[PL] Szurkogadanie #17

Homepage:

https://youtu.be/

Description:

Wprowadzenie

Cześć, ja nazywam się Kacper Szurek a to 17 odcinek podcastu Szurkogadanie – w którym opowiadam o bezpieczeństwie.

Jeśli ten temat Ci interesuje, zapraszam do dołączenia do grupy od 0 do pentestera na Facebooku.

Większość materiałów z tego odcinka pochodzi z weekendowej lektury Zaufanej Trzeciej Strony.

Zapraszam do słuchania.

Podcast

1. Na popularnej ulicy w centrum Szanghaju, postawiono telebim na którym wyświetlane są obrazy osób, które przejechały skrzyżowanie na czerwonym świetle.

Oprócz zdjęcia z samego zdarzenia widoczne jest także imię i nazwisko osoby, która dokonała czynu zabronionego.

Kiedy dochodzi do wykroczenia, kamery robią kilka zdjęć, które są następnie porównywane z bazą danych policji.

Cały proces trwa około 20 minut i ma zniechęcić do przejeżdżania na czerwonym świetle. Złapani mają możliwość wyboru kary: albo grzywna, pół godzinny kurs dotyczący zasad ruchu drogowego albo też pomoc policji w zarządzaniu ruchem pojazdów przez 20 minut.

Po czterech miesiącach działania systemu drastycznie spadła liczba osób łamiących prawo z ponad 1000 do mniej więcej 80 dziennie.

To nie jedyne wykorzystanie mechanizmu rozpoznawania twarzy w Chinach.

Planowane jest użycie tego systemu podczas międzynarodowego maratonu.

Ma on wyłapywać zawodników próbujących oszukiwać na trasie. Rozpoznawanie twarzy pomaga również podczas odpraw pasażerów na lotniskach oraz w czasie rejestracji pacjentów do szpitali.

Nic więc dziwnego że mieszkańcy Chin mogą czuć się obserwowani – ich każdy ruch śledzi ponad 170 milionów kamer. Każdy kij ma dwa końce – z jeden strony taki monitoring może wpłynąć korzystnie na bezpieczeństwo – z drugiej jedna, osoby posiadające dostęp do tego źródła wiedzy są w stanie przewidzieć praktycznie każdy ruch dowolnej osoby w kraju.

Liczby robią jednak wrażenie. Firma technologiczna Intellifusion chwali się, że ich algorytm może porównać obraz z bazą 10 miliardów twarzy w nieco ponad dwie sekundy.

Ciekawe jak często ten system się myli i czy działa bez względu na okulary i zarost na twarzy.

2. Ile warte są Twoje dane osobowe? Niektórzy wyceniają je na 1 kawę.

W japońskiej sieci kawiarni studenci po okazaniu legitymacji studenckiej a także podaniu imienia, numeru telefonu, adresu email, daty urodzenia, zainteresowań a także miejsc, w których wcześniej odbywali staże naukowe otrzymują darmową kawę.

Równocześnie godzą się na otrzymywanie reklam sponsorów, którzy opłacili ich ciepły trunek.

W teorii ma to być zatem idealne miejsce dla dużych korporacji, które poszukują nowych pracowników i chcą się efektywnie reklamować.

Firma planuje rozszerzenie swojej działalności na miejsca obok najlepszych uniwersytetów na świecie takich jak Harvard, Yale czy też Princeton.

Pytanie czy i tam ludzie będą tak chętnie rozdawać swoje dane. Dodatkowo, zachęca ona studentów do skorzystania z darmowej sieci WIFI.

Oczywiście, kawiarnia planuje udostępniać zebrane dane podmiotom trzecim w sposób mający zapewnić anonimowość.

Nadal pozostaje jednak pytanie dlaczego zbierają tak wiele informacji. Ta metoda to nic nowego.

Często na różnego rodzaju konferencjach branżowych możemy zauważyć jak ludzie za koszulkę czy też darmowy kubek są w stanie poświecić czas na wypełnianie różnego rodzaju ankiet i udzielenie zgód marketingowych. A Ty na ile wyceniasz swoją prywatność?

3. Czy zdarzyło Ci się, że po odinstalowaniu jakiejś aplikacji na telefonie komórkowym nagle zaczęły CI się pojawiać jej reklamy na serwisach internetowych?

Większość z nas sądzi, że w momencie odinstalowania aplikacji – nasza współpraca z nią jest zakończona. Ale w praktyce działa to nieco inaczej.

iele firm, stosuje różne mechanizmy, które monitorują proces deinstalacji. Chodzi o to, aby wiedzieć dlaczego ktoś zrezygnował z używania danego oprogramowania.

Już od dłuższego czasu programiści są połączeni z naszym telefonem przy pomocy tak zwanych powiadomień push.

Mechanizm ten pozwala na wysyłanie danych do telefonu w czasie rzeczywistym bez powiadamiania użytkownika.

Na pewno znacie ten mechanizm – otrzymujecie wiadomość email i od razu na naszym telefonie wyświetla się jej treść a obok ikonki programu pocztowego zwiększa się licznik nieodebranych wiadomości.

I to właśnie ten mechanizm jest nadużywany do śledzenia użytkownika bez jego faktycznej wiedzy. Jeśli bowiem firma co jakiś czas wysyła na nasz telefon jakieś informacje, na które telefon odpowiada a w pewnym momencie przestaje – może to oznaczać jedną z dwóch rzeczy.

Albo telefon został wyłączony albo tez użytkownik odinstalował aplikację. Teraz można wiec użyć jego identyfikator reklamowy i stworzyć specjalną reklamę, która zachęci go do reinstalacji.

Oczywiście firmy nie powinny używać tego mechanizmu w taki sposób ale równie ciężko będzie im udowodnić, że właśnie tak robią.

Pytanie co na to Apple oraz Google?

4. Dalej pozostajemy w temacie telefonów komórkowych.

Jak okraść firmy reklamowe na miliony dolarów? Google Play to ogromny sklep z aplikacjami i grami na telefony, którego wielkość może przytłoczyć każdego.

Oprócz pozycji płatnych znajdują się tam również darmowe rzeczy, które próbują zarabiać na wyświetlaniu reklam. Użytkownikowi podczas gry co jakiś czas wyskakują drobne reklamy w różnych miejscach aplikacji. Jeżeli zdecyduje się na ich kliknięcie – deweloper zarabia drobną kwotę, którą płaci reklamodawca.

Tak to wygląda normalnie, jeżeli nikt nie oszukuje. Jak mówi przysłowie pierwszy milion należy ukraść.

Jak zatem można nadużyć ten mechanizm do uzyskania korzyści majątkowych? Najpierw, musimy znaleźć popularną aplikację z dobrymi ocenami w sklepie. Następnie, znajdujemy jej twórcę i proponujemy odkupienie gry w zamian za bitcoiny.

Dlaczego kupujemy cudzą aplikację zamiast tworzyć swoją własną?

Tak jest po prostu szybciej – stworzenie własnego kodu jest czasochłonne tak samo jak wypromowanie aplikacji w sklepie.

Tą część pracy wykonuje za nas kto inny – a poniesione na samym początku koszty, szybko się nam zwrócą. Następnie, modyfikujemy kupioną aplikację tak – aby móc śledzić każdy ruch użytkownika dokonany w grze. Następnie, tworzymy wirtualne środowisko, w którym uruchamiamy naszą nowo kupioną aplikację.

Nasz cel jest jasny – chcemy automatycznie klikać w reklamy, które tam się pojawiają.

Ale nie możemy tego robić w prosty sposób – to znaczy uruchamiać aplikacje i od razu klikać w reklamę.

Takie zachowanie szybko wzbudziło by podejrzenia. Dlatego też na podstawie ruchu prawdziwych użytkowników, tworzymy model, który to następnie jest wykorzystywany przez nasze boty.

W ten sposób, reklamodawcą będzie bardzo ciężko odróżnić prawdziwy ruch od tego sfałszowanego.

Boty bowiem będą zachowywać się łudząco podobnie do prawdziwego użytkownika.

Co więcej, nasz nielegalny ruch będzie mieszany z legalnymi użytkownikami.

Jeżeli pomnożymy ten schemat przez kilkanaście lub też kilkadziesiąt aplikacji – nagle okazuje się, że można z tego dość dobrze wyżyć.

A tracą jedynie reklamodawcy – wszak firmy pośredniczące w sprzedaży reklam dostają prowizję również za fałszywe kliknięcia.

5. Jak często korzystasz z darmowych sieci WIFI dostępnych w galeriach handlowych czy też restauracjach fast food?

A ile razy rzeczywiście przeczytałeś regulamin, który należy zaakceptować przed rozpoczęciem korzystania z Internetu?

Czy zrozumiałeś na co naprawdę wyraziłeś zgodę klikając na przycisk akceptuje?

W Wielkiej Brytanii przeprowadzono eksperyment społeczny mający zwrócić uwagę na to, że ludzie nie czytają regulaminów. Ponad 20 tysięcy osób w przeciągu dwóch tygodni wyraziło zgodę na prace społeczne w zamian za bezpłatny Internet.

W opisie zgody widniały informacje o czyszczeniu przenośnych toalet na festiwalach, sprzątaniu zwierzęcych odchodów z parków czy też zdrapywanie gumy do żucia z ulic.

Tylko jedna osoba zauważyła tą ciekawą klauzurę – w zamian za co otrzymała nagrodę.

To nie pierwszy raz, gdy ktoś próbuje zawrzeć ciekawe informacje w euli.

Parę lat temu w Londynie w zamian za dostęp Wifi, osoby zgadzały się na oddanie pierwszego narodzonego dziecka.

Znany jest także przypadek firmy, która podczas instalacji swojego oprogramowania, w treści regulaminu zawarła informację, w której znajdował się adres email.

Pierwsza osoba, która dotrwała do tej treści mogła zgarnąć nagrodę.

Trwało to nieco ponad pół roku. Takie zachowanie nie dziwi – wszak standardowej wielkości regulamin to kilkanaście stron A4, zapisanych mało zrozumiałym językiem.

Ale jak to mówią prawnicy: nieznajomość prawa szkodzi – więc często sami jesteśmy sobie winni.

6. GrayKey to narzędzie jakie było reklamowane jakiś czas temu jako urządzenie, które otwiera niemal każdego iPhona.

Telefon, podpinało się przy pomocy kabla lightning. Wtedy to urządzenie przy pomocy metody bruteforce, próbowało znaleźć nasz pin do telefonu.

Podczas normalnego użytkowania taka metoda nie działa – po kilku błędnie wpisanych kombinacjach telefon blokuje możliwość wpisania kolejnego pinu – im dłużej próbujemy zgadnąć prawidłowe hasło – tym dłuższy jest kolejny odstęp pomiędzy możliwością wpisana prawidłowej kombinacji.

To urządzenie wykorzystywało lukę w oprogramowaniu, która pozwalała mu na bezkarne próbowanie kolejnych kombinacji bez zwłoki czasowej.

Cena sprzętu to około 15000 $ w wersji pozwalającej na odblokowanie 300 telefonów lub też 30000$ w wersji bez limitu urządzeń.

W najnowszej wersji iOS, Apple zlokalizowało używany przez firmę błąd i załatało podatność – sprawiając, że urządzenie stało się bezużyteczne.

Czy oznacza to, że nasze telefony są bezpieczne? Niekoniecznie. Za pewne za jakiś czas znowu ktoś odnajdzie kolejną lukę, która zostanie zaimplementowana w nowszej wersji urządzenia.

Jeżeli więc możesz – ustaw w swoim telefonie pin dłuższy niż 8 znaków – to znacząco zwiększy długość ataku bruteforce.

7. Kiedy myślimy o phisingu - czyli metodzie oszustwa, w której przestępca podszywa się pod inną instytucje w celu wyłudzenia określonych informacji takich jak dane logowania, myślimy o stronach bankowości elektronicznej czy też poczcie internetowej.

Przestępcy idą jednak o krok dalej i w ostatnim czasie możemy zauważyć wzrost tego rodzaju ataku na uniwersytety na całym świecie.

Możemy zatem zapytać: po co komuś dostęp do konta studenta na jakiejś uczelni wyższej? Powodów może być kilka – po pierwsze osoba ta, może używać tego samego lub podobnego hasła na innych serwisach.

Często też, uczelnie posiadają wykupiony dostęp do płatnych usług – na przykład z materiałami badawczymi.

Można więc wykorzystać czyjeś konto w tym celu. Uczelnia to nie tylko studenci ale także wykładowcy.

Oni to zazwyczaj posiadają szerszy dostęp – na przykład do zasobów superkomputerów. W teorii można zatem wykorzystać takie konto do uruchomienia jakiegoś zasobożernego programu w infrastrukturze uczelni.

To tylko przykład, ukazujący iż zło czai się wszędzie.

8. Programowanie może teraz wyglądać jak układanie klocków – większość potrzebnego kodu została już napisana w formie różnego rodzaju bibliotek i modułów.

Tworząc coś nowego, wystarczy je tylko odpowiednio ze sobą połączyć.

W Pythonie takie klasy można pobrać przy pomocy narzędzia pip. Jednym z popularniejszych pobieranych projektów jest colorama, która pozwala na wyświetlanie kolorowych tekstów w Windowsowej konsoli – tak jak dzieje się to pod Linuxem.

Atakujący stworzyli łudząco podobną paczkę nazwaną „Colourama”, w której skopiowali większość funkcjonalności prawidłowego modułu.

Jest to przykład ataku typosquattingu, w którym to wykorzystuje się typowe błędy literowe popełniane w trakcie wpisywania tekstu.

Colorama to nie jest popularne słowo – istnieje duża szansa, że użytkownik, który wie o istnieniu tego modułu ale nie pamięta jego prawidłowej nazwy – wpisze go błędnie i tym samym trafi do repozytorium atakującego.

Tam też zawarto skrypt, który monitorował zawartość schowka na komputerze ofiary.

Jeżeli w schowku pojawił się adres Bitcoin, był on zamieniany na adres przestępcy.

Jest to wiec przykład Clipbankera – czyli oprogramowania podmieniającego dane w schowku.

Jakiś czas temu w Polsce było głośno o podobnej aplikacji, która przy użyciu tej samej metody podmieniała numery kont bankowych ofiar.

Warto wiec dwa razu sprawdzić co tak naprawdę skopiowaliśmy podczas wykonywania przelewów.

9. Ostatnia wiadomość na dziś.

Kilka podcastów temu wspominałem o grupie Magecart, która bierze na cel sklepy internetowe wykorzystującego skrypt Magento i dokleja do nich złośliwy kod, który ma za zadanie kraść informacje na temat kart kredytowych naszych klientów.

Grupa jest bardzo aktywna. Badacz bezpieczeństwa zauważył, że obecnie wykorzystuje ona ataki 0 day na rozszerzenia do sklepów.

Większość z tych błędów jest obecnie nieznana i niezałatana co może sugerować, że przestępcy sami poszukują podatności i starają się je wykorzystać do swoich złych celów.

Jeżeli więc posiadasz sklep na tej platformie – sprawdź czy i Ty nie padłeś ofiarą atakujących.

Na stronie badacza można znaleźć listę rozszerzeń, które są podatne.

I to wszystko na dzisiaj. Zapraszam do komentowania i subskrypcji kanału KacperSzurek na YouTubie.

Do zobaczenia za tydzień. Cześć!

Odnośniki

1 2 3 4 5 6 7 8 9

Timeline: