Wprowadzenie
Cześć! Ja nazywam się Kacper Szurek a to 19 odcinek podcastu „Szurkogadanie”.
Jeżeli chciałbyś poszerzyć swoją wiedzę o tematy związane z bezpieczeństwem a także dowiedzieć się jakie niebezpieczeństwa związane są z najnowszą technologią - ten podcast jest dla Ciebie.
Większość linków z tego zestawienia pochodzi z Weekendowej Lektury Zaufanej Trzeciej Strony.
Jeżeli interesujesz się bezpieczeństwem zapraszam do dołączenia do grupy od 0 do pentestera na Facebooku.
Zapraszam do słuchania.
Fałszywe konta na Twitterze
Na Twitterze można zaobserwować nową formę ataku. Opiera się ona w głównej mierze na zaufaniu w markę osobistą.
Na czym polega trick stosowany przez przestępców?
Twitter pozwala na zweryfikowanie swojego konta. Po przejściu takiej procedury obok nazwy naszego konta pojawia się niebieska ikonka mająca świadczyć o tym, że jesteśmy tym za kogo się podajemy.
Jest to szczególnie przydatne w przypadku osób publicznych i znanych - które są narażone na tworzenie fałszywych kont.
Bazując na niebieskiej ikonce możemy założyć iż osoba posługująca się danym nazwiskiem rzeczywiście posiada do niego prawa.
Przynajmniej tak myślała większość użytkowników do ostatniego czasu.
Grupa atakujących zaczęła przejmować zweryfikowane konta różnych podmiotów a następnie zmieniać nazwy tych kont.
Za cel wzięto Elona Muska - czyli twórcę Tesli czy tez SpaceX.
Po kradzieży konta, atakujący zmieniali ich nazwę na „Elon Musk”.
Ponieważ konto było zweryfikowane na poprzednie dane - niebieska ikonka nie znikała.
Standardowy użytkownik Twittera, mógł więc odnieść wrażenie, że widzi wiadomości prawdziwego Elona Muska.
Do kradzieży środków użyto krypto waluty. Opublikowano Twitta, w którym fałszywy Elon informuje, że rozdaje swoje Bitcoiny wszystkim tym, którzy się do niego zgłoszą.
Muszą tylko potwierdzić swoja tożsamość - wysyłając 0.3 BTC na podany w wiadomości adres.
Twitt szybko stał się popularny, głównie dzięki temu iż atakujący wykorzystali mechanizm płatnej promocji znajdujący się w tym serwisie.
Na tą ciekawa formę phishingu nabrało się około 400 osób co przełożyło się na prawie 200 000 dolarów przychodu dla przestępców.
Nietypowy przykład podszycia się pod popularną osobę wykorzystujący również w nietypowy sposób wiarygodność osoby pod którą się podszywa.
Elon znany jest jako wizjoner i niekonwencjonalny przedsiębiorca - a krypto waluty w jego wypadku to coś co pasuje do jego zewnętrznego wizerunku.
A czy Wy dalibyście się nabrać na ten atak? Dajcie znać w komentarzach.
Twitter ma co poprawiać w procedurze weryfikacji kont a także sprawdzania wiadomości, które są promowane.
Cookie stuffing
Cookie stuffing a tłumacząc ten termin na język polski nadziewanie ciasteczek to nowa technika oszukiwania na prowizjach w Internecie.
Na czym polega i z czym tak naprawdę się je?
Ciasteczka to małe pliki zapisujące się w naszej przeglądarce internetowej podczas przeglądania stron.
Mogą służyć do przechowywania przydatnych informacji - na przykład stanu naszego zalogowania na danej witrynie.
To między innymi dzięki nim nie musimy się co chwile logować do Facebooka czy Gmaila po zamknięciu przeglądarki.
Mogą być również wykorzystywane do identyfikacji konkretnego użytkownika.
Schemat działania jest prosty. Podczas pierwszej wizyty strona zapisuje ciasteczko z losowym identyfikatorem.
Podczas ponownego połączenia ze stroną, przeglądarka wysyła to wcześniejsze ciasteczko - dzięki temu strona internetowa wie, że nie jesteśmy nowym użytkownikiem a osobą, która powróciła na daną witrynę.
Z marketingowego punktu widzenia są to bardzo istotne informacje - webmaster jest w stanie na ich podstawie określić jaki realny ruch jest generowany i ile nowych użytkowników się pojawia.
Obecnie coraz mniej osób kupuje dany produkt od razu.
Coraz częściej najpierw czytamy recenzje, oglądamy filmiki na YouTube, czy tez korzystamy z porównywarek cen w celu znalezienia najkorzystniejszej dla nas oferty.
Dlatego też coraz więcej sklepów stosuje model afiliacyjny - dzieląc się tym samym zarobkiem z osobami, które sprowadzają ruch do danego sklepu.
Ale, żeby ten model był sprawiedliwy - sklep musi wiedzieć kiedy i komu wypłacić prowizje za sprzedaż danego dobra.
Do tego celu można wykorzystać ciasteczka. Wszystko działa poprawnie jeśli nikt w tym schemacie nie oszukuje.
Ale możliwe jest podłożenie ciasteczek afiliacyjnych bez wiedzy użytkownika. Jak to działa?
Załóżmy, że odwiedzasz witrynę X, która zajmuje się informacjami ze świata.
Ta strona bez Twojej wiedzy ustawia ciasteczko afiliacyjne firmy Y w Twojej przeglądarce.
Po kilku dniach planujesz kupić prezent dla swojej żony. W telewizji zauważasz reklamę firmy Y - sprawdzasz więc ich ofertę bezpośrednio kierując się na ich witrynę i to właśnie tam dokonujesz swojego zakupu.
Sklep Y oddaje część swojego zarobku firmie X, ponieważ podczas dokonywania zakupu na twoim komputerze widniało ciasteczko wskazujące, że to właśnie ze strony X trafiłeś na stronę Y - co jest nieprawdą.
Ebay złożył pozew oskarżając inną firmę na tego rodzaju oszustwo na kwotę 28 milionów dolarów.
Również na polskim podwórku można odnaleźć informacje na temat podobnych poczynań.
Zapewne z czasem proceder będzie coraz popularniejszy - wszak coraz częściej kupujemy produkty w Internecie.
Przekręt na BLIK
Jeszcze nie tak dawno aby wybrać pieniądze z bankomatu należało posiadać kartę płatniczą.
Ale ta sytuacja szybko się zmienia. Coraz więcej bankomatów pozwala teraz na wybieranie pieniędzy z konta bez użycia karty.
Jest to powiązane z faktem iż Polacy przekonują się do mobilnych aplikacji bankowych i coraz częściej korzystają z nich zamiast interfejsu webowego.
W Polsce króluje Blik - czyli polski mobilny standard płatności.
Zmienia się również podejście przestępców.
W przeszłości, próbowali uzyskać dostęp do strony internetowej - aby tam wygenerować przelew wychodzący na swoje konto i w taki sposób ukraść pieniądze.
Teraz, nie potrzebują posiadać danych do logowania - wystarczy, że będą w stanie przekonać osobę, do sparowania swojego telefonu z cudzym kontem bankowym.
Posiadając dostęp do aplikacji mobilnej na swoim telefonie, która połączona jest z kontem atakowanego mogą wykonywać małe płatności - w zależności od ustalonych limitów, przelewy na inne telefony czy też wybierać pieniądze z bankomatu.
Co więcej takie płatności nie są zabezpieczone dodatkowymi kodami SMS - uzyskując więc jednorazowy dostęp do aplikacji mobilnej - mogą z niej korzystać wielokrotnie aż do momentu wykrycia - kiedy atakowana osoba zorientuje się, że jest okradana.
Dlatego też jeżeli otrzymałeś wiadomość SMS, która informuje Cię iż właśnie zacząłeś korzystać za aplikacji mobilnej banku - a tego nie robiłeś - jak najszybciej skontaktuj się ze swoim bankiem w celu zablokowania dostępu.
Próbki złośliwego oprogramowania
Dobra wiadomość dla osób zajmujących się analiza złośliwego oprogramowania.
Rząd Stanów Zjednoczonych rozpoczął inicjatywę, której celem jest dzielenie się próbkami złośliwego oprogramowania, które zostały wykryte przez organy ścigania w tym kraju.
W tym celu stworzono specjalne konto na serwisie Virustotal - który pozwala na szybie sprawdzenie czy plik jest potencjalnie złośliwy bazując na skanach kilkudziesięciu firm antywirusowych.
Czy publikowane w ten sposób pliki będą przydatne dla osób zajmujących się bezpieczeństwem?
Czas pokaże. Jako jedną z pierwszych próbek udostępniono plik, będący częścią ataku targetowanego przygotowanego przez grupę APT28. Czy inne rządy pójdą za tym przykładem i będą udostępniać próbki plików, które zostały wykorzystywanego do ataku ich infrastruktury?
Zobaczymy.
Ile kosztuje Filecoder?
Przed nami czarny piątek oraz cyber poniedziałek czyli czas dla osób poszukujących okazyjnych produktów w niskich cenach.
Nie tylko tradycyjne sklepy oraz internetowi giganci przygotowują się do tego wydarzenia. Również przestępcy oferują w tym czasie zniżki na swoje produkty.
Jeżeli zastanawiałeś się ile możne kosztować licencja na złośliwe oprogramowanie - jestem w stanie zaspokoić Twoją ciekawość.
Paczka kilkunastu najpopularniejszych programów typu ransomware - czyli produktów, które najczęściej szyfrują pliki użytkownika a następnie proponują ich odzyskanie w zamian za opłacenie okupu - jest dostępna na czarnym rynku w cenie 750 dolarów.
Oprócz oprogramowania - paczka zawiera kompletne instrukcje jak go użyć, postawić odpowiedni serwer a także w jaki sposób zarażać komputery przy pomocy odpowiednich exploitów.
Czy to dużo czy mało? Samo oceńcie.
Czy szyfrowane dyski SSD są bezpieczne?
Bitlocker to narzędzie wbudowane w system Windows, które pozwala na szyfrowanie całych dysków twardych.
Jest to szczególnie istotne zwłaszcza teraz, kiedy wszyscy zwracają uwagę na bezpieczeństwo wycieku danych wrażliwych z powodu RODO.
Grupa naukowców przyjrzała się bliżej temu rozwiązaniu, kiedy to szyfrowaniu poddawane są dyski SSD - czyli dużo szybsze magazyny danych.
Niektóre z dysków, posiadają wbudowaną obsługę szyfrowania.
Okazuje się, że w standardowej konfiguracji, jeżeli dysk twardy wspiera szyfrowanie - Bitlocker korzysta właśnie z takiego rozwiązania.
Ma to swoje plusy - szyfrowaniem danych zajmuje się wyspecjalizowany chip na dysku - co przynajmniej w teorii powinno zapewnić odpowiednią prędkość szyfrowania jak również odciąża procesor, który byłby zajęty właśnie tym zadaniem.
W bardzo dużym uproszczeniu - podczas używania tej metody mowa jest o dwóch hasłach.
Pierwsze - to hasło zdefiniowane przez użytkownika. Po jego podaniu i odpowiedniej walidacji - jeżeli jest prawidłowe, dysk odblokowuje drugie hasło, które trzymane jest we wnętrzu chipa odpowiedzialnego za cały proces i to właśnie to hasło jest używane do odszyfrowywania danych.
Takie rozdzielenie wynika z prostego faktu - chodzi o to aby po zmianie hasła użytkownika - nie musieć na nowo odszyfrowywać całego dysku twardego.
Badacze zidentyfikowali jednak błędy w dyskach SSD - które prowadzą do możliwości odczytania hasła, używanego przez dysk twardy co w konsekwencji prowadzi do tego, iż atakujący może odszyfrować dysk bez znajomości hasła użytkownika a także bez żadnego ataku bruteforce.
Jakie jest rozwiązanie tego problemu?
W ustawieniach polityki szyfrowania należy wymusić szyfrowanie programowe.
Wtedy to nasze dane będą szyfrowane przed Bitlocker - i będą trafiać do dysku twardego już w formie zaszyfrowanej.
Persystencja przy użyciu WSL
Tym razem o ciekawej metodzie persystencji w systemie operacyjnym.
Czy zdawałeś sobie sprawę drogi słuchaczu, że w Windowsie 10 można wykonać pliki, które są przystosowane do uruchomienia pod Linuxem?
Wszystko dzięki funkcji WSL - czyli Windows Subsystem for Linux, która pozwala na zainstalowanie i używanie Linuxowej dystrybucji (na przykład popularnego Ubuntu) na Windowsie 10.
Funkcjonalność ta jest dostępna od wersji 1809 i ma całą masę ciekawych zastosowań.
Teraz, osoby które przyzwyczajone są do używania konsoli i korzystania z linuxowych komend takich jak awk, sed czy też grep - mogą je wykonwywać wprost z systemu Windows - nie tracąc tym samym dostępu do całego systemu plików.
Coś co dla jednych może być pomocą i ciekawym rozwiązaniem - przez innych może być wykorzystane w złośliwy sposób.
Przestawiono koncept ataku, w którym zamiast uruchamiać złośliwe plik exe, atakujący uruchamia złośliwe pliki elf, korzystając z funkcjonalności WSL.
Wszystko za pomocą prostego skrypty PowerShell, który aktywuje tą usługę - o ile nie jest on włączona i uruchamia złośliwy plik przy jej pomocy.
Interesujący wektor ataku, który zmienia perspektywę ataków na systemy operacyjne.
Dotychczas mogliśmy bowiem założyć - że jeśli na dysku użytkownika znajdowały się złośliwe pliki elf - to i tak nie mogły mu one zagrozić - wszakże nie
istniała prosta opcją uruchomienia takowych plików bez używania jakiegoś systemu wirtualizacji.
Teraz wiemy już, że takie założenie jest błędne.
Atak supply chain
Czy można stracić krypto walutę nawet jeśli posiadamy najnowsza wersję przeglądarki, zaktualizowany system operacyjny i używamy oficjalnej strony giełdy krypto walut?
Okazuje się, że tak - a wszystko przez atak „supply chain”.
O tego rodzaju ataku możemy mówić wtedy, kiedy zamiast atakować dobrze chronioną instytucje - w tym wypadku giełdę, próbujemy swoich sił w podmiocie o mniejszych możliwościach, którego funkcjonalności są jakoś powiązane z podmiotem, który chcemy zaatakować.
W tym wypadku chodziło o stronę „StatCounter” - będącej swego rodzaju alternatywą dla Google Analytics - czyli analityki internetowej.
Giełda korzystała z usług tej firmy w celu uzyskiwania informacji o ruchu na swojej stronie.
Atakujący podmienili skrypt służący do monitorowania użytkowników, który był hostowany w infrastrukturze Statcounter.
Skrypt ten sprawdzał adres, na jakim był uruchamiany.
Sprawdzano konkretne słowa kluczowe powiązane z krypto walutami - co jednoznacznie wskazuje, że atakujący od samego początku zainteresowani byli konkretna stroną.
Następnie monitorowano, czy użytkownik znajdował się na postronnie służącej do wysyłania przelewów.
W momencie wklejania adresu Bitcoin w odpowiednie pole, złośliwy kawałek kodu podmieniał adres.
W ten oto sposób atakujący mogli ukraść środki osób korzystających z giełdy.
Kolejny przykład pokazujący aby sprawdzać, czy wklejany przez nas tekst ze schowka jest rzeczywiście tym - którego chcieliśmy.
Atak na pocztę
Poczta w Stanach Zjednoczonych posiada usługę, która skanuje przychodzącą do nas pocztę i wysyła zdjęcia kopert na specjalne konto w serwisie internetowym jeszcze przed fizycznym dostarczeniem takiej przesyłki na nasz adres.
Na pierwszy rzut oka - wydaje się to być przydatna usługa.
Wszak jeżeli oczekujemy na jakiś ważny list - dostatecznie wcześniej wiemy, że jest już bardzo blisko nas.
Ale przyjrzyjmy się temu rozwiązaniu z punktu widzenia bezpieczeństwa. Co by się stało, gdyby nieupoważniona osoba otrzymała dostęp do takiego serwisu?
W sumie niewiele - wiedziała by tylko, że za chwile dostaniemy jakiś list - od instytucji X.
Skanowane są jedynie fronty przesyłek a nie ich treść.
Czy zatem rzeczywiście nic złego nam nie grozi?
W USA przekonali się iż i taką usługę można wykorzystać do niecnych celów.
Schemat działania opiera się na wysyłce kart kredytowych.
Podczas kradzieży tożsamości - atakujący przekonuje bank do wystawienia nowej karty kredytowej.
W tym momencie uaktywnia usługę na poczcie.
Dzięki temu - nie musi fizycznie monitorować naszej skrzynki pocztowej - będzie bowiem względnie dokładnie wiedział kiedy ją sprawdzić - wystarczy jedynie sprawdzać stronę internetową.
Wtedy to dokonuje fizycznej kradzieży karty.
Teraz wystarczy już tylko poczekać na kolejną przesyłkę z kodem PIN - i już, można używać takiej karty jak swojej.
Powodem całego zamieszania jest procedura, jakiej używa poczta podczas tworzenia konta klienta w serwisie.
Aby sprawdzić tożsamość strona zadaje bowiem kilka pytań kontrolnych.
Problem w tym, że na większość pytań można uzyskać odpowiedź posługując się wyszukiwarką internetową.
A co wy sądzicie o takiej usłudze? Dajcie znać w komentarzach.
Błędy na serwerach DJI
Ostatnia wiadomość na dzisiaj.
DJI to potentat w dziedzinie produkcji dronów.
Są one używane przez szeroką gamę klientów na całym świecie - począwszy od entuzjastów, którzy dopiero zaczynają swoją przygodę z latającymi maszynami a skończywszy na profesjonalnych zastosowaniach.
Dostęp do dowolnej kamery zamontowanej na dowolnym dronie brzmi zatem jak poważna luka bezpieczeństwa. Jak udało się obejść zabezpieczenia firmy?
Już drugi raz w dzisiejszym odcinku mowa o ciasteczkach.
Serwery firmy rozpoznawały użytkownika na podstawie właśnie tej metody.
Badaczom bezpieczeństwa udało się znaleźć atak XSS na forum firmy.
W ten sposób, tworząc specjalnie spreparowany post, w momencie gdy którykolwiek z klientów odwiedzał dany wpis na forum, jego ciasteczko wysyłane było do atakującego.
Posiadając ten zasób, byli w stanie wygenerować token, który umożliwiał dostęp do innych zasobów na serwerze - w tym do pełnego konta użytkownika, razem z dostępem do rejestru lotów, zdjęć, lokalizacji GPS.
Tym razem mała i często niedoceniana podatność XSS umożliwiła szeroki dostęp do danych użytkownika.
I to wszystko w dzisiejszym odcinku.
Zapraszam do komentowania i subskrypcji kanału KacperSzurek na YouTube.
Do zobaczenia za tydzień.
Cześć!
Icon made by Eucalyp, monkik, srip from www.flaticon.com
