random:press

#014

Transkrypcja i źródła

Kiedy w czerwcu bit flipuje
Malware RAM nam
napastuje.

Witam w 14. już, a 15. pod względem kolejności odcinku podcastu random:press. Dzisiejszy randomowy przegląd będzie transkrybowany, więc warto zajrzeć na stronę WWW odcinka. Poza tym warto przypomnieć, że audycji można słuchać w odtwarzaczu na randomseed.pl, w serwisie Apple Podcasts, na SoundCloudzie, a także w Spotify. Dostępny jest też kanał RSS, który pozwala subskrybować kolejne wydania w lokalnych i zdalnych, uniwersalnych odtwarzaczach.

1.24

„RAMBleed. Reading Bits in Memory Without Accessing Them”, RAMBleed

RAMBleed to nowy atak bocznokanałowy, którego potencjalny napastnik może użyć, aby przechwytywać zawartość pamięci. Pojęcie bocznokanałowy (ang. side-channel) oznacza, że korzystamy z jednego kanału komunikacyjnego, aby uzyskiwać dostęp do danych z innego, względnie wpływać na jego dane. W tym konkretnym przypadku możliwe jest odczytywanie zawartości komórek pamięci, które położone są w bezpośredniej bliskości komórek, do których nasz proces (uruchomiony program) ma dostęp.

Przyczyną problemu jest coraz większy poziom upakowania przestrzeni bitowych w nowoczesnych układach pamięciowych. Można to zobrazować taką analogią, w której mamy do czynienia z dwoma, równoległymi grządkami na przykład truskawek i jednym zbieraczem w gumofilcach (takich butach, które raczej nie przypominają baletek). Nasz harwester ma dostęp wyłącznie do pierwszej grządki i może wybrać krzaczki, z których nazrywa sobie owoców. Gdy skończy, możemy – obserwując tylko drugą, przyległą grządkę – zauważyć, które kępki wybrał poprzednik. Dlaczego? Ponieważ z powodu ciasnej rozsady i dużego rozmiaru obuwia, zgniatał liście z sąsiedniej grządki. W tej analogii grządki to położone blisko siebie rowki komórek pamięciowych, które zawierają krzemowe przestrzenie odpowiedzialne za przechowywanie informacji o zapalonych bitach, pierwszy zbieracz to jedna aplikacja, a drugi to program napastnika.

Oczywiście cała operacja jest w praktyce bardziej skomplikowana, bo napastnik posługuje się tu więcej, niż jednym szeregiem danych, a dodatkowo stara się zwiększyć prawdopodobieństwo spontanicznej zmiany stanu bitów, wykonując odpowiednio częste operacje. Atak jest możliwy, ponieważ spontaniczne zmiany stanu konkretnych bitów zależą od stanów komórek znajdujących się w ich bezpośredniej bliskości. Jeżeli jedna z tych komórek jest kontrolowana przez napastnika, a druga zawiera jakiś serkret, to opowiednio manipulując wartością pierwszej, a następnie odczytując wartość pierwotnie obserwowanej, gdy dojdzie w niej do przełączenia, można ustalić wartość drugiej, do której nie ma (teoretycznie) dostępu.

Odkrywcy usterki w opublikowanej dokumentacji zamieścili opis przykładowego ataku wymierzonego w popularne oprogramowanie OpenSSH, w którym doszło do wykradzenia klucza prywatnego RSA o długości 2048 bitów, a błąd daje się wykorzystać w pamięciach DDR3, a w przyszłości być może i w DDR4. Co ciekawe, mechanizm ECC nie chroni przed tym atakiem.

4.54

„The Impact of "Extremist" Speech Regulations on Human Rights Content”, Electronic Frontier Foundation

Zajmująca się ochroną prywatności i wolności w Sieci fundacja Electronic Frontier Foundation opublikowała dokument pt. „Caught in the Net: The Impact of ‘Extremist’ Speech Regulations on Human Rights Content”. Dokonano w niej analizy wpływu na działania obrońców praw człowieka różnorakich regulacji dotyczących moderowania zawartości w odniesieniu do tzw. mowy nienawiści.

Dokument jest reakcją na propozycje regulacji, które pojawiły się po strzelaninach w dwóch meczetach w Christchurch w Nowej Zelandii. Tamtejszy rząd ogłosił wtedy plan zwalczania terroryzmu i treści dot. przemocy umieszczanych w Sieci, nazwany później Christchurch Call, który został poparty przez ponad 12 krajów i większość firm technologicznych.

Zdaniem EFF propozycje Christchurch Call zawierają wiele ważnych pomysłów, jednak proponowane tam środki zaradcze są groźne z punktu widzenia wolności słowa online. Wspomniany dokument EFF wymienia kilka dobitnych przykładów, gdzie zastosowanie filtrów wymierzonych w ekstremizm doprowadziłoby do blokady treści, które ekstremizmem nie są, np. wystąpienia dotyczące Hezbollahu, relacje z konfliktów w Syrii, Jemenie czy na Ukrainie.

Automatyczne filtry cenzurujące Internet, które nie powodowałyby szkód dla wolności dostępu do informacji są bardzo trudne do zaimplementowania, o czym mogliśmy się przekonać przy okazji dyskusji nad wprowadzeniem artykułów dotyczących jednolitego rynku cyfrowego w Unii Europejskiej. Jedne z najbardziej zaawansowanych systemów filtrowania zawartości, np. ten używany przez YouTube’a, to twory niedokładne, wadliwe i faworyzujące użytkowników pod względem afiljacji z platformą. Niedokładne dlatego, że w wielu przypadkach do ustalenia zasadności roszczenia potrzebna jest nie tylko próbka oryginalnego dzieła, ale też kontekst – aby np. ustalić, czy nie mamy do czynienia z dozwolonym użytkiem osobistym w danym kraju, wyłączeniem materiału z klauzuli copyright, bądź dopuszczalnym cytatem. Często też filtry mylą się, gdy przychodzi do ustalania autorstwa, uznając retransmisję przez pierwszego umieszczającego za oryginał, a następnie blokując oryginalnego twórcę (z podobnym przypadkiem mieliśmy do czynienia np. przy okazji gali dla graczy w Korei). Faworyzacja polega na długotrwałym procesie rozpatrywania odwołania i arbitralnych decyzjach o demonetyzacji, jeżeli użytkownik jest osobą fizyczną, a nie instytucją partnerską względem serwisu (tzw. siecią partnerską).

Powyższe każe gruntownie przemyśleć wszelkie idee dotyczące automatycznego filtrowania zawartości, a właśnie na tego rodzaju filtrowanie skazane będą większe serwisy, które inaczej nie mogłyby weryfikować każdej napływającej treści. Jest to nieco smutne, że politycy i działacze chcą dawać ludziom nieco fałszywe poczucie bezpieczeństwa, wprowadzając regulacje, które zwiększą koszt korzystania z usług sieciowych, uniemożliwią nieskrępowaną wypowiedź tym, którzy tego potrzebują, nie przyczyniając się do powstrzymania ataków, a jedynie do blokowania relacji o nich.

8.47

„What to do when Customs asks for your social-media account info”, The Parallax

Serwis The Parallax podaje, że po niemal dwóch latach przygotowań administracja prezydenta Trumpa zaczyna wprowadzać w życie plan, aby odwiedzający USA musieli udostępniać identyfikatory kont w serwisach społecznościowych. Nowe regulacje są rozszerzeniem istniejącego już systemu przeglądu urządzeń osobistych dokonywanego przez pracowników służby celnej.

Do tej pory z podobnym procesem mieliśmy do czynienia jedynie podczas ubiegania się o wizy, gdzie proszono aplikujących o dobrowolne podanie namiarów na konta w społecznościówkach. Teraz, od roku 2017 dokładnie, jest to obligatoryjne dla wszystkich przyjeżdżających z siedmiu krajów muzułmańskich z wyłączeniem dyplomatów.

W publikacji znajdziemy porady pracowników fundacji EFF dotyczące m.in. właściwego zabezpieczania danych na urządzeniach przenośnych, przeznaczone dla każdego, kto chciałby, odwiedzając USA, zachować prywatność.

9.54

„Google confirms that advanced backdoor came preinstalled on Android devices”, Ars Technica

Ars Technica podaje, że koncern Google potwierdził, iż na urządzeniach z zainstalowanym systemem Android istnieje zaawansowany backdoor. Przypomnijmy, że backdoor (tłumaczone na polski jako tylne wejście lub boczna furtka) to oprogramowanie instalowane w systemie operacyjnym, którego celem jest umożliwianie do niego dostępu intruzowi i w rezultacie jego zdalną kontrolę.

Okazuje się, że – zauważony przez Kaspersky’ego w roku 2016 – malware o nazwie Triada został przemycony do fabryk. W lutym roku 2017 jedna z firm trudniących się bezpieczeństwem IT znalazła Triadę w oprogramowaniu układowym kilku modeli urządzeń z preinstalowanym Androidem. Backdoor został dołączony do jednej z bibliotek systemowych, a więc nie mógł być usunięty z użyciem konwencjonalnego oprogramowania.

Okazuje się, że do infekowania systemowych obrazów dochodziło podczas prac nad Androidem u jednego z zewnętrznych dostawców oprogramowania, któremu wysyłano cały obraz systemu – ten zaś, po wprowadzeniu odpowiednich zmian i zainstalowaniu dodatków wracał i stawał się, po pewnym czasie i po pewnych pracach, wersją instalowaną na nowych smartfonach. Taki cykl życia oprogramowania dotyczył wersji OEM, w których znaleźć można dodatkowe oprogramowanie, np. aplikacje operatora czy dystrybutora.

Między innymi po tym incydencie, zeszłego roku koncern Google wdrożył procedurę, która wymaga od producentów, aby zgłaszali obrazy systemowe do testowania, zanim dojdzie do dystrybucji.

Tydzień temu Google potwierdził informację o backdoorze i oświadczył, że łańcuch dostaw został już uszczelniony, a „szkodnika” pozbyto się z dostarczanego obrazu.

12.00

„Malware spotted doing unspeakable, filthy things to infected Macs – injecting Bing results into Google searches”, The Register

Nieciekawe wieści dla użytkowników Maków. The Register podaje, że pojawił się nowy malware dla Mac OS-a X, który najpierw imituje instalator pakietu Adobe Flash, a gdy już się zadomowi przechwytuje ruch sieciowy i dokonuje wesołej rzeczy: wstrzykuje rezultaty wyszkukiwania z Binga użytkownikom, którzy chcą skorzystać z wyszukiwarki Google.

W praktyce trojan ten jest specyficznym rodzajem serwera pośredniczącego (proxy), który instaluje w systemie, a następnie dokonuje instalacji odpowiednich certyfikatów, którym system ufa, aby przekierowana do wewnętrznej usługi przeglądarka nie zgłaszała zastrzeżeń. W prostych słowach można powiedzieć, że „szkodnik” ten robi to, co większość narzędzi typu enterprise, które służą do tzw. rozszywania ruchu webowego. Te wspomniane robią to, aby śledzić aktywność pracowników, natomiast nasz milusiński wirusik po to, aby w locie zmieniać zawartość wyników wyszukiwania.

Być może twórcy bądź twórcom chodziło o uwolnienie użytkowników z bańki informacyjnej, w której się znajdują, polegającej na dopasowywaniu wyników do zbadanych wcześniej preferencji (np. upodobań ideologicznych). Bardziej pragmatycznym wytłumaczeniem może być też to, że producent tego wesołego pomiotu jakoś zarabia na reklamach emitowanych w Bingu, a nie w Google’u. W każdym razie ciekawe są te nowoczesne trojany – niektóre zajmują więcej miejsca, niż kiedyś całe systemy operacyjne.

13.48

„State of Industrial Control Systems in Poland and Switzerland”, Medium

W serwisie Medium możemy znaleźć ciekawy wpis naszego rodaka, woj-ciecha, autora oprogramowania ꓘamerka 2.0 – znanego też jako FIST (Flickr, Instagram, Shodan, Twitter) – napisanego w Pythonie skryptu, który tworzy mapę kamer, drukarek, tweetów i zdjęć na podstawie podanych współrzędnych geograficznych.

Nowe wydanie Kamerki pozwala na tworzenie map systemów kontroli przemysłowej (ang. industrial control systems, skr. ICS) całych krajów. Następnie możemy takie systemy oglądać w postaci odpowiednich ikon umieszczonych na interaktywnej mapie serwisu Google Street View.

W artykule autor dzieli się też przykładowymi, statystycznymi informacjami, które uzyskał uruchamiając analizę dla Polski i Szwajcarii. Okazuje się, że uzyskane informacje są niezłą bazą wywiadowczą, ponieważ wbrew oczekiwaniom i ogólnym zaleceniom bezpieczeństwa, wiele z systemów sterowania jest wyeksponowanych w publicznych sieciach, w tym w Internecie. Niesamowite znalezisko, chciałoby się rzec i udać się w wirtualną podróż po naszych fabrykach i firmach o strategicznym znaczeniu.

To już wszystko w tym odcinku, do usłyszenia niebawem i życzę rześkich dni bez inflacji, taniej cebuli i jak najmniej infekcji przerośniętymi trojanami tego lata.

A custodianami dzisiejszej audycji są: Adam Ch. i Em-Si.

Jesteś w sekcji

comments powered by Disqus