[PL] Szurkogadanie #14

Homepage:

https://youtu.be/pjaki5QHCAo

Description:

Wprowadzenie

Witam w 14 odcinku podcastu Szurkogadanie, w którym przedstawiam informacje o bezpieczeństwie komputerowym.

Transkrypcje tego nagrania znajdziesz na szurek.pl.

Linki odnaleziono dzięki weekendowej lekturze Zaufanej Trzeciej Strony. Zapraszam do słuchania.

Podcast

1. Istnieje pewne powiedzenie mówiące iż to co raz zostało wysłane do Internetu pozostaje w nim na zawsze.

Nadal jednak istnieją firmy, które próbują usunąć z wyszukiwarek kompromitujące dla siebie fakty i materiały.

Jak można tego dokonać? Używając wezwań DMCA.

W założeniu miały one służyć do usuwania z wyszukiwarek treści, które naruszają nasze prawa autorskie.

Mowa więc o stronach, z których dla przykładu można pobrać najnowsze Hollywoodzkie produkcje za darmo.

Pojawiły się firmy specjalizujące w tego rodzaju usługach. Schemat działania jest prosty.

Do firmy zgłasza się podmiot chcący usunąć z wyników wyszukiwania konkretny rezultat.

Firma kopiuje treść ze strony będącej przedmiotem żądania a następnie wkleja ją na jedna ze swoich domen.

Są to pewnego rodzaju strony z fałszywymi artykułami. W skopiowanym artykule ustawiana jest data wstecz.

Czytelnik ma zatem wrażenie, że treść została skopiowana właśnie z tej strony i nielegalnie opublikowana na innym serwisie.

Następnie wysyła się żądanie do firmy Google z informacją o całym incydencie i jeśli mamy trochę szczęścia, dany wynik znika z wyszukiwarki.

Szybko prosto i skutecznie. Oczywiście podczas zgłaszania żądania DMCA podajemy te informacje pod rygorem odpowiedzialności karnej, ale kto by się tym przejmował jeżeli w grę wchodzą duże pieniądze?

2. Często wspominam o atakach na dane trzymane w infrastrukturze Amazona. Atakujący odnajduje klucze API, które są następnie używane do pobrania danych z usług takich jak S3.

Dlatego tez osoby zajmujące się bezpieczeństwem wpadły na genialny sposób. A może by tak wygenerować fałszywe klucze API, a następnie ukryć je w różnych miejscach naszej infrastruktury?

Jeśli więc atakujący uzyska do niech dostęp i spróbuje ich użyć, nasze oprogramowanie monitorujące powiadomi nas o tym fakcie i z wyprzedzeniem będziemy w stanie wykryć prawdopodobny atak.

Takie klucze nazywane są honey-tokenami. W teorii wszystkie brzmi wyśmienicie. Praktyka jednak jest nieco odmienna od rzeczywistości.

Obecnie atakujący wykorzystują pewną technikę aby odróżnić prawdziwe tokeny od tych podłożonych przez badaczy.

W jaki sposób? Monitorowanie wykorzystania kluczy opiera się na usłudze CloudTrail, która zapisuje w logu wszystkie wykorzystania danego tokenu.

Okazuje się jednak, że nie wszystkie usługi Amazona są podpięte do tej funkcjonalności. Jeśli więc atakujący wykorzysta jedną z niszowych usług, jego aktywność pozostanie bez śladu.

Dodatkowo wykorzystują oni rozbudowane komunikaty błędów, które Amazon zwraca podczas wykonywania różnych akcji.

Doświadczony atakujący tyko na podstawie komunikatu może stwierdzić czy dane należą do fałszywego konta czy tez do prawdziwej strony.

Przykład że małe detale czasami robią różnice.

3. Telegram - czyli jeden z komunikatorów, który poprzez szyfrowanie zapewnia duża dozę bezpieczeństwa w specyficznych warunkach ujawniał informacje na temat adresu IP osoby, z która rozmawialiśmy.

Do sytuacji tej mogło dojść podczas rozmowy przy pomocy protokołu peer-to-peer. Atakujący musiał tylko odczytać podany adres z poziomu konsoli debugowej zawartej w aplikacji.

Aby uchronić się przed tym atakiem należy w opcjach komunikatora wyłączyć opcję P2P. Wtedy to nie komunikujemy się bezpośrednio z drugą osobą, ruch bowiem najpierw przechodzi przez serwery telegrama.

Standardowo opcja ta była włączona tylko dla naszych kontaktów - co nieco zawęża prawdopodobieństwo ataku. Jeśli bowiem ktoś jest w naszych kontaktach to najprawdopodobniej go znamy i ufamy.

Tutaj do gry wchodzi kolejny błąd. Podczas logowania do aplikacji - w wyniku błędu zwracała ona złą wartość co sprawiało że przez kilka godzin zamiast standardowej opcji Tylko dla znajomych ustawienia te były zmieniane na “Wszyscy”.

4. Pozostając w temacie komunikatorów. Tym razem o WhatsApp oraz o rosnącej fali kradzieży kont.

Wykorzystywany jest schemat na pocztę głosową. Jak działa ta metoda?

Podczas logowania się przy użyciu nowego telefonu w aplikacji, jesteśmy proszeni o podanie naszego numeru telefonu.

Następnie WhatsApp wysyła nam na niego kod autoryzacyjny przy użyciu smsa.

Po jego przepisaniu - jesteśmy zalogowani na nasze konto.

Jeżeli sms do nas nie dochodzi albo tez kilka razy przepiszemy go błędnie - możliwa jest opcja autoryzacji przy pomocy rozmowy telefonicznej, podczas której automat dyktuje nam kod weryfikacyjny w postaci głosowej.

Atak przebiega kilku etapowo. Najpierw atakujący musi odgadnąć nasze hasło do poczty głosowej. Często są to banalne piny w stylu 1234 czy 9999.

W Internecie można odnaleźć narzędzia które automatyzują cały proces zgadywania kodu. Używają do tego celu bramek głosowych.

Następnie atakujący dzwoni na nasz telefon - tak aby nasza linia była zajęta.

Wtedy to też próbuje zalogować się na nasze konto. WhatsApp próbuje dodzwonić się na nasz telefon - jest jednak zajęty, więc wiadomość zostaje nagrana na poczcie głosowej.

Atakujący może ją więc teraz odczytać i przy jej użyciu zalogować się na nasze konto.

Jak ochronić się przed tym atakiem? Wyłączyć pocztę głosową lub ustawić na niej skomplikowane hasła.

Warto również włączyć dwuskładnikowe uwierzytelnienie w samym WhatsApp. Wtedy to oprócz hasła sms, musimy również podać dodatkowy kod znany tylko nam w celu powiązania nowego telefonu z naszym kontem.

5. W Nowej Zelandii w życie weszło właśnie nowe prawo, które pozwala na nałożenie mandatu do 5000 dolarów na osobę, która odmówi odblokowania telefonu na granicy.

Dotychczasowo, turyści byli wezwani do udostępnienia gadżetów elektronicznych podczas kontroli na życzenie straży granicznej.

W przepisach nie było jednak żadnej zmianki na temat odblokowywania urządzeń oraz przekazywania haseł dostępowych.

W teorii sprawdzenie telefonów ma się odbywać bez podłączania ich do Internetu i chmury.

Sprawdzający będą więc mieli dostęp jedynie do lokalnych danych zawartych w urządzeniu. Akt ten nie podoba się osobą zajmującym się prawami człowieka.

Władze nie musza bowiem podać żadnego powodu, dlaczego chcą przeglądnąć naszą własność. Według statystyk w poprzednim roku pod lupę wzięto 540 urządzeń.

A jak wy uważacie? Czy to dużo czy mało? Dajcie znać w komentarzach. Ciekawe, czy podobne prawo nie pojawi się również w naszym kraju.

6. Magecart to grupa specjalizująca się w kradzieży danych kart płatniczych.

Są one zazwyczaj zbierane przy pomocy dodatkowego kodu JavaScript, doklejanego do stron różnych sklepów internetowych.

Wystarczy więc kupić cos przez Internet - i jeśli mamy pecha, a sklep, z którego korzystaliśmy był zarażony - nasze dane trafią do przestępców.

Grupa ta już od pewnego czasu jest na celowniku badaczy bezpieczeństwa.

W przeszłości, wykorzystywali oni różne techniki aby utrudnić firmą antywirusowym detekcje ich złośliwego kodu.

Dla przykładu sprawdzali, czy atakowana osoba nie ma uruchomionego narzędzia Developer tools służącego do debugowania kodu w przeglądarce Chrome.

Dodatkowo, złośliwy skrypt nie działał jeżeli przeglądarka nie ustawiała odpowiedniego nagłówka User-Agent i Referer.

Służyło to w głównej mierze do wykrywania pobrań skryptu z poziomu linuxowych narzędzi wget czy tez curl.

One to bowiem w standardowej konfiguracji nie ustawiają tych nagłówków.

W przeszłości zatem skrypty się nie uruchamiały. Tym razem, jeżeli przestępcy wykryją dziwne zachowanie - które może wskazywać na badacza bezpieczeństwa, wysyłają informacje na temat adresu IP, przeglądarki, strefy czasowej na swój serwer.

Co można zrobić z takimi danymi? Jeszcze lepiej udoskonalić swoje metody obrony przed firmami antywirusowymi.

Jeżeli bowiem znamy ich adresy IP - możemy symulować prawidłowe działanie, jeśli tylko otrzymamy żądania HTTP z puli adresowej danej firmy.

Przykład jak metody przestępców ewoluują z czasem na coraz bardziej doskonalsze.

7. Prawo Linusa to stwierdzenie, które głosi Jeśli mamy wystarczająco oczu wszystkie bugi sa powierzchowne. Nazwa prawa podchodzi od imienia Ojca Linuxa - Linusa Torvaldsa.

Na jego podstawie można więc wysnuć wniosek, że rozwiązania open source są lepsze i zawierają mniej błędów niż rozwiązania zamknięte ponieważ przygląda się im większa liczba osób.

W artykule na stronie Kudelski Security możemy znaleźć kontrargument. W 4 punktach zawarto informacje dlaczego standardowo rozwiązania kryptograficzne typu open source nie są lepsze od tych komercyjnych.

Błędy odnajdywane w rozwiązaniach kryptograficznych można podzielić na 4 kategorię:

a) Zwyczajne błędy - które może odnaleźć zwykły użytkownik podczas zwyczajnego użytkowania aplikacji, kiedy to programista zapomina o implementacji jakiś skrajnych wartości

b) Błędy związane z prymitywami - kiedy to programista wybiera zły protokół lub funkcje, na przykład taką, która jest podatna na kolizję

c) Złe wykorzystanie - mamy z nim do czynienia wtedy, kiedy wybrano dobrą funkcję ale użyto ją w zły sposób. Na przykład kiedy wygenerowaną wartość przycinamy do kilkunastu bajtów aby było krócej, co sprawia, że nie jest już ona bezpieczna

d) Ostatnia kategoria - czyli błędy trudne do znalezienia, na które wpaść można jedynie wtedy kiedy posiadamy odpowiednią wiedzę z dziedziny kryptografii i rozumiemy nie tylko podstawowe pojęcia ale mechanikę z nimi związaną.

Aby kod by bezpieczny odpowiednio dużo osób powinno go przeglądnąć. W dzisiejszych czasach jest coraz mniej ludzi z odpowiednimi zdolnościami oraz za dużo kodu dookoła. W szczególności chodzi tutaj o 4 punkt - czyli trudne do znalezienia błędy.

Płatne audyty kodu, wykorzystywane w komercyjnych projektach mogą pomóc ale musimy sobie zdawać sprawę, że nigdy nie są one gwarancją 100% skuteczności.

A co wy sądzicie na ten temat? Czy otwarto źródłowe rozwiązania są lepsze?

8. Webex to platforma konferencyjna umożliwiająca firmą tworzenie wirtualnych pokojów spotkań, w których odbywają się wirtualne konferencje.

Każdy podmiot korzystający z tej usługi, może stworzyć publiczny pokój, do którego można wejść przy użyciu specjalnego odnośnika.

Dodatkowo możliwe jest też skonfigurowanie tej usługi w taki sposób aby każdy pracownik danej firmy miał dostępny swój, unikalny personalny pokój.

Chodzi o to, że jeżeli ktoś chciałby skontaktować się bezpośrednio z nami - wysyłamy mu link i już - gotowe możemy ze sobą rozmawiać.

Zazwyczaj odnośniki do pracowniczych pokoi są utrzymywane w pewnej konwencji tzn.: nazwa firmy kropka webex / meet / identyfikator użytkownika.

Tym identyfikatorem jest zazwyczaj nazwa domenowa lub też nasz adres email.

Jeśli już znamy odpowiedni link - może wejść do pokoju danego użytkownika. Co ciekawe jeżeli jest on obecnie offilne - możemy wysłać z poziomu aplikacji emaila - w którym poprosimy aby się pojawił przy komunikatorze.

Ale dlaczego może to być niebezpieczne?

Są 2 powody. Pierwszy - możemy użyć tej usługi do enumeracji prawidłowych kont użytkownika.

Drugi - mogący mieć szersze konsekwencje - możemy porozmawiać bezpośrednio z każdą osobą w firmie.

Wyobraźcie sobie że przy pomocy LinkedIn sprawdzamy kto jest CEO danej firmy a następnie możemy do niego bezpośrednio napisać przy pomocy tej usługi. Czy to jest zachowanie którego byśmy się spodziewali? Raczej nie.

9. Zakończyła się akcja hakowania Korpusu Amerykańskiej Piechoty Morskiej zorganizowanego przy współpracy platformy HackerOne oraz Departamentu Obrony Stanów Zjednoczonych.

Garść statystyk z tego wydarzenia. Wzięło w nim udział 105 uczestników z całego świata. Do testów wyznaczone zostało 200 stron. Podczas trwania wydarzenia zgłoszono 150 prawidłowych błędów za które wypłacono 150 tysięcy dolarów. Całkowity koszt tego wydarzenia zamknął się w granicy 350 tysięcy.

To już 11 edycja hakowania przy współpracy z Departamentem Obrony. Od 2016 roku w ramach Hakowania Pentagonu zgłoszono prawie 1000 różnego rodzaju błędów bezpieczeństwa.

To tylko przykład jak nie tylko duże firmy ale także instytucje państwowe mogą skorzystać z programów typu Bug Bounty aby zwiększyć bezpieczeństwo swojej infrastruktury.

Ciekawe kiedy w naszym kraju dojdziemy do podobnych wniosków. Myślę że również u nas znalazło by się sporo młodych, ambitnych osób, które z chęcią wykorzystało by swoje zdolności. Trzeba im tylko dać szanse.

I to wszystko w ty odcinku.

Zapraszam do komentowania, lajkowania i subskrypcji kanału KacperSzurek na youtube.com.

Odnośniki

1 2 3 4 5 6 7 8 9

Timeline: