Bezpečnostní přehled: Princip útoku USBee

Pavel Houser , 05. září 2016 14:00 0 komentářů
Bezpečnostní přehled: Princip útoku USBee

Zranitelnosti, opravy a kompromitované služby tentokrát v množství větším než malém. Vyzařování z počítače umožňuje krást data i z izolovaného systému. Botnety z přepínačů a CCTV kamer. Ransomware napadající servery se obejde bez šifrování.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Jak dostat informaci z nepřipojeného počítače

Mordechai Guri a jeho kolegové z Ben-Gurion University v izraelském Negevu popsali metodu USBee. Jedná se o způsob, jak dostat data z izolovaného počítače nebo jiného zařízení, který není připojeno k Internetu, má vypnutou komunikaci wi-fi/bluetooth i mikrofony. Stačí ale, aby oběť k počítači připojila běžné zařízení USB (což má být hlavní inovace oproti minulosti, kdy využití stejného principu vyžadovalo speciální USB zařízení vytvořené útočníkem).

Malware pak převezme komunikaci se zařízením USB a generuje přitom speciální radiofrekvenční vyzařování, do nějž lze zakódovat informaci (tj. data, která chce útočník z izolovaného počítače ukrást). Příslušný počítač musí být samozřejmě infikován předem, to ale jde zase třeba pomocí pohozených USB klíčenek (tak se např. do izolovaných počítačů íránských systémů pro obohacování uranu měl dostat Stuxnet.). Výzkumníci přišli i s relativně jednoduchým a levným zařízením, které dokáže generovaný signál zachytit a interpretovat, cena příslušné antény je v řádu desítek dolarů.

Detekovat signál lze podle okolností asi až na 8 metrů, tedy dost např. pro útok ze sousedního hotelového pokoje. Na počátku „vysílání“ malware generuje speciální sekvenci, po ní následují vlastní data. Rychlost přenosu je 80 B/s, tj. spíše než třeba obsah disku by se tímto způsobem kradla hesla/ šifrovací klíče.

Jako jedno z možných opatření proti tomuto typu útoku se uvádí stínění zvlášť citlivých počítačů nebo jejich izolace – umístění veškerých jiných elektronických komponent v bezpečné vzdálenosti.

Demonstrace postupu na YouTube:

Kompromitované služby: Opera, Dropbox

Opera připustila, že kompromitovány byly servery používané pro službu Opera Sync. Uživatelům byla hesla resetována. Rizikem ale je, že útočníci se mohli dostat i k dalším heslům, které uživatelé měli uložené v rámci tohoto správce hesel. Společnost Opera Sofware ovšem nekonkretizovala, v jak přesně chráněné podobě byla hesla uložena, míra rizika (ve smyslu: mají by si lidé měnit i hesla na jiných službách) je proto nejistá. Opera Sync má asi 17 milionů aktivních uživatelů.

Ke změně hesel vyzval uživatele též Dropbox. Týká se to lidí, kteří si nezměnili přístupové údaje od roku 2012. Dropbox tvrdí, že to ovšem nesouvisí s bezpečnostními incidenty v letech 2012-2013 (kdy stejně hesla k Dropboxu měla být kradena z jiných služeb), jde prostě o standardní způsob pro zvýšení zabezpečení. Podle jiných tvrzení došlo v roce 2012 k úniku 68 milionů hesel uživatelů přímo ze služby Dropbox; tato hesla byla sice zašifrována (unikly hash verze), ale slabě, což Dropbox pak v důsledku incidentu změnil.

Zranitelnosti a opravy

Chrome verze 53.0.2785.89 opravuje řadu bezpečnostních chyb. Z 33 zalátaných zranitelností označuje Google 13 nejvyšší známkou závažnosti. 6 z nich se týká komponenty PDFium, tedy vlastní čtečky PDF Googlu, která je integrována do Chrome. Dále byla mj. opravena i kritická chyba v jádře prohlížeče Blink. Google tentokrát vyplatil bezpečnostním výzkumníkům 56 500 dolarů, přičemž ve 3 případech získali objevitelé zranitelností až 7 500 dolarů.

Opravy se dočkal i OpenOffice.org. Chyba (CVE-2016–1513) v programu Impress umožňovala spuštění kódu při otevření podvodného souboru. V LibreOffice byla zranitelnost zalátána již dříve.

Apple již dříve vydal opravy pro iOS, na něž se zaměřoval exploit kit Pegasus – o němž se předpokládá, že ho užívají i mnohé vlády/vládní agentury. Nyní byla vydána příslušná záplata i pro OS X (El Capitan, Yosemite) a Safari (desktopová i mobilní verze). Všechny tyto produkty Applu mezi sebou sdílejí kusy kódu, takže není překvapivé, že se jich týkaly i stejné zranitelnosti (v tomto případě jde o CVE-2016-4655, CVE-2016-4656 a CVE-2016-4657).

Cisco vydalo opravy pro přepínače Small Business 220 Series Smart Plus (firmware řady 1.0.0.17, 1.0.0.18 a 1.0.0.19), které jsou určeny pro segment SOHO. Zranitelnost ve zpracování protokolu SNMP jsou označeny za kritické; u zařízení, která jsou viditelná z Internetu/mají přístup vzdáleně přes webové rozhraní, může útočník získat vzdálený neautorizovaný přístup. Cisco nicméně dodává, že ve výchozím nastavení je příslušná funkcionalita vypnutá.

A nakonec, Adobe vydala záplaty pro ColdFusion ve verzích 10 a 11. Chyba ohrožuje servery, na nichž jsou spuštěny webové aplikace postavené na této platformě. Útočníci se mohou dostat k uloženému obsahu včetně hesel, v některých případech pak i nahrávat na server vlastní útočné kódy a plně ho ovládnout. Zranitelnost má povahu XML injection, tj. útočník předhodí aplikaci ke zpracování speciální kód/dokument. Na ColdFusion je dnes odhadem postaveno asi 30 milionů webových aplikací.

Ransomware možná i bez šifrování

Objevil se nový ransomware FairWare, který napadá především linuxové servery. Tedy: oběti nacházejí smazaný obsah, oznámení o ransomwaru a výzvu k zaplacení 2 bitcoinů do 2 týdnů. Je možné, že útočníci pouze mažou data, ke svým souborům se nikdo zatím znovu nedostal. Jak upozorňuje Lawrence Abrams z firmy Bleeping Computer, postup, kdy útočníci si kopírují data na svůj server a pak je mažou, by měl oproti klasickému ransomwaru výhodu, protože oběti nemohou spoléhat na to, že šifrování bude prolomeno. Navíc ani není třeba implementovat šifrovací technologii (poznámka: z řady důvodů má asi smysl takto stahovat data pouze z trvale připojených serverů, u běžných PC má tato metoda dost úskalí, v podnicích by např. byla ihned detekována anomálie síťového provozu apod.).

Medicínské implantáty a prodej nakrátko

Podle výzkumníků společnosti MedSec jsou zdravotnické implantáty (kardiostimulátory a defibrilátory) značky St Jude Medical pro pacienty rizikové, útočník je může zcela vyřadit zcela z provozu nebo vypnout/vybít baterii. Výrobce to popírá, navíc se oznámení MedSec spojilo s prodejem akcií St Jude Medical nakrátko (shortování). O zranitelnosti nebyl neinformován výrobce, ale rovnou média. Firma St Jude Medical tvrdí, že bezdrátově lze s implantáty komunikovat na vzdálenost asi 2 metry. Vybít tímto způsobem baterii opakovanými pokusy o spojení by vyžadovalo stovky hodin, během nichž by se pacient navíc musel stále nacházet v dosahu útočníka (nikam nechodil atd.).

CSIRT varuje/oznamuje

Překvapivě vysoký provoz na internetu stále vykazuje starý protokol telnet. Z analýzy sdružení CZ.NIC vyplývá, že situace je způsobena špatně zabezpečenými chytrými zařízeními.

Jedná se o analýzu dat z honeypotu, tj. analýzu pokusů o útok, kde bylo právě zjištěno vysoké zastoupení protokolu telnet. „Mnoho pokusů o útok pochází z vestavěných zařízení, jako jsou CCTV kamery, routery, atp. Tato zařízení jsou často snadnou kořistí, protože často tvoří „monokulturu“, kde má mnoho zařízení stejné vybavení a stejné zranitelnosti. Je velmi pravděpodobné, že nějaký útočník specificky cílí na některá z těchto zařízení s cílem vytvořit botnet. Dokonce se zdá, že v některých případech je již napadena významná část zařízení konkrétního typu,“ uvádí Bedřich Košata na blogu sdružení CZ.NIC.

Ze světa firem

Tým Talos společnosti Cisco objevil zranitelnosti v bezpečnostním řešení Kaspersky Internet Security Suite. Díky nim mohou útočníci provést útok vedoucí k lokálnímu odepření služby (denial of service), chyby mohou také způsobit únik dat z paměti zařízení, na kterém software běží. (Zdroj: tisková zpráva společnosti Cisco)

Velké podniky mají problém efektivně oslovit experty na bezpečnost IT. V případě narušení sítě pak ale v průměru zaplatí až třikrát více, než by byly náklady na zkušeného profesionála. Vyplývá to z nedávné studie Kaspersky Lab a B2B International, která byla provedena mezi více než čtyřmi tisíci podniky z 25 zemí světa včetně ČR. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Uvedeno bylo řešení Kaspersky Endpoint Security Cloud, zabezpečení formou služby, které je určené pro malé a střední podniky. Chráněnými zařízeními mohou být počítače s Windows, souborové servery a mobilní zařízení s Androidem nebo iOS. Centralizovaný panel pro správu umožňuje řídit bezpečnost až 1 000 zařízení a podle dodavatele nevyžaduje žádné speciální znalosti. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Za poslední dva roky narušení své IT bezpečnosti zaznamenalo 58 % evropských SMB podniků. Z těchto incidentů bylo 49 % způsobeno externím útokem, 37 % úmyslným jednáním zevnitř, 9 % krádeží či ztrátou fyzického zařízení a 5 % chybou zaměstnanců. Mezi klíčové potenciální hrozby vyplývající z aktuálních IT trendů respondenti mj. řadí IoT (71 %), cloudové služby (60 %), sociální média (59 %) a BYOD (59 %). (Zdroj: tisková zpráva společnosti GFI)

K dispozici je aktualizovaná verze sady EMC Data Protection Suite for VMware. Další představenou novinkou je rozšířená možnost ochrany v zařízeních VCE VxRail. (Zdroj: tisková zpráva společnosti EMC/VMware)

Společnost Intel představila sedmou generaci procesorů Intel Core. Vyšší úroveň bezpečnosti deklaruje Intel pro notebooky s kamerami podporujícími rozpoznávání obličeje Windows Hello. (Zdroj: tisková zpráva společnosti Intel)

Podle indexu hrozeb Check Pointu letos poprvé pokleslo množství typu/vzorků aktivního malwaru. Na vzestupu jsou zejména škodlivé kódy pro mobilní zařízení. Tři nejrozšířenější rodiny mobilního malwaru byly:

  • HummingBad: Malware se zaměřuje na zařízení na systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity včetně instalace keyloggeru.

  • Ztorg: Trojan, který využívá root oprávnění ke stažení a instalaci aplikací na mobilním telefonu bez vědomí uživatele.

  • XcodeGhost: Kompromitovaná verze vývojářské iOS platformy Xcode. Tato verze Xcode byla upravena pro vložení škodlivého kódu do jakékoli aplikace, která byla vyvinuta a vytvořena s její pomocí. Kód potom odešle informace o aplikaci na řídicí server, což umožňuje infikované aplikaci číst ze schránky zařízení.

(Zdroj: tisková zpráva společnosti Check Point Software Technologies)

Vědci z Fakulty elektrotechnické Českého vysokého učení technického v Praze založili výzkumné centrum Artificial Intelligence Center (AI Center). Jedním z témat řešených v rámci tohoto centra je i kybernetická bezpečností a ochrana kritických infrastruktur. (Zdroj: tisková zpráva Českého vysokého učení technického v Praze)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také: Bezpečnostní přehled: Ransomware je pro útočníky snadný


Komentáře

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






RSS 

Zprávičky

Vloni bylo pravidelně na internetu 77 % Čechů

ITBiz.cz , 28. březen 2017 17:00

V roce 2016 používalo internet 6,7 miliónu obyvatel České republiky starších 16 let, tj. 76,5 %. Ve ...

Více 0 komentářů

Microsoft v Evropě investoval do datových center tři miliardy USD

ČTK , 28. březen 2017 15:30

Americká softwarová firma Microsoft investovala v Evropě do datových center a další infrastruktury, ...

Více 0 komentářů

T-Mobile od dubna nabídne nové neomezené tarify s více daty

ČTK , 28. březen 2017 13:24

Mobilní operátor T-Mobile od 2. dubna nabídne novou řadu neomezených tarifů se zvýšeným objemem dat....

Více 0 komentářů

Starší zprávičky

XS3200: nové úložné systémy SAN pro firmy

Pavel Houser , 28. březen 2017 13:00

Nová řada společnosti QSAN nabízí až 26 hotswap pozic SFF 2,5“ v 2U rack skříni....

Více 0 komentářů

Co Češi objednávají nejčastěji online

ITBiz.cz , 28. březen 2017 11:00

Oblečení, kosmetika a knihy. To jsou tři nejpopulárnější druhy zboží, jak je na internetu nakupují ž...

Více 0 komentářů

Brněnští vývojáři Konica Minolta testují metodiku scrum

Pavel Houser , 28. březen 2017 08:00

Moderní metodiky očekávají vysokou míru automatizace, která začíná už při psaní kódu....

Více 0 komentářů

Do Prahy dnes poprvé přijede šéf Microsoftu Satya Nadella

ČTK , 28. březen 2017 07:00

Nadella do české metropole přijede poprvé v roli výkonného ředitele firmy. ...

Více 0 komentářů