CDR.cz - Vybráno z IT

SecUpdate: Nespoléhejte na HTTPS, nový útok DROWN překonává šifrování!

nepřehlédněte
Objevil se útok DROWN, který umožňuje číst šifrovaná data. Dočtete se, jak poznat server, který je na něj náchylný. Také zjistíte, proč se hackeři chystají na Pentagon, jak se dostat k šifrovacím klíčům v telefonu, co se dělo u ESETu a další zajímavosti.

Máte-li pocit bezpečí ve chvíli, kdy v prohlížeči vidíte zamčený zámeček či víte, že komunikujete šifrovaně, musíme vás zklamat. Nový útok nazvaný DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) útočníkovi, který se dokáže dostat do pozice man-in-the-middle, umožní dešifrovat komunikaci na 33 % HTTPS serverů. A zranitelné nejsou jen webové stránky, útočník tímto útokem může prolomit šifrování také u emailů, komunikátorů a dalších služeb, které používají TLS a SSL protokoly.

Problém spočívá v tom, že velký počet serverů stále podporuje SSLv2 i přesto, že ho klienti prakticky nevyužívají a veškerá komunikace je šifrována pomocí TLS. O SSLv2 se již dlouhou dobu ví, že není bezpečný, ale vzhledem k tomu, že nebyl ze strany klientů používán, nikdo jeho podporu na serverech moc neřešil.

 

Základní princip DROWN útoku

DROWN útok ale mění situaci a ukazuje, že pouhá podpora SSLv2 na serveru je nebezpečná. Útočník je při něm schopen dešifrovat moderní TLS komunikaci mezi aktualizovaným klientem a serverem tím, že nejdříve na server odešle požadavky na SSLv2. Podmínkou k provedení útoku je, že server používá pro šifrování stejný privátní klíč.

Existují dva případy, kdy je server na útok náchylný:

  • Server umožňuje navázat spojení s využitím SSLv2. Tato situace není úplně nepravděpodobná, podle měření výzkumníků, kteří na útok přišli, je takto zranitelných 17 % HTTPS serverů.
  • Privátní klíč serveru je používán na jakémkoli jiném serveru, který SSLv2 podporuje, dokonce i pro jiný protokol. Konkrétní příklad takové situace je například společnost, která má HTTP server využívající pouze moderní šifrovací algoritmy a webový server, na kterém je stále podpora SSLv2. Na obou serverech společnost používá stejný certifikát a privátní klíč.  Útočník tak může využít zranitelnosti emailového server a dostat se k zabezpečené komunikaci toho webového. V takovéto situaci se nachází přibližně 16 % serverů.

Varianty konfigurací, které jsou náchylné na DROWN útok

Jak se proti DROWN útoku bránit? Jako uživatel moc možností nemáte, maximálně můžete tlačit na poskytovatele služby, aby si lépe zabezpečil servery a do té doby jeho služby nepoužívat. Mezi zranitelnými servery se objevil například i server mBanky. Ta ale rychle zapracovala a v době vydání článku už server zranitelný není.

Pro ověření, zda je nějaký server zranitelný, můžete použít webový nástroj přímo na stránkách popisujících útok, nebo Python script, který dal k dispozici Hubert Kario z RedHatu.

Hack the Pentagon – zajímavá inciativa ministerstva obrany USA

Americké ministerstvo obrany vydalo prohlášení, ve kterém oznamuje první kybernetický bug bounty program v historii federální vlády USA. Za účelem zvýšení bezpečnosti svých sítí vyzívá hackery ke snaze o jejich prolomení.

Program začne v dubnu 2016 a účastníci musejí být pouze ze Spojených Států. Po přihlášení do programu budou muset nejprve projít bezpečnostní prověrkou a až poté mohou začít útočit a hledat zranitelnosti v systému. Otázkou zůstává, jaké budou v programu odměny, ty totiž zatím nebyly zveřejněny.

 

Internetem se k tématu šíří vtipné obrázky

Cílem jejich útoků nebude reálná infrastruktura Pentagonu, ale bude pro ně připraveno testovací prostředí, které by mělo reálnou infrastrukturu kopírovat. Útoků na tu skutečnou je pravděpodobně dost i bez tohoto programu.

Jak získat šifrovací klíče z telefonů s OS Android a iOS?

Také v telefonu máte šifrovací klíče k účtu na Apple Pay, k bitcoinové peněžence a k dalším důležitým službám? Tým výzkumníků z univerzity v Tel Avivu a Adelaide našel způsob, jak tato data z telefonů ukrást. A jsou úspěšní na obou platformách!

 

Útočníci extrahovali šifrovací klíče z iPhonu 4

Výzkumníci předvedli tzv. útok postranním kanálem, při kterém je možné ze systému získat šifrovací klíč. A to buď pomocí analýzy využití paměti, nebo analýzy elektromagnetických záření zařízení v průběhu dešifrování. Útok funguje pro získání klíče při použití protokolu digitálního podpisu s využitím eliptických křivek (ECDSA).

 

Útok byl úspěšný také na telefonu Sony-Ericsson Xperia X10 s operačním systémem Android

Pro získání šifrovacích klíčů z iPhonu 4 výzkumníci použili magnetický pásek za 2 dolary, který přiložili k telefonu v době, kdy šifroval data. Měřili přitom elektromagnetické záření a z jeho hodnot dokázali extrahovat bezpečnostní klíč.

 

Ukázka útoku pomocí upraveného USB adaptéru

Ke stejnému cíli se dokázali výzkumníci dostat také pomocí upraveného USB adaptéru, který připojí k telefonu a signály snímají pomocí zvukové karty. Takový útok je možné provést například ve chvíli, kdy není možné se k telefonu dostat dostatečně blízko s magnetickým páskem.

Mezi zranitelné systémy patří iOS verze 7.1.2 až 8.3, aktuální iOS 9.3 má již proti útokům postranním kanálem obranu. Detaily je možné najít na stránkách projektu nebo ve vydaném článku [pdf].

Chyba v updatu ESETu zablokovala mnoho internetových stránek

Minulé pondělí přišlo velké množství uživatelů na fóra společnosti ESET se stížností na blokování webových stránek jako jsou eBay, Amazon, MSN, Google, různé zpravodajské weby a dokonce i stránky podpory společnosti ESET. Při pokusu o vstup byla totiž detekována infekce trojskými koni  JS/ScrInject.B a HTML/Refresh.BC.

 

Zpráva o opravě od společnosti ESET

Nakonec se ukázalo, že detekované výskyty byly chybné a způsoboval je update databáze virů na verzi 13102. Společnost ESET nejdříve vyzvala uživatele k ručnímu vrácení aktualizace a později vydala aktualizaci databáze verze 13103, která problém opravila.

Brazilský hacker vám pomůže s ověřováním platebních karet

Společnost TrendMicro narazila na zajímavou službu mladého brazilského hackera, která ověřuje platnost platebních karet. Služba se hodí zejména těm, kteří pořizují platební karty na černém trhu. Často totiž mohou narazit na karty již blokované.

Služba CheckerCC po zadání údajů o kartě ověří její platnost stržením malé částky. Jednotlivé údaje o kartách si služba také ukládá do své databáze i s výsledkem, zda karta fungovala, nebo ne. Díky tomu nemusí provádět ověřování často a snižuje tak riziko, že si transakcí na kartě někdo všimne.

 

Přihlašovací stránka ke službě CheckerCC

Reklama na službu se objevila na undergroundovém fóru, kde ji nabízel její tvůrce pod nickem Fama. Společnost TrendMicro vypátrala, že se jedná o 17-18 letého hackera žijícího v Sao Paulo. Za využívání služby se platí měsíční poplatek ve výši přibližně 25 amerických dolarů.

Malware používající makra se nově skrývá ve formulářích

V poslední době se stále velmi často setkáváme s distribucí malwaru pomocí maker. Využívá je například malware DRIDEX, nebo ransomware Locky. Právě ti také podle analýzy společnosti TrendMicro používají objekty formulářů pro skrytí škodlivého kódu. To jim pomáhá lépe skrývat svou aktivitu na počítačích obětí.

 

Ukázka škodlivého kódu skrytého ve formuláři

Použití formulářů má také větší šanci na úspěch, jelikož oběti malwaru jsou často zaměstnanci společností, kteří s dokumenty obsahujícími prvky formulářů přicházejí denně do styku. Je tedy pravděpodobnější úspěšná infekce jejich počítačů. Obrana je jednoduchá – zvažujte vždy povolení maker v souborech, které jste obdrželi emailem.

Další zprávy ze světa IT bezpečnosti v bodech:

Ondřej Přibyl

Autor se věnuje vývoji jak webových, tak desktopových aplikací a zajímá ho jejich bezpečnost. Rád analyzuje nové typy útoků a snaží se díky tomu zvyšovat bezpečnost svých aplikací. Pro CDR zpracovává především bezpečnostní seriál SecUpdate.

více článků, blogů a informací o autorovi

Diskuse ke článku SecUpdate: Nespoléhejte na HTTPS, nový útok DROWN překonává šifrování!

Pondělí, 7 Březen 2016 - 14:56 | HKMaly | Server test.drownattack.com je nejspis natolik...

Zobrazit diskusi