatelům služeb jako je Facebook, Twitter, Yahoo, Google, LinkedIn nebo třeba ADP.

Výzkumníkům ze SpiderLabs se podařilo dostat k serveru botnetu díky uniklým zdrojovým kódům. Nakonec se neprokázalo, že by se C&C server nacházel na území Nizozemska. Zde se nachází pouze proxy server, který útočník využívá pro skrytí své skutečné pozice.

botnet Pony - Logo

Hlavní činností botnetu Pony je krádež přihlašovacích údajů k čemukoliv, do čeho je potřeba se přihlašovat. A nutno říci, že se mu to daří velmi dobře. Podle informací od bezpečnostních odborníků ze SpiderLabs se na serveru nacházelo:

  • ~ 1580000 přihlašovacích údajů k webovým stránkám.
  • ~ 320000 přihlašovacích údajů k e-mailovým účtům.
  • ~ 41000 přihlašovacích údajů k FTP.
  • ~ 3000 přihlašovacích údajů ke správě vzdálené plochy.
  • ~ 3000 přihlašovacích údajů k SSH.

Zapomněl jsem zmínit, že malware funguje jako keylogger, který si "rozumí" s Firefoxem, Operou, Chromem, IE, Outlookem, Windows Mailem, rozličnými druhy FTP klientů a podobnými druhy aplikací.

úterý 3. prosince 2013

Potvrzeno: počítače opravdu mohou komunikovat pomocí reproduktorů a mikrofonu

Potvrdili to vědci z Fraunhofer Institute svým nejnovějším výzkumem.

To, o čem se v posledních dnech horlivě debatovalo a o čem se vedly mezi bezpečnostními odborníky boje takřka na život a na smrt, se stalo skutečností. Počítače spolu opravdu mohou komunikovat pouze pomocí reproduktoru a mikrofonu.

Potvrdila se tak slova v současné době lehce kontroverzního bezpečnostního odborníka Dragose Ruii, který se o tomto způsobu komunikace poprvé zmínil v souvislosti s malwarem nazvaným BadBios, který určitě není potřeba více představovat.

Vědcům se podařilo přenést data pomocí člověkem neslyšitelných vysokofrekvenčních zvukových vln na vzdálenost téměř 20 metrů. Pro svůj prototyp malwaru využili software původně určený pro tvorbu akustických signálů pro přenášení dat pod vodou.

Trochu limitující byla v tomto případě rychlost přenosu, výzkumníkům se podařilo z běžného počítače dostat maximálně 20 bitů za sekundu. Z toho vyplývá, že tímto způsobem nelze přenášet příliš velké množství dat, ovšem rychlost je dostatečná pro výměnu informací s nějakým C&C centrem.

Je tak dost dobře možné, že se v bodoucnu v kritických provozech setkáme s rušičkami vysokofrekvenčních signálů nebo s podobnými zařízeními. Zároveň se jedná také argument mluvící pro existenci BadBiosu. Uvidíme, co přinesou další dny.

Objevila se nová implementace Toru

Nová implementace se jmenuje Orchid a je napsaná v Javě.

Orchid může fungovat buď jako Tor klient, tedy jako SOCKS5 proxy, přes kterou směřujeme náš provoz, nebo jako knihovna připravená na použití v našich aplikacích. To je také důvod, proč byl Orchid vlastně vytvořen.

První aplikace se zabudovanou podporou Toru je Martus od společnosti Benetech.

Pod původním oznámením se rozjela zajímavá diskuze. Uživatelé například předpovídají, že knihovna bude často zneužívána různými druhy malwaru, přemítají o bezpečnosti Javy a ptají se sami sebe, proč vytvářet nové implementace, když jedna funguje poměrně dobře.

Pro fungování knihovny je potřeba Java 5+ nebo zařízení s Androidem. Orchid byl publikován pod licencí BSD a zdrojové kódy lze stáhnout z GitHubu.

Byla objevena bezpečnostní chyba v Seznamu

Chyba umožňuje útočníkovi odposlech hesla v nešifrované podobě.

Slabina byla objevena ve formuláři určeném pro registraci i v tom pro změnu hesla. Problém tkví ve způsobu, jak Seznam ověřuje sílu uživatelova hesla. Síla je totiž ověřována na straně serveru, kam se přenáší pomocí AJAXu a v nešifrované podobě.

Seznam.cz Vulnerability

Heslo je díky tomu snadno odposlechnutelné. Pokud se nám podáří stát se prostředníkem mezi uživatelem a serverem, je doba nutná k tomu, abychom naši obět donutili ke změně hesla, opravdu krátká.

Další, spíše filosofická otázka je, jestli jsou všechny takovéto dotazy logovány, jak se to obyčejně s GET dotazy děje.

pondělí 2. prosince 2013

Islandská pobočka společnosti Vodafone napadena hacktivisty

Unikly osobní informace asi 77 000 uživatelů, SMS zprávy a informace o zaměstnancích. Vodafone.is i všechny subdomény byly pozměněny.

Žádné techničtější detaily se mi bohužel nepodařilo zjistit. S ohledem na uniklé databázové soubory by mohlo jít o SQL Injection, ovšem jedná se pouze o spekulaci a je možné, že byl útok mnohem sofistikovanější.

Vodafone Iceland hacked

Za útokem stojí skupina tureckých hackerů vystupujících pod jménem Agent Hacker Group (@AgentCoOfficial). Důvodem k napadení Vodafonu byla snaha o protest proti praktikám NSA.

Zajímavé je, že doména je i v současné chvíli (tedy více než den po útoku) nedostupná.

neděle 1. prosince 2013

Telefony Google Nexus jsou náchylné na DoS útoky způsobené speciální SMS

Útočník může donutit telefon k restartu, způsobit zamrznutí nebo odpojit telefon od sítě.

Zranitelnost objevil Bogdan Alecu ze společnosti Levi9, který tvrdí, že v ohrožení jsou všechny přístroje poháněné Androidem 4.x, tedy Google Galaxy Nexus, Nexus 4 a Nexus 5.

Problém tkví v tom, jak zařízení nakládá se speciálním typem SMS zpráv, které jsou označované jako Flash SMS nebo 0 Class SMS.

Při testování různých druhů zpráv jsem si všiml, že při zaslání 0 Class SMS je pod oknem vykreslována další vrstva, která způsobuje, že je pozadí tmavší. Hned poté jsem se sám sebe zeptal: "Co se asi stane, když pošlu víc takových zpráv, bude pozadí pokaždé černat? Pokud ano, nemohlo by to způsobit přetížení paměti?". Odpověď na obě otázky je ANO, už 30 takových zpráv způsobí velice podivné chování.

Ke schození telefonu stačí zaslat přibližně 30 takových zpráv.

Alecu říká, že problém objevil už více než před rokem. Nejdříve se pokusil kontaktovat Google, který slibil, že oprava přijde s Androidem 4.3. Bohužel se tak nestalo a Bogdan Alecu se rozhodl zranitelnost prezentovat na letošní DefCamp konferenci, která se uskutečnila v Bukurešti. Společnost Google po zveřejnění oznámila, že celý případ v současnosti vyšetřuje. Pro ty, co nechtějí čekat na to, až s tím Google něco udělá, existuje aplice Class0Firewall app.

V populární WordPressové šabloně OptimizePress byla objevena kritická zranitelnost

V nebezpečí je tak tísíce stránek používajících tuto šablonu.

Zranitelnost se nachází v souboru wp-content/themes/OptimizePress/lib/admin/media-upload.php. Stránka umožňuje útočníkovi nahrát na server soubor jakéhokoliv typu. Po nahrání se soubor uloží do složky /wp-content/uploads/optpress/images_comingsoon/, která ještě ke všemu neobsahuje žádný soubor .htaccess ani index.php, takže při špatně nastavených pravidlech na serveru je možné procházet obsah složky.

OptimizePress vulnerability
Originální oznámení zranitelnosti

Exploit je velice jednoduchý a v současné době hojně využívaný. To potvrdil také můj rychlý průzkum, kdy jsem pomocí jednoduchého hledání zjistil více než 150 nakažených stránek. Mezi napadenými stránkami jsou i české a slovenské servery.