Aktuality - Hacking

Hacker s přezdívkou fin1te odhalil, že FB se dal jednoduše hacknout pomocí SMS a to do jedné minuty.

Opera odhalila útok na svoji infrastrukturu. Na incident se přišlo 19. června, odhalení veřejnosti proběhlo o týden později. Cílem útoku byl code signing certifikát. Více informací, jako vždy, po kliku na nadpis novinky.

Hackerská konference Black Hat přinese jako každý rok mnoho zajímavých novinek. Začíná 27. července a návštěvníci se můžou těšit třeba na demonstraci injektáže škodlivého kódu do androidí aplikace a tím z ní udělat bez nadsázky špióna.

Výzkumníci firmy FireEye zaregistrovali vlnu malware, používající Google Docs k přesměrování obětí a vyhnutí se mechanismům detekující tzv. callback (snahu malware stáhnout si své další kolegy).

Informoval o tom web Japan Daily Press ([link]). Stalo se tak na počátku června. Údajně neunikly žádné soukromé údaje klientů a útok se týkal pouze japonsky lokalizované verze webu. Ti, kdo inkriminovaný web navštívili ve dnech mezi 5. a 14. červnem, byli přesměrovány na stránku s malwarem, který se jim uhnízdil v počítačích.

Tento program od vývojářů Twitteru slouží ke sdílení krátkých videí. Maximální délka vkládaného videa je od počátku limitována 6 sekundami. Ke každému nahranému můžete připojit komentář, ostatní uživatelé mohou váš příspěvek s videem označovat jako oblíbený a také ho komentovat. Aplikace existuje pro různé platformy, té Androidí se podíval na zoubek mladý student jménem Will Smidlein.

Tomu se podařilo uploadnout 3,5 min dlouhé video jeho oblíbené písně Never Gonna Give You Up. Na svém Twittru to komentoval slovy „Myslím, že jsem zlomil Vine.“ Dále se omlouvá inženýrům z Twitteru/Vinu s tím, že se to pokoušel održet v tichosti, ale „internet nikdy nezapomíná.“

A jak že se mu to povedlo? Dekompiloval kód programu a podařilo se mu zjistit, jak komunikuje se serverem. Následně upravil část starající se o ověřování 6s limitu.

Po skončení školního roku se Smidlein chystá pracovat pro firmu Read it Later sídlící v San Franciscu. Jejich zajímavá aplikace Pocket dovoluje ukládat online obsah pro pozdější přístup, když jste offline. Firma ho za tento počin pochválila.

Hacker zvaný Slacker ([link]) kontaktoval autory webu cyberwarsnews.info, aby se „pochlubil“ průlomem do webu Evropské policejní akademie (CEPOL - [link]). Ten je v současné době nedostupný. Defacementu se dočkal již na konci května.

CEPOL, fungující od roku 2001, je partnerská síť spojující vnitrostátní vzdělávací zařízení pro vyšší policejní úředníky. Jejím cílem je vytvořit společný přístup k problematice předcházení trestné činnosti a boji proti trestné činnosti prostřednictvím školení, přípravy harmonizovaných programů a šíření osvědčených postupů.

Na jejich stránky byl do administrátorské sekce vložen soubor (konkrétně na adrese [link]). Ještě 3. června byl web stále změněn, dnes již neni k vidění ani na mirroru ([link]).

Dále tento zlobivý hacker (či hackeři) umístil na pastebin soubor se seznamem databází poškozené stránky a také 6 MB velký SQL soubor na MediaFire. V tom je např. databáze mdl_user, obsahující informace o 14 000 uživatelských účtech, včetně administrátorských - jména, emaily a některá šifrovaná hesla.

Drupal.org, domovská stránka jedné z nejpopulárnějších platforem systémů pro správu obsahu (CMS), vydala varování pro členy komunity a resetovala všechna hesla k účtům. K tomuto kroku bylo přistoupeno poté, co jejich tým objevil na serveru nebezpečný soubor.

Jednalo se o server association.drupal.org, na který byl útočníky umístěn infikovaný soubor. Bylo zneužito aplikace třetí strany, Drupal odmítá jakékoliv bezpečnostní problémy se svým vlastním systémem. Nebezpečný malware mohl získat důvěrná data uživatelů ze serverů drupal.org a groups.drupal.org. E-maily, uživatelská jména, informace o lokaci uživatele a hashe hesel. Na to všechno si útočníci mohli přijít, proto Drupal bez ptaní rovnou zresetoval všechna hesla a tím uživatele donutil změnit si je při dalším přihlášení. Informace o kreditních kartách prý Drupal neukládal.

Více infa v odkazovaném článku či přímo na stránkách společnosti ([link]).

Robert Kugler, sedmnáctiletý německý student našel XSS na stránkách PayPalu. Bugem chtěl přispět do jejich tzv. Bug Bounty Program ([link]). Odpověď PayPalu ho však překvapila - chybu již někdo nalezl a navíc se prý díky nízkému věku nemůže do programu zapojit. Vypadá to, že si chtějí znepřátelit bezpečnostní talent. To se jim opravdu nemusí vyplatit a vypadá to, že se jim to opravdu povedlo. Kugler totiž veřejně odhalil onen bug a podle jeho slov to „není nejlepší nápad šetřit na odměnách, když se snažíte o motivaci bezpečnostních expertů.“

Konkrétněji se zranitelnost týkala vyhledávacího políčka a jak je pro XSS typické, zneužití bylo možné pomocí JavaScriptu. Jeden z důvodů, proč nechtějí vyplatit odměnu, se zdá být zvláštní - nikde na jejich webu o žádné věkové hranici neinformují. U ostatních firem je naopak celkem běžné, že takto mladí hackeři dostávájí zaplaceno - Mozilla dokonce vyplatila 3 000 dolarů 12 letému chlapci za nalezení chyby v paměti běžícího Firefoxu. ([link]). Myslím, že to poslední co by měly firmy chtít je odrazovat mladé talenty od slušného jednání a touhy po vědění.

Více případů mladých hackerů a informací v odkazovaném článku. Kompletní informace o této zranitelnosti zde [link] .

Zneužití se týká metody stream.publish, která byla zneužitelná již minulý rok. Letos FB změnil její parametry a upravil její implementaci:

- link je odkaz, na který je uživatel přesměrován po kliku na obrázek „aplikace“
- picture určuje obrázek z libovolného internetového umístění
- caption určuje web, odkud původně odkaz pochází - lze použít cokoliv důvěryhodně vypadajícího
- name určuje nadpis příspěvku

V době psaní této aktuality je vše plně funkční, pokud do url vyplníte tyto parametry včetně nějakého ID, po kliku na obrázek či nadpis jste přesměrováni přesně tam kam potřebujete. Pro příklad sledujte bílého králíčka.