CDR.cz - Vybráno z IT

CDR SecUpdate za 11. týden - Skrz kiosky Plzeňských dopravních podniků lze potenciálně získat data uživatelů

data-leakage
Týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.

Hlavním tématem dnešního dílu jsou plzeňské informační kiosky, na které se podíval detailně přednášející na páteční SOOM konferenci. Budeme pokračovat realitou/fikcí na internetu a nakonec zhodnotíme DDoS útoky.

Chyby v softwaru

Plzeňské kiosky lze zneužít - uživatelská data potenciálně v ohrožení

Týká se verzí: Aktuální síť plzeňských informačních kiosků dopravního podniku

Petr aka Subber v pátek na konferenci SOOM.cz zveřejnil detaily svého výzkumu ohledně bezpečnosti plzeňských informačních kiosků. Tuto "samoobslužnou zónu" mohou lidé využívat k dobíjení kreditu plzeňské městské karty, prodlužování časového jízdného, k rezervaci vstupenek do městských služeb a také k přístupu na povolené webové stránky.

kiosek2

Jeden z povolených webů je web plzeňské knihovny, který obsahuje XSS zranitelnost (do detailu popsaný princip XSS najdete v knize Romana Kümmela Cross-site scripting v praxi) zneužitelnou k zisku přístupu k souborům na disku informačního kiosku. Údajné SQL injection díry by mohly dokonce zpřístupnit databázi webu.

Instalovaný Windows Embedded v kombinaci s FriendlyWay Secure browserem sice podle Petra implementuje základní bezpečnostní prvky jako zákaz instalace ActiveX a spuštění Java appletů, ale externě zpracovávaný JavaScript je možné provést (lze zjistit IP kiosku a jádro prohlížeče – IE 6). Další překážkou pro útočníka je samotný princip ovládání kiosku dotykem, který znemožňuje "pravé tlačítko myši".

kiosek1

Trocha kreativity však odhalila docela podstatnou chybu v ověřování "povolených webů". Prohlížeč vás pustí na jakoukoliv stránku začínající http://*.plzen-city.cz, tedy například url http://is.plzen-city.cz.evilhacker.cz vyhodnotí systém jako nezávadnou a vesele ji zobrazí. Tam už může čekat uploader, přes který stáhnete libovolný obsah disku.

Konfigurační soubory obsahují přístupové údaje k aktualizačnímu FTP serveru a prozrazují další oblasti intranetu. Petr uvedl ve své prezentaci případné další možnosti zneužití, mezi které patří stažení údajů o všech uživatelích Plzeňské městské karty. Přiznává, že by to nebylo úplně jednoduché, ale je to reálná hrozba.

Videozáznam celé prezentace je dostupný na Youtube:

Prezentaci navštívil i zástupce Plzeňských dopravních podniků a nyní pravděpodobně spolupracuje s Petrem na opravě a zabezpečení těchto samoobslužných zón v Plzni.

Novinky a Události

Realita nebo fikce na internetu? Po prezentaci Romana Kümmela těžko říct.

Zkuste si ve Windows otevřít Romanovu pohádku O Červené Karkulce [PDF]. Nebo si zahrát (ideálně ve firefoxu v rozlišení 1280x800) hru Snake.

Dáme vám do večera několik hodin na rozmyšlenou, zkuste nám do diskuze popsat své dojmy z obou odkazů, večer zveřejníme detaily obou projektů ;-) Díky za feedback!

[Slíbená aktualizace ve 20:45]

Stránka s pohádkou O Červené Karkulce sází na zabudovaný Adobe Reader (zde konkrétně pro Firefox), který otevírá PDF dokumenty. Design stránky proto imituje rozhraní otevřeného PDF a zobrazí po krátké chvíli grafický prvek velmi věrně připomínající aktualizační okno Adobe. Po kliknutí na "STÁHNOUT" prvek přejde do opět věrné imitace procesu stahování a zobrazí další okno s kolonkou pro zadání hesla administrátora. Po zadání libovolného hesla se "aktualizace" dokončí.

Online hra Snake zase implementuje tzv. prohlížeč v prohlížeči. Ideálně v rozlišení 1280x800 vyzve hrychtivého hráče ke startu a ke vstupu do módu fullscreen klávesou F11. Tím uživatel opravdu spustí hru a současně aktivuje další prvky. Pokud s hadem nabouráte, objeví se informace o konci hry a současně se zobrazí "adresový řádek" a další ovládací prvky. To však není opět nic jiného než nastražená grafika, kterou útočník může využít k dalším neplechám (viz video).

Více o jednotlivých projektech se dozvíte ve článku Fake Applications in Browser (Roman Kümmel).

DDoS útoky na české weby

Český CSIRT vydal informace ohledně DDoS útoků z předminulého týdne. Dokument obsahuje popis událostí, charakteristiky útoků společně s průběhem řešení situace.

Martin Klubal aka Emkei se v pátek této tématice věnoval ve své prezentaci. Demonstroval jak jednoduché a levné je dnes provést DDoS a zmínil také oblíbené nástroje útočníků.

K problematice DDoS a celkově k situaci ze začátku března se vyjádřil také Štefan Šafář, bezpečnostní administrátor Seznam.cz, jeho prezentaci obsahující zajímavé grafy vytížení naleznete zde.

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

Díly CDR Security Update SPECIÁL

Tagy: 

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate za 11. týden - Skrz kiosky Plzeňských dopravních podniků lze potenciálně získat data uživatelů

Úterý, 19 Březen 2013 - 09:51 | Máček333 | Jejda, přiznám se, že jsem asi tu aktualizaci...
Úterý, 19 Březen 2013 - 00:18 | Peter Marcok | nejlepsi na tom je, ze ja tu pohadku vubec necetl...
Pondělí, 18 Březen 2013 - 21:18 | Jiří Moos | Je také možné, že nemáte povolený JavaScript, bez...
Pondělí, 18 Březen 2013 - 21:07 | Jiří Moos | Článek byl aktualizován o další informace....
Pondělí, 18 Březen 2013 - 20:37 | Máček333 | Přiznám se, že nechápu. Mohli byste pak napsat, o...
Pondělí, 18 Březen 2013 - 18:09 | Peter Marcok | Vetsinou presne sleduji co si update-uji a na...
Pondělí, 18 Březen 2013 - 17:43 | He He | hezke, moc hezke. otevirani pdf a js mam v ff...
Pondělí, 18 Březen 2013 - 17:08 | Mira Pavlicek | No had pěkné akorát že se mi v Opeře pustí...

Zobrazit diskusi