Výběr zajímavých IT security konferencí v Evropě

Seznam vybraných IT security (ethical hacking) konferencí v Evropě (státy evropské unie) včetně Norska. Na seznamu chybí Dánsko, Litva a Malta. Za zmínku stojí také BalCCon (balccon.org) konference v Srbsku.

Rakousko

Belgie

Bulharsko

Chorvatsko

Kypr

Česká republika

Estonsko

Finsko

Francie

Německo

Řecko

Maďarsko

Irsko

Itálie

Lotyšsko

Lucembursko

Nizozemí

Norsko

Polsko

Portugalsko

Rumunsko

Slovensko

Slovinsko

Španělsko

Švédsko

Spojené království

Prohlížeč Chrome v69 začal skrývat části URL adresy

4. září 2018 vydala společnost Google novou verzi oblíbeného prohlížeče Chrome (verze 69). Novinek je spousta, nejvíce se diskutuje o úpravě designu. “Material Design” by měl postupně sjednotit všechny produkty.

Jedna ze změn, která se nepřímo týká i webové bezpečnosti je skrývání částí URL adresy (www., m.) v address baru.

PSA: If you use Chrome version 69 you will want to turn this setting off:

chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains

Why? Google now considers ‘m.’ and ‘www.’ to be ‘trivial’ and hide them, except…

(thread)

— Jessica K. Litwin (@press5) September 8, 2018

Tuto funkci je možné vypnout a sám bych to všem doporučil. V nastavení Chrome je potřeba změnit hodnotu “Omnibox UI Hide Steady-State URL Scheme and Trivial Subdomains” na “Disabled“.

chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains

In the Omnibox, hide the scheme and trivial subdomains from steady state displayed URLs. Hidden portions are restored during editing. For Mac, this flag will have no effect unless MacViews is enabled. – Mac, Windows, Linux, Chrome OS, Android

AKTUALIZACE: dle vyjádření zaměstnanců Google přestane tato možnost vypnutí brzo fungovat a v dalších verzích nebude k dispozici.

Navíc implementace není úplně bezchybná a uživatelé již reportují špatné vlastnosti této funkce. Běžný uživatel tak může být zmatený, nepozná, zda se jedná o phishing a při testování webové bezpečnosti chcete vidět, na jaké verzi webu se nacházíte.

Zjistit, zda je Vaše doména přístupná pomocí všech variant přesměrování je možné v našem online testu zdarma “Dostupnost webu“. Občas se při testování setkávám s tím, že vývojáři webových aplikací v tomto udělají chybu a některý z redirektů jim nefunguje:

  • http://webalert.cz
  • https://webalert.cz
  • http://www.webalert.cz
  • https://www.webalert.cz
Na závěr se můžete podívat na oficiální video, které představuje Chrome 69:

Další informace:

https://www.wired.com/story/google-wants-to-kill-the-url/

Okradli zákazníky Vodafonu o statisíce. Stačilo napsat heslo 1234

Vodafone se hájí tím, že upozorňoval klienty na slabá hesla, která někdo může snadno uhádnout.
Soud v Teplicích poslal do vězení dva lidi, kteří okradli desítky zákazníků Vodafonu. Primitivním způsobem se jim dostávali do účtů a využívali speciálních služeb, díky nimž lze mobilem platit. Klienti tvrdí, že banální heslo jim nastavil Vodafone automaticky, operátor to odmítá a vymáhá na nich ukradené peníze.
Klienti Vodafonu dostávají při zařizování tarifu automaticky i přístup do internetové samoobsluhy, kde si mohou nastavovat služby. Přístup je na heslo. Tepličan Petr Bužo s družkou Nikolou Horváthovou na webu operátora zadávali smyšlená mobilní čísla a k nim zkoušeli heslo 1234. Až se trefili. Pak objednali službu, díky které převáděli peníze na svá konta u sázkových kanceláří.
Na herních účtech podvodníků tak přistálo 667 tisíc korun. Vodafone žádá, aby škodu zaplatili klienti, protože měli slabé heslo. Ti namítají, že jim ho tak nastavil operátor. Od roku 2012 už systém banální číselné kombinace nedovoluje. 
Většinu peněz, které podvodníci získali, Vodafone žádá od zákazníků zaplatit. Marné byly jejich reklamace, operátor namítal, že ve všeobecných obchodních podmínkách stojí, že za sílu hesla odpovídají oni. Měli si nastavit složitější. A kde se heslo 1234 vzalo?
Mluvčí Vodafone Adriana Dergam tvrdí, že ho operátor nikdy automaticky nenastavoval. Připustila jen, že to mohli dělat zaměstnanci na pobočkách jako prozatímní variantu, když se klient při zřizování účtu zrovna nemohl rozhodnout, které složitější heslo zvolit, ale s upozorněním, aby si ho později sám změnil.

“Informační bubliny” ~ personalizovaný obsah webových stránek

Eli Pariser: Beware online “filter bubbles” | TED Talk

Starší (2011), ale stále relevantní přednáška. Eli Pariser hovoří o tom, jak personalizovaný obsah nejenom na Google a Facebooku vytváří “informační bubliny”, kdy například při vyhledávání různí lidé uvidí různé výsledky. Nejhorší na tom je, že nepoznáte, jak se obsah webových stránek a vaše vyhledávání liší od výsledků někoho jiného.

Dnes už je personalizovaný obsah téměř všude, podle všeho je to budoucnost webových služeb. Reklamy, e-shopy, zpravodajské weby, sociální sítě, newslettery, každý se snaží dodat co nejvíce zacílený obsah pro uživatele.

Webové služby získají segmentací zákazníků více konverzí a spokojených zákazníků. Na druhou stranu může personalizovaný obsah zkreslovat realitu a ovlivňovat myšlení a informovanost lidí. S rostoucím nástupem Fake news může být pro běžné uživatele velmi složité rozpoznat, co je fikce.

Nejhorší možností je pak být uzavřen v “informační bublině” a ztratit všeobecný přehled o tom, co se skutečně děje kolem nás.

Český přepis:

  • 00:00

Mark Zuckeberg, vynálezce Facebooku, mluvil s jedním novinářem o “výpisu novinek”. Ten novinář se ho ptal, “Proč je tak důležitý?” A Zuckerberg řekl, “Veverka umírající před vaším domem pro vás může být právě teď mnohem důležitější, než lidé umírající v Africe.” A já teď chci mluvit o tom, jak může vypadat Web založený na tom, co je důležité pro jeho uživatele.

  • 00:25

Když jsem vyrůstal, na venkově v Maine, internet pro mě znamenal něco úplně jiného než dnes. Znamenal spojení se světem. Bylo to něco, co propojí nás všechny. A já si byl jistý, že bude výborný pro demokracii a pro naši společnost. Ale objevil se značný posun v tom jak informace po internetu proudí. A ten posun je neviditelný. A pokud mu nebudeme věnovat pozornost, může to být opravdu problém. Poprvé jsem si toho všiml tam, kde trávím spoustu času — na Facebooku. Jsem progresivista, politicky — velké překvapení — ale snažím se nepředpojatě bavit i s konzervativci. Rád si poslechnu, co si myslí, jaké odkazy posílají, rád se od nich pár věcí přiučím. Takže jsem byl překvapený, když jsem si všiml, že konzervativci najednou zmizeli z mé facebookové stránky. Zjistil jsem, že je to proto, že Facebook sleduje, na jaké odkazy klikám, a všiml si, že daleko častěji otevírám odkazy svých liberálních přátel, než svých konzervativních přátel. A aniž by se mě na to ptal, odstranil mi je ze zdi. Prostě zmizeli.

  • 01:39

A Facebook není jediný, kdo dělá tyhle neviditelné, algoritmické úpravy Webu. Google to dělá taky. Pokud budu něco vyhledávat já a vy, i zrovna teď, ve stejnou chvíli, možná dostaneme naprosto rozdílné výsledky. Jeden inženýr mi řekl, že i když jste odhlášení, vysíláte 57 signálů, na které se Google dívá — k personalizaci vašeho vyhledávání používá vše od značky vašeho počítače, prohlížeče, který používáte, po místo, kde se zrovna nacházíte. Zamyslete se nad tím na chvíli: už neexistuje žádný standartní Google. Víte, nejlegračnější na tom je, že to nepoznáte. Nevidíte, jak se liší vaše vyhledávání, od výsledků někoho jiného.

  • 02:27

Ale před pár týdny jsem poprosil pár přátel, aby vygooglili “Egypt” a poslali mi snímek své obrazovky. Tady je obrazovka mého přítele Scotta, a tady Daniela. Když je dáte vedle sebe, nemusíte ani číst odkazy, abyste si všimli, jak rozdílné ty stránky jsou. A když si ty odkazy přečtete, uvidíte opravdu propastný rozdíl. Daniel neměl na celé první stránce ani slovo o protestech v Egyptě. Scott jich tam má spoustu. V těch dnech toho zrovna byly plné zprávy. Tady vidíte jak rozdílné ty výsledky jsou.

  • 03:06

A není to jen Google a Facebook. Šíří se to po celém internetu. Velké množství společností teď zavádí personalizaci. Yahoo News, největší internetové zpravodajství, je teď personalizované — různí lidé vidí různé věci. Huffington Post, Washington Post, New York Times — všichni se snaží různě se personalizovat. A to nás velmi rychle posunuje do světa, ve kterém nám internet bude dávat to, co chceme vidět, ale ne nutně to, co vidět potřebujeme. Jak řekl Eric Schmidt, “Pro lidi bude velmi těžké sledovat a konzumovat něco, co pro ně v určitém ohledu nebylo vytvořeno.”

  • 03:50

A já si myslím, že tohle je problém. Myslím si, že když spojíte všechny tyhle filtry dohromady, vezmete všechny ty algoritmy, dostanete informační bublinu. A vaše informační bublina je váš osobní, jedinečný informační vesmír, ve kterém žijete když jste online. Co je ve vaší informační bublině, záleží na tom, kdo jste a co děláte. A vy vůbec nerozhodujete o tom, co se dostane dovnitř. A ještě důležitější je, že nevidíte, co se dovnitř nedostane. Jeden z problémů informačních bublin objevili pracovníci Netflixu, amerického provozovatele online televize a půjčovny DVD. Dívali se na to, o jaké filmy si zákazníci žádají, a všimli si něčeho zvláštního, čeho si možná všimla i spousta dalších lidí. Že některé filmy si lidé dávají do fronty vždy na začátek – aby je dostali nejdřív. (Vždy je možné půjčit si jen jeden film naráz) Filmy jako “Iron Man” bývají na začátku, a “Čekání na Supermana” někde na konci.

  • 04:47

Objevili, že v Netflixových frontách probíhá obrovský boj mezi naším cílevědomým já hledícím do budoucnosti a naším impulzivním současným já. Víte, všichni chceme jednou vidět film Rašomón, ale zrovna teď se jdeme počtvrté koukat na Ace Venturu. (Smích) Ten nejlepší filtr by nám měl dát trochu od všeho. Trochu Justina Biebera a trochu Afghánistánu. Nějaké výživné informace a nějaký informační zákusek. A největší záludnost těchto algoritmických, personalizovaných filtrů je právě to, že sledují hlavně, na co klikáme jako první, což může narušit tu požadovanou rovnováhu. A místo vyvážené informační stravy dostaneme jen informační menu z MacDonalda.

  • 05:44

Což naznačuje, že jsme se možná s našimi představami o internetu pěkně spletli. Ve vysílacích společnostech — tak to říká mytologie vysílání — tak v těch vysílacích společnostech byli správci, editoři, kteří kontrolovali proudění informací. A pak přišel internet a smetl je z cesty, umožnil všem navzájem se propojit, a bylo to skvělé. Ale to už se teď neděje. Teď můžeme sledovat, jak živí strážci předávají štafetu algoritmickým strážcům. A problém je v tom, že algoritmy nemají zabudovanou etiku těch bývalých živých strážců. Takže pokud za nás mají svět hlídat algoritmy, pokud to budou ony, kdo rozhoduje, co vidíme a co nevidíme, pak si musíme dát pozor, aby se neřídily automaticky jen podle našeho výběru. Musíme zajistit, aby nám také nabízely věci, které jsou nepříjemné, podnětné a důležité, aby nám ukazovaly jiné úhly pohledu — jako to dělá třeba TED.

  • 06:48

V podobné situaci už společnost jednou byla. V roce 1915 se noviny příliš nestaraly o nějakou občanskou zodpovědnost. A pak si lidé všimli, že ony mají velmi důležitý úkol. Že nemůžete mít fungující demokracii, pokud občané nemají kvalitní přísun informací. Noviny byly kritické, protože fungovaly jako filtr, a tak se vyvinula novinářská etika. Nebyla dokonalá, ale pomohla nám přežít minulé století. A teď jsme s internetem zpátky v situaci z roku 1915. A potřebujeme, aby noví strážci zabudovali ten smysl zodpovědnosti do kódu, který vytvářejí.

  • 07:36

Vím, že je tu přítomno mnoho lidí z Facebooku i z Googlu — Larry a Sergey — lidé, kteří pomohli vybudovat Web do dnešní podoby, a já jsem jim za to vděčný. Ale musíme si teď dát velký pozor, aby algoritmy měly v sobě zabudovaný smysl pro veřejný život, pro občanskou zodpovědnost. Musíme se ujistit, že jsou dostatečně průhledné, že známe pravidla, která rozhodují o tom, co projde našimi filtry. A my potřebujeme, abyste nám vy dali kontrolu, abychom mohli rozhodovat, co se k nám dostane a co ne. Protože jsem předvědčený, že internet opravdu potřebujeme takový, jaký jsme si ho kdysi vysnili. Potřebujeme, aby nás všechny spojoval. Potřebujeme, aby přinášel nové nápady, nové lidi a nové úhly pohledu. A to se nestane, pokud budeme izolováni v naší vlastní “síti”.

  • 08:30

Děkuji.

  • 08:32

(Potlesk)

Jaké veřejné rekurzivní DNS resolvery zvolit?

Ne každý domácí uživatel chce používat DNS od svého ISP, zde jsou některé důvody, proč zvolit jiné veřejné servery:
  • Snadněji zapamatovatelná IP adresa
  • Pravděpodobně rychlejší odezva odpovědi
  • Podpora DNS-over-HTTPS
  • Možnost blokování reklam, phishingu a malware
  • DNS vašeho ISP nemusí podporovat DNSSEC
  • DNS vašeho ISP musí dle zákona blokovat některé domény
 
Výběr veřejných DNS resolverů (Anycast):
 

CloudFlare

  • 1.1.1.1 (Primární, DNSSEC, DNS-over-HTTPS, DNS-over-TLS)
  • 1.0.0.1 (Sekundární, DNSSEC, DNS-over-HTTPS, DNS-over-TLS)
  • 2606:4700:4700::1111 (Primární, DNSSEC, DNS-over-HTTPS, DNS-over-TLS)
  • 2606:4700:4700::1001 (Sekundární, DNSSEC, DNS-over-HTTPS, DNS-over-TLS)
V současné době nejrychlejší DNS resolver, představen 1. dubna 2018. CloudFlare neprovádí žádné filtrování provozu, naopak upřednostňuje rychlost, bezpečnost, podporu a integraci nových technologií, více podrobností zde: https://developers.cloudflare.com/1.1.1.1/setting-up-1.1.1.1/

Google

  • 8.8.8.8 (Primární, DNSSEC, DNS-over-HTTPS)
  • 8.8.8.4 (Sekundární, DNSSEC, DNS-over-HTTPS)
  • 2001:4860:4860::8888 (Primární, DNSSEC, DNS-over-HTTPS)
  • 2001:4860:4860::8844 (Sekundární, DNSSEC, DNS-over-HTTPS)
Jeden z nejznámějších DNS resolverů, zaměření na rychlost, dostupnost a bezpečnost, nefiltruje provoz. Více informací zde: https://developers.google.com/speed/public-dns/docs/using

Quad9

  • 9.9.9.9 (Primární, Blocklist, DNSSEC, DNS-over-TLS)
  • 149.112.112.112 (Sekundární, Blocklist, DNSSEC, DNS-over-TLS)
  • 9.9.9.10 (Primární, DNSSEC, DNS-over-TLS)
  • 149.112.112.10 (Sekundární, DNSSEC, DNS-over-TLS)
  • 2620:fe::fe (Primární, Blocklist, DNSSEC, DNS-over-TLS)
  • 2620:fe::9 (Sekundární, Blocklist, DNSSEC, DNS-over-TLS)
  • 2620:fe::10 (Primární, DNSSEC, DNS-over-TLS)
  • 2620:fe::fe:10 (Sekundární, DNSSEC, DNS-over-TLS)
DNS resolvery Quad9 jsou určeny k filtrování provozu, zdarma nabízejí ochranu před phishingem, malware a exploit kity. K blokování nebezpečných domén slouží “Blocklist” sestavený z veřejných i privátních seznamů. Quad9 také nabízí sadu DNS bez filtrování provozu. Více informací zde: https://www.quad9.net/faq/

CZ.NIC ODVR

  • 217.31.204.130 (Primární, DNSSEC)
  • 193.29.206.206 (Sekundární, DNSSEC)
  • 2001:1488:800:400::130 (Primární, DNSSEC)
  • 2001:678:1::206 (Sekundární, DNSSEC)
Otevřené DNSSEC Validující Resolvery od správce CZ domény, více informací zde: https://www.nic.cz/odvr/

SafeDNS

  • 195.46.39.39 (Primární, Blocklist, DNSSEC)
  • 195.46.39.40 (Sekundární, Blocklist, DNSSEC)
Ve verzi zdarma blokuje nejnebezpečnější malware a phishing weby, v placené verzi je možné podrobně nastavit filtrování provozu, včetně blokování reklam a malware. Vhodné pro domácnosti i firmy, více informací zde: https://www.safedns.com/en/faq/

DNS.Watch

  • 84.200.69.80 (Primární, DNSSEC)
  • 84.200.70.40 (Sekundární, DNSSEC)
  • 2001:1608:10:25::1c04:b12f (Primární, DNSSEC)
  • 2001:1608:10:25::9249:d69b (Sekundární, DNSSEC)
Menší služba, převážně zaměřeno na bezpečnost, bez ukládání logů, anonymizovaný traffic je použit na bezpečnostní výzkum, možné podpořit pomocí dotací. Více informací zde: https://dns.watch/why

Freenom

  • 80.80.80.80 (Primární, DNSSEC)
  • 80.80.81.81 (Sekundární, DNSSEC)
Zaměřeno na bezpečnost, neukládají logy, používá miliony lidí. Více informací zde: https://www.freenom.world/en/index.html?lang=en

Cisco Umbrella (OpenDNS)

  • 208.67.222.222 (Primární, Blocklist)
  • 208.67.220.220 (Sekundární, Blocklist)
  • 208.67.220.222 (Terciární, Blocklist)
  • 208.67.222.220 (Kvartární, Blocklist)
  • 2620:0:ccc::2 (Primární, Blocklist)
  • 2620:0:ccd::2 (Sekundární, Blocklist)
Původně OpenDNS odkoupila v roce 2015 společnost Cisco. DNS resolvery je stále možné používat zdarma, kdy jsou blokovány některé nebezpečné domény. Placená verze “Cisco Umbrella” je security řešení postavené na filtrování provozu, ochraně proti malware, ransomware a dalším hrozbám. Vhodné převážně pro firmy. Více informací zde: https://umbrella.cisco.com/products/features/opendns-cisco-umbrella

Toto je pouze malý výčet těch známějších DNS resolverů, existuje jich opravdu hodně. Za zmínku ještě stojí například Neustar, kde si můžete vybrat servery zdarma, podle toho jaký obsah chcete blokovat.

Pokud by vás zajímala rychlost, statistiky z provozu vybraných DNS resolverů naleznete na webu www.dnsperf.com Případně můžete zkusit vlastní testy pomocí nástrojů namebench nebo DNS Benchmark.

Google Analytics Opt-out: zabraňte GA měřit vaše návštěvy

Nenechte se sledovat pomocí Google Analytics!

Začátkem roku 2010 společnost Google oznámila na svém blogu, že připravuje univerzální rozšíření do všech prohlížečů, které umožní uživatelům vynutit, aby jejich návštěvy webových stránek nebyly sledovány pomocí Google Analytics.

GA slouží majitelům webových stránek k analýze návštěvnosti, data jsou sdílena se společností Google, pro administrátory by nemělo být možné získat informace o konkrétním uživateli, ale pouze souhrnné statistiky.

Tak vzniklo rozšíření “Google Analytics Opt-out“, které zakáže webovým stránkám s GA sbírat o vás informace. Zdrojový kód rozšíření (gaoptout.js) je velmi jednoduchý:

/* Copyright 2010 Google Inc. All Rights Reserved. http://tools.google.com/dlpage/gaoptout/intl/en/eula_text.html */ (function(){var a=document.createElement(“script”);a.type=”text/javascript”;a.innerText=’window[“_gaUserPrefs”] = { ioo : function() { return true; } }’;document.documentElement.insertBefore(a,document.documentElement.firstChild);})()

V podstatě je tak na začátek zdrojového kódu všech webových stránek, které navšívíte, vložen následující JavaScript:

<script type=”text/javascript”>window[“_gaUserPrefs”] = { ioo : function() { return true; } }</script>

Díky tomu Google Analytics na webových stránkách poznají, že o vás nemá sbírat a odesílat žádné informace.

Rozšíření do různých prohlížečů je možné stáhnout na oficiálních stránkách: https://tools.google.com/dlpage/gaoptout

HTTPS Everywhere: vynucené přesměrování na HTTPS

HTTPS Everywhere je rozšíření do prohlížeče, které automaticky vynucuje načítání webových stránek přes protokol HTTPS, pokud je SSL certifikát pro danou doménu k dispozici.

Za tímto populárním rozšířením stojí nezisková organizace EFF (Electronic Frontier Foundation), která se věnuje převážně oblastem jako je například digitální soukromí, svoboda projevu a inovace.

Na oficiálním webu projektu HTTPS Everywhere se můžete dozvědět, že rozšíření vzniklo ve spolupráci mezi EFF a The Tor Project. Autoři dále uvádějí, že mnoho webových stránek nabízí pouze limitovanou podporu pro šifrování pomocí HTTPS a pro uživatele to může být matoucí. Web může být například defaultně načten přes nezabezpečené spojení, nebo webové stránky načtené přes HTTPS obsahují odkazy zpět na HTTP.

Rozšíření HTTPS Everywhere řeší tento problém pomocí regulárních výrazů, které přepisují odkazy z nezabezpečených  na šifrované.

Pro administrátory webových stránek, které jsou tímto rozšířením ovlivněny, navíc zveřejňují seznam pravidel, kde je možné ověřit přesměrování dle domény. Každý si navíc může vytvořit vlastní pravidla pro domény podle potřeby.

HTTPS Everywhere můžete nainstalovat do všech hlavních prohlížečů (je také součástí TorBrowser):

Pokud jsou některé webové stránky, které navštěvujete přístupné pomocí HTTP a zároveň také HTTPS, není důvod používat nezabezpečené spojení. Používáním HTTPS Everywhere bude vaše surfování internetem bezpečnější a doporučujeme tak všem toto rozšíření nainstalovat. Zároveň je možné zakázat veškerý nezabezpečený traffic.

Po instalaci můžete funkčnost rozšíření otestovat například díky webové stránce WhyNotHTTPS.com. Ta zveřejňuje seznamy domén (Alexa top sites), které nejsou defaultně přesměrovány z HTTP na HTTPS.

Rozšíření je open-source a zdrojový kód naleznete na GitHub.com/EFForg/https-everywhere.

Upozornění: pokud se Vám z nějakého důvodu bude některý z navštívených webů zobrazovat špatně, kdykoliv můžete rozšíření vypnout. Na druhou stranu můžete také zakázat veškerý nezabezpečený provoz.

Byl zveřejněn 0day exploit postihující všechny verze WordPress <= 4.7.4 (CVE-2017-8295)

Etický hacker Dawid Golunski ve středu publikoval podrobnosti o dvou chybách, které nalezl v systému WordPress. První z nich (CVE-2016-10033), je již opravená kritická RCE zranitelnost ve WordPress Core 4.6 a druhá (CVE-2017-8295), je 0day zranitelnost umožňující potencionální password reset.

Dawid Golunski z Legal Hackers našel zranitelnost v “password reset” funkcionalitě již minulý rok, v červenci 2016 reportoval chybu bezpečnostnímu týmu WordPress, který se tento problém rozhodl ignorovat. Golunski několikrát kontaktovat vývojáře, jak přes oficiální email, tak v rámci bug bounty programu na serveru HackerOne a nakonec se rozhodl veškeré detaily zveřejnit.
Zranitelnost se nachází ve funkci pro reset hesla, kdy může útočník za splnění určitých podmínek získat vygenerovaný odkaz pro změnu hesla konkrétního uživatele. Takový útok může být využit k získání přístupu do administrátorského účtu.

WordPress využívá proměnnou “SERVER_NAME” pro získání “hostname” serveru, z důvodu nastavení “From/Return-Path” hlavičky pro odesílaný email. Přední web servery, například Apache ale defaultně vyplňují SERVER_NAME podle hostname poskytnuté klientem (HTTP_HOST header).

Útočník tak může podvrhnout hodnotu, ze které WordPress vygeneruje emailovou adresu odesílatele. Za určitého konfigurace serveru bude také nastavena hodnota “Return-Path” pro vrácení nedoručitelného emailu.

Tato chyba může být zneužita následujícím způsobem:

  1. Útočník může způsobit DDoS útok na emailový server oběti, případně DoS útok na emailovou schránku (zaslání mnoha velkých souborů k zaplnění kapacity emailové schránky). Email s odkazem na reset hesla tak nebude doručen a vrátí se na adresu podvrženou útočníkem.
  2. Obět je na dovolené a má nastavenou automatickou odpověd na emaily. Pokud automatická odpověď zasílá i celý text přijatého emailu, bude odkaz na reset hesla doručen zpět útočníkovi.
  3. S využitím sociálního inženýrství může útočník zaslat několik desítek emailů s resetem hesla a přinutit oběť, aby na jeden z emailů odpověděla. Odesílatel (útočník) tak získá potřebný odkaz.

Kompletní dokumentaci o uvedené zranitelnosti spolu s ukázkou neleznete zde.

If you write about #WordPress CVE-2017-8295 & CVE-2016-10033 #exploits please separate them into 2 articles &don’t throw them into 1 bag 🙂

— Dawid Golunski (@dawid_golunski) May 4, 2017

Autor si přál obě zranitelnosti rozlišit a popsat v samostatných článcích, tak se ještě zmíním i o druhé, již opravené kritické RCE zranitelnosti. Podrobnější report zde.

Dawid Golunski již minulý rok publikoval RCE zranitelnost v populární open-source knihovně PHPMailer (CVE-2016-10033), o které se tehdy dost mluvilo a od té doby bylo nalezeno několik variací v podobných knihovnách.

Tento vektor útoku může být použit proti proti různým systémům, WordPress security team podle Golunskiho oznámil, že WordPress je proti této zranitelnosti imunní. Podrobnosti o chybě ve WordPress Core 4.6 ale uvádějí, že na mnoha systémech, například Debian a Ubuntu je defaultně nainstalovaný MTA (Mail Transfer Agent) – Exim, který může být podobně exploitován pomocí funkce mail().

Z důvodu kritické hrozby, bylo zveřejnění podrobností z minulého roku odloženo, aby měl WordPress team a vývojáři potencionálně zranitelného software dostatek času na opravu.
Podobně jako v prvním případě, WordPress používal pro registrace a reset hesla hlavičku “SERVER_NAME”, ze které byl vygenerován email odesílatele.

$from_email = ‘[email protected]’ . $sitename;

Adresa odesílatele pak byla vložena do zranitelné funkce setFrom() v knihovně PHPMailer. Ovšem jak na straně PHPMaileru, tak WordPressu byl použit filtr/validace, díky které nemělo být možné chybu exploitovat. Autor v dokumentaci uvádí, že stejný postup jako při CVE-2016-10033 nešel v tomto případě použít.

Po úpravě původního kódu spolu s nově nalezenou zranitelností v Exim4 MTA se nakonec podařilo obejít všechny filtry a vyvolat RCE na systému WordPress 4.6. Pro detailní technické informace doporučuji skvěle napsanou oficiální zprávu. Autor navíc zveřejnil video, kde můžete vidět praktickou ukázku přiloženého exploitu.


Podle statistiky z února 2017 byl WordPress použit na více než 27.5% z top 10 milionů webových stránek. Jednoznačně se jedná o nejpopulárnější redakční systém, který celosvětově používá více než 60 milionů internetových stránek a blogů.

Nové verze umožňují automatické aktualizace, i tak je ale doporučeno manuálně kontrolovat a aktualizovat veškeré pluginy a šablony vzhledu. Případně použít webový firewall a jiné anti-exploit mechanizmy. Pokud vás podobné nastavení zajímá, neváhejte se obrátit na naši společnost.

Více zdrojů:

https://legalhackers.com/

https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html

https://exploitbox.io/vuln/WordPress-Exploit-4-6-RCE-CODE-EXEC-CVE-2016-10033.html

http://thehackernews.com/2017/05/hacking-wordpress-blog-admin.html

https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html

WordPress Core – Unauth. Remote Code Execution (RCE) PoC Exploit (no plugins, default config) [CVE-2016-10033] from netsec

WordPress Core <= 4.7.4 Potential Unauthorized Password Reset (0day) from netsec

Uživatelé Google Docs zasaženi velice sofistikovaným phishing útokem

Ve středu večer byla zaznamenána velice sofistikovaná a neobvykle úspěšná phishing hrozba mířená na uživatele Google Docs. Je stále doporučeno neotevírat emaily od uživatelů, kteří s vámi sdílí nějaký dokument v platformě Google Docs. To se týká zejména adres, se kterými běžně komunikujete.

Varování s ukázkou a podrobnostmi bylo zveřejněno na redditu v sekci /r/google a díky pohotovému zaměstnanci byla celá věc nahlášena a do hodiny vyřešena.

@zeynep Just got this as well. Super sophisticated. pic.twitter.com/l6c1ljSFIX

— Zach Latta (@zachlatta) May 3, 2017

Celý útok vypadá velice věrohodně a probíhá následujícím způsobem:

  1. Uživatel dostane email od známého kontaktu
  2. V emailu vidí běžnou zprávu, že s ním kontakt sdílí dokument na Google Docs
  3. Po kliknutí na tlačítko je uživatel přesměrován na standardní přihlašovací obrazovku, kde povolí přístup aplikaci Google Docs
  4. Pokud uživatel povolí falešnou aplikaci Google Docs, stejný email se odešle všem jeho kontaktům a následně je přesměrován na škodlivou stránku
Ukázka falešné aplikace Google Docs

Původní zpráva je adresována na adresu “[email protected]” a obět je uvedena v kopii. Jako odesílatel je vždy zobrazen někdo z vašich kontaktů (dříve napadená oběť).

Google škodlivou aplikaci zablokoval, příjemcům phishing emailu se tedy po kliknutí na odkaz v emailu zobrazí pouze chybová hláška: “Error: disabled_client. The OAuth client was disabled.”. Není však vyloučeno, že podobné útoky budou pokračovat.

Zde je neúplný seznam domén, na kterých byl škodlivý kód hostován:

  • googledocs.g-docs.pro
  • googledocs.gdocs.download
  • googledocs.docscloud.download
  • googledocs.gdocs.pro
  • googledocs.docscloud.win
  • googledocs.docscloud.info

We are investigating a phishing email that appears as Google Docs. We encourage you to not click through & report as phishing within Gmail.

— Google Docs (@googledocs) May 3, 2017

Napadeným uživatelům je doporučeno navštívit následující adresu a zablokovat jakékoliv škodlivé aplikace, které mohou mít plný přístup k účtu.

Celá situace se neustále řeší, podle serveru downdetector byl dokonce zaznamenán výpadek služby Google Drive.

Official Google Statement on Phishing Email: We have taken action to protect users against an email impersonating Google Docs & have disabled offending accounts. We’ve removed the fake pages, pushed updates through Safe Browsing, and our abuse team is working to prevent this kind of spoofing from happening again. We encourage users to report phishing emails in Gmail.

Podle dostupných zpráv na sociálních sítích se tento útok šíří velice rychle a napadeno bylo již stovky uživatelů, od zaměstnanců různých společností po individuální uživatele.

Z důvodu bezpečnostního výzkumu se nám podařilo získat kompletní zdrojový kód škodlivé aplikace. Je zajímavé, že phishing kampaň dokonce obsahovala Google Analytics kód na sledování statistik.

Během dne bude jistě vycházet spousta dalších informací o průběhu celého útoku. Společnost Google vše zvládla na výbornou a je nepravděpodobné, že tento druh phishing kampaně bude i nadále pokračovat. Je ale stále doporučeno zůstat na pozoru, k obětem se přihlásila i řada zkušených uživatelů, včetně novinářů.

Update:

Přesně tento druh útoku byl popsán již v roce 2014 a podrobněji rozepsán v únoru 2017. První zmínky o tomto attack vectoru můžeme najít již v roce 2012. Nejedná se tedy o nic nového, phishing kampaň byla relativně úspěšná, ale naštěstí byla velice rychle zastavena a uživatelská data zůstala v bezpečí.

Více informací:

https://www.theverge.com/2017/5/3/15534768/google-docs-phishing-attack-share-this-document-with-you-spam

New Google Docs phishing scam, almost undetectable from google

https://motherboard.vice.com/en_us/article/massive-gmail-google-doc-phishing-email

http://thehackernews.com/2017/05/google-docs-phishing-email.html

https://news.ycombinator.com/item?id=14258918

Google v novém update opravil 6 kritických Android zranitelností (verze 4.4.4 až 7.1.2)

Společnost Google vydala 1. května 2017 další z pravidelných měsíčních bezpečnostních záplat pro systém Android. Tentokrát se jedná o 17 kritických zranitelností, prvních 6 z nich ovlivňující Android Media server mohlo být zneužito k vzdálenému spuštění škodlivého kódu.

Podle oficiálního vyjádření se zatím jedná o největší balík opravující bezpečnostní chyby, který vypuštěn během jednoho měsíce. První část update opravila zranitelnosti ohrožují všechna zařízení (verze 4.4.4 až 7.1.2). Druhá část update bude zveřejněna 5. května a bude opravovat zbylých 11 zranitelností, které jsou pouze pro specifická zařízení.

Kritická RCE zranitelnost v Mediaserveru byla nalezena v lednu tohoto roku a k exploitaci stačí pouze zobrazit speciálně upravený obrázek nebo video v emailu, webovém prohlížeči, MMS, nebo jiné aplikaci, která slouží ke sdílení souborů. V Mediaserveru bylo již v minulosti objeveno mnoho zranitelností, například Stagefrigh.

Je doporučeno co nejdříve stáhnout a nainstalovat bezpečnostní update. Google si od rozdělení aktualizací na dvě části slibuje lepší možnost, jak mohou všichni výrobci rychle dodat update pro svá zařízení.

Uživatelé zařízení Nexus a Pixel obdrží možnost aktualizace přednostně během následujících dní, případně je mohou stáhnout hned z oficiálního zdroje. Google minulý týden oznámil, že bezpečnostní podpora pro zařízení Nexus 6 a Nexus 9, které byly uvedeny na trh v roce 2017 skončí v říjnu 2017. Podpora pro Pixel a Pixel XL bude pokračovat až do říjnu 2019.

Bohužel není jasné, jak se k update postaví ostatní výrobci mobilních telefonů s operačním systémem Android.

Více informací:

http://thehackernews.com/2017/05/android-security-update.html

https://source.android.com/security/bulletin/2017-05-01#announcements

Google Patches Six Critical Mediaserver Bugs in Android

Critical Android security patches released – but will your phone ever see them?