Hlavním tématem dnešního dílu jsou plzeňské informační kiosky, na které se podíval detailně přednášející na páteční SOOM konferenci. Budeme pokračovat realitou/fikcí na internetu a nakonec zhodnotíme DDoS útoky.

Chyby v softwaru

Plzeňské kiosky lze zneužít - uživatelská data potenciálně v ohrožení

Týká se verzí: Aktuální síť plzeňských informačních kiosků dopravního podniku

Petr aka Subber v pátek na konferenci SOOM.cz zveřejnil detaily svého výzkumu ohledně bezpečnosti plzeňských informačních kiosků. Tuto "samoobslužnou zónu" mohou lidé využívat k dobíjení kreditu plzeňské městské karty, prodlužování časového jízdného, k rezervaci vstupenek do městských služeb a také k přístupu na povolené webové stránky.

Jeden z povolených webů je web plzeňské knihovny, který obsahuje XSS zranitelnost (do detailu popsaný princip XSS najdete v knize Romana Kümmela Cross-site scripting v praxi) zneužitelnou k zisku přístupu k souborům na disku informačního kiosku. Údajné SQL injection díry by mohly dokonce zpřístupnit databázi webu.

Instalovaný Windows Embedded v kombinaci s FriendlyWay Secure browserem sice podle Petra implementuje základní bezpečnostní prvky jako zákaz instalace ActiveX a spuštění Java appletů, ale externě zpracovávaný JavaScript je možné provést (lze zjistit IP kiosku a jádro prohlížeče – IE 6). Další překážkou pro útočníka je samotný princip ovládání kiosku dotykem, který znemožňuje "pravé tlačítko myši".

Trocha kreativity však odhalila docela podstatnou chybu v ověřování "povolených webů". Prohlížeč vás pustí na jakoukoliv stránku začínající http://*.plzen-city.cz, tedy například url http://is.plzen-city.cz.evilhacker.cz vyhodnotí systém jako nezávadnou a vesele ji zobrazí. Tam už může čekat uploader, přes který stáhnete libovolný obsah disku.

Konfigurační soubory obsahují přístupové údaje k aktualizačnímu FTP serveru a prozrazují další oblasti intranetu. Petr uvedl ve své prezentaci případné další možnosti zneužití, mezi které patří stažení údajů o všech uživatelích Plzeňské městské karty. Přiznává, že by to nebylo úplně jednoduché, ale je to reálná hrozba.

Videozáznam celé prezentace je dostupný na Youtube:

Prezentaci navštívil i zástupce Plzeňských dopravních podniků a nyní pravděpodobně spolupracuje s Petrem na opravě a zabezpečení těchto samoobslužných zón v Plzni.

Novinky a Události

Realita nebo fikce na internetu? Po prezentaci Romana Kümmela těžko říct.

Zkuste si ve Windows otevřít Romanovu pohádku O Červené Karkulce [PDF]. Nebo si zahrát (ideálně ve firefoxu v rozlišení 1280x800) hru Snake.

Dáme vám do večera několik hodin na rozmyšlenou, zkuste nám do diskuze popsat své dojmy z obou odkazů, večer zveřejníme detaily obou projektů ;-) Díky za feedback!

[Slíbená aktualizace ve 20:45]

Stránka s pohádkou O Červené Karkulce sází na zabudovaný Adobe Reader (zde konkrétně pro Firefox), který otevírá PDF dokumenty. Design stránky proto imituje rozhraní otevřeného PDF a zobrazí po krátké chvíli grafický prvek velmi věrně připomínající aktualizační okno Adobe. Po kliknutí na "STÁHNOUT" prvek přejde do opět věrné imitace procesu stahování a zobrazí další okno s kolonkou pro zadání hesla administrátora. Po zadání libovolného hesla se "aktualizace" dokončí.

Online hra Snake zase implementuje tzv. prohlížeč v prohlížeči. Ideálně v rozlišení 1280x800 vyzve hrychtivého hráče ke startu a ke vstupu do módu fullscreen klávesou F11. Tím uživatel opravdu spustí hru a současně aktivuje další prvky. Pokud s hadem nabouráte, objeví se informace o konci hry a současně se zobrazí "adresový řádek" a další ovládací prvky. To však není opět nic jiného než nastražená grafika, kterou útočník může využít k dalším neplechám (viz video).

Více o jednotlivých projektech se dozvíte ve článku Fake Applications in Browser (Roman Kümmel).

DDoS útoky na české weby

Český CSIRT vydal informace ohledně DDoS útoků z předminulého týdne. Dokument obsahuje popis událostí, charakteristiky útoků společně s průběhem řešení situace.

Martin Klubal aka Emkei se v pátek této tématice věnoval ve své prezentaci. Demonstroval jak jednoduché a levné je dnes provést DDoS a zmínil také oblíbené nástroje útočníků.

K problematice DDoS a celkově k situaci ze začátku března se vyjádřil také Štefan Šafář, bezpečnostní administrátor Seznam.cz, jeho prezentaci obsahující zajímavé grafy vytížení naleznete zde.

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• DDoS útoky na české weby - kolik by vás stály?

• Mandiant o čínské průmyslové špionáži ve světě

• Mandiant může zveřejněním detailů o Číně pomoci bezpečnostní ekonomice

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace