Wprowadzenie
Część.
Ja jestem Kacper Szurek a to 21 odcinek podcastu „Szurkogadanie” - o bezpieczeństwie dla wszystkich, w którym jak co tydzień przedstawiam ciekawostki luźno powiązane z tą dziedziną wiedzy.
Jeżeli interesujesz się branżą security lub masz pytanie z nią związane zapraszam na naszą grupę od 0 do pentestera na Facebooku.
Materiały do tego odcinka znalazłem dzięki Weekendowej Lekturze Zaufanej Trzeciej Strony.
Zapraszam do słuchania.
Programy lojalnościowe
Coraz więcej sklepów przy pomocy różnego rodzaju programów lojalnościowych próbuje przekonać nas do częstego robienia zakupów.
W przeszłości - w celu monitorowania postępów danego użytkownika używano plastikowych kart, podobnych do kart kredytowych znanych z banków.
W czasach obecnej cyfryzacji jednak - coraz więcej firm decyduje się na wykorzystanie nowoczesnej technologii.
Zamiast więc trzymać w portfelu kawałek plastiku - wszystkie informację na nasz temat przechowywane są w pamięci telefonu - wszak jest to urządzenie z którym praktycznie nigdy się nie rozstajemy.
W Japonii firma Aeon poszła o krok dalej. Aplikacja zainstalowana w telefonie śledziła nasza lokalizację GPS - i jeżeli w pewnym momencie zaobserwowała, że jesteśmy na terenie sklepu stacjonarnego tej marki - na nasze konto automatycznie otrzymywaliśmy punkty.
W teorii ma to zatem zachęcić użytkowników do odwiedzania tych sklepów - punkty bowiem otrzymuje się za samo wejście na teren sklepu a nie jak w większości tego rodzaju programów - za zrobienie zakupów.
Okazja czyni jednak złodzieja. Jeden z mieszkańców przy pomocy oprogramowania, które zmienia naszą lokalizację - wirtualnie odwiedził sklepy tej marki prawie 3 miliony razy.
Szybka matematyka pokazuje nam, ze nie jest to możliwe.
Do całego przestępczego procederu użył 45 laptopów i ponad 1000 kont.
Policji zeznał, że chciał wykorzystać zgromadzone punkty do normalnych zakupów.
Na naszym lokalnym rynku pewno taka ilość punktów pozwoliła by na zakup hot doga na stacji paliw albo otrzymanie breloczka w sklepie.
Jest to jednak lekcja, iż lokalizacja GPS może być w prosty sposób zmieniona - i nie powinniśmy traktować jej jako pewnik.
Zapytania o kod pocztowy
Dalej pozostając w temacie kart lojalnościowych. Teraz o nieco starszej informacji.
Wiemy już, że w zamian za zakupy - możemy otrzymać punkty.
Dlaczego jednak sklepy chcą nam te punkty rozdawać?
Jak zwykle chodzi o pieniądze, choć tutaj pośrednio - bowiem sprzedajemy nasze dane.
Sklep uważnie notuje bowiem każdy nasz wydatek - wie kiedy robimy zakupy, co kupujemy, jakie piwo lubimy.
Wie także czy posiadamy dzieci oraz jakie są nasze nawyki żywieniowe.
Bazując na tych danych można również określić czy jesteśmy chorzy - wszak w sklepach dostępne są tabletki przeciwbólowe bez recepty.
Ale to nie wszystko. Te wnioski wysnuć można bowiem przeglądając jedynie naszą historię zakupów.
Firma jednak - ma dostęp do historii zakupów wszystkich swoich klientów. A to daje dużo większe możliwości.
Znana jest historia dziewczyny - która na swoje konto e-mail otrzymała kupony z rabatami na produkty związane z ciążą i macierzyństwem.
Najciekawsze jest to - że otrzymała je jeszcze przed tym - jak dowiedziała się, że jest w ciąży.
Jak to możliwe?
Bazując na dużej próbce danych, analitycy wyznaczają pewne specyficzne dla kobiet w ciąży zachowania a następnie na ich podstawie wyliczają procent prawdopodobieństwa iż dana osoba będzie miała dziecko w najbliższym czasie.
Okazuje się bowiem, że kobiety w ciąży na początku drugiego trymestru kupują znaczące ilości bezzapachowego balsamu.
Na samym początku drogi do macierzyństwa natomiast często zaopatrują się w różnego rodzaju suplementy, takie jak wapń, magnez, cynk.
Wszystko po to aby jak najbardziej zwiększyć sprzedaż - oferując ludziom dokładnie to - czego w danym momencie potrzebują.
Co ciekawe, czasami nie musimy być świadomi - że sklepy zbierają o nas takie informację.
Czy zastanawiałeś się bowiem dlaczego w sklepie po zakupach kartą - zadaje się pytanie o kod pocztowy?
Rozwiązanie może być prostsze niż myślisz - podczas zakupów kartą - sklep nie może zapisywać całego numeru karty - który pozwolił by mu na skorelowanie danego zakupu z daną osobą.
Może jednak zapisywać ostatnie 4 cyfry numeru kart.
4 cyfry to tylko 10 000 kombinacji - ludzi robiących zakupy w hipermarketach jest jednak znacznie więcej.
Jednak w dużych miastach - różne ulice - mają różny kod pocztowy.
Zapisując te dane razem - zmniejszamy zatem prawdopodobieństwo, że dany numer się powtórzy - i możemy bardziej dokładnie zidentyfikować daną osobę.
Prawda, że sprytne?
Co to jest atak homograficzny?
Weźmy pod lupę przeglądarkę internetową.
Wpisując do niej domenę - jesteśmy przekierowywani do odpowiedniej strony.
W dzisiejszych czasach - większość ruchu jest szyfrowana.
Właściciel domeny zatem potwierdza, że posiada prawa do danego adresu i dzięki temu urząd certyfikacji wydaje mu odpowiedni certyfikat, który to potwierdza.
Przez to wchodząc na stronę używając protokołu https - widzimy obok nazwy domeny zieloną kłódeczkę.
Oprócz zwykłych domen - które zawierają cyfry i znaki ASCII - możliwe jest tworzenie domen IDN - czyli takich, które mogą zawierać znaki diakrytyczne, czyli na przykład nasze polskie ą czy ę.
I nie mówimy tu jedynie o polskim alfabecie - ale o wszystkich alfabetach dostępnych na świecie.
W niektórych językach znajdują się znaki, które są łudząco podobne do normalnych znaków ASCII - i różnią się jedynie drobną kropeczką czy też ogonkiem.
W przeszłości przestępcy rejestrowali takie łudząco podobne domeny, aby wykorzystywać je do ataków phishingowych.
Użytkownik był bowiem przekierowywany do domeny bank.pl - gdzie b - było delikatnie pochyloną literką a nie zwykłym znakiem ASCII.
Ponieważ przestępcy byli równocześnie właścicielami danych domen - mogli dla nich wygenerować prawidłowe certyfikaty SSL.
To sprawiało, że niewprawiony użytkownik mógł odnieść wrażeni, że jest na oficjalnej stronie banku - chociaż tak naprawdę znajdował się na stronie przestępców.
Aby chronić przed tym atakiem - przeglądarki postanowiły rozróżniać domeny IDN od tych normalnych.
Zamiast więc renderować adres w polu adresu - zaczęły wyświetlać tam nazwę domeny w kodowaniu Punycode.
Taką domenę można bardzo łatwo rozpoznać - zaczyna się bowiem od znaków „xn” i dwóch pauz.
I tutaj dochodzimy do najnowszego błędu w przeglądarce Safari.
Z niewiadomych powodów mała literka dum o kodzie A771 była wyświetlana tak samo jak zwykła litera d - chociaż powinna posiadać dodatkowy ogonek.
Przez ten błąd użytkownik nie jest zatem w stanie rozpoznać prawidłowej literki d od tej fałszywej.
Jeżeli więc nasza domena posiadała literkę d - możliwe było stworzenie alternatywnej domeny w kodowaniu IDN - która użytkownikom iPhone - wyświetlała by się dokładnie tak samo jak oficjalna domena.
Osoba, która odnalazła ten błąd - w celach demonstracji stworzyła fałszywą domenę icloud.com - czyli chmurę używaną w produktach Apple.
Malware w plikach ISO
Uważajcie na nową metoda rozpowszechniania złośliwego oprogramowania - tym razem przestępcy używają rozszerzenia iso.
Myślę, że nowym słuchaczom tego podcastu to rozszerzenie nie wiele mówi.
Można bowiem stwierdzić - że w czasach Internetu odchodzi ono powoli do lamusa.
Pliki ISO bowiem to obrazy płyt CD czy też DVD.
W przeszłości - jeżeli ktoś chciał wykonać idealną kopię takiego nośnika - tworzył ją właśnie w tym formacie.
Ale pliki takie można było również otwierać lokalnie na komputerze - używając odpowiedniego oprogramowania, które symulowało obecność płyty w wirtualnym napędzie.
W taki oto sposób w przeszłości próbowano omijać zabezpieczenia antypirackie - kiedy to gra do swojego działania wymagała płyty w napędzie CD.
Ale dlaczego nagle widzimy renesans tej technologii?
Powody są dwa. Po pierwsze przestępcy liczą na to, że twórcy oprogramowania antywirusowego błędnie obsługują ten format.
Standardowo bowiem pliki ISO są duże - płyta CD to bowiem 700 MB a DVD - kilka razy tyle.
Dlatego też możliwe jest iż w celach wydajnościowych niektórzy twórcy antywirusów nie rozpakowują tych plików prawidłowo.
A plik ISO nie musi być duży - może mieć kilkadziesiąt kilobajtów - tak jak w tym ataku.
Drugi powód natomiast to fakt, że Windows 10 posiada wbudowany odtwarzacz tego formatu.
Zaatakowany użytkownik zatem nie musi instalować żadnego oprogramowania - wystarczy, że kliknie w plik iso dwa razy.
System bowiem traktuje go jak zwykłe archiwum.
Pomysłowość przestępców nie zna granic.
Publiczne kubełki S3
Wielokrotnie w tym podcascie informowałem o wyciekach danych, hostowanych w infrastrukturze Amazona.
Za większość tych wycieków odpowiedzialne było błędne skonfigurowanie usługi S3 - czyli serwisu, który pozwala na przechowywanie danych na serwerach Amazona.
W skrócie - instancje tej usługi były źle konfigurowane przez firmy - umożliwiając dostęp do danych tam zawartych przez wszystkich użytkowników Internetu.
Jest to zła praktyka - ponieważ w większości przypadków dane, powinny być dostępne jedynie dla konkretnych użytkowników.
Amazon zdając sobie sprawę z powagi sytuacji wziął sprawę w swoje ręce i stworzył dodatkowe narzędzie, które ma zabezpieczyć firmy przez tego rodzaju przykrymi niespodziankami.
W pulpicie zarządzania usługą S3, w zakładce puliczny dostęp dostępne są teraz 4 nowe opcję.
Pozwalają one właścicielom danego konta na ustawienie standardowych poziomów dostępu do kubełków S3 przypisanych do danego konta.
Co ciekawe te globalne ustawienia nadpisują wszystkie istniejące i wszystkie przyszłe polityki - przypisane do konkretnych zasobów.
Ustawienia te można zatem porównać do "głównego wyłącznika prądu w hotelu" - kiedy to jednym pociągnięciem dźwigni możemy wyłączyć zasilanie w całym budynku.
Możemy zatem globalnie ustawić - aby żaden nasz zasób nie był dostępny publicznie - i jeżeli przez przypadek pojedynczy kubełek otworzymy na świat - poprzez błędną jego konfigurację - nic się nie stanie.
Czy takie rozwiązanie sprawdzi się i pomoże uniknąć kolejnych wycieków - tego dowiemy się za jakiś czas.
Malware w NPM
Kilka dni temu w świecie developerów skoncentrowanych wokół Node.js zawrzało.
Dla tych, którzy nie są zorientowani w temacie, Node.js to popularne środowisko uruchomieniowe pomagające tworzyć aplikacje WWW.
Obecnie istnieje trend w programowaniu - aby nie tworzyć koła na nowo - a używać rzeczy, które już są dostępne, wymyślone i zakodowane.
Do tego celu służy npm - czyli menadżer pakietów posiadający w swojej bazie ogromną ilość bibliotek.
Są one różne. Najprostsza dla przykładu może sprawdzać, czy dana liczba jest parzysta czy też nie.
Takie rozwiązanie jest wygodne. Skupiamy się bowiem na łączeniu klocków ze sobą - a nie na tworzeniu konkretnych funkcji od podstaw.
Ma jednak swoją cenę. Całe to repozytorium opiera się na wolontariacie - gdzie ktoś poświęca swój czas i energię aby stworzyć dany moduł.
Jednym z takich modułów był EventStream - pobierany prawie dwa miliony razy tygodniowo.
Jego twórca - stracił jednak zapał do ciągłego poprawiania kodu i naprawy błędów zgłaszanych przez użytkowników.
O ile bowiem fajnie i szybko zaimportować daną funkcjonalność i użyć we własnym kodzie o tyle - zdecydowanie mniej użytkowników decyduje się na poprawianie błędów.
Dlatego też z radością przekazał nadzór nad projektem innej osobie, która wyraziła chęć do aktywnego zajmowania się nim.
I to właśnie ta osoba okazała się być złośliwym atakującym.
Podczas jednej z modyfikacji modułu - dodała do niego odniesienie do innego, zewnętrznego modułu.
To jednak nic dziwnego - w tym świecie często programiści odnoszą się do innych kawałków kodu.
Problem w tym - że tym razem, był to złośliwy, zaszyfrowany kod.
Ale tutaj sprawa robi się coraz ciekawsza.
Kod bowiem był zaszyfrowany - i bez klucza nie możliwe było jego odczytanie jak również uruchomienie.
Kluczem natomiast była nazwa aplikacji, która korzystała z danego modułu.
O co chodzi i po co takie rozwiązanie?
Twórca złośliwego kodu chciał, aby uruchomił się on jedynie na specyficznych komputerach.
Używał zatem opisu modułu, który korzystał z eventstream, jako klucza.
Jeżeli zły kawałek kodu został uruchomiony właśnie tam gdzie chciał przestępca - klucz pasował i złośliwy kawałek kodu był wykonywany.
Jak można się domyślać chodziło o krypto waluty. Celem był bowiem portfel kryptowalut Copay.
Jeżeli w portfelu danego użytkownika znajdowało się co najmniej 100 BTC - klucz prywatny do takiego portfela był wysyłany na serwer atakującego.
A Ty gdzie trzymasz swoje krypto waluty?
Odciski palców
Naukowcom udało się stworzyć coś na wzór master key - czyli systemu jednego klucza, ale w odniesieniu do odcisków palca.
Jak działa taki system? Mamy drzwi wejściowe do domu. Standardowo - jest jeden zamek i tylko jeden klucz, który może je otworzyć.
W domu jednorodzinnym czy tez mieszkaniu takie rozwiązanie jest wystarczające.
Ale co z innymi miejscami? Takimi jak na przykład hotele?
Tam do pokoju powinien móc wejść gość hotelowy jak również sprzątaczka.
Gość powinien móc wejść tylko do swojego pokoju, sprzątaczka natomiast aby nie musieć chodzić z pękiem kluczy - powinna jednym z nich móc otworzyć wszystkie drzwi na danym piętrze.
I taka jest właśnie zasada systemu jednego klucza.
Ale jak to się ma do odcisków palca?
Standardowy skaner palca nie skanuje całej powierzchni naszej dłoni - ale tylko jej wybrany fragment.
I to tylko ten wybrany fragment jest porównywany z bazą danych - wszystko za sprawą użyteczności.
Skan całego palca bowiem, zabrał by zdecydowanie za dużo czasu.
I tutaj wchodzi nauka.
Łącząc bowiem tą charakterystykę czytników razem z faktem iż niektóre z właściwości odcisków występują częściej niż inne a także zaprzęgając do tego wszystkiego uczenie maszynowe udało się stworzyć fałszywe odciski palca, które - porównywane z bazą odcisków - będą dawały prawidłowe wyniki dla różnych osób.
Co ciekawe na pierwszy rzut oka nadal wyglądają one jak odciski palców - a nie jak wygenerowane komputerowo obrazy.
Można je więc traktować jak swego rodzaju wytrychy.
Statystycznie bowiem próbując przy pomocy takich fałszywych odcisków otworzyć miejsce chronione przy pomocy tej technologii mamy większe prawdopodobieństwo - że atak się powiedzie.
To całkowicie zmienia podejście do biometrycznej autoryzacji użytkownika.
Jak bowiem odróżnić czy jest to odcisk prawdziwej dłoni a nie wydrukowana kopia?
Po co kraść hasła do Spotify?
Bardzo często atakujący próbują wykraść nasze dane do logowania do konta bankowego.
Ale po co ktoś miałby kraść nasze konto do Spotify - czyli serwisu z muzyką online?
Bo właśnie taki rodzaj ataku był obserwowany w ostatnim czasie.
Zastanówmy się zatem co mógłby uzyskać atakujący znając nasze dane do serwisu streamingowego.
Mógłby zobaczyć czego słuchamy, jakie są nasze ulubione kawałki i wykonawcy.
I w sumie nic więcej. Ale to tylko pozory.
Znając hasło użytkownika - można próbować użyć go w innych, bardziej cennych serwisach.
Często bowiem mamy do czynienia z używaniem tego samego hasła na kilku serwisach.
Jeżeli ten atak się nie powiedzie - istnieje jeszcze druga możliwość.
Zazwyczaj tworzymy hasła na podstawie jakiegoś klucza.
Na przykład nazwa serwisu połączona z nazwą naszego kota i naszą datą urodzenia.
Jeżeli atakujący widzi takie hasło - może na jego podstawie zgadnąć inne hasła do innych serwisów.
Dlatego tak ważne jest abyśmy korzystali z menadżerów haseł i używali losowych haseł do wszystkich serwisów.
Ostatnia możliwość wykorzystania konta na Spoitfy to próba zarobienia na nim.
Serwis bowiem płaci wykonawcy drobną kwotę za każdym razem gdy użytkownik wysłucha konkretnego utworu.
Gdyby zatem przestępcy stworzyli własną płytę a następnie ukradli dane do dziesiątków tysięcy kont - i przy ich pomocy słuchali tego jednego, konkretnego kawałka, istnieje spora szansa, że mogliby na tym zarobić.
Scam w Google Maps
Ostatnia wiadomość na dzisiaj. Tym razem scam przy użyciu Google.
Jeżeli szukasz jakiejś firmy przy użyciu wyszukiwarki - jest wysoce prawdopodobne że ją znajdziesz.
Google wyświetla bowiem nazwę firmy, informację o jej adresie, adres strony www a także numer telefonu.
Informacje te są podawane przez samych użytkowników - jeżeli posiadasz własną firmę, możesz poprosić Google o uaktualnienie tych danych.
Założenie jest fajne - użytkownik wyszukując twoją firmę - otrzymuje szybką i konkretną informację - i może bezpośrednio zadzwonić pod twój numer telefonu.
Tylko, że informacje te mogą być dodane czy też zmienione przez każdego.
I tutaj w grę wchodzą scamerzy.
Przypadek z Indii, gdzie jeden z użytkowników szukał numeru telefonu do swojego regionalnego oddziału banku.
Znalazł go przy użyciu wyszukiwarki. Na infolinii chciał rozwiązać problem z jego kartą kredytową.
Podczas rozmowy - pani poprosiła o numer karty jak również kod - oczywiście w celach weryfikacji.
Jak możesz się domyślać - była to fałszywa infolinia, a numer na wizytówce firmy - został dodany przez przestępców.
A czy Ty nabrał byś się na taki atak?
I to wszystko na dzisiaj. Zapraszam do dołączenia do grupy od 0 do pentestera na Facebooku jak również subskrypcji kanału KacperSzurek na YouTube.
Do zobaczenia już za tydzień. Cześć!
Icon made by Freepik, Vectors Market from www.flaticon.com
