Wprowadzenie
To jest podcast Szurkogadanie czyli o bezpieczeństwie dla wszystkich.
Ja nazywam się Kacper Szurek i jak co tydzień przygotowałem kilka ciekawych informacji związanych z bezpieczeństwem bazując na weekendowej lekturze Zaufanej Trzeciej Strony.
Zapraszam do słuchania.
Przekręt na Technet
Portal technet to strona na której można znaleźć informacje na temat produktów firmy Microsoft - począwszy od dokumentacji a na forach dyskusyjnych skończywszy, gdzie użytkownicy dzielą się swoją wiedza.
Nie od dziś wiadomo że wyszukiwarki internetowe w swoim algorytmie służącym do znajdowania treści stosują kilka parametrów na podstawie których oceniają daną stronę.
Im strona wyżej oceniona - tym zazwyczaj wyżej w wynikach wyszukiwania. Podobno jednym z takich czynników jest wiek oraz jakość domeny.
Microsoft.com - bo właśnie w tej domenie znajduje się Technet wydaje się być stroną z wysoką reputacją - wszakże tworzona jest przez jednego z liderów branży IT a treści pojawiają się tam od dłuższego czasu.
Sytuacje tą zaczęły wykorzystywać osoby trzecie niezwiązane z Microsoftem - publikując na łamach tej witryny swoje numery telefonu wraz z opisami że są pracownikami tejże firmy i zajmują się obsługą klientów kryptowalut.
Jest to więc modelowy przykład scamu na suport techniczny, gdzie przekonujemy użytkownika do wykonania telefonu podszywając się pod jakiś podmiot.
Następnie prosimy go o numer karty kredytowej i w ten sposób kradniemy jego pieniądze.
Co ciekawe tutaj poszkodowany sam się z nami kontaktuje. Niedoświadczona osoba może bowiem nie zdawać sobie sprawy, że komentarze pod wpisami nie pochodzą od pracowników firmy a od losowych ludzi w Internecie.
Tutaj przedstawiłem problem w skali dużej, globalnej korporacji.
Ale podobna sytuacja może spotkać nas na naszych własnych osobistych blogach. Wystarczy bowiem że mamy udostępnioną funkcję komentarzy na naszej witrynie.
O ile linki do zewnętrznych stron są dość szybko blokowane przez różne filtry antyspamowe to numer telefonu można przecież zapisać w różnych formatach lub też słownie i o ile nie filtrujemy wszystkich komentarzy ręcznie to nie możemy być pewni, czy ktoś nie opublikuje takiego wpisu również i u nas
Atak Cold boot
Zapewne większość słuchaczy mojego podcastu swoje komputery przenośne ma zaszyfrowane czy to przy użyciu BitLockera czy też innego narzędzie służącego do szyfrowania całych dysków twardych.
Ale ilu z nas korzysta z uśpienia komputera a następnie zostawia go bez nadzoru?
Tak jest przecież szybciej.
Otwieramy pokrywę laptopa i od razu wita nas ekran logowania.
Nie musimy czekać na załadowanie systemu - wszystkie dane są bowiem dalej przechowywane w pamięci ram komputera, która to jest podtrzymywana przez baterię.
Ale czy zdawałeś sobie sprawę, że w ten sposób możesz się narazić na atak typu Cold boot?
Dzięki niemu atakujący może odczytać dane z pamięci RAM a następnie użyć ich do odszyfrowania dysku twardego.
Twórcy sprzętu już od dłuższego czasu zdaja sobie sprawę z istnienia tego rodzaju ataku. Wdrażają więc pewne usprawnienia, które mają chronić nasze dane.
Jeden z nich polega na nadpisywaniu pamięci RAM w momencie kiedy to przywracane jest zasilanie w danym urządzeniu.
Dzięki temu nawet jeśli atakujący wykona prawidłowo opisywany atak, nie znajdzie w pamięci niczego interesującego.
Twórcy najnowszego ataku znaleźli jednak sposób jak przy pomocy prostego narzędzia zmodyfikować kod chipu odpowiedzialnego właśnie za to zabezpieczenie.
Wystarczy malutkie pudełeczko przypinane do odpowiedniego kawałka płyty głównej.
Po usunięciu tego zabezpieczenia system jest bootowany z zewnętrznego dysku twardego.
W ten oto sposób atakujący uzyskuje dostęp do pamięci operacyjnej, z której to wydobywane są interesujące go dane - czyli klucze szyfrujące.
Jak zatem można chronić się przed tego rodzaju atakiem?
Najprościej za każdym razem całkowicie wyłączać komputer lub tez korzystać z trybu hibernacji.
Wtedy to dane nie są pozostawiane w pamięci RAM a na dysku, który to jest zaszyfrowany.
Warto też ustawić BitLockera aby wymagał pinu za każdy razem kiedy przywracane jest zasilanie do komputera.
Rubber ducky
Rubber ducky to narzędzie używane przez pentesterów na całym świecie.
Pomysł jest banalnie prosty - mamy pendrive USB, który jest rozpoznawany przez każdy komputer jako klawiatura.
Możemy tworzyć specjalne skrypty i zapisywać je na tym urządzeniu.
Definiujemy w nich jaki tekst ma być wpisany przy pomocy naszej wirtualnej klawiatury po podpięciu tego usb do komputera.
Jak można wykorzystać taką klawiaturę?
Załóżmy, że przeprowadzamy test penetracyjny w pewnej firmie.
W sobie tylko znany sposób uzyskaliśmy dostęp do pomieszczeń tej firmy.
Po małym rekonesansie zauważamy, że jeden z pracowników nie blokuje komputera podczas wychodzenia do toalety.
Czekamy więc aż ponownie opuści swój pokój.
Mamy więc fizyczny dostęp do urządzenia.
Owszem moglibyśmy zacząć pobierać jakieś pliki z Internetu i wykonywać dowolne komendy ale mamy mało czasu.
Pracownik może wrócić w każdej minucie.
W tym więc momencie podłączamy więc naszą małą klawiaturę usb.
Urządzenie automatycznie wpisuje potrzebne klawisze z szybkością karabinu maszynowego.
Może więc dla przykładu uruchomić linię komend przy pomocy skrótu Windows + r a następnie stworzyć jakiś plik z wcześniej przygotowaną treścią i go wykonać.
I to wszystko w ciągu paru sekund.
Opowiadam o tym dlatego, że w Internecie powstała open sourcowa wersja tego urządzenia.
Jeśli więc posiadasz zdolności majsterkowicza możesz stworzyć własną alternatywę za około 3 dolary.
AMSI w Office 365
Microsoft poinformował właśnie, że w najnowszej wersji Office 365 udostępni funkcjonalność AMSI - czyli Antimalware Scan Interface dla makr VBA.
Co to jest AMSI i co to oznacza dla zwykłego użytkownika? Pierwszy raz ten interfejs został udostępniony parę lat temu dla obsługi skryptów PowerShell.
Obecnie spora część złośliwego oprogramowania jest rozpowszechniana przy pomocy złośliwych makr VBA w dokumentach pakietu Office.
Skąd ta popularność? Oprogramowanie jest coraz bardziej skomplikowane i znajdowanie błędów 0day - coraz bardziej kosztowne.
Przestępcy idą więc po najmniejszej linii oporu i nie wykorzystują już błędach w aplikacjach a posługują się nieświadomymi użytkownikami.
Nie od dziś bowiem wiadomo że najsłabszym ogniwem jest człowiek i zawsze znajdzie się ktoś kto kliknie w miejsce, które nie powinien.
W taki właśnie sposób przestępcy dostają się na komputery użytkowników.
Aby utrudnić życie firmą antywirusowym makra te są specjalnie zaciemniane i obfuskowane - tak, aby nie było wiadomo co dokładnie robią.
Najlepiej pokazać to na przykładzie.
Makro może się łączyć z jakimś adresem w Internecie.
Zamiast zapisywać ten adres w normalnej postaci - czyli jako zwykły ciąg znaków rozpoczynający się od http:// przestępcy zapisują ten adres po jednej literce, mamy więc literkę h, t, t, p i dalszą część adresu.
Interfejs udostępniony przez Microsoft pozwolą na odszyfrowanie takich ciągów znaków i połączenie je w jeden - dlatego też oprogramowanie antywirusowe będzie mogło działać jeszcze skuteczniej.
Atak na hasła SMS
Tym razem jeden z badaczy bezpieczeństwa stworzył narzędzie, które pozwala przyspieszyć atak na dwuskładnikowe uwierzytelnienie jeśli korzystamy do tego celu z smsów.
Jak wygląda mechanizm ataku?
Zauważamy zablokowany telefon komórkowy pozostawiony bez opieki.
Nie wiemy do kogo należy. Nie znamy ani jego numeru telefonu ani adresu email używanego przez właściciela komórki.
Jednak telefon ten jest błędnie skonfigurowany i przy pomocy asystenta głosowego możemy wysłać przykładowy adres email nawet na zablokowanym ekranie.
W ten sposób pozyskujemy adres email ofiary.
Teraz resetujemy hasła do najpopularniejszych serwisów internetowych korzystając z poznanego wcześniej adresu email.
Jeśli mamy szczęście - i ofiara używa kodów SMS na telefonie zaczną się pojawiać kody autoryzujące reset hasła.
Ponieważ ponownie telefon jest błędnie skonfigurowany - wiadomości te możemy odczytać bez odblokowywania urządzenia.
Właśnie ustawiliśmy nowe hasła do kont należących do właściciela telefonu.
Jak zabezpieczyć się przed tym atakiem? Po pierwsze nie pozostawiać swojego telefonu bez opieki.
Po drugie wyłączyć asystenta głosowego na zablokowanym akranie.
Należy też wyłączyć podgląd notyfikacji na zablokowanym ekranie.
Warto też przestać korzystać z smsów i używać do tego celu aplikacji.
Wyświetlanie certyfikatów SSL w Safari
Parę dni temu pojawiła się nowa, 12 wersja iOS a razem z nią nowa wersje przeglądarki Safari na IPhone.
Jedną ze zmian, której pewnie nie zauważyliście jest sposób w jaki Safari zaczęło wyświetlać certyfikaty SSL Extended Validation.
We wcześniejszej wersji certyfikaty te wyświetlały nazwę firmy na którą wydany został certyfikat w pasku adresu.
Z funkcjonalności tej najczęściej korzystają banki - zazwyczaj informują one klientów aby sprawdzali czy w przeglądarce widnieje zielona kłódeczka wraz z nazwą banku - co ma chronić klientów przed atakami phisingowymi.
Certyfikaty Extended Validation różnią się w paru względach od zwykłych certyfikatów.
Po pierwsze - są dużo droższe. Obecnie nie istnieje żaden podmiot, który wystawiał by je za darmo.
Po drugie - nie jest możliwa automatyzacja procesu wystawienia certyfikatu ponieważ podczas procesu weryfikacji sprawdzane są informacje o firmie.
Wymagane są różne dokumenty potwierdzające, że posiadamy prawa do nazwy firmy, o certyfikat której wysyłamy żądanie.
Co ciekawe przeglądarka Chrome najprawdopodobniej również przymierza się do podobnego kroku.
Czy zatem za parę lat certyfikaty te stracą jakiekolwiek znaczenie? Co sądzicie o zmianach w Safari?
Błędy Bluetooth
Rok temu świat obiegła informacja o ataku przy pomocy Bluetooth, który pozwalał na przejęcie kontroli nad większością telefonów, Linuxów i Windowsów.
Rok później, firma która odkryła podatność poinformowała, że na świecie istnieje ponad 700 milionów urządzeń, które wciąż nie są załatane i które najprawdopodobniej nigdy załatane nie zostaną.
Mówimy tutaj głównie o starszych wersjach linuxa, Androida 5.1 oraz 6 czy też Windowsa.
To tylko pokazuje jak czasami ciężko jest dostarczyć odpowiednią aktualizację do wszystkich urządzeń które mogą być podatne.
Co ciekawe niektóre z tych urządzeń nie posiadają żadnej funkcjonalności aktualizacji - więc producent nigdy nie był w stanie poprawić żadnego błędu.
Jak odnaleźć złodzieja Tesli?
Ostatnio informowałem o problemach tesli z kluczykami przez co w niektórych samochodach przed uruchomieniem wymagany jest dodatkowy kod pin. Dziś opisze jak złapano przestępcę, który pokusił się o kradzież tego maleństwa.
W naszym kraju widok tesli to coś rzadkiego. Inaczej jednak w USA, gdzie samochód taki można bez problemu wypożyczyć.
Tesla posiada aplikacje na telefon - która po sparowaniu z pojazdem pozwala na jego zdalną obsługę.
Można dla przykładu otworzyć drzwi czy też włączyć silnik.
I najprawdopodobniej w taki sposób jeden z klientów wypożyczalni zdołał ukraść samochód - możliwe, że obsługa zapomniała rozłączyć telefon klienta z samochodem podczas jego oddania lub też coś po prostu poszło nie tak.
Przestępca miał trochę oleju w głowie i przed rozpoczęciem podróży wyłączył moduł GPS - przez co nie można było go namierzyć w ten sposób.
Zapomniał jednak, że ładując samochód elektryczny na stacjach Supercharger, które należą do Tesli pozostawia równie wyraźne ślady.
W taki oto sposób policja zdołała odzyskać zgubę i aresztować złodzieja.
Zmiany w programie bug bounty Facebook-a
Facebook poinformował o zmianach w swoim programie bug bounty.
Badacze bezpieczeństwa będą mogli teraz otrzymać nagrodę w ramach tego programu jeśli zidentyfikują, że jakaś zewnętrzna strona ujawnia tak zwany access_token.
Co to jest i dlaczego gigantowi tak bardzo zależy na bezpieczeństwie tego ciągu znaków?
Kiedy udzielamy jakiejś aplikacji zgody do wykonywania jakiś czynności na naszym koncie, w tym momencie aplikacja ta otrzymuje od Facebook access_token.
Jest to jednoznaczny identyfikator danego użytkownika, który pozwala na wykonanie za niego czynności, na które wcześniej użytkownik wyraził zgodę.
Jeśli więc jakaś strona przez swój błąd udostępnia taki identyfikator podmiotom trzecim, atakujący może przy pomocy tego ciągu znaków wykonać złośliwą akcję na profilu danego użytkownika. Bardzo dobry ruch ze strony Facebooka.
Teraz, jeśli ktoś zlokalizuje taki duży wyciek danych nie będzie musiał poszukiwać kontaktu do osób decyzyjnych a od razu będzie mógł poinformować o tym Facebooka, który podejmie dalsze kroki aby zapobiec potencjalnym atakom.
