CDR.cz - Vybráno z IT

SecUpdate: Chcete mít maily v soukromí? Inspirujte se u hackera z Mr. Robot!

ProtonMail - služba nabízející šifrované emaily je k dispozici pro každého! Neochrání vás ale před novým malwarem cílícím na iOS či exploitem pro OS Android. A ukážeme vám také, jak lze nainstalovat zařízení na kopírování karet během 3 sekund.
nepřehlédněte

Pravděpodobně největší světový poskytovatel emailových služeb se zaměřením na soukromí a šifrování oznámil zrušení pozvánkového systému a po dvou letech testování se tak služba otevírá široké veřejnosti.

Během testovací fáze službu ozkoušelo více než milion uživatelů. Největší špičce čelila společnost v době po Snowdenových odhaleních, kdy si chtělo emailový účet na ProtonMailu založit až 10 000 uživatelů za den.

Pokud si prohlížíte stránky služby ProtonMail a máte pocit, že už jste tohle GUI někde viděli, možná se nemýlíte! Několikrát se objevilo v seriálu Mr. Robot, kde ho používal hacker Elliot Alderson.

 

Snímek ze seriálu Mr. Robot

Důvodem k rozhodnutí o otevření služby široké veřejnosti bylo časté podkopávání možností udržení soukromí na internetu. Dr. Andy Yen vyzdvihl jako jeden z motivátorů například nedávný soudní spor společnosti Apple. Ten a další podobné spory ukazují zcela akutní potřebu uživatelů po službě, která nabízí end-to-end šifrovanou komunikaci. A to dokonce i v podobě aplikací pro iOS a Android.

Nový iOS malware je úspěšný i na zařízeních, u kterých nebyl proveden jailbreak

Nová rodina malwaru pro platformu iOS zneužívá chybu v návrhu DRM (Digital Rights Management) technologie FairPlay společnosti Apple. Útočník díky ní dokáže nepozorovaně, tedy bez interakce uživatele, nainstalovat škodlivou aplikaci. A to dokonce i do iPhonů a iPadů, u kterých nebyl proveden takzvaný jailbreak. Podle výzkumníků z Palo Alto Networks jsou tak ohroženy stovky miliónů zařízení společnosti Apple s operačním systémem iOS.

Malware dostal název AceDeceiver a při jeho použití útočník využívá techniku man-in-the-middle útoku. Ta je podle výzkumníků zneužívána u technologie FairPlay již od roku 2013 a to k distribuci pirátských iOS aplikací.

 

Princip útoku s využitím techniky FairPlay man-in-the-middle

Princip techniky spočívá v tom, že si útočník sám zakoupí aplikaci na AppStore a odposlechne a uloží si autorizační kód. Následně pomocí vlastního programu, který simuluje chování iTunes klienta, oklame cílové zařízení oběti. To si ve výsledku myslí, že si danou aplikaci zakoupila sama oběť.

Výzkumníci zatím zaregistrovali zneužití této techniky v Číně, ale může jednoduše dojít k rozšíření do dalších částí světa. Detailnější informace uvádějí na svém blogu.

Exploit Metaphor zneužívající Stagefright ohrožuje miliony telefonů s OS Andorid

O zranitelnosti Stagefright jsme psali již v srpnu minulého roku. Nyní se ale dostal na světlo světa exploit, který tuto zranitelnost zneužívá a útočník tak během 10 sekund může hacknout telefon oběti. Potřebuje k tomu pouze to, aby oběť navštívila jeho webovou stránku obsahující škodlivý multimediální soubor.

Nový exploit je nazýván Metaphor a detailněji ho popisují výzkumníci z Izraelské společnosti NortBit ve svém článku [PDF]. Mimo to zveřejnili i video obsahující proof-of-concept a prý také úspěšně otestovali exploit na zařízeních Samsung Galaxy S5, LG G3 a HTC One.

Ukázka úspěšného hacknutí Nexus 5 pomocí exploitu Metaphor

Podle výzkumníků jsou na exploit náchylné miliony zařízení s nezáplatovaným systémem Android. Stagefright bylo těžké zneužít, jelikož proti němu na novějších Androidech bojovala ochrana ASLR (Address Space Layout Randomisation). Prezentovaný exploit ale funguje na Androidech verze 2.2 až 4.0 a 5.0 až 5.1. Do verze 4.0 není ochrana ASLR implementována a na novějších verzích Metaphor tuto ochranu úspěšně překonává.

Pwn2Own opět přinesl nové zranitelnosti v prohlížečích a odměny jejich nálezcům

Letošní Pwn2Own je za námi a výzkumníkům přinesl celkem 460 000 amerických dolarů, které obdrželi za nalezení 21 nových zranitelností ve Windows (6), OS X (5), Flashi (4) a prohlížečích Safari (3), Edge (2) a Chrome (1). Celková částka je o necelých 100 tisíc nižší než v minulém ročníku.

 

Vítězové letošního ročníku Pwn2Own – Tencent Security Team Sniper (Instagram Seth Rosenblatt)

Během prvního dne soutěžící získali 282 500 dolarů, druhý den částku téměř zdvojnásobili a na místo vítězů se dostali výzkumníci z Tencent Security Team Sniper. S těmi bojoval JungHoon Lee, který dostal celkově nejvyšší finanční odměnu 85 000 dolarů za svůj úspěšný pokus o spuštění kódu na úrovni systému zneužitím zranitelnosti v prohlížeči Microsoft Edge.

Výzkumníci byli také vyzváni k předvedení úniku z VMWare virtuálního stroje a to za bonus ve výši 75 000 dolarů. Tento útok se však nikomu úspěšně nepovedl.

Policejní videozáznam zachytil muže, jak nainstaloval čtečku karet během 3 vteřin

Upozornění na existenci zařízení na kopírování karet, které může být nainstalováno jak v obchodech, tak u bankomatů, jsme každý viděli jistě několikrát. Nevím jak vy, ale já si vždy říkal, že se to může stát u nějakého zašitého bankomatu, ke kterému chodí někdo jednou za den a kriminálníci tak mají dostatek času a klidu na instalaci zařízení, které karty kopíruje. Tato domněnka ale byla úplně zcestná! Miamská policie zveřejnila video, které ukazuje, jak se posunula technika využívaná zločinci už několik let.

Video z instalace zařízení pro kopírování karet (tzv. skimmer)

Na videozáznamu jsou dva muži, z nichž jeden zaměstná obsluhu benzinové pumpy a druhý během 3 sekund nainstaluje skimmer na terminál pro platební karty. Jedná se o tak rychlou akci, že pokud by sledující nevěděl, že na videu k něčemu dojde, pravděpodobně by si činu ani nevšiml.

Při platbě kartou v takovémto „vylepšeném“ terminálu zákazník nic zvláštního nezpozoruje. Detaily z jeho karty se ale uloží v zařízení, pro které se následně jeho majitelé vrátí, případně se jen přiblíží a data získají bezdrátově např. pomocí Bluetooth. Nasbíraná data pak zneužijí k online platbám nebo z nich vyrobí kopie karet.

Další zprávy ze světa IT bezpečnosti v bodech:

Ondřej Přibyl

Autor se věnuje vývoji jak webových, tak desktopových aplikací a zajímá ho jejich bezpečnost. Rád analyzuje nové typy útoků a snaží se díky tomu zvyšovat bezpečnost svých aplikací. Pro CDR zpracovává především bezpečnostní seriál SecUpdate.

více článků, blogů a informací o autorovi

Diskuse ke článku SecUpdate: Chcete mít maily v soukromí? Inspirujte se u hackera z Mr. Robot!

Středa, 23 Březen 2016 - 18:23 | Fotobob | WP je v učitém ohledu v podobné situaci jako...
Středa, 23 Březen 2016 - 17:29 | HKMaly | Jen pokud ji bude provadet manualne.
Středa, 23 Březen 2016 - 12:06 | jsem Zpet | Aktualizaci GPG nemůže nikdo jiný podstrčit,...
Středa, 23 Březen 2016 - 12:03 | jsem Zpet | Jistěže systémy bez chyb neexistují, ale Android...
Úterý, 22 Březen 2016 - 18:04 | HKMaly | Nejde (jen) o duveru - onu automatickou...
Úterý, 22 Březen 2016 - 15:00 | Fotobob | Nemám problém s tím, že je to někomu sympatický...
Pondělí, 21 Březen 2016 - 18:00 | jsem Zpet | Proto nemám Android rád. Pokud vím, tak za celou...
Pondělí, 21 Březen 2016 - 17:57 | jsem Zpet | GPG si už vybudoval důvěru, Protonmail je nový....
Pondělí, 21 Březen 2016 - 17:21 | HKMaly | Stagefright: Holt nazorna ukazka, ze napsat...
Pondělí, 21 Březen 2016 - 17:08 | HKMaly | Dalo by se rict, ze Protonmail je tak bezpecny,...

Zobrazit diskusi