[PL] Szurkogadanie #18

Homepage:

https://youtu.be/7aXTGMEZivI

Description:

Wprowadzenie

Cześć. Ja jestem Kacper Szurek a to 18 odcinek podcastu Szurkogadanie, w którym rozmawiamy o szeroko pojętym bezpieczeństwie.

Jeśli ten temat Cię zainteresuje zapraszam na grupę od 0 do pentestera na Facebooku.

Większość linków pochodzi z weekendowej lektury Zaufanej Trzeciej Strony.

Zapraszam do słuchania.

Podcast

1. Urząd skarbowy zastanawia się nad wprowadzeniem technologii rozpoznawania mowy na infolinii podatkowej.

Obecnie, ta metoda pozwala na niezobowiązującą, anonimową rozmowę, podczas której można uzyskać darmową poradę. Nie wiadomo, czy weryfikowany będzie każdy dzwoniący jak również w jakim celu ministerstwo chce pozyskiwać takie dane. Taka technologia to nic nowego.

Używana jest ona przez niektóre banki jako metoda logowania do serwisów transakcyjnych.

Reklamowana jest jako prosty i bezpieczny sposób udowodnienia swojej tożsamości. Zazwyczaj użytkownik musi wypowiedzieć jedną, konkretną frazę na głos, na podstawie której zostanie zidentyfikowany. Teoretycznie, ma to sprawić, że nikt nie podszyje się pod dzwoniącego.

Ciężko sobie bowiem wyobrazić sytuację, w której ktoś nagrywa nasz głos na dyktafon, gdy wypowiadamy frazę w stylu: „To jest losowa fraza i dzwonie na infolinie podatkową”.

Ale już teraz musimy sobie zdawać sprawę, iż istnieją algorytmy, które na podstawie różnych próbek naszego głosu są w stanie wygenerować dowolny frazę, która brzmieć będzie łudząco podobnie do naszego głosu. Zagrożenie to jest tym większe im więcej próbek naszego głosu atakujący może odnaleźć.

Osoby publiczne są więc idealnym celem tego ataku – ich głos można odnaleźć na różnych filmach na przykład na YouTube. Dodatkowo, należy pamiętać o możliwości wycieku tych wrażliwych danych.

O ile hasło zawsze można zmienić – modyfikacja głosu nie wchodzi w grę.

Czy ta metoda zostanie wprowadzona – czas pokaże.

2. Dla sporej ilości użytkowników Windowsa, pierwszą czynnością jaką wykonują po zalogowaniu się na nowo kupiony komputer lub też po reinstalacji systemu jest zainstalowanie alternatywnej przeglądarki, na przykład Chrome lub Firefoxa.

Pewno większość z nas nie kojarzy jak wygląda adres strony internetowej, na której można pobrać te oprogramowania.

Zazwyczaj więc korzystamy z wyszukiwarek i wpisujemy w nich proste zapytanie: „instalator chrome”, lub też „pobierz firefox”. W taki oto sposób znajdujemy odpowiedni instalator i zaczynamy nasza przygodę z Internetem.

Na nowych Windowsach stroną startową w Edge jest Bing – zatem to tam zazwyczaj standardowy użytkownik wpisuje podane wyżej frazy.

Przestępcy wykorzystali ten sposób działania sporej części użytkowników w celu dystrybucji złośliwego oprogramowania.

Stworzyli oni w tym serwisie reklamę, która pojawiała się właśnie wtedy, gdy ktoś poszukiwał słów kluczowych związanych z pobraniem przeglądarki Internetowej.

Jeżeli ktoś natrafił na taką reklamę – i zdecydował się w nią kliknąć – a jest to całkiem prawdopodobne ponieważ reklamy zazwyczaj wyświetlają się jako pierwsze w wynikach wyszukiwania – zostawał przekierowywany do fałszywej strony Chroma.

Tam to zamiast oficjalnego instalatora, pobierał malware. Co więcej, plik ten był podpisany.

Jedyne co mogło zwrócić uwagę bardziej dociekliwego użytkownika to nazwa firmy, na którą został wydany certyfikat. Jeżeli bowiem ściągamy Chrome – powinien być on podpisany przez producenta czyli Google.

Tutaj jednak widniała inna nazwa firmy. Nie zmienia to jednak faktu jak dopracowany i zapewne skuteczny był to atak.

Ciężko sobie wyobrazić sytuację, w której statystyczny użytkownik komputera, wie co to jest podpis elektroniczny a także jest świadom, iż powinien zwracać uwagę na jego wystawcę.

Atak ten jest tym bardziej niebezpieczny iż użytkownik zostaje zarażony jeszcze przed tym, aż zacznie de faktu korzystać z danego urządzenia.

W czasach obecnych bowiem aby ściągnąć instalator programu antywirusowego – musimy użyć do tego celu przeglądarki.

Jeżeli złośliwego oprogramowanie zostało zainstalowane na samym początku korzystania z komputera – może ono działać w sposób uniemożliwiający pobranie instalatora programów antywirusowych.

Przed nami czarny piątek. Jeżeli więc kupujesz komuś bliskiemu nowy komputer – uczul go na to jaką przeglądarkę instaluję oraz czy robi to z oficjalnego źródła.

3. Jak zdalnie wyłączyć wszystkie iPhony w danym pomieszczeniu? Czy to możliwe?

Pewno od razu pomyśleliście o atakach typu 0 day, w których wykorzystuje się niezałatane i nieznane jeszcze błędy. Rozwiązanie jest jednak dużo prostsze – wystarczy użyć odrobiny gazu – a będąc konkretnym - helu. Brzmi jak sytuacja rodem z filmów Sci-Fi.

Kto bowiem chciałby wypuścić hel w pomieszczeniu tylko po to aby zepsuć parę telefonów? Ale taka sytuacja miała miejsce naprawdę w jednym ze szpitali w Stanach Zjednoczonych.

Instalowano tam nową maszynę do przeprowadzania badań rezonansem magnetycznym. W pewnym momencie zorientowano się, że część urządzeń z logiem firmy Apple – zaczęła się dziwnie zachowywać.

Najpierw zauważono to na iWatch – czyli inteligentnych zegarkach, których ekrany odmawiały posłuszeństwa.

Potem podobna sytuacja spotkała telefony – ale tylko iPhony, wszystkie inne urządzenia innych producentów działały prawidłowo. Sercem każdego urządzenia elektronicznego jest obecnie zegar – czyli rezonator kwarcowy będący wzorcem częstotliwości i czasu.

Ma on swoje minusy takie jak złe reagowanie na wysokie i niskie temperatury. Jest on również względnie dużym komponentem jak na obecne standardy.

Firma z Cupertino dążąc do coraz większej miniaturyzacji swojego sprzętu, zaczęła więc korzystać ze specjalnego oscylatora MEMS firmy SiTime, który jak możemy wyczytać z ulotek reklamowych jest obecnie najmniejszym tego rodzaju elementem na świecie.

Jak wynika z oświadczenia firmy, wcześniejsze modele mogły działać nieprawidłowo pod wpływem niektórych gazów.

I właśnie taka sytuacja miała miejsce w szpitalu. Doszło tam do wycieku helu – który jest wykorzystywany do chłodzenia rezonansu.

Ponieważ rezonans współdzielił klimatyzację z resztą pomieszczeń – gaz rozprzestrzenił się na cały budynek tymczasowo blokując telefony.

Jeśli więc i Ciebie spotka taka sytuacja – pozostaw telefon odłączony od prądu na okres około tygodnia.

Po tym czasie urządzenie powinno z powrotem zacząć działać prawidłowo.

4. Czy ty podobnie jak i Ja nie cierpisz przepisywania captchy na różnych stronach internetowych?

To może się zmienić – wszystko dzięki trzeciej wersji projektu reCaptcha. Historia captchy – czyli testu, który ma sprawdzać czy jesteśmy prawdziwym użytkownikiem czy też automatycznym botem jest względnie prosta.

Na samym początku używano obrazków, na których naniesione były losowe znaki.

Szybko zdano sobie sprawę, iż rozpoznawanie tekstu zapisanego w formie grafiki nie stanowi wielkiej przeszkody dla systemu informatycznego.

Dlatego też dodawano różnorakie utrudnienia – mające odpowiednio zniekształcić tekst – tak aby przynajmniej w teorii był zrozumiały jedynie dla człowieka.

Dzięki temu udało się zmniejszyć ilość spamu ale także odsiewać grono potencjalnych użytkowników.

Za pewne wielu z was w swoim życiu nie raz miało do czynienia z sytuacją, gdzie napis był tak nieczytelny, że nie można było go przepisać. Sytuację na tym rynku zmienił projekt reCaptcha, który powstał po to aby odczytywać przy pomocy użytkowników Internetu numery domów ze zdjęć.

Idea jest prosta. Przedstawiamy to samo zdjęcie kilkunastu użytkownikom – jeżeli większość z nich poda tą samą liczbę – możemy założyć, że jest ona prawidłowa.

W ten sposób wykorzystujemy pracę milionów do lokalizacji domów na mapie. Ale po jakimś czasie również z tym zabezpieczeniem roboty radziły sobie wystarczająco dobrze.

Dlatego też kolejna wersja została oparta na odczytywaniu specyficznych sytuacji ze zdjęcia. Obecnie zatem musimy wskazać szyldy sklepów czy też zaznaczyć gdzie znajduje się sygnalizacja świetlna.

To ma zmienić się wraz z nadejściem wersji 3, która na podstawie analizy naszych poczynań na stronie, będzie w stanie rozpoznać czy jesteśmy człowiekiem.

Teraz API będzie zwracało wartość liczbową, na podstawie której będziemy w stanie określić czy dana akcja jest wykonana przez robota.

Wyobraźmy sobie ekran logowania. W najprostszym scenariuszu gdy wykryta zostanie podejrzana aktywność, po podaniu błędnego hasła możemy wprowadzić dodatkową blokadę czasową.

Ta blokada będzie działać per użytkownik a nie per strona.

Jak cały system będzie działać w praktyce? Zobaczymy.

5. W obecnych czasach nigdy nie można być do końca pewnym czy żadne z naszych elektronicznych urządzeń nie podsłuchuje i nie wysyła żadnych danych do chmury.

Z kamerą internetową jest prosto – wystarczy zamknąć pokrywę laptopa lub też zamontować na niej modne w dzisiejszych czasach przesuwane naklejki, które zamykają obiektyw gdy z niego nie korzystamy.

Ale co z mikrofonem? I nie chodzi mi tutaj o zewnętrzne mikrofony podpinane przez złącze usb a o wbudowane w laptoptopy mikrofony, które są niejako integralną częścią całego systemu.

W większości przypadków na klawiaturze znajduje się odpowiedni guzik, który ma za zadanie wyłączyć dany mikrofon. Należy sobie jednak zdawać sprawę, że jest to rozwiązanie programowe a nie sprzętowe – a co za tym idzie złośliwe oprogramowanie jest w stanie ponownie uruchomić taki mikrofon.

Wydawało by się iż nic nie można poradzić w tej materii. W najnowszych Macbookach wprowadzono pewne udoskonalenie również w tej materii – wszystko za sprawą czipa T2 – który jest odpowiedzialny za bezpieczeństwo.

Jedną z jego dodatkowych funkcjonalności jest fizyczne odseparowanie dostępu do mikrofonu po zamknięciu pokrywy laptopa.

Ponieważ jest to wykonywane w warstwie sprzętowej – nawet sam system operacyjny z uprawnieniami Administratora czy też roota, nie będzie w stanie uruchomić tak odłączonego mikrofonu.

Przeciwnicy zwracają jednak uwagę iż układ deaktywuje mikrofon dopiero po zamknięciu pokrywy – cały czas zatem podczas normalnej pracy jest on aktywny.

Czy zatem według was jest to mało przydatny dodatek? A może jednak doceniacie wysiłek włożony w kwestii prywatności? Dajcie znać w komentarzach.

6. Teraz o ataku phishingowym – czyli metodzie oszustwa, w które przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia określonych informacji – zazwyczaj danych do logowania na przykładu banku lub poczty.

Tym razem o nietypowym użyciu funkcjonalności dostępnej w Adobe Readerze – czyli oprogramowaniu służącym do odczytywania plików z rozszerzeniem pdf.

Standardowo, taki atak jest wykonywany przy pomocy pewnego schematu.

Ofiara otrzymuje plik pdf przy użyciu poczty internetowej.

W tym pliku znajdują się informację, na przykład o tym, że ze względów bezpieczeństwa należy zmienić hasło do serwisu.

Oczywiście znajduje się tam również link, który prowadzi do fałszywej strony.

Niczego nieświadomy użytkownik klika zatem w takowy odnośnik i podaje swoje prawdziwe dane na stronie służącej wyłudzeniu tożsamości.

W tym schemacie dane są zatem podawane w oknie przeglądarki. Atakujący idą jednak o krok dalej – większość firm bowiem przeprowadza szkolenia, w których pokazuje się właśnie takie przykłady.

Spora część pracowników biurowych jest zaznajomiona z tym atakiem i z możliwością wykradzenia danych przez serwisy internetowe.

Ale dane można również wykraść bezpośrednio w Adobe Readerze. Posiada on bowiem możliwość tworzenia okien z poziomu pliku pdf.

Użytkownik zatem oprócz treści dokumentu będzie widział dodatkowe okienko. Można w nim stworzyć dowolny formularz – na przykład z miejscem na wpisanie swojego loginu i hasla.

W treści dokumentu wystarczy odpowiednio uargumentować dlaczego należy podać swoje dane.

Następnie dane z takiego formularza są wysyłane do serwerów atakujących. Szybko prosto i przyjemnie.

Pamiętajmy zatem aby nigdy nie podawać wrażliwych danych w tego rodzaju formularzach.

7. Kto może stać się celem ataku? Każdy. Potwierdza to wyciek danych 60 000 uczestników festiwalu muzyki elektronicznej Tomorrowland – organizowanego w Belgii.

Atakujący pozyskał imiona, adresy, wiek a także płeć uczestników. Nasuwa się więc pytanie co można zrobić z takimi danymi.

Pomysłów może być wiele. Załóżmy, ze chcemy przeprowadzić alternatywną wersje takiego festiwalu.

Taka baza potencjalnych uczestników w rękach konkurencji może być łakomym kąskiem. Albo inny przykład.

Jeżeli ktoś wziął udział w festiwalu w tym roku istnieje duże prawdopodobieństwo, że zrobi to w roku kolejnym.

Znamy ich adres – możemy sprawdzić czy są bogaci i w jakich domach mieszkają.

Festiwale są kilkudniowe – będziemy więc mieli pewność, ze nikogo nie będzie wtedy na mieszkaniu.

A to idealne warunki dla złodziei, mogących bez problemu splądrować cudze mieszkania.

8. Ostatnia wiadomość na dziś. Na stronie „Exposing the Invisible” pojawiło się kilka poradników dla badaczy i dziennikarzy, które tyczą się szeroko pojętego bezpieczeństwa.

Możemy tam przeczytać jak wykorzystywać metadane do uzyskiwania informacji – czyli dlaczego tagi exif w obrazkach są takie istotne.

Dowiemy się również co to jest googledorking – a także jak działa tor.

Jeżeli znasz nieco język angielski – te materiały mogą Cię zainteresować.

I to wszystko w dzisiejszym odcinku. Zapraszam do komentowania i subskrypcji kanału KacperSzurek na YouTube.

Odnośniki

1 2 3 4 5 6 7 8

Timeline: