Bezpečnostní přehled: Princip útoku USBee

Pavel Houser , 05. září 2016 14:00 0 komentářů
Bezpečnostní přehled: Princip útoku USBee

Zranitelnosti, opravy a kompromitované služby tentokrát v množství větším než malém. Vyzařování z počítače umožňuje krást data i z izolovaného systému. Botnety z přepínačů a CCTV kamer. Ransomware napadající servery se obejde bez šifrování.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Jak dostat informaci z nepřipojeného počítače

Mordechai Guri a jeho kolegové z Ben-Gurion University v izraelském Negevu popsali metodu USBee. Jedná se o způsob, jak dostat data z izolovaného počítače nebo jiného zařízení, který není připojeno k Internetu, má vypnutou komunikaci wi-fi/bluetooth i mikrofony. Stačí ale, aby oběť k počítači připojila běžné zařízení USB (což má být hlavní inovace oproti minulosti, kdy využití stejného principu vyžadovalo speciální USB zařízení vytvořené útočníkem).

Malware pak převezme komunikaci se zařízením USB a generuje přitom speciální radiofrekvenční vyzařování, do nějž lze zakódovat informaci (tj. data, která chce útočník z izolovaného počítače ukrást). Příslušný počítač musí být samozřejmě infikován předem, to ale jde zase třeba pomocí pohozených USB klíčenek (tak se např. do izolovaných počítačů íránských systémů pro obohacování uranu měl dostat Stuxnet.). Výzkumníci přišli i s relativně jednoduchým a levným zařízením, které dokáže generovaný signál zachytit a interpretovat, cena příslušné antény je v řádu desítek dolarů.

Detekovat signál lze podle okolností asi až na 8 metrů, tedy dost např. pro útok ze sousedního hotelového pokoje. Na počátku „vysílání“ malware generuje speciální sekvenci, po ní následují vlastní data. Rychlost přenosu je 80 B/s, tj. spíše než třeba obsah disku by se tímto způsobem kradla hesla/ šifrovací klíče.

Jako jedno z možných opatření proti tomuto typu útoku se uvádí stínění zvlášť citlivých počítačů nebo jejich izolace – umístění veškerých jiných elektronických komponent v bezpečné vzdálenosti.

Demonstrace postupu na YouTube:

Kompromitované služby: Opera, Dropbox

Opera připustila, že kompromitovány byly servery používané pro službu Opera Sync. Uživatelům byla hesla resetována. Rizikem ale je, že útočníci se mohli dostat i k dalším heslům, které uživatelé měli uložené v rámci tohoto správce hesel. Společnost Opera Sofware ovšem nekonkretizovala, v jak přesně chráněné podobě byla hesla uložena, míra rizika (ve smyslu: mají by si lidé měnit i hesla na jiných službách) je proto nejistá. Opera Sync má asi 17 milionů aktivních uživatelů.

Ke změně hesel vyzval uživatele též Dropbox. Týká se to lidí, kteří si nezměnili přístupové údaje od roku 2012. Dropbox tvrdí, že to ovšem nesouvisí s bezpečnostními incidenty v letech 2012-2013 (kdy stejně hesla k Dropboxu měla být kradena z jiných služeb), jde prostě o standardní způsob pro zvýšení zabezpečení. Podle jiných tvrzení došlo v roce 2012 k úniku 68 milionů hesel uživatelů přímo ze služby Dropbox; tato hesla byla sice zašifrována (unikly hash verze), ale slabě, což Dropbox pak v důsledku incidentu změnil.

Zranitelnosti a opravy

Chrome verze 53.0.2785.89 opravuje řadu bezpečnostních chyb. Z 33 zalátaných zranitelností označuje Google 13 nejvyšší známkou závažnosti. 6 z nich se týká komponenty PDFium, tedy vlastní čtečky PDF Googlu, která je integrována do Chrome. Dále byla mj. opravena i kritická chyba v jádře prohlížeče Blink. Google tentokrát vyplatil bezpečnostním výzkumníkům 56 500 dolarů, přičemž ve 3 případech získali objevitelé zranitelností až 7 500 dolarů.

Opravy se dočkal i OpenOffice.org. Chyba (CVE-2016–1513) v programu Impress umožňovala spuštění kódu při otevření podvodného souboru. V LibreOffice byla zranitelnost zalátána již dříve.

Apple již dříve vydal opravy pro iOS, na něž se zaměřoval exploit kit Pegasus – o němž se předpokládá, že ho užívají i mnohé vlády/vládní agentury. Nyní byla vydána příslušná záplata i pro OS X (El Capitan, Yosemite) a Safari (desktopová i mobilní verze). Všechny tyto produkty Applu mezi sebou sdílejí kusy kódu, takže není překvapivé, že se jich týkaly i stejné zranitelnosti (v tomto případě jde o CVE-2016-4655, CVE-2016-4656 a CVE-2016-4657).

Cisco vydalo opravy pro přepínače Small Business 220 Series Smart Plus (firmware řady 1.0.0.17, 1.0.0.18 a 1.0.0.19), které jsou určeny pro segment SOHO. Zranitelnost ve zpracování protokolu SNMP jsou označeny za kritické; u zařízení, která jsou viditelná z Internetu/mají přístup vzdáleně přes webové rozhraní, může útočník získat vzdálený neautorizovaný přístup. Cisco nicméně dodává, že ve výchozím nastavení je příslušná funkcionalita vypnutá.

A nakonec, Adobe vydala záplaty pro ColdFusion ve verzích 10 a 11. Chyba ohrožuje servery, na nichž jsou spuštěny webové aplikace postavené na této platformě. Útočníci se mohou dostat k uloženému obsahu včetně hesel, v některých případech pak i nahrávat na server vlastní útočné kódy a plně ho ovládnout. Zranitelnost má povahu XML injection, tj. útočník předhodí aplikaci ke zpracování speciální kód/dokument. Na ColdFusion je dnes odhadem postaveno asi 30 milionů webových aplikací.

Ransomware možná i bez šifrování

Objevil se nový ransomware FairWare, který napadá především linuxové servery. Tedy: oběti nacházejí smazaný obsah, oznámení o ransomwaru a výzvu k zaplacení 2 bitcoinů do 2 týdnů. Je možné, že útočníci pouze mažou data, ke svým souborům se nikdo zatím znovu nedostal. Jak upozorňuje Lawrence Abrams z firmy Bleeping Computer, postup, kdy útočníci si kopírují data na svůj server a pak je mažou, by měl oproti klasickému ransomwaru výhodu, protože oběti nemohou spoléhat na to, že šifrování bude prolomeno. Navíc ani není třeba implementovat šifrovací technologii (poznámka: z řady důvodů má asi smysl takto stahovat data pouze z trvale připojených serverů, u běžných PC má tato metoda dost úskalí, v podnicích by např. byla ihned detekována anomálie síťového provozu apod.).

Medicínské implantáty a prodej nakrátko

Podle výzkumníků společnosti MedSec jsou zdravotnické implantáty (kardiostimulátory a defibrilátory) značky St Jude Medical pro pacienty rizikové, útočník je může zcela vyřadit zcela z provozu nebo vypnout/vybít baterii. Výrobce to popírá, navíc se oznámení MedSec spojilo s prodejem akcií St Jude Medical nakrátko (shortování). O zranitelnosti nebyl neinformován výrobce, ale rovnou média. Firma St Jude Medical tvrdí, že bezdrátově lze s implantáty komunikovat na vzdálenost asi 2 metry. Vybít tímto způsobem baterii opakovanými pokusy o spojení by vyžadovalo stovky hodin, během nichž by se pacient navíc musel stále nacházet v dosahu útočníka (nikam nechodil atd.).

CSIRT varuje/oznamuje

Překvapivě vysoký provoz na internetu stále vykazuje starý protokol telnet. Z analýzy sdružení CZ.NIC vyplývá, že situace je způsobena špatně zabezpečenými chytrými zařízeními.

Jedná se o analýzu dat z honeypotu, tj. analýzu pokusů o útok, kde bylo právě zjištěno vysoké zastoupení protokolu telnet. „Mnoho pokusů o útok pochází z vestavěných zařízení, jako jsou CCTV kamery, routery, atp. Tato zařízení jsou často snadnou kořistí, protože často tvoří „monokulturu“, kde má mnoho zařízení stejné vybavení a stejné zranitelnosti. Je velmi pravděpodobné, že nějaký útočník specificky cílí na některá z těchto zařízení s cílem vytvořit botnet. Dokonce se zdá, že v některých případech je již napadena významná část zařízení konkrétního typu,“ uvádí Bedřich Košata na blogu sdružení CZ.NIC.

Ze světa firem

Tým Talos společnosti Cisco objevil zranitelnosti v bezpečnostním řešení Kaspersky Internet Security Suite. Díky nim mohou útočníci provést útok vedoucí k lokálnímu odepření služby (denial of service), chyby mohou také způsobit únik dat z paměti zařízení, na kterém software běží. (Zdroj: tisková zpráva společnosti Cisco)

Velké podniky mají problém efektivně oslovit experty na bezpečnost IT. V případě narušení sítě pak ale v průměru zaplatí až třikrát více, než by byly náklady na zkušeného profesionála. Vyplývá to z nedávné studie Kaspersky Lab a B2B International, která byla provedena mezi více než čtyřmi tisíci podniky z 25 zemí světa včetně ČR. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Uvedeno bylo řešení Kaspersky Endpoint Security Cloud, zabezpečení formou služby, které je určené pro malé a střední podniky. Chráněnými zařízeními mohou být počítače s Windows, souborové servery a mobilní zařízení s Androidem nebo iOS. Centralizovaný panel pro správu umožňuje řídit bezpečnost až 1 000 zařízení a podle dodavatele nevyžaduje žádné speciální znalosti. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Za poslední dva roky narušení své IT bezpečnosti zaznamenalo 58 % evropských SMB podniků. Z těchto incidentů bylo 49 % způsobeno externím útokem, 37 % úmyslným jednáním zevnitř, 9 % krádeží či ztrátou fyzického zařízení a 5 % chybou zaměstnanců. Mezi klíčové potenciální hrozby vyplývající z aktuálních IT trendů respondenti mj. řadí IoT (71 %), cloudové služby (60 %), sociální média (59 %) a BYOD (59 %). (Zdroj: tisková zpráva společnosti GFI)

K dispozici je aktualizovaná verze sady EMC Data Protection Suite for VMware. Další představenou novinkou je rozšířená možnost ochrany v zařízeních VCE VxRail. (Zdroj: tisková zpráva společnosti EMC/VMware)

Společnost Intel představila sedmou generaci procesorů Intel Core. Vyšší úroveň bezpečnosti deklaruje Intel pro notebooky s kamerami podporujícími rozpoznávání obličeje Windows Hello. (Zdroj: tisková zpráva společnosti Intel)

Podle indexu hrozeb Check Pointu letos poprvé pokleslo množství typu/vzorků aktivního malwaru. Na vzestupu jsou zejména škodlivé kódy pro mobilní zařízení. Tři nejrozšířenější rodiny mobilního malwaru byly:

  • HummingBad: Malware se zaměřuje na zařízení na systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity včetně instalace keyloggeru.

  • Ztorg: Trojan, který využívá root oprávnění ke stažení a instalaci aplikací na mobilním telefonu bez vědomí uživatele.

  • XcodeGhost: Kompromitovaná verze vývojářské iOS platformy Xcode. Tato verze Xcode byla upravena pro vložení škodlivého kódu do jakékoli aplikace, která byla vyvinuta a vytvořena s její pomocí. Kód potom odešle informace o aplikaci na řídicí server, což umožňuje infikované aplikaci číst ze schránky zařízení.

(Zdroj: tisková zpráva společnosti Check Point Software Technologies)

Vědci z Fakulty elektrotechnické Českého vysokého učení technického v Praze založili výzkumné centrum Artificial Intelligence Center (AI Center). Jedním z témat řešených v rámci tohoto centra je i kybernetická bezpečností a ochrana kritických infrastruktur. (Zdroj: tisková zpráva Českého vysokého učení technického v Praze)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také: Bezpečnostní přehled: Ransomware je pro útočníky snadný


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů