CDR SecUpdate 47 - Hacker si objednal 6 vražd, zaplatil v přepočtu 10 miliónů
Chyby v softwaru
Google Recovery chyba - detaily zveřejněny
Týká se: služba Google Recovery
Izraelský bezpečnostní expert Oren Hafifi odhalil detaily ohledně chyby v procesu obnovení hesla u Google účtu. Hack, který kombinuje cross-site scripting, cross-site request forgery a password flow bypass, vypadá na přiloženém videu velmi nebezpečně. Stačí kliknutí na odkaz v podvrženém e-mailu (který obsahuje klasickou doménu google.com) a následně zadané heslo se odesílá útočníkovi. Jak celý útok funguje, si můžete přečíst na blogu orenh.com.
Google v minulém týdnu chybu opravil a na Google+ profilu i neoficiálně Hafifimu poděkoval.
Novinky a Události
Hlavní postavě za černým trhem Silk Road nepovolil soud kauci
Silk Road - internetový obchod, kde jste mohli nakoupit drogy, zbraně nebo třeba objednat nájemného vraha. Údajnou osobu za projektem se před časem podařilo zatknout a devětadvacetiletý Ross Ulbricht stanul před soudem. Ten nedávno zamítl jeho propuštění na kauci. Důkazů, že se jedná o internetového magnáta s přezdívkou Dread Pirate Roberts (DPR) je totiž příliš mnoho a dá se předpokládat, že by se mohl snažit uprchnout.
K administraci tohoto veskrze nelegálního obchodu můžete přidat ještě několik objednaných vražd, milióny dolarů v bitcoinech a je jasné, že DPR není žádné ořezávátko. Žaloba by mohla narazit pouze ve špatné identifikaci serveru, ze kterého byla většina projektu ovládána. Z informací na serveru byl totiž vytvořeno spojení Ulbrichta s DPRem.
Možný útěk ze Spojených států podtrhávají i čerstvé dokumenty, mezi kterými je mimo jiné i žádost o občanství v Dominice (ostrov v Karibiku). Nápad dobrý, ale Ulbrichtovi zřejmě unikla dohoda o vydávání zločinců mezi USA a Dominikou. To si měl radši zvolit Rusko nebo Čínu, tam by ale zase měl možný problém s občanstvím. V Dominice je totiž možná koupě "ekonomického občanství", které je vyřízeno rychle, ale připravíte si v přepočtu 1,5 miliónu v dotacích tamní vládě.
Poznámka: Nedalo nám a podívali jsme se na vzájemné dohody o vydávání zločinců mezi Spojenými státy a ČR. Dokument [PDF] nalezneme mimo jiné na americkém webu state.gov vyhotovený v anglickém i českém jazyce (čeština je v druhé půlce dokumentu). Jelikož je dohoda vzájemná, může být žádáno vydání osoby v ČR do USA nebo vydání osoby z USA do ČR, podle všeho nezáleží na občanství dané osoby.
"Trestný čin je trestným činem podléhajícím vydání, lze-li za něj podle práva dožadujícího i dožádaného státu uložit trest odnětí svobody s horní hranicí přesahující jeden rok nebo přísnější trest. Trestný čin je rovněž trestným činem podléhajícím vydání, pokud se jedná o pokus nebo spolčení ke spáchání trestného činu podléhajícího vydání nebo o účast na tomto trestném činu."
Dále se píše, že při dvou konkurenčních žádostech o vydání se přihlíží mimo jiné k "příslušným zájmům" států-žadatelů. Neznamená tedy, že když si vás vyžádá evropský soud, skončíte u něj, klidně můžete při souběžné žádosti o vydání z USA skončit za mořem.
Tento hacker a kriminálník si byl evidentně vědom své nevýhodné pozice a měl připraven celý plán života na útěku. K němu mu měly napomáhat různé občanské identity, které zahrnovaly například devět řidičských průkazů v různých zemích včetně Austrálie, Spojeného království a USA.
Obchody ve velkém a vraždy na objednávku
Na Ulbrichtově počítači byly nalezeny také tabulky se zápisy různých aktivit, které souvisí s účetnictvím. Položky zahrnují výdaje za pronájem serveru, vyplácení hackerů, půjčka půl miliónu dolarů v rámci obchodů a další. Ulbricht si také vypisoval na svůj systém všechny své majetky včetně položky "sr inc" (že by Silk Road? ;), která má podle něj hodnotu 104 miliónů dolarů.
Na systému se našly dokonce i finální výnosy projektu v podobě Bitcoin peněženky, která obsahovala virtuální měnu v hodnotě $20 miliónů (v té době). Vlivem raketového vzrůstu hodnoty Bitcoinu v poslední době se však cena zněkolikanásobila a pokud by teď připadly peníze americké vládě, polepší si státní kasa o $111 miliónů.
Ulbricht byl také nakonec obviněn nejen ze dvou objednaných vražd, ke kterým existuje velké množství důkazů. Podle žaloby si celkem DPR objednal 6 "hitů", u několika z nich byl však napálen. Celkem se prý jednalo o půl miliónu dolarů. Cena kolem 83 000 dolarů za jeden hit je lehce nad průměrem, podle našich odhadů si tak mohl objednávat vraždy menších obchodníků, pravděpodobně nepohodlných menších konkurentů.
Poznámka: Levné vraždy bez ohledu na světovou lokaci "bez rizika" vychází na internetu na 20 000 dolarů (v přepočtu cca 400 000 korun). Byznysmen je zhruba 10x dražší a speciální služby včetně právníků, které využívají podle našich průzkumů například rusové, mohou pak podléhat dalším poplatkům. Za peníze si koupíte lístek na svobodu téměř z jakéhokoliv ruského soudu/vězení, můžete využít i různých dlouhodobých řešení.
Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.