Aktuality - Hacking

Jednička v japonském vyhledávání a v návštěvnosti vůbec, Yahoo Japan, varovala 200 milionů japonských uživatelů a doporučila změnu hesla po tom, co hackeři získali přístup k souborům, které neměly spatřit světlo světa. Japonská pobočka Yahoo tvrdí, že zaznamenala útok na systémy v pátek večer. Vlastníky společnosti jsou Yahoo a japonský operátor SoftBank.

Zajímavou skutečností je, že ačkoliv Yahoo tvrdí, že napadené servery neobsahovaly hesla či jiná soukromá data (např. odpovědi na bezpečnostní otázky), přesto by si uživatelé měli hesla zresetovat. Více o tom v jejich prohlášení - [link] :-). Na svých stránkách také umístili tool umožnující zkontrolovat, zda je konkrétní ID v určitém riziku či ne.

Pokud by unikly kromě přihlašovacího jména třeba celé e-maily, jistě si umíte představit následnou smršť spamů a pokusů o phishing. I pokud by se jednalo o IDčka, jistě by se neměla dostat do nepravých rukou.

Více informací naleznete třeba na webu informationweek.com ([link]).

Včera byli v Southwark Crown Court odsouzeni čtyři významní členové hnutí Anonymous (LulzSec) za útoky spáchané v roce 2011.

Mezi odsouzenými jsou jednadvacetiletý Ryan Cleary (aka Viral) a šestadvacetiletý Ryan Ackroyd (aka Kayla), kteří byli odsouzeni k 32 a 30 měsícům odnětí svobody. Dále pak dvacetiletý Jake Davis (aka Topiary), který byl odsouzen ke dvou letům odnětí svobody, které stráví v zařízení pro mladistvé, a osmnáctiletý Mustafa Al-Bassam (aka Tflow), který vyfasoval dvacetiměsíční podmínku a 300 hodin veřejně prospěšných prací.

Odsouzení se v roce 2011 dopustili mnoha vážných trestných činů, mezi kterými najdeme například vykrádání databází a následné zveřejňování jejich obsahu na internetu, účast na DDoS útocích, nebo vyhrožování. Jejich oběťmi se stali například News International, Nintendo, Sony, CIA, US Air Force, Pentagon a mnoho dalších.

Právník státního zástupitelství Andrew Hadik uvedl na adresu odsouzených: Jejich činnost byla zbabělá a mstivá. Škody, které způsobili byly předvídatelné, rozsáhlé a zamýšlené. Ve skutečnosti se dokonce chlubili, jak jsou chytří a bylo jim naprosto lhostejné, jaký dopad budou mít jejich činy na životy skutečných lidí.

Pokud Vás příběhy odsouzených zajímají více, dovolím si doporučit knihu Jsme Anonymous od Parmy Olsonové, jejíž český překlad se před pár měsíci objevil na pultech našich knihkupectví [link]

Nir Goldshlager dnes zveřejnil další bugy, které se nachází v nedostatečně ošetřených parametrech odkazů na Facebooku a jeho důvěryhodných aplikací, jako Diamond Dash, SoundCloud, Skype nebo Slidshare.

Zajímavá je na tomto zveřejnění skutečnost, že se chyby vyskytují po změnách, která Facebook provedl nejspíše proto, aby odstranil dříve oznámené zranitelnosti. Dalo by se tak říci, že se Facebooku úspěšně podařilo vyrazit klín klínem.

V odkazovaném článku najdou zájemci několik ukázkových příkladů původní a nově odhalené zranitelnosti.

Webové stránky známé služby 1337day-com, na kterých byla k dispozici databáze exploitů všeho druhu, se včera staly cílem útoku hackerské skupiny TurkGuvenligi.

Těm se podařilo provést defacement webu, ve kterém jako důvod útoku uvedli následující:

we told you to ban this fake user >>>
www.1337day.com/author/5819
Is it so difficult or you are so stupid?

Aktuálně je web stále mimo provoz.

Zaměstnanci firmy ESET a Sucuri společnými silami analyzují nedávnou novou hrozbu, ohrožující tisíce serverů běžících na Apache. Jedná se o velmi sofistikovaný backdoor, kterému dali jméno Linux/Cdorked.A ([link]) a je prý nejdůmyslnější Apache backdoor, se kterým se kdy setkali.

Hackeři ho využívají k tomu, aby přesměrovali internetového uživatele na škodlivé stránky infikované Blackhole exploit sadou. O té Righard Zwienenberg z ESETu říká: „Jde o známou a rozšířenou sadu, která k infikování systému uživatele během jeho návštevy postižené webové stránky používá známé ale i nové exploity, které jsou součástí Blackholu.“ Do dnešního dne identifikovali zásluhou technologie Eset LiveGrid stovky kompromitovaných webových serverů. „Kromě modifikovaného „httpd“ souboru (Apache webserveru) po sobě Linux/Cdorked.A na hard-disku nezanechává žádné stopy. Všechny informace související s backdoorem jsou uloženy ve sdílené paměti serveru, kvůli čemuž je jeho detekce a analýza mnohem komplikovanější,“ říká Pierre-Marc Bureau, další výzkumník společnosti ESET.

Zajímavostí je, že backdoor nekontaktuje svůj vzdálený řídící server aktivně, ale akceptuje příkazy z jakéhokoli serveru pomocí protokolu HTTP. Další fakt snižující možnost jeho odhalení je to, že uživatelům prezentuje škodlivý kód jen výjimečně.

ESET vytvořil pro administrátory nástroj, který jim má pomoci s detekcí Linux/Cdorked.A ([link]). Více infa také na webu firmy Sucuri ([link]).

Tuto otázku se snažila zodpovědět firma Whitehat Security. V jejich zprávě Annual Website Security Statistics ([link]), která vyšla počátkem května, se dozvíme například to, že 86 % testovaných stránek mělo alespoň jednu zranitelnost. Pozitivnější čísla nabízí pohled na průměrný počet vážných zranitelností na jednu stránku (definovaných jako těch, při nichž útočník ze systému odcizí nějaká citlivá data, udělá defacement atp.). Potvrdila se klesající tendence - od roku 2011 (79) se toto číslo snížilo na 56.

Překvapením je SQL injection - zakladatel Whitehat Security Jeremiah Grossman k tomu říká: „Přes všechny škody, které SQLi způsobí, není v součásné době v naší top 10, konkrétně je na 14. místě.“ Tento výsledek odpovídá zhruba 7 % z milionů testovaných stránek. Je rozdílný oproti jiným studiím, např. z roku 2011 ([link]). Zajedno je např. IBM, které také vidí větší hrozby jinde, např. v XSS ([link]). Pravdou však je, že útočníci využívají zranitelnost také v závislosti na tom, „po čem jdou“.

Co je tedy nejfrekventovanější? Podle Whitehat je to z 43 % XSS. Podvrhnutí obsahu je s 13 % na druhém místě, třetí je s 11 % únik informací. Pomyslnou bramborovou medaili získalo CSRF ([link]). Pro více informací o XSS doporučuji skvělou knihu od cCuMiNna ([link]).

V jednom z posledních útoků na americké úřady se minulý týden útočníkům podařilo umístit malware na stránky s cílem kompromitovat tamní Ministerstvo energetiky.

Web úřadu U.S. Department of Labor's (zabývající se mzdami, nezaměstnaností, statistikou z oboru zaměstnanosti atp.) byl modifikován a využíval 0-day zranitelnost v IE8 k tomu, aby malwarem nakazil počítače nic netušících návštěvníků. Bylo to na stránce o nemocích spjatých s jadernou energií.

Co se týče zmíněného malware, mělo se jednat o variantu čínskými hackery velmi oblíbené Poison Ivy. Více na webu firmy AlienVault ([link]). Pravděpodobně se jednalo o cílený útok, zaměřující se na určitou skupinu pravděpodobných návštěvníků webu, tzv. wattering hole attack. V tomto případě nejspíše o úředníky amerického Ministerstva energetiky. Tak jako v mnoha cílených útocích byl malware většinou nerozpoznatelný antivirovými programy.

Je velmi pravděpodobné, že se mohlo jednat o útoky „špionážního typu“. Útoky následují po sérii krádeží, provedených údajně čínskými agenty ([link]). Při nich bylo „ukradeno intelektuální vlastnictví“ obranných technologií několika britských firem. Anup Ghosh, majitel firmy Invincea k tomu řekl: „V podstatě se kradou obranná technologická tajemství přímo před našimi nosy, je to celkem drzé. V jakém bodě si jako stát uvědomíme situaci a řekneme dost, tady jste již překročili červenou linii?“

Známý facebookový hacker Nir Goldshlager, který v posledních měsících zveřejnil hned několik kritických zranitelností v implementaci Facebook OAuth, přichází nyní s dalším oznámením. To se tentokrát týká bezpečnostních chyb v Instagram OAuth, které útočníkovi umožňují získat kontrolu nad jakýmkoliv účtem.

Útočník se díky zranitelnostem může dostat například k soukromým fotografiím nebo komentářům, které může nejenom prohlížet, ale i mazat, nebo přidávat.

Podle Nira prý existují dva způsoby, jak toho dosáhnout. První způsob umožňuje únos účtu přímo přes Instgram OAuth, kdežto druhý k únosu využívá Facebook OAuth dialog.

Za vším prý stojí nedostačně ošetřený parametr redirect_uri. Pokud se k doméně uvedené v tomto parametru přidá další posfix, může dojít k přesměrování autorizačního tokenu na doménu vlastněnou útočníkem.

V odkazovaném článku najdou zájemci ukázkový PoC a demonstrační video.

Asi nepřekvapí, že se na Novinkách ([link]) nikdo nepozastaví nad zvláštní pravidelností. Naopak tam citují mluvčího Cermatu, který říká, že ti zlí útočníci opravdu neuškodí Cermatu, ale jen chudákům maturantům, kteří si tak nemohou vyzkoušet testy na nečisto atp.

Naopak hezké zamyšlení uvedl pan Dočekal na Lupě. Není to totiž poprvé, co stránky Cermatu a NovaMaturita (bežící nejspíš na stejném serveru) mají problémy se svým chodem. Zajímavé je, že zmiňované útoky DDoS nastávají vždy v tomto období, kdy je o stránky největší zájem z řad studentského potěru. V roce 2011 byla situace stejná ([link]). Mnohahodinová nedostupnost, případně výpadky. Vloni ([link]) se dokonce snažili redaktoři Lupy zjistit vyjádření, jaký hosting server využívá a zda není poddimenzovaný. Nikdo se s nimi nebavil. Skoro to pro pouhého diváka vypadá, že se možná někde šetří (na HW či i na zaměstnancích). Ale to určitě nemůže být pravda. To musí být hackeři. To, že ve všech médiích, kromě zmiňované Lupy ani netuší, co slovo hacker znamená, snad ani nemusím dodávat.

Taky se vám zdá, že se z kyberútoků, hackerů a nebo třeba DoS stávají tak módní a oblíbená slova jako třeba ze slova terorista (kterým je po mírné úpravě např. nebezpečný a životyberoucí tzv. informační terorista Julian Assange (WikiLeaks))? Noviny mají o čem psát, lidé mají strach a zisky jdou nahoru.

Web novamaturita.cz, který provozuje společnost Cermat, je od soboty pod DDoS útokem. Na průběh maturit by to údajně nemělo mít žádný vliv, nicméně některým maturantům to zajisté způsobí nemalé komplikace (zdroj: statusy kamarádů na Facebooku).