[PL] Szurkogadanie #13

Homepage:

https://youtu.be/hj8Oln9Y_1o

Description:

Wprowadzenie

To 13 odcinek podcastu Szurkogadanie, w którym co tydzień prezentuje najciekawsze wiadomości ze światu bezpieczeństwa komputerowego.

Ja nazywam się Kacper Szurek i zapraszam do dzisiejszej audycji.

Transkrypcje tego nagrania znajdziesz na security.szurek.pl.

Większość linków z dzisiejszego wydania pochodzi z weekendowej lektury Zaufanej Trzeciej Strony.

Podcast

1. W zeszłym tygodniu informowałem o ataku socjotechnicznym na serwis dla freelancerów, gdzie złośliwe oprogramowanie było dystrybuowane w formie plików Worda, które miały zawierać informacje na temat zlecenia.

Podobną metodę wykorzystali przestępcy, którzy zaatakowali jeden z browarów. Tym razem złośliwy plik doc został przesłany jako odpowiedź na ogłoszenie o prace.

Mimo popularności tej metody jest ona ciągle jednym z najpopularniejszych sposobów dystrybucji Filecoderów.

Pamiętajmy aby nigdy nie uruchamiać obsługi makr dla plików pochodzących z zewnętrznych źródeł.

Informacja ta skłoniła mnie do przemyśleń na temat pracy działu HR. Jak bowiem ustrzec się przed takimi atakami? Wzorcowym rozwiązaniem było by uruchamianie zewnętrznego pliku otrzymanego od potencjalnego kandydata w odizolowanym od Internetu środowisku wirtualny. Z racji kosztów rozwiązanie to jest mało realne. Kolejną ideą jest zatem globalne wyłączenie obsługi makr w pakiecie Office.

To rozwiązanie może być problematyczne jeżeli w naszej firmie makra używane są w normalnych dokumentach i ich obsługa jest konieczna. Może zatem format pdf? Co zatem z atakami 0day na Adobe Reader? Jak często aktualizujemy to oprogramowanie? Czy zawsze jesteśmy na bieżąco?

A może używanie zewnętrznego serwisu do rekrutacji, w których cała aplikacja wyświetlana jest jako plik HTML?

A jakie Wy macie pomysły na bezpieczne przeprowadzenie takiego procesu? Dajcie znać w komentarzach.

2. W ONZ doszło do wycieku haseł oraz wewnętrznej dokumentacji z powodu błędnej konfiguracji na serwisie Trello. Jest to narzędzie służące do organizacji pracy. Działa ono jako wirtualna tablica, na której możemy dodawać nowe zadania.

Projekty w Trello są zorganizowane w tak zwane boards - mogą być one prywatne albo publiczne. Badacz po odnalezieniu jednego otwartego zasobu zidentyfikował pozostałe używając sztuczki. Wystarczy bowiem wejść w profil użytkownika i sprawdzić w jakich innych miejscach się on udziela. Jeśli i one są źle skonfigurowane - również do nich można uzyskać dostęp.

To nie pierwszy raz w tym roku kiedy podnoszony jest głos w prawie zasobów udostępnianych na tej stronie. Niektóre firmy używają jej do wewnętrznego dzielenia się hasłami do baz danych, email czy też serwisów społecznościowych.

Co ciekawe znalezienie takich wycieków jest bardzo proste - wystarczy użyć odpowiedniego zapytania do wyszukiwarki.

Publiczne strony są bowiem przez nie indeksowane. To dodatkowo zwiększa niebezpieczeństwo - nie wystarczy bowiem zmienić widoczności strony na prywatną ale również zmienić wszystkie hasła, klucze API i inne zasoby, które zostały zaindeksowane.

3. Często wspominam w tym podcaście o dwuskładnikowym uwierzytelnieniu. Coraz więcej firm wprowadza to rozwiązanie nie tylko do logowania do serwisów internetowych ale także do autoryzowania połączenia z pulpitem zdalnym w systemie Windows.

Jednym z popularniejszych rozwiązań tego typu jest Duo. Podczas testów penetracyjnych czasami udaje się uzyskać dane do logowania użytkownika - posiadamy wtedy dostęp do komputera ofiary na przykład przy pomocy wmiexec. Nie może jednak skorzystać z pulpitu zdalnego - ponieważ do zalogowania potrzebny jest token z telefonu.

Badacz opisuje jak można obejść to zabezpieczenie ze względu na specyficzna konfiguracje stosowaną w większości firm. Oprogramowanie takie po sprawdzeniu loginu i hasła łączy się z serwerem producenta w celu weryfikacja dwuskładnikowego uwierzytelnienia. Co jednak w przypadku kiedy serwer producenta nie odpowiada lub jest z nim jakiś problem?

W tym tez celu stosuje się rozwiązanie FailOpen - jeżeli aplikacja autoryzująca zauważy, że nie można połączyć się z serwerem - wtedy logowanie przebiega bez dwuskładnikowego tokena.

Atak jest więc następujący. Wystarczy zmodyfikować plik hosts tak, aby dla domeny producenta wskazywał na localhost. Jeżeli oprogramowanie wykryje problem z połączeniem - pozwoli na zalogowanie.

Oczywiście dalej potrzebujemy danych użytkownika i uprawnień administratora. Kolejny przykład że czasami decyzje biznesowe mogą wpłynąć na bezpieczeństwo firmy.

4. Tworzenie aplikacji na Androida nie jest taki proste. Poziom trudności dodatkowo wzrasta kiedy tworzymy menadżer haseł, który ma działać w tym ekosystemie.

Założenie jest proste - aplikacja ma podpowiadać zapisane hasła w przeglądarce oraz innych aplikacjach które wymagają zalogowania.

Ale jak rozpoznawać jakie hasło wyświetlić w danej aplikacji? Ze stronami internetowymi sytuacja jest klarowna - każda z nich posiada bowiem unikalna nazwę domeny.

Co zatem z aplikacjami na telefon? Spora część menadżerów do rozpoznawania aplikacji używa zatem nazwy zainstalowanej paczki z racji braku innych rozwiązań. Problem wynika jednak z faktu, że w Androidzie nie można do końca ufać takim nazwą paczek. Możliwe jest bowiem zainstalowanie fałszywej wersji aplikacji, która będzie się legitymowała kradzioną nazwą.

Wtedy to też menadżer haseł zacznie podpowiadać nasze zapisane dane w zewnętrznej aplikacji. Może więc dojść do kradzieży danych.

I właśnie na tym polegało najnowsze badanie na jednym z uniwersytetów. Dodatkowo sprawdzono czy menadżery sprawdzają wielkość okien do których uzupełniają treść. Z punktu użytkownika bowiem - jeżeli okienko logowania ma jeden milimetr - najprawdopodobniej jest ono fałszywe albo nieistotne.

Ale aplikacja tego nie wie. Tak samo jak nie rozróżnia kolorów. Interesujący ale mało praktyczny atak. Dalej bowiem użytkownik musi zostać nakłoniony do instalacji zewnętrznej, fałszywej aplikacji przy pomocy jakiejś socjotechniki.

Prościej jest zatem podczas instalacji poprosić o szersze uprawnienia takiej aplikacji - niż liczyć na uzupelnienie hasła z menadżera haseł.

5. Osoby zajmujące się bezpieczeństwem często widząc przykład ataków phishingowych łapią się za głowę mówiąc: “ja nie gdy nie nabrał bym się na ten atak”. Ale czy na pewno?

Od kilku dni można zaobserwować kampanie atakującą użytkowników strony Steam - czyli platformy dystrybucji cyfrowej gier. Po co komuś nasz dostęp do gier na naszym komputerze? Dla osób nieobeznanych z tematem: nie o gry tutaj chodzi a o wirtualne przedmioty z tych gier, które w obecnych czasach mogą kosztować nie miała fortunę.

Przejmując takie konto złodziej może spieniężyć nasze przedmioty i zarobić pieniądze. Jak wygląda taki atak? Atakujący wysyła nam link do strony pośredniczącej w wymianie. Ta natomiast prosi nas o zalogowanie się przy pomocy API Steama.

Tym razem wykorzystana jest technika picture in picture czyli obrazek w obrazku. Atakowany użytkownik nie otwiera bowiem oficjalnej strony Steama. W oknie przeglądarki wyświetlany jest obrazek łudząco przypominający kolejne okno przeglądarki.

Przestępcy zadbali o wiele detali - jest nawet informacja o certyfikacie. Mamy więc złudzenie że otwarliśmy kolejna kartę przeglądarki - a tak naprawdę nie opuściliśmy złośliwej strony i dane logowania zostały przekazane do atakujących.

Trzeba przyznać, że to bardzo pomysłowa technika. Jedynym jej mankamentem jest różnorodność przeglądarek obecnych na rynku. Każda wersja bowiem inaczej wygląda - atakujący musieli by zatem przygotować dużą liczbę gotowych szablonów graficznych.

Obecnie - idą na łatwiznę i wszystkim wyświetlają okienka z Google Chrome - zakładam jednak że sytuacja szybko się zmieni.

6. Przedstawiono wyniki badań na temat ataków DDOS na uniwersytety w Wielkiej Brytanii. Próbowano tam odpowiedzieć na pytanie kto i dlaczego mógłby chcieć atakować instytucje edukacyjne.

Widoczne są pewne schematy w atakach. Po pierwsze - słabną one na sile podczas wszelkiego rodzaju świąt oraz wakacji. Dodatkowo zazwyczaj nie odbywają się one w godzinach wieczornych.

Podano ciekawy przykład dlaczego akademiki mogą stać się przedmiotem ataków. Wie młodych osób gra teraz w różnego rodzaju gry online. Czasami aby zwiększyć swoją przewagę nad przeciwnikami wykorzystują ataki DDOS aby przeszkodzić rywalom w dostępie do usług. Takie zachowanie często powoduje atak odwetowy.

Innym częstym motywem jest próba demonstracji swoich umiejętności przed rówieśnikami. Pamiętajmy że takie postępowanie jest nielegalne i nie warto ryzykować swojej kartoteki dla kilku sekund chwaty przed kolegami.

Wszystkie młode osoby pragnące sprawdzić swoje umiejętności powinny zainteresować się konkursami CTF oraz programami Bug Bounty, gdzie zupełnie leganie można użyć swojej wiedzy i nauczyć się wielu ciekawych rzeczy.

7. Facebook kilka dnie temu poprosił sporą część swoich użytkowników o ponowne zalogowanie się w aplikacji oraz na swojej stronie.

Powodem takiego stanu rzeczy było odkrycie luki w zabezpieczeniach giganta, która pozwała na zalogowanie się na konto dowolnego użytkownika tego serwisu.

Wykorzystanie luki przebiegało w trzech etapach. Na serwisie istnieje opcja: “wyświetl jako”, która pozwala na sprawdzenie jak wygląda nasz profil oczami innego użytkownika.

W specyficznych okolicznościach - kiedy dany użytkownik obchodził urodziny na jego profilu pokazywał się nam przycisk umożliwiający wysłanie filmu na jego stronę.

Przycisk ten zawierał token, który mógł zostać wykorzystany do zalogowania się na profil tej konkretnej osoby przy użyciu aplikacji mobilnej.

Błąd ten istniał od pewnego czasu a został dostrzeżony przez Facebooka ponieważ przestępcy zaczęli go wykorzystywać na masową skale. Cały proces musiał być zautomatyzowany - trzeba było bowiem odnajdywać osoby, które obchodzą w danym dniu urodziny. Co najważniejsze - nie wyciekły żadne hasła żadnego użytkownika. Trzeba również pamiętać że w tym wypadku zmiana hasła nie uchroniła by nas przed błędem.

Atakujący pozyskiwali bowiem token sesyjny - który jest osobnym bytem, nie powiązanym z naszym hasłem użytkownika. Jego znajomość pozwala jednak na dostęp do naszego konta. Stąd też decyzja Facebooka aby zresetować tokeny 50 milionom potencjalnie zagrożonych użytkowników.

Sytuacja ta pokazuje że błędy zdarzają się nawet największym.

8. Jak uzyskać nieautoryzowany dostęp do najbardziej strzeżonych serwerów na świecie? Jeżeli posiadamy nielimitowane fundusze na myśl przychodzą dwa rozwiązania.

Pierwsze - zakup nienaprawionych i nieznanych jeszcze wcześniej błędów typu 0 day.

Jeżeli jednak zależy nam na niewykryciu naszych działań przez dłuższy okres czasu - pozostaje ingerencja w sprzęt elektroniczny. I tutaj znowu do wyboru są dwie możliwości. Pierwsza - to ingerencja w gotowy produkt - w momencie jego wysyłki do klienta końcowego. Podczas transportu przechwytuje się taką paczkę i odpowiednio modyfikuje jej zawartość.

Druga opcja to wprowadzenie modyfikacji bezpośrednio w fabryce - jeszcze przed momentem kiedy produkt trafi do producenta. I właśnie taka sytuacja miała miejsce w serwerach jednego z producentów gdzie na płytach głównych, podczas produkcji pojawił się jeden malutki, drobny element wielkości końcówki ołówka. On to służy jako backdoor sprzętowy i umożliwiał dostęp do serwerów z dowolnego miejsca na świecie.

Ataki tego rodzaju są bardzo trudno do wykrycia - w dzisiejszych czasach gdzie każdy komputer i procesor składa się z miliona drobnych części niezwykle trudno rozróżnić czy dany komponent jest częścią układu czy też nie.

Jedynym pocieszeniem jest fakt kosztów takiego ataku - zwykły Kowalski nie ma się bowiem czego obawiać.

9. Google zmienia regulamin hostowana rozszerzeń do przeglądarki Chrome w ramach Chrome Web Store. Najważniejsza zmiana to zakaz obfuskowania kodu źródłowego rozszerzeń. To krok w bardzo dobrą stronę.

Jak podaje Google ponad 70% złośliwych programów używało właśnie tej techniki aby utrudnić analizę swoich działań. Dodatkowo, konta deweloperów musza teraz obowiązkowo używać dwuskładnikowego uwierzytelnienia. Ma to utrudnić podmienianie legalnych rozszerzeń na fałszywe, jak to miało miejsce między innymi w przypadku ataku na mega.nz.

Co więcej, dodatki, które wymagają wysokich i niebezpiecznych z punktu widzenia bezpieczeństwa uprawnień będą musiały przechodzić dodatkowy proces weryfikacji.

Firma chce się szerzej przyjrzeć zwłaszcza tym podmiotom które wykonują kod pochodzący z zewnętrznych domen.

I to wszystko w dzisiejszym odcinku. Zapraszam do komentowania i subskrypcji kanału Kacper Szurek na Youtube, Do zobaczenia już za tydzień. Cześć!

Odnośniki

1 2 3 4 5 6 7 8 9

Timeline: