Transkrypcja i źródła
Zamiast w lipcu iść na narty
Poczytajmy list otwarty
O jabłuszku robaczywym
I standardzie uporczywym
O droidach wyzwolonych
I botnetach linuksowych.
Dzień dobry, witam w 17. odcinku podcastu random:press, cyklicznej audycji poświęconej cyberbezpieczeństwu, informatyce śledczej i programowaniu komputerów.
W dzisiejszym, losowym przeglądzie prasy dowiemy się o:
- systemie /e/OS, czyli Androidzie wolnym od usług Google’a;
- pierwszym bocie służącym do ataków DDoS, który wykorzystuje DNS over HTTPS;
- kłopotach sieci 7-Eleven z aplikacją do płatności w Japonii;
- fałszywej witrynie imitującej Allegro;
- i liście otwartym prezesa OpenID Foundation do koncernu Apple.
1.40
„Leaving Apple & Google: /e/ users meetups, smartphones with /e/ ready to ship!”, /e/
Wolna od powiązań z usługami Google’a wersja Androida, nazwana /e/OS staje się coraz bardziej popularna. Francuska organizacja pozarządowa, której celem jest uwolnienie użytkowników smartfonów od powiązań z konkretnymi usługodawcami, od jakiegoś czasu wchodzi w partnerstwa z producentami tych urządzeń, na przykład firmą Samsung. Będziemy więc mogli już w przyszłym tygodniu nabyć modele Galaxy S7 i S9, na których zainstalowano wolną wersję Androida.
O zdanie na temat odgoogle’owania telefonu zapytałem Pawła Krawczyka, eksperta ds. bezpieczeństwa informacyjnego, byłego członka rady OWASP Polska i niezależnego konsultanta operującego ostatnimi czasy w Wielkiej Brytanii, który już jakiś czas temu uwolnił własne urządzenie z zamknięcia w obrębie jednego dostawcy popularnych usług sieciowych.
Paweł Wilk: Twój telefon ani nie korzysta z iCloud, ani z usług Google’a. Jak robisz backupy skrzynek kontaktowych, wiadomości? Robisz je lokalnie, sobie je kopiujesz czy…?
Paweł Krawczyk: Nie, nie, absolutnie. Zanim zdecydowałem się na przejście na Androida bez żadnych aplikacji Google’a, absolutnie nie chciałem się cofać do poprzedniej dekady. Nie chciałem robić kopii przez kabel itd. Bo to jest niewygodne, to nie ma sensu i nie działa. Nie jesteś w stanie, ja nie jestem w stanie zapewnić takiej dyscypliny, żeby robić to regularnie. To nie wchodziło w rachubę.
P.K.: Rzecz w tym, że jak zaczynasz się przygotowywać do przejścia na inną chmurę – inną, niż Apple czy Google – to tak naprawdę, gdy zaczynasz robić podstawowy research, to okazuje się, że to co ci oferuje Google, to nie jest jakiś rocket science, tylko to są stosunkowo proste rzeczy, które są jak najbardziej zaimplementowane jako open source. Jedyna różnica polega na tym, że wytworzyło się takie przekonanie, że Google to wszystko daje za darmo, to po co się bawić i robić to samemu. Faktycznie, samemu to by nie miało zbyt dużego sensu, dlatego nie bawiłem się w samodzielną implementację tego wszystkiego, aczkolwiek, gdybym np. miał kilka osób – jakąś instytucję, firmę, organizację – to prawdopodobnie byłby to jak najbardziej właściwy trop.
P.K.: Co ja zrobiłem tak naprawdę?
P.K.: Pojawiła się na rynku dystrybucja e Foundation. Oni mają taką dziwną nazwę trochę: /e/. To jest francuska organizacja non-profit, która postawiła sobie za zadanie zrobienie takiej dystrybucji Androida, która jest pozbawiona aplikacji Google (to nie jest trudne), ale również dostarczenie do tego całej tej infrastruktury chmurowej – i to też nie jest znowu rocket science, natomiast gdy zajmujesz się inżynierią oprogramowania, to dobrze wiesz, że ktoś to musi zrobić i ktoś tym musi zarządzać.
P.K.: Oni się utrzymują z dotacji (tak samo jak np. Mozilla) i oferują praktycznie to samo, co obecnie masz od Google’a. W związku z czym w moim przypadku przejście na tę dystrybucję (jak już poczytałem sobie) to było: 1 dzień na falshowanie telefonu i 2 dzień na importowanie wszystkich kontaktów, kalendarza itd. I to wszystko, nic więcej nie musiałem robić. Po tym, jak skończyłem import, to po prostu wziąłem telefon, pojechałem do miasta i wszystkie kontakty moje były na miejscu, praktycznie nie odczułem żadnej zmiany, tzn. faktu zniknięcia Google’a z mojego życia w ogóle nie zauważyłem tak naprawdę.
To tylko fragment naszej rozmowy, więcej postaram się wyemitować w kolejnym odcinku audycji random:view, który powinien ukazać się w ciągu kilku najbliższych dni. Zapraszam więc do subskrybowania kanału z użyciem widocznych pod odtwarzaczem przycisków, a także odwiedzania randomseed.pl i strony w serwisie Facebook.
6.34
„First-ever malware strain spotted abusing new DoH (DNS over HTTPS) protocol”, ZDNet
ZDNet podaje, że badacze bezpieczeństwa z firmy Netlab odkryli pierwszy botnet, który wykorzystuje protokół DNS over HTTPS do maskowania transmisji.
Botnety to struktury złożone z wielu zainfekowanych stacji sieciowych pozostających pod czyjąś kontrolą. Zarządzający botnetem może kontrolować jego działanie i zlecać zarażonym komputerom wykonywanie różnych czynności, np. wydobywanie kryptowalut, wysyłanie spamu czy prowadzenie ataków DDoS.
DDoS to z kolei akronim od angielskiego terminu Distributed Denial of Service, co można przetłumaczyć jako „rozproszona blokada usługi”. Tego rodzaju ataków używa się, aby sparaliżować działanie serwisów internetowych np. w celach politycznych, nieuczciwej konkurencji bądź po to, aby zażądać okupu.
Istotną cechą botnetów jest to, że ich składniki, czyli zdyskredytowane stacje sieciowe, muszą skądś otrzymywać polecenia i dokądś raportować bieżący stan gotowości czy realizacji pewnych czynności. W tym celu często wyodrębnia się jeden lub więcej tzw. serwerów dowodzenia i kontroli (po angielsku Command and Control, skr. C&C). Od łączności między nimi, a komputerami w botnecie zależy skuteczność całego botnetu. W przypadku naprawdę dużych sieci botów, które dają się we znaki operatorom telekomunikacyjnym i usługodawcom, prowadzi się działania mające na celu zakłócenie tej komunikacji. Odpowiedzią twórców botnetów jest więc poszukiwanie coraz to nowych sposobów na ukrywanie dialogów między botami a serwerami dowodzenia.
W przypadku wspomnianego malware’u, zwanego Godlua, mamy do czynienia z korzystaniem z protokołu DNS transportowanego w szyfrowanym kanale HTTP. Przypomnijmy: DNS to taka książka telefoniczna sieci Internet, w której możemy odnajdywać adresy IP na podstawie nazw i vice versa, natomiast HTTP to protokół aplikacyjny używany do komunikacji przeglądarek z serwerami WWW.
DNS over HTTPS to nowy protokół, który pozwala klientom (np. przeglądarkom WWW) dokonywać odpytywania bazy DNS bez konieczności osobnego łączenia się z serwerami DNS. Wyszukiwanie w DNS bierze na swoje barki serwer WWW, do którego klient się łączy. Metoda ta uważana jest za nieco bezpieczniejszą w kontekście prywatności i podatności na zakłócenia, ponieważ nie można tak łatwo – szczególnie w podsieci użytkownika – prowadzić podsłuchiwania czy modyfikowania zapytań.
Ale wróćmy do naszego milusińskiego malware’ka. Godlua jest „szkodnikiem” napisanym w języku Lua, który po zainfekowaniu systemu staje się backdoorem, czyli tylnym wejściem, dającym wstęp intruzowi. Co ciekawe, stworzono go z myślą o serwerach działających pod kontrolą systemu GNU/Linux, a punktem wejścia jest niedawno odkryta luka bezpieczeństwa w popularnym oprogramowaniu do pracy zespołowej Confluence.
Wykorzystując zapytania DNS over HTTPS Godlua próbuje odczytywać rekordy TXT pewnych nazw domenowych, gdzie znajdują się lokalizatory URL identyfikujące serwery dowodzenia i kontroli. W ten sposób komunikacja jest utajniana i nie wzbudza podejrzeń systemów monitorujących.
Trochę smutna wiadomość dla miłośników prywatności, szczególnie w miejscu pracy, ponieważ tego rodzaju ataki mogą być i są uzasadnieniem dla wprowadzania monitoringu łączności użytkowników, w którym dochodzi do rozszywania zaszyfrowanych strumieni przez instalowanie sztucznie stworzonych certyfikatów.
10.52
News z naszego podwórka, chociaż o problemie z dalekiej krainy: Sekurak wyśledził ciekawą wpadkę japońskiego oddziału sieci franczyzowej 7-Eleven. Stworzona na jej zamówienie aplikacja do płatności wykazywała się bardzo kreatywnym sposobem resetowania hasła.
Użytkownik, który zapomniał swojego sekretnego słowa dostępowego mógł je odzyskać w dwojaki sposób: poprosić o przesłanie kodu resetującego na podany przy rejestracji adres e-mailowy, albo poprosić o wysłanie go na… inny, dowolny adres! W tym drugim przypadku konieczne było podanie dodatkowych danych, takich jak numer telefonu i data urodzenia. Jeżeli więc ktoś miał już te informacje, to mógł w prosty sposób przejąć konto klienta.
W rezultacie 900 klientów naciągnięto na sumaryczną kwotę prawie 2 milionów złotych. (Oczywiście w jenach).
11.57
„Prawdziwa płatność na fałszywym Allegro – uwaga na nowe oszustwo”, Zaufana Trzecia Strona
I z Krakowa przenosimy się do Warszawy. W serwisie Zaufana Trzecia Strona – i to nie przypadek, że wspominana zaraz po Sekuraku; w transkrypcie umieściłem nieopodal, żeby serwisy mogły się smyrać URL-ami i żyć w zgodzie, przyjaźni, duchu wzajemnej współpracy oraz szacunku – znajdziemy istotną dla tzw. zwykłych ludzi informację o nowym sposobie wyłudzania pieniędzy w Sieci.
Pojawiła się witryna, która imituje nasz dobrze znany serwis Allegro, jednak jest to scam, ściema i złodziejstwo, ponieważ gdy przychodzi do opłacenia zamówienia, pieniądze trafiają na konto cyberprzestępców. Ciekawym zagraniem jest tu użycie operatora płatności BlueMedia w taki sposób, aby po podaniu nieprawdziwych danych dotyczących sesji powiązanej rzekomo z płatnością, pojawiło się okno z błędem i odnośnikiem do „sklepu”.
Łatwo się domyślić, że odnośnik wcale nie kieruje do sklepu, lecz do strony brytyjskiej spółki z ograniczoną odpowiedzialnością EasySend, która używana jest do zlecenia transferu na rachunek przestępców.
13.10
„Open Letter from the OpenID Foundation to Apple Regarding Sign In with Apple”, OpenID
OpenID to fundacja non-profit, której celem jest promowanie i ochrona otwartych standardów technologicznych. Tydzień temu opublikowała list otwarty do koncernu Apple, w którym zaprasza go do większej integracji apple’owego systemu Sign In with Apple z mechanizmami OpenID Connect.
Prezes fundacji zwraca uwagę, że OpenID jest dobrze zaprojektowanym i rozpowszechnionym mechanizmem, który bazuje na protokole OAuth 2.0 pozwalającym użytkownikom na logowanie się do witryn z użyciem innych serwisów jako źródeł tożsamości. Zaraz potem odnosi się do implementacji OpenID Connect dokonanej przez Apple’a, która zdaje się nie być do końca zgodna z wytycznymi i dobrymi praktykami. Po pełną listę niedociągnięć i różnic treść listu odsyła do serwisu BitBucket, gdzie umieścili ją inżynierowie OpenID.
Na wspomnianej liście znajdziemy nie tylko niekompatybilności utrudniające integrację
z niektórymi usługami, ale również błędy obniżające bezpieczeństwo użytkowników,
np. niekorzystanie z jednorazowego zalążka, który chroni przez atakami typu
CSRF, a także błędnie obsługiwana wartość code id_token
, która zwiększa ryzyko
ataków typu Code Insertion i może prowadzić do wycieków kodów autoryzujących przez
nagłówek HTTP Referer
.
Trzymam kciuki za specjalistów Apple’a i mam nadzieję, że bugi poprawią.
To już wszystko w tym odcinku cotygodniowej, losowej prasówki. Do usłyszenia niebawem.
A custodianami dzisiejszego odcinka byli Adam Ch. i Paweł K.
Pozdrawiam!