Wprowadzenie
Cześć!
Ja jestem Kacper Szurek a to 31 odcinek podcastu Szurkogadanie w którym opowiadam o bezpieczeństwie komputerowym.
W tym odcinku: jak sekunda przestępna doprowadziła do spadku wydajności?
Różne adresy email prowadzące do jednej osoby - o kropkach w serwisie Gmail.
Sposób na kradzież pieniędzy od użytkowników ebooków.
Phishing przy pomocy tłumacza Google Translate.
Czy ustawianie wiadomości autorespondera w biznesowej poczcie to dobry pomysł?
Co to jest session replay - czyli jak śledzić poczynania użytkowników aplikacji mobilnych.
Opowieść o linkach z sekretami - jakie dane można znaleźć na serwisie virustotal?
Do czego służy Facebook Custom Audiences a także o programach Bug Bounty.
Podcast ten można również znaleźć na Spotify oraz Google i Apple Podcasts oraz Anchor.
Jeżeli interesujesz się branżą security lub jesteś programistą, który chciałby zadać pytanie o swój kod - zapraszam na grupę od 0 do pentestera na Facebooku.
Większość materiałów do tego odcinka odnalazłem dzięki Weekendowej Lekturze Zaufanej Trzeciej Strony.
Zapraszam do słuchania!
Sekunda przestępna
Czas płynie nieubłaganie i dotyczy każdego z nas.
Czas jest również istotny dla komputerów - wszak wiele informacji zapisywanych w systemach komputerowych opiera się właśnie na tych danych.
Teoretycznie nawet dziecko w podstawówce potrafi powiedzieć co to sekunda.
Najprostsza definicją jest ta, w której sekunda to część doby doby.
Fizycy definiują tą wartość bardziej zawile - jako to czas równy okresom promieniowania odpowiadającego przejściu między dwoma poziomami F = 3 i F = 4 struktury nadsubtelnej stanu podstawowego atomu cezu.
Sprawa robi się jeszcze bardziej skomplikowana kiedy weźmiemy kwestię wyrównania różnicy czasu pomiędzy wartościami zmierzonymi przez zegary atomowe, a faktycznym czasem obiegu Ziemi wokół Słońca.
Chodzi o sekundę przestępna - która może być dodana lub odjęta zwykle ostatniego dnia czerwca lub grudnia.
Taka sytuacja miała miejsce jedynie kilkadziesiąt razy.
A nie od dziś wiadomo - że rzadkie, nietypowe sytuacje musza być dodatkowo opisane w kodzie źródłowym.
Tak jest i w tym wypadku - gdzie kod odpowiedzialny za czas musi w odpowiednim momencie dodać dodatkową sekundę.
Popularnym rozwiązaniem jest pojawienie się wartości 59 dwa razy - po sobie.
Tylko - jeżeli coś występuje bardzo rzadko - to istnieje wysokie prawdopodobieństwem, że nie jest dobrze przetestowane.
I właśnie tak jest w tym wypadku.
W Linuxie dużo akcji opiera się na czasie - kiedy to system w odpowiednim momencie wybudza procesy i wątki aby te mogły wykonać swoje czynności.
Błąd w module hrtimer sprawił, że po dodaniu tej dodatkowej sekundy - system zwariował i wybudził wszystkie procesy równocześnie - co spowodowało drastyczny spadek wydajności.
Wszystkie aplikacje w tym samym momencie zaczęły bowiem walczyć o te same zasoby systemowe.
Dotyczy to głównie baz danych.
Sytuację tą doskonale podsumował wykres z serwerowni Hertzner, która podzieliła się danymi zużycia prądu właśnie w momencie dodawania dodatkowej sekundy.
W wyniku błędu bowiem wiele serwerów rozpoczęło prace na 100% mocy obliczeniowej - co równocześnie wiąże się ze zwiększonym zużyciem poboru mocy.
Ciekawostka i nauka, że rzadkie sytuacje kiedyś jednak się zdarzają, więc warto być wcześniej na nie odpowiedni przygotowanym.
Fałszywe ksiażki na Kindle
Widok osób czytających książki przy pomocy Kindla albo innego elektronicznego czytnika już nikogo nie dziwi.
Na pierwszy rzut oka możemy założyć, że taka aktywność jest bezpieczna.
Jak bowiem moglibyśmy stać się ofiarą jakiegoś ataku poprzez czytanie lektury na naszym urządzeniu?
Ale tam gdzie pieniądze tam i przestępcy, którzy próbują oszukać klienta.
Okazuje się, że narażone są wszystkie branże - również ta czytelnicza.
W sklepie Amazona, w którym można kupić wirtualne wersję popularnych powieści można natknąć się na ciekawy sposób oszustwa, oparty na filmach.
Tworzone są fałszywe książki, dostępne w różnych cenach oraz tytułach.
Wszystkie jednak posiadają podobne stylistycznie loga.
Na pierwszy rzut oka można bowiem odnieść wrażenie, że nie jest to wpis dotyczący książki a video.
Do takiego stanu rzeczy przekonuje tytuł, nawiązujący do najnowszych hollywoodzkich filmów.
A okładka posiada charakterystyczną ikonkę strzałki, która kojarzy się nam z przyciskiem "odtwarzaj" znanym z popularnych serwisów, chociażby youtuba.
Po zakupie takiej książki, oszukany użytkownik otrzymuje jedną stronę tekstu z opisem nowego filmu, który ma pojawić się w kinach dopiero za jakiś czas.
Równocześnie, w treści znajduje się odnośnik przekonywujący, że już teraz film ten można zobaczyć w zaciszu swojego mieszkania.
Oczywiście link ten prowadzi do serwisów, w których trzeba podać swoją kartę kredytową - która to zgodnie z regulaminem będzie co miesiąc obciążana drobną kwotą.
Trzeba przyznać, że to interesujący sposób na zarobek.
Ciekawe jak ze skutecznością takiego przekrętu i ile osób, które szuka danego filmu online, natrafia właśnie na tą pozycję książki.
Interesujące muszą być również statystyki zwrotu takiego niezgodnego z umowa produktu.
Czy użytkownicy mają czas i ochotę na wypełnianie formularza zwrotu jeżeli to tylko kilka złotych?
A może chodzi tylko o przekonanie ich do wejścia na serwis do którego link znajduje się w opisie?
Sytuacja ta przypomina trochę aukcję na naszych rodzimych platformach sprzedażowych, kiedy to nieuczciwi sprzedawcy wystawiają drogie produkty w stylu telefonów w okazyjnych cenach a następnie w treści ogłoszenia, informują potencjalnego nabywcę, że sprzedają tak naprawdę zdjęcie danego towaru a nie fizyczne urządzenie.
Pomysłowość ludzi nie ma granic.
Dodatkowe adresy email w Gmail
Jeżeli używasz Gmaila jako swojego głównego konta email - możesz nie być świadomy, że oprócz głównego adresu - posiadasz jeszcze kilka innych, które również będą działały.
W każdym momencie możesz bowiem dodać do swojej nazwy użytkownika dodatkowe kropki - a wiadomość dalej trafi na twoje konto.
Jeżeli zatem posiadasz adres [email protected] działać będzie również imie.nazwisko albo imie.n.a.z.wisko
Jeżeli połączymy to z kolejną funkcją, gdzie po loginie można podać znak + a potem dodatkowy tekst ilość kombinacji znacząco się zwiększa.
Ale dlaczego o tym opowiadam?
O ile bowiem gmail traktuje to jako to samo konto - inne serwisy internetowych będzie traktowała każdy z takich adresów jako unikalny
Wszak - kropka znajduje się w innym miejscu a nie każdy system mailowy musi działać tak samo jak gmail.
Ta to funkcjonalność jest ostatnio używana w atakach.
Dzięki niej atakujący mogą modyfikować nazwę nadawcy – tak, że dla systemów antyspamowych będzie ona za każdym razem inna.
A tym czasem wszystkie odpowiedzi na te konta będą trafiały do jednego systemu – co ułatwia zarządzanie procederem.
Phishing z wykorzystaniem Google Translate
Nie tak dawno opisywałem metodę nadużycia serwisu Google Translate - służącego do tłumaczenia wiadomości.
Wtedy mówiłem o tym, jak można użyć go do ominięcia blokady rodzicielskiej nałożonej na komputer naszego dziecka lub też ucznia w szkole.
Ale to nie jedynie nadprogramowe użycie tego mechanizmu.
Tym razem przestępcy postanowili użyć tego serwisu do przeprowadzania ataku phishingowego.
Zamiast w treści wiadomości email zawierać link do złośliwego serwisu - przekierowywali niczego nieświadomego użytkownika do serwisu google translate.
Ten to tłumaczył złośliwą stronę z obcego języka na angielski i wyświetlał atakowanemu.
Ten atak jest genialny w swojej prostocie.
Cały czas zwraca się bowiem użytkownikom uwagę aby sprawdzali na jaki adres wchodzą i czy jest im znany.
Ten adres jest znany - wszak to oficjalna domena Google i oficjalna usługa do tłumaczenia treści.
Dopiero w dalszej części adresu znajduje się parametr zawierający złośliwą stronę internetową.
Co więcej ta metoda może omijać niektóre firewalle i filtry - wszak użytkownik nie łączy się bezpośrednio ze złą stroną a niejako porzez serwer proxy - czyli przez tłumacz google.
A ta domena jest znana i zazwyczaj znajduje się na białej liście wielu producentów.
Trzeba przyznać ciekawa metoda.
Czy używać autorespondera?
Jeżeli pracujesz w dużej korporacji istnieje spore prawdopodobieństwo że korzystałeś albo w niedalekiej przyszłości skorzystasz z autorespondera - czyli funkcjonalności poczty internetowej, która automatycznie odpowiada na daną wiadomość wcześniej ustawionym komunikatem.
Teoretycznie używa się tej opcji gdy jesteśmy na dłuższych wyjazdach - aby zakomunikować naszym współpracownikom, że niestety nie możemy zająć się danym problemem.
Ale czy zastanawiałeś się jak to wygląda z punktu widzenia bezpieczeństwa?
Dzisiaj spojrzenie na ten temat właśnie od tej strony.
Prześledźmy najpopularniejsze schematy.
Pierwsza - jestem nieobecny w pracy pomiędzy datą x i y.
Dla potencjalnego atakującego to świetna wiadomość - może bowiem próbować zaatakować słownikowo nasze konto właśnie wtedy - wiedząc, że nasz czas reakcji i obrony jest ograniczony.
Jeżeli pozyskał już wcześniej dane do logowania – na przykład przy pomocy phishingu – wykorzystanie ich właśnie w tym terminie wydaje się być idealnym pomysłem.
I nie chodzi tu tylko o pracę.
Przecież jeżeli jesteśmy na wakacjach to równocześnie nie ma nas w domu - więc włamanie będzie dużo prostsze - zwłaszcza jeżeli nasza wycieczka jest kilkutygodniowa a nie tylko weekendowa.
Drugi komunikat - W pilnych kwestiach skontaktuj się z osoba x, y, z.
Ta wiadomość może dać atakującemu wstępne rozeznanie w kwestiach organizacyjnych danej firmy.
A takie dane można wykorzystać w ataku socjotechnicznym.
Jeżeli bowiem wiemy, że osoba y jest szefem x - możemy napisać do niej maila, próbując przekonać ją o dostęp do jakiejś informacji, powołując się wcześniej na daną osobę.
Czym zatem powinna charakteryzować się prawidłowa informacja o nieobecności?
Brakiem dat.
Nie zawsze autoresponder musi być aktywny dla wszystkich maili przychodzących - może warto, ustawić go jedynie dla mailów wewnątrz naszej organizacji?
Nasi zewnętrzni kontrahenci niekoniecznie musza posiadać wiedzę na danym temat.
Na pewno nie powinniśmy się również chwalić gdzie wyjeżdżamy na wakacje.
Ta wiedza nie jest nikomu potrzebna
Session replay
Jeżeli tworzysz jakąś aplikację mobilną - możesz być zaznajomiony z tematem session replay.
Jest to odtwarzanie ruchów użytkownika, które poczynił przy pomocy aplikacji.
A mówiąc prościej - narzędzie analityczne zapisuje każde klikniecie czy też wpisywany klawisz do danej aplikacji i wysyła te dane do zewnętrznego serwera.
Następnie, twórcy mogą prześledzić takie sesje - sprawdzając jak zachowują się użytkownicy, gdzie klikają, jakie miejsca przykuwają ich uwagę.
Pomaga to również w naprawianiu błędów - widać bowiem jakie ruchy wykonywano.
Tylko, że to rozwiązanie jest problematyczne - zwłaszcza, jeżeli dane te są nagrywane wtedy, gdy użytkownik podaje wrażliwe informacje.
Chociażby numer karty kredytowej - wtedy to aplikacja, powinna posiadać odpowiednie wyjątki, które sprawiają - że dane miejsca na planszy są zaciemniane i nie jest możliwe odzyskanie informacji, które tam podano.
Tylko, że prawidłowe ustawienie tych miejsc nie jest takie proste jak mogło by się wydawać.
Dodatkowo, w regulaminach należało by umieścić odpowiednie informacje - tak, aby użytkownik był świadomy, że jego ruchy są nagrywane i śledzone.
Cała awantura o to, że wiele popularnych aplikacji dużych firm na iPhone śledziło w taki sposób użytkownika.
Ponieważ na cała procedurę nie potrzebna była zgoda Apple.
Na dotykanie czy też wpisywanie elementów do aplikacji nie potrzeba bowiem dodatkowych uprawnień, tak jak to ma miejsce w przypadku próby dostępu do zdjęć czy mikrofonu.
Po publikacji materiałów, firma poinformowało twórców, że musza dany kod usunąć albo odpowiednio informować o nim swoich użytkowników.
W przeciwnym razie, aplikacje zostaną usunięte ze sklepu.
Bardzo interesujące doniesienia - spore grono osób uważa bowiem ekosystem ios za bezpieczny.
Ciekawe o ilu jeszcze podobnych historiach powiązanych z prywatnością nie wiemy.
A wszystko po to aby jeszcze lepiej sprzedawać reklamy, targetować użytkowników i tworzyć coraz bardziej wiążące marki i produkty.
Tajne pliki a VirusTotal
Virustotal to popularna usługa, która pozwala na sprawdzenie danego pliku lub adresu url wieloma różnymi silnikami firm antywirusowych.
Dzięki temu użytkownik końcowy uzyskuje szybką informację na temat danego obiektu.
I to wszystko bez instalowania każdego z rozwiązań osobno na swoim komputerze.
Badacz zwrócił jednak uwagę na dane, które są czasami wysyłane do tego serwisu przez użytkowników.
Weźmy chociażby najprostsze adresy url.
Czasami, w treści adresu zawarte są tajne dane - które pozwalają na dostęp do danego obiektu.
Chociażby usługa Dropbox, która pozwala na przechowywanie informacji w chmurze.
Standardowo dane dostępne są tylko dla naszego konta.
Można jednak udostępnić je szerszej publiczności - tworząc odpowiedni link.
W tym to linku znajduje się losowa wartość - na podstawie której serwer wie, że dany użytkownik posiada dostęp do danego zasobu.
Jeżeli zatem ten link zostanie opublikowany w Internecie - to każdy, kto zna jego treść może pobrać dany materiał.
Wysyłając te adresy na serwis virustotal sprawiamy, że stają się one publiczne i mogą być następnie wyświetlane w tym serwisie.
Czasami zwraca on podobne rezultaty do naszych, które już wcześniej zostały wysłane na daną witrynę.
Podobna sprawa dotyczy plików.
Jeżeli tajny plik zostanie przesłany do serwisu - to zostanie on tam przetworzony i zapisany na zawsze.
Dlatego przed wysłanie pliku warto zastanowić się czy aby na pewno chcemy to zrobić.
Alternatywą jest wysyłanie samego hasza pliku.
Nie dzielimy się wtedy jego treścią a jedynie sprawdzamy, czy ktoś wcześniej przed nami nie podzielił się już tym plikiem.
Facebook Custom Audiences
Facebook Custom Audiences to potężne narzędzie marketingowe dostępne na tej platformie.
W skrócie - jeżeli posiadasz listę adresów email lub tez telefonów swoich klientów możesz ją wysłać do Facebooka i na podstawie tych danych wyświetlać reklamy konkretnym osobą, które pasują do podanych wcześniej informacji.
Dzięki temu reklama może jeszcze skuteczniej trafiać do tych, na których najbardziej Ci zależy - chociażby do byłych klientów, którzy już wcześniej odpowiedzi Twoja placówkę.
Wcześniej serwis wyświetlał w szczegółach reklamy jedynie informacje na temat firmy, która wysłała te dane.
Teraz dodatkowo będzie można dowiedzieć się kiedy dana lista została przesłana do serwisu, przez kogo a także czy jest ona współdzielona pomiędzy markami i partnerami.
W założeniu - ma to pomoc klientom dostrzec skąd firmy zewnętrzne posiadają informacje na ich temat i czy aby na pewno posługują się nimi zgodnie ze zgodami, które wcześniej wyraziliśmy.
Hasła na sprzedaż
W odmętach Internetu można natrafić na oferty sprzedaży różnego rodzaju informacji.
Ostatnio uwagę badaczy przykuły, posty - gdzie sprzedawane są loginy i hasła do systemów zarządzania treścią różnych serwisów z wiadomościami.
Nie ma dowodów czy oferty te są prawdziwe i czy rzeczywiście sprzedawcy są w stanie dostarczyć daną usługę.
Jeżeli jest to jednak prawda - ten trend bywa mocno niepokojący.
Takie serwisy można bowiem użyć do dezinformacji a także tworzenia fake newsów.
Jeżeli bowiem mówimy o popularnych witrynach, w których chodzenie pojawiają się dziesiątki różnych wiadomości - jak rozpoznać te prawdziwe, od tych fałszywych?
Takie witryny posiadają zazwyczaj dość spory ruch pochodzący od wielu Internatów - mogą być zatem idealnym celem do kampanii oprogramowaniem typu coinminer, kiedy to w treści danej witryny, umieszcza się specjalny kod JavaScript.
Przy jego pomocy przy użyciu mocy obliczeniowej naszego komputera wydobywane są krypto waluty.
Przestępcy w taki sposób mogą finansować swoja działalność - a nasz komputer działa coraz wolniej.
Ataki na serwisy informacyjne mogą być niebezpieczne jeszcze z jednego powodu.
Jeżeli bowiem udało się zdobyć dostęp do panelu redaktorskiego, może udało się również zdobyć dostęp do komputera redaktora.
W takiej sytuacji - fałszywa wiadomość nie tylko pojawiła by się na ekranie komputerów ale również na wydrukowanym już magazynie.
A z tego miejsca nie da się już jej w prosty sposób usunąć - no chyba, że wydawca zdecyduje się na wstrzymanie całego nakładu danej gazety.
A to wiąże się z bardzo dużym kosztami.
Temat ten jest tym ważniejszy w tym roku - w kontekście nadchodzących wyborów w naszym kraju.
Nie od dziś wiadomo że media to potężna siła i ten kto kontroluje informacje w nich zawarte -ma przewagę nad przeciwnikiem.
Bug bounty a pieniądze
Programy Bug Bounty to inicjatywy, w których firma pozwala na etyczne włamywanie się do swoich zasobów.
Dzięki temu badacze bezpieczeństwa mogą szlifować swoje umiejętności równocześnie sprawiając, że dane strony czy tez serwery są coraz bezpieczniejsze.
Co jakiś czas podnosi się jednak głos w sprawie pieniędzy w odniesieniu do tego rodzaju programów.
Każdy z nich bowiem może mieć różne reguły.
Są programy darmowe - w których nie otrzymuje się żadnej gratyfikacji finansowej.
Niektóre firmy, przesyłają różnego rodzaju podarunki - począwszy od najpopularniejszych t-shirtów a skończywszy na bluzach, plecakach czy tez laptopach.
Na samym końcu mamy te, które płacą pieniądze.
I tutaj stawki bywają różne - od kilku do kilkuset tysięcy dolarów per błąd - w zależności od jego rodzaju oraz potencjalnego wpływu na daną firmę, gdyby dany błąd został użyty przez atakującego.
Błąd błędowi bowiem nie równy i nie wszystkie są tak krytyczne jak mogło by się wydawać.
Tym razem podniesiono głos w sprawie programu przeprowadzanego przez Sony - kiedy to badacz za zgłoszenie dwóch krytycznych błędów otrzymał od firmy koszulkę.
Trzeba bowiem pamiętać, że sam proces znajdowania podatności nie należy do najprostszych.
Jest to kombinacja, czasu, energii, umiejętności i odrobiony szczęścia.
Niektóre osoby - żyją z takiego poszukiwania błędów i właśnie w en sposób płacą za swoje rachunki.
Czy zatem wysyłanie koszulki jest fer?
Za ten sam błąd - odnaleziony przez zewnętrzną firmę w ramach testów penetracyjnych wystawiona była by bowiem faktura.
Czy zatem tacy badacze, freelancerzy - którym płaci się tylko za rezultaty - winni zawsze otrzymać zapłatę?
Równocześnie kilkadziesiąt dni temu zwrócono uwagę na jeszcze jeden szczegół dotyczący tych programów.
Dana firma może mieć bowiem równocześnie kilka programów, które dotyczą tych samych stron czy tez usług.
Mowa tutaj o tak zwanych prywatnych programach - do których trzeba otrzymać zaproszenie.
Zaproszenia dystrybuowane są głównie na podstawie poprzedniej działalności danej osoby, jakości wpisów, typów błędów i innych czynników.
Może zatem dojść do sytuacji - gdzie ten sam błąd odnaleziony w tym samym komponencie przez dwóch różnych badaczy będzie powiązany z różnymi kwotami.
W prywatnym programie bowiem - ktoś otrzyma za niego pieniądze a w publicznym jedynie koszulkę lub też podziękowania.
Czy zatem nie jest to pewnego rodzaju dyskryminacja?
Trzeba jednak przyznać, że sytuacja na rynku zmienia się na lepsze.
Jeszcze parę lat temu nikt nie wiedział co to bug bounty, a o pieniądzach za zgłaszanie błędów można było tylko pomarzyć.
Myślę zatem, ze taka forma testowania firm - będzie coraz popularniejsza.
Głownie z faktu - że tutaj płaci się tylko za rezultaty, a nie za próby - jak w przypadku zwykłego pentestu czy tez red teamingu.
iPhone vs złodzieje
Już od dłuższego czasu w Iphonach dostępna jest opcja znajdź mój telefon.
Jeżeli nasz telefon zostanie skradziony - logując się na nasze konto icloud mamy możliwość wyświetlenia jego lokalizacji na mapie, zmienienie jego statusu na skradziony, zdalne usunięcie danych a także wysłanie wiadomości do przestępcy.
To sprawia, że kradzież tych telefonów jest problematyczna - jeżeli bowiem legalny użytkownik nie wyloguje się ze swojego konta icloud - to dla potencjalnego przestępcy telefon ten jest bezużyteczny.
Nie można bowiem z niego korzystać aż do momentu, gdy nie zostanie zdjęta z niego blokada.
To sprawia - że taktyki kradzieży telefonów ewoluowały.
W stanach - coraz częściej mamy do czynienia z przypadkami, gdy przestępcy grozą ofierze bronią i przed kradzieżą - zmuszają takiego użytkownika do wylogowania się z danego telefonu.
Jakie pozostają bowiem możliwości, jeżeli telefon jest zablokowany?
Istnieją 2 drogi odblokowania.
1 - kradzież hasła do konta oficjalnego nabywcy. Tutaj stosuje się różnego rodzaju socjotechniki, gdzie poszkodowanemu wysyła się odnośniki do fałszywej wersji serwisu icloud.
Jeżeli w taki sposób zdobędzie się dane do logowania - telefon może być odblokowany a następnie sprzedany.
Druga opcja to skorzystanie z oficjalnego serwisu Apple - tam, menadżer sklepu w uzasadnionych przypadkach może zdjąć blokadę z telefonu.
Musi mu jednak zostać przedstawiony oryginalny dowód zakupu takiego urządzenia.
Jak możesz się domyślać - przestępcy tworzą fałszywe wersje rachunków od operatorów telekomów i próbują użyć ich jak oryginałów.
I to już wszystko w tym tygodniu.
Jeżeli ten materiał Ci się spodobał zapraszam do subskrypcji kanału KacperSzurek na YouTube.
Icon made by Freepik, Pixel perfect, Google www.flaticon.com
