Twój cotygodniowy przegląd newsów IT

Używacie Skype na Androidzie? Zobaczcie jak przejąć kontrolę nad Waszym telefonem po prostu na niego dzwoniąc! Piszemy też m.in. o nowym wariancie słynnego wirusa Mirai, pierwszej przeglądarce Dark Webu i prasowym cyberataku w USA.

1. Od luki w ThinkPHP do botnetu z IoT – nowy wariant wirusa Mirai

Miori to nowy wariant zagrożenia Mirai, znanego od 2016 zagrożenia pozwalającego tworzyć botnety liczące dziesiątki tysięcy maszyn, w tym urządzeń IoT. Takie sieci zarażonych maszyn, mogących bez wiedzy użytkowników wykonywać polecenia cyberprzestępcy służą przede wszystkim do ataków DDoS, czyli wyłączania stron www poprzez przeładowanie ich serwerów zmasowaną liczbą zapytań o dostępy. Tym razem cyberprzestępcy atakują systemy Linuxowe, wykorzystując dziurę w środowisku programistycznym ThinkPHP. Pozwala ona zdalnie wykonywać kod, aktywując zagrożenie na zarażonym komputerze bez angażowania ofiary. Po skutecznej infekcji napastnicy sięgają do protokołu Telnet próbując łamać słabe i często powtarzane hasła (“admin123”), zyskując w ten sposób dostęp do innych adresów IP w firmowej sieci. Takie naruszenie bezpieczeństwa stwarza spore ryzyko, bo wiele ataków DDoS jest po fakcie badanych przez organy ścigania, sprawdzających geolokalizację i właścicieli urządzeń botnetu. Jeśli okaże się, że laptopy handlowców czy smartfony zarządu brały udział w ataku – naturalnie bez wiedzy użytkowników – firmę czekać mogą duże nieprzyjemności, włącznie z procesem i grzywnami. Czy musimy na koniec pisać, że hasła w stylu “admin123” przed Miori nie uratują. One już od dawna nie chronią nikogo przed niczym!

Źródło newsa [EN]

2. Skype na Androidzie omija blokadę ekranu

Jeżeli używacie Skype na Androidzie to pora na jego aktualizację, wypuszczoną przez producenta pod 23 grudnia. Do tej pory każdy będący w pobliżu Waszego urządzenia mógł na nie zadzwonić przez Skype, a następnie odebrać na nim przychodzące połączenie bez konieczności autoryzacji ekranowym kodem właściciela. System logicznie (choć niezbyt bezpiecznie) zakłada, że rozmowę odbiera i prowadzi właściciel urządzenia, nie wymaga zatem jego weryfikacji. Wystarczy zminimalizować okno Skype i już mamy dostęp m.in. do kontaktów, galerii i przeglądarki faktycznego użytkownika telefonu! Błąd wykryto dzięki obserwacji nietypowych operacji na lokalnych plikach w trakcie wykonywania połączeń VoIP, a autor odkrycia zgłosił go Microsoftowi. Błąd występuje na wszystkich wersjach Androida i dotyczy aplikacji Skype w wersjach poniżej 8.15.0.416. Sprawdźcie swoją, nim zrobi to ktoś, komu wolelibyście nie powierzać kontroli nad swoim urządzeniem!

Źródło newsa [EN]

3. System unCaptcha omijał autoryzację Google i PayPala

Automatyczny system omijania zabezpieczeń Captcha w przeglądarce Google znowu działa. Udostępniony w kwietniu 2017 program “rozbrajał” antyspamowy filtr przeglądarki, na kilka sposobów sprawdzający, czy żądający dostępu użytkownik to człowiek, czy automatyczny bot.

Weryfikacja może odbywać się m.in. zaznaczeniem jednego lub kilku pól lub wpisaniem wyrazu odtworzonego w postaci pliku dźwiękowego. To właśnie w tę ostatnią formę sprawdzania wymierzona była pierwsza wersja unCaptcha. Badający ją eksperci ustalili też, że równie skutecznie potrafiła omijać graficzne zabezpieczenia m.in. BotDetect, Yahoo i Paypal. W odpowiedzi na pierwszą unCaptchę Google wkrótce uszczelniło swój system, jednak druga wersja programu znów potrafi unieszkodliwiać weryfikację. Co ciekawe, program korzysta m.in. z ogólnodostępnych narzędzi zamiany mowy na tekst, nadal przechodząc weryfikację za pomocą tzw. audio challenge z 90% skutecznością. Autorzy unCaptcha powiadomili zespół Google o możliwościach swojego systemu i wiadomo, że po kolejnej aktualizacji zabezpieczenia przeglądarki (zapowiedzianej w październiku 2018 jako reCAPTCHA v3) nie będą już rozwijać narzędzia.

Źródło newsa [EN]

4. Aktualizacja Windows 10 usuwa wbudowane konto administratora

Post na japońskim blogu Technet (forum ekspertów Microsoft) informuje, że aktualizacja Windowsa 10 z wersji 1803 do 1809 automatycznie usuwa wbudowane konto administratora. Może to stwarzać problemy użytkownikom korzystającym z uprawnień administratora wyłącznie na tym koncie. Przewidziana na koniec stycznia poprawka zabezpieczy domyślne konto przed usunięciem, a producent ostrzega, by podnosząc system wcześniej zadbać o przynajmniej jedno dodatkowe konto z uprawnieniami admina. Specjaliści przypominają, że problematyczne bazowe konto admina i tak nie powinno być używane, dlatego począwszy od Windowsa w wersji 7 domyślnie jest ustawione w systemie jako wyłączone. Wszystko ze względów bezpieczeństwa – wiele cyberataków próbowało i wciąż próbuje wykorzystać cenne dla przestępców uprawnienia administracyjne wbudowanego konta do przejęcia kontroli nad zainfekowanym urządzeniem. Z tego powodu teoretycznie nawet jego omyłkowe usunięcie przez wspomniany update nie byłoby nawet takie złe – oczywiście pod warunkiem, że użytkownik posiada inne konto z pełnymi uprawnieniami.

Źródło newsa [EN]

5. Chrome na Androidzie informuje całą sieć, na czym jest uruchamiany

Google częściowo załatał podatność androidowej wersji Chrome, mogącą prowadzić m.in. do wycieku danych użytkownika. Jako domyślna przeglądarka urządzeń z Androidem Chrome wykorzystuje opcje WebView i Custom Tabs API, zezwalając aplikacjom odtwarzać żądaną treść sieci bez otwierania nowego okna przeglądarki. Okazuje, się że aplikacje współdzielące to API niewystarczająco chronią przetwarzane dane. Gdy użytkownik Chrome zażąda dostępu do wybranej strony, Chrome wysyła zapytanie do jej serwera webowego. Zapytanie zawiera m.in. nagłówki HTTP identyfikujące konfigurację sprzętową, działającą wersję firmware i poziom ochrony wysyłającego urządzenia. Bogaty pakiet przesyłanych danych pozwala zachować płynność przeglądania i poprawność wyświetlania zasobów sieci na wielu urządzeniach… ale rodzi też ryzyko pozyskania tych informacji przez osoby niepowołane. W efekcie użytkownik może zostać narażony na dopracowany cyberatak targetowany przeciw jego konkretnemu modelowi sprzętu i systemu operacyjnego. Częściowym rozwiązaniem problemu jest aktualizacja Chrome do wersji 70 lub wyższej. Wysyłając zapytania ukrywają one firmware urządzenia, pozostawiając jednak widocznym identyfikator jego modelu. Co ciekawe, podatność datowana jest na 2015 roku,  ale support Google odrzucał ją wcześniej jako błędne zgłoszenie “prawidłowego działania systemu”.

Źródło newsa [EN]

6. danych 2,4 mln użytkowników menadżera haseł Blur

Dlaczego lubimy automatyczne magazyny haseł? Bo odciążają naszą pamięć, przyspieszają nawigację w dziesiątkach witryn i oczywiście – bo w końcu chronią nasze hasła! – są przy tym  szczególnie zabezpieczone przed włamaniami i wyciekami. Prawda? Nie w przypadku Blur – aplikacji firmy Abine, w ramach “ochrony prywatności” oferującej też maskowanie numerów telefonów i kart kredytowych. Wiadomo, że w wyniku wycieku danych wykrytego 13 grudnia do sieci trafiły informacje na temat 2,4 miliona użytkowników Blur korzystających z aplikacji po 6 stycznia 2018. Wśród nich znaleźć można adresy mailowe, częściowo imiona i nazwiska, ostatnie i przedostatnie IP logowania do aplikacji oraz hasła użytkowników, szczęśliwie zaszyfrowane algorytmem bcrypt. Co radzi producent Blura? Naturalnie standardową “zmianę hasła”, chociaż  między tymi wyrazami aż chce się dopisać “zmianę miejsca przechowywania hasła”.

Źródło newsa [EN]

7. Powstająca przeglądarka Dark Webu “nie dla przestępców”

Dark Web to w uproszczeniu sieciowa alternatywna wobec internetu: globalny czarny rynek produktów i usług trudno dostępnych lub całkowicie zakazanych w tym pierwszym. Protokoły TOR oraz I2P dają gościom Dark Webu niemal pełną anonimowość, w ramach której można otwarcie handlować bronią, ludźmi, narkotykami lub organizować terrorystyczne akcje, chroniąc swoją komunikację dodatkowym szyfrowaniem. Od internetu odróżnia Dark Web również nawigacja, zupełnie nieszlifowana pod kątem UX i UI. Inaczej niż w pasku wszechwiedzącego Google, w Dark Webie omijanym przez boty wyszukiwarek trzeba wiedzieć jak i gdzie szukać, wpisując znany nam, konkretny adres witryny. Powstająca “przeglądarka Dark Webu” może to wkrótce zmienić. Przez 5 lat pracy jej twórcy skatalogowali 1,4 mld linków i 450 mln dokumentów na 140 000 witryn ukrytej sieci. Mają oni jednak świadomość, że prócz sponsorów (w tym przypadku agencji wojskowej) na udostępnieniu narzędzia skorzystają w pierwszej kolejności przestępcy. Nie chcąc wywołać przestępczego boomu twórcy usługi (wciąż dopiero powstającej!) już teraz odrzucają blisko 40% zapytań o licencję na “Google Dark Webu”, ale realistycznie oceniając gigantyczną wartość usługi trzeba po prostu przyjąć, że prędzej czy później trafi ona w niepowołane ręce.

Źródło newsa [EN]

8. Cyberatak wstrzymał druk czołowych amerykańskich gazet

W ostatnich dniach ubiegłego roku niespodziewany błąd sprawił, że dwa duże tytuły prasowe – Los Angeles Times i The San Diego Union-Tribune – zaliczyły nieprzewidziane opóźnienia w druku i dystrybucji. Jego źródłem mogło być zagrożenie wykryte rzekomo na serwerach osobnych drukarni obu gazet. Wywołane nim błędy pojawiły się też na mniejszą – i nieco zabawną – skalę w innych czasopismach np. w The Baltimore Sun zabrakło zwyczajowych komiksów i zagadek. Zdaniem publicystów L.A. Times cytujących osoby “znające sytuację” cyberatak “pochodził spoza USA”, chociaż przedstawiciele Tribune Publishing nie potwierdzają tej informacji. Zaznaczają i uspokajają jednocześnie, że nie ma dowodu, by nastąpił wyciek jakichkolwiek danych z systemów Tribune używanych częściowo przez wymienione tytuły prasowe. Internetowe strony gazet nie zostały zaatakowane, ale niespotykanych zakłóceń doświadczyła telefoniczna obsługa klienta, zajęta pytaniami czytelników o niedostarczone egzemplarze prasy. Jeśli poznamy szczegóły ataku, Wy również się o nich dowiecie!

Źródło newsa [EN]