Zo sveta IT bezpečnosti, 4/2019

Zo sveta IT bezpečnosti, 4/2019

Odber mesačného newslettra IT bezpečnosti nájdete v menu napravo. 

Geopolitické hry

Bývalí hackeri americkej rozviedky pomáhali Spojeným Arabským Emirátom (UAE) nabúrať a sledovať vplyvné osoby z BBC, Al Jazeera a iných mediálnych organizácií v Arabskom svete, počas vyostrených vzťahov medzi Qatarom a spojencami UAE.
Smartfón nie je vec, ktorú si môžete ako žurnalista v oblasti geopolitiky dovoliť používať.

Na blízkom východe ešte zostaneme. Momentálne to vyzerá tak, že najbohatšieho človeka planéty, väčšinového vlastníka akcií Amazonu, Jeffa Bezosa mohol redaktor National Enquirer vydierať, pretože Saudská vláda získala prístup do Jeffovho telefónu. Vyjadril sa tak Gavin De Becker, bezpečnostný konzultant, ktorý únik citlivých informácií o súkromnom živote Jeffa Bezosa vyšetruje na jeho objednávku.

Tactical Technology Collective publikoval zaujímavý report o použití moderných technológií v kontexte politických kampaní. Zbrane donedávna používané len reklamnými agentúrami, ako A/B testing, cielenie na základe geografickej polohy či psychometrické profilovanie populácie, sa stávajú bežnými technikami pri politickom ovplyvňovaní a manipulácii verejnej mienky.

Podľa posledného výskumu z Citizen Lab univerzity v Toronte bol špionážny softvér Pegasus, vyvinutý Izraelskou firmou NSO Group, použitý na sledovanie najmenej 25 žurnalistov, právnikov a verejne známych osôb z Mexika a USA. Manželka žurnalistu Javier Valdez Cárdenasa, ktorý bol zavraždený v roku 2017 v Mexickom Sinaloa, bola cieľom kybernetických útokov krátko po manželovej smrti.

Rada USA pre inovácie v obrane publikovala správu o stave telekomunikačných systémov piatej generácie (5G). V správe analyzujú riziká a príležitosti 5G technológie pre obranný sektor. Dočítate sa napríklad o tom, ako spoločnosť Nokia dodáva pre Čínsky trh zariadenia bežiace na operačnom systéme Android s nainštalovaným backdoorom. Akoby toho nebolo dosť, Nokia omylom nainštalovala backdoor na všetky vyrobené zariadenia, nie len na tie, ktoré sú určené pre ázijskú veľmoc.

Zdrojové kódy používané pravdepodobne tímom Iránskej rozviedky, známym pod označením APT34, niekto zverejnil na Telegram kanáli. Leak obsahuje PowerShellový trójsky kôň a pár ďalších nástrojov na infikovanie cieľov a exfiltrovanie dát.

Research & Engineering

Tím Google Project Zero zverejnil popis a zdrojový kód exploitu pre zariadenia Apple iPhone XS. Exploit zneužíva zraniteľnosť subsystému virtuálnej pamäte v XNU jadre operačného systému iOS 12.0. Ide o veľmi komplikované zneužitie, kde inžinieri museli mať hlbokú znalosť cieľového systému, aby mohli museli zreťaziť viacero anomálií a podarilo sa im tak opustiť sandbox a zraniteľnosť naozaj zneužiť.

Cloudflare najnovšie pridal k svojej najrýchlejšej DNS službe na planéte – 1.1.1.1 DNS – aj možnosť používať zabezpečené, rýchle pripojenie k internetu pomocou bezplatnej tzv. Warp virtuálnej privátnej siete. Používatelia Androidu a iOS môžu inštaláciou aplikácie od Cloudflare využívať tieto služby zadarmo a zamedziť tak analýze sieťovej prevádzky na ich zariadeniach. Ak sa bojíte vlastného prevádzkovateľa internetu viac ako firmy Cloudflare, odporúčam Warp vyskúšať.

Niekto nabúral infraštruktúru vývojárov stojacich za federovaným komunikačným protokolom Matrix.org. Útočník im následne otvoril niekoľko zaujímavých issues v GitHub repozitári projektu Matrix, kde popisuje ako útok uskutočnil a ako by mohli svoju bezpečnosť do budúcna zlepšiť.

Tím výskumníkov z Projektu Everest, za ktorým stoja ľudia z Microsoftu, univerzity Carnegie Mellon či Francúzskeho inštitútu INRIA, publikoval prvú verziu formálne verifikovanej kryptografickej knižnice EverCrypt. Knižnica ponúka algoritmy kompatibilné s tradičnými providermi ako OpenSSL.

Výskumníci publikovali útok na poslednú verziu kryptografického protokolu TLS 1.3 pri použití módu s vopred zdieľaným kľúčom (PSK). Útok nazvali Selfie a vyžaduje si dosť špecifické nastavenie, ktoré sa prakticky často nepoužíva. V skratke, PSK mód umožňuje bežať súčasne ako klient, aj ako server, pričom TLS môže použiť pre obe spojenia ten istý kľúč. Ak nejaký útočník presvedčí pomocou MITM útoku druhú stranu, aby používala obe spojenia naraz, môže preposielať správy od klienta spojeniu so serverom, resp. naopak a nechať tak hovoriť aplikáciu samu so sebou, vzhľadom na to, že správy budú legitímne.
Je dôležité povedať, že bežne používané kryptografické módy v TLS 1.3 sú formálne verifikované.

Mathy Vanhoef, ktorý v roku 2017 publikoval útok KRACK voči WiFi WPA2 štandardu a Eyal Ronen zverejnili viacero zraniteľností s názvom Dragonblood, nájdených v novom štandarde WiFi WPA3. Takto to vyzerá, keď sa konzorcium obklopené patentmi a neverejným procesom navrhovania bezpečnostných mechanizmov nedokáže poučiť z vlastnej minulosti.

Efektívne premostenie z akademického výskumu do praktického sveta ukázal publikovaný výskum v oblasti validácie parametrov použitých v Diffie-Hellman (DH) kryptosystéme.
Výskumníci z Aucklandskej a Londýnskej univerzity demonštrovali, že je možné generovať také DH parametre, ktoré tradičné knižnice ako napríklad OpenSSL akceptujú ako postačujúce, no pre ktoré je výpočet problému diskrétneho logaritmu ľahký a teda nie sú bezpečné.
Výskumníci nie len že navrhli riešenie, ale aj implementovali fix do OpenSSL knižnice.

Bezpečnostná aplikácia Guard Provider, predinštalovaná na telefónoch od spoločnosti Xiaomi, môže byť paradoxne zneužitá na nainštalovanie ľubovolného škodlivého softvéru. Aktualizačný mechanizmus aplikácie používa nezabezpečený protokol HTTP a tak môže útočník schopný manipulovať komunikáciu na sieti nechať spustiť na zraniteľnom zariadení vlastný kód.

Mozilla testuje v Beta a Nightly verzii prehliadača Firefox ochranu proti minerom kryptomien a rôznym skriptom, ktoré sa snažia používateľov sledovať.
Ide o zaujímavú myšlienku, no prevedenie, aké momentálne testujú, používa len statickú databázu už známych skriptov, čo sa bude dať vývojármi skriptov jednoducho obísť.

Ľudia z Google tímu Android Platform Security publikovali podrobný bezpečnostný model platformy Android. Na šestnástich stranách rozoberajú bezpečnostné princípy, model hrozieb a dizajn obranných mechanizmov za najpoužívanejším mobilným operačným systémom súčasnosti.

Ak používate lacné čínske IoT zariadenia ako IP kamery, zvončeky či elektronické opatrovateľky, berte na vedomie, že približne 2 milióny zariadení, na ktoré sa dá pripojiť cez PC či telefón sú nezabezpečené. Možno nie ste jediný, kto sa pozerá, či počúva.

Holandské Národné Centrum Kybernetickej Bezpečnosti publikovalo manuál ako bezpečne nastaviť server používajúci Transport Layer Security (TLS) protokol.

István Kurucsai z Exodus Intelligence napísal exploit na jednu z posledných verzií prehliadača Chrome. Ak niekoho zaujíma myšlienkový postup pri vývoji exploitu, odporúčam.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *