SecUpdate: Hackeři útočí na nevěrníky i řidiče aut. Hrozí vám nebezpečí?
Když vám v autě zničehonic přestanou fungovat brzdy, pravděpodobně budete nadávat na jeho výrobce. Ve skutečnosti ale může jít o hackerský útok! Charlie Miller a Chris Valasek jsou známí hackeři zabývající se bezpečností systémů v automobilovém průmyslu, zejména u tzv. připojených aut. Článek věnující se jejich poslednímu útoku popisuje, jak zneužili zranitelnosti v automobilovém systému Uconnect a z domu ovládali auto s redaktorem. Mohli si dokonce vybírat, systém Uconnect je totiž instalován v téměř 471 000 autech koncernu Fiat Chrysler ve Spojených Státech.
Hackeři převzali kontrolu nad Jeepem Cherokee vybaveným systémem Uconnect
Světla svítí, stěrače stírají. Ale ovládají je hackeři
Experti byli schopní vzdáleně zapnout motor auta, aktivovat a deaktivovat brzdy, převzít kontrolu nad informačním displejem a multimediálním centrem ve voze a zapnout stěrače. Přišli dokonce i na způsob, jak vzdáleně ovládat řízení vozu.
Nalezené zranitelnosti jsou již opraveny a Fiat Chrysler o updatu informoval na svých stránkách. Aktualizace ale nejsou automatické, takže majitelé vozů si je musí stáhnout a nainstalovat pomocí USB nebo s vozidlem zajet do servisu. Tak tomu alespoň bylo dle prvního vyjádření.
V pátek ale společnost Fiat Chrysler Automobiles ve svém prohlášení vyzvala své zákazníky k dobrovolnému bezpečnostnímu updatu, který by měl opravovat chybu v přibližně 1 400 000 automobilů vybavených určitým druhem rádia. Na stránkách Uconnect si mohou majitelé vozů po zadání VIN kódu zjistit, jestli jsou mezi těmi, kteří by se měli k updatu dostavit.
Seznamka pro nevěrné byla hacknuta, dozví se to partneři 37 miliónů uživatelů?
Stránku AshleyMadison.com napadla skupina či jednotlivec říkající si The Impact Team. Tito útočníci vyžadují kompletní vypnutí stránek ashleymadison.com a establishedmen.com, které vlastní Kanadská společnost Avid Life Media. V obou případech se jedná o seznamovací stránky. Ashleymadison.com funguje i na českém trhu a jak naznačuje její slogan “Život je krátký. Mějte milostný poměr.” Jedná se o diskrétní seznamku pro zadané. Druhý web nabízí dobře situovaným pánům snadnou cestu k seznámení s mladými a krásnými dívkami.
Česká varianta seznamky pro zadané
Útočník vyhrožuje zveřejněním kompletních dat uživatelů, kterých je, jak udává domovská stránka služby, “více než 37 610 000 anonymních členů”. Evidentně by měli zvážit použití slova “anonymních”, jelikož už teď útočník jako důkaz zveřejnil data, obsahující jednu platbu kartou na webu ashleymadison.com z každého dne během posledních 7 let. Tato data obsahují jméno zákazníka, jeho adresu a data z jeho profilu, na kterém jsou uvedeny například jím preferované sexuální praktiky.
Ředitel Avid Life Media Noel Biderman ve vyjádření pro KrebsOnSecurity útok potvrdil a řekl, že společnost intenzivně pracuje na ochraně svých dat. Tomu také odpovídá to, že většina odkazů, které by měly podle Impact Teamu obsahovat ukázková data, již není funkční.
Máte důvod se kompletního zveřejnění obávat? Tak to začněte vymýšlet dobrou výmluvu. Pokud si totiž myslíte, že využijete kompletní smazání dat, které web nabízí za $19, měli byste vědět, že Impact Team zveřejnil i záznamy o takovýchto uživatelích. Podle všeho je jejich profil sice označený jako “paid delete” a některá pole jsou v databázi smazána, ale stále jsou uloženy záznamy plateb se jménem, adresou a dokonce nechybí ani oblíbené praktiky.
LinkedIn jako nástroj k cílenému phishingu
Securelist popsal zranitelnosti portálu LinkedIn objevené výzkumníky ze společnosti Karspersky. Ti si jednak všimli, že se liší escapování znaků při vkládání příspěvků z různých zařízení a také toho, že bank-end interpretuje odřádkování (stisk klávesy Enter) jako html tag <br />
, který přidá k příspěvku jako text.
Tyto dvě na první pohled nepříliš vážné zranitelnosti mohly být zneužity k cíleným a velmi důvěryhodným phishingovým útokům. Výzkumníci totiž zjistili, že otvírací hranatá závorka HTML tagů je při vložení přes klasický webový prohlížeč interpretována jako %3C
, ale při vložení přes mobilní prohlížeč jako <
. A to už k útoku stačilo.
Škodlivý komentář vložený z mobilní platformy
Jak je vidět na obrázku, na první pohled se zdá, že escapování zabralo a komentář je neškodný. Nesmíme ale zapomenout, že LinkedIn posílá emailovou informaci o komentářích všem, kteří s nimi mají něco společného. A právě v tomto emailu už data správně ošetřená nejsou. Může tedy dojít ke spuštění JavaScriptového kódu útočníka nebo k zobrazení škodlivého obsahu příspěvku jako na následujícím obrázku.
Obsah útočného příspěvku v těle emailu
Zranitelnosti na síti LinkedIn byly opraveny a toto nebezpečí nám už nehrozí. Je ale vidět, že i u velkých sociálních sítí mohou útočníci najít skulinky, a proto by se uživatelé měli zamýšlet před každým otevřením přílohy nebo kliknutím na odkaz z emailu.
Máte v počítači malware HackingTeamu? Tenhle nástroj to zjistí
Ani dnes neopomeneme únik dat společnosti HackingTeam. Výzkumníci ze společnosti Rook Security totiž vytvořili nástroj pojmenovaný Milano, který slouží k detekci malwaru HackingTeamu na cílovém zařízení. Na tom může běžet jak operační systém Windows, tak OS X nebo nějaký z unixových operačních systémů. Malware je možné hledat ve dvou odlišných módech - rychlý scan a podrobný scan. Na rozdíl od rychlého scanu, který trvá několik sekund, podrobný scan může v závislosti na systému trvat i hodinu.
Nástroj aktuálně hledá více než 300 souborů a toto číslo se bude zvyšovat s postupující prací na analýze dat HackingTeamu. A právě ve způsobu hledání těchto souborů se liší typy scanování. Rychlý scan hledá podle názvů souborů a v případě shody porovná hashe souborů, kdežto podrobné hledání porovnává hashe všech souborů v systému proti hashům souborů HackingTeamu.
Osquery od Facebooku dokáže detekovat malware HackingTeamu na OS X
Uživatelé OS X mohou vedle nástroje Milano využít monitorovací nástroj osquery od Facebooku, o kterém jsme již před nějakou dobou psali. Nyní ale Facebook rozšířil jeho funkcionalitu přidáním balíčků dotazů. Tyto balíčky slouží ke spojení dotazů, zaměřujících se na stejnou funkci nebo problém, a lze je jednoduše stahovat, distribuovat a aktualizovat.
Příspěvek o novince na blogu popisuje více balíčků, pro nás je ale podstatný balík OS X attacks, který obsahuje dotazy ke zjištění přítomnosti nástrojů HackingTeamu. Pokud tedy po spuštění následujících dotazů uvidíte nějaké nálezy, znamená to, že váš počítač je infikován malwarem. Pravděpodobnost chybné detekce přítomnosti malwaru (takzvaný false positive) je dle Facebooku téměř nulová.
select * from file where path = '/dev/ptmx0';
select * from apps where bundle_identifier = 'com.ht.RCSMac' or bundle_identifier like 'com.yourcompany.%' or bundle_package_type like 'OSAX';
select * from launchd where label = 'com.ht.RCSMac' or label like 'com.yourcompany.%' or name = 'com.apple.loginStoreagent.plist' or name = 'com.apple.mdworker.plist' or name = 'com.apple.UIServerLogin.plist';
Microsoft záplatuje urgentní chybu, ale Windows Server 2003 už se opravy nedočká
Společnost Trend Micro na svém blogu detailně popisuje novou zranitelnost označenou CVE-2015-2426
, kterou objevila v datech společnosti HackingTeam. Microsoft po obdržení hlášení o této chybě vydal v pondělí mimořádnou opravu.
Zranitelnost leží v knihovně atmfd.dll (Adobe Type Manager Font Driver) a může vést k eskalaci oprávnění v napadeném systému. Útočník po úspěšném zneužití této zranitelnosti může spustit libovolný kód a kompletně převzít kontrolu nad systémem, instalovat programy, měnit data či vytvářet uživatelské účty.
Oprava nahrazuje předchozí záplatu, která ještě zahrnovala i operační systém Windows Server 2003. Jeho podporu ale Microsoft ukončil 14. července a nově vydaná oprava tedy už pro tento systém k dispozici není. Je tedy pravděpodobné, že od nedávna nepodporovaný systém Windows Server 2003 je na tuto veřejně známou chybu opět náchylný.
Další zprávy ze světa IT bezpečnosti v bodech:
- Společnost TrendMicro popisuje funkci nástrojů HackingTeamu na Androidích telefonech
- HYPR nabízí biometrii jako službu
- Google opravil 43 chyb v Google Chrome
- Výzkumník zveřejnil detaily k eskalaci práv na OS X
- WordPress vydal opravu závažné XSS zranitelnosti
- V mobilním Internet Exploreru jsou 4 zranitelnosti nultého dne
- Zranitelnost v OpenSSH umožňuje provádět brute force útoky