Hakerzy: najnowsze metody ataków

Człowiek z telefonem przed ekranem widziany przez celownik termowizyjny, podpisy -- "Naruszenie bezpieczeństwa, cyberatak w toku".
Człowiek z telefonem przed ekranem widziany przez celownik termowizyjny, podpisy -- "Naruszenie bezpieczeństwa, cyberatak w toku".

Kiedy Neil Wyler, bardziej znany w hakerskiej branży jako Grifter, wchodzi do pokoju, każdy, kto w nim przebywa, wie, że coś musiało się wydarzyć. Wyler przeprowadził kontrolowany atak SQL na domenę publiczną. Oczywiście w celach szkoleniowych. Bo właśnie szkolenia to podstawa Black Hat. Wyler jest inżynierem ds. bezpieczeństwa informacji i naukowcem. Aktualnie spełnia się zawodowo w RSA Security, gdzie pracuje na stanowisku specjalisty ds. zaawansowanych operacji bezpieczeństwa. Od ponad 15 lat koncentruje się na ocenie podatności na zagrożenia i testach penetracyjnych. Z Black Hat Security Briefings jest związany od 13 lat.
Dzięki szkoleniom w ramach Black Hat nowicjusze mają szansę zobaczyć i zrozumieć, w jaki sposób potencjalni agresorzy mogą przeniknąć do kodu i urządzeń, włamać się do telefonu, znaleźć słabe punkty i zinfiltrować cel. Pokój, do którego wszedł Tyler, to miejsce przeprowadzania ataków w tzw. czasie rzeczywistym. To oswajanie przyszłych specjalistów do spraw bezpieczeństwa danych z sytuacją, która z pewnością kiedyś nastąpi. Będą musieli wykazać się wtedy nie tylko wiedzą, ale i odpowiednio szybką reakcją oraz podejmować właściwe decyzje. Podczas późniejszych wykładów adepci sztuki hakerskiej poznają szczegóły dotyczące przeprowadzonego ataku. Koszt takiego kursu? Kilka tysięcy euro.

Podatności urządzeń Apple

W obiegowej opinii, ochoczo podtrzymywanej przez samo Apple, urządzenia sygnowane symbolem nadgryzionego jabłka są wyjątkowo bezpieczne – niezależnie od tego, czy próbę ataku podejmuje haker, grupa cyberprzestępcza, czy policja lub agencje wywiadowcze. Opinia ta wynika w dużej mierze z samej architektury bezpieczeństwa urządzeń Apple z systemem iOS. Faktem jest, że Apple wiele elementów swojego oprogramowania i infrastruktury sprzętowej zaprojektowało tak, aby bardzo utrudnić, czy wręcz uniemożliwić nieuprawnionym użytkownikom (czyt. hakerom) wprowadzanie zmian w systemie. Ostatnią linią obrony jest nowy system plików Apple File System. Dlaczego ostatnią? Otóż, osoby, które będą w stanie wprowadzić zmiany w APFS, będą mogły również uzyskać dostęp do katalogu głównego urządzenia i wprowadzić tam swoje własne oprogramowanie, jak również pobrać dane bez wiedzy właściciela smartfonu.

Kod blokady z dodatkowo włączonym czyszczeniem pamięci iPhone’a po kilkakrotnym, błędnym wprowadzeniu hasła nie jest już skuteczną ochroną (graf. CHIP)

Na szkoleniu Black Hat jeden z najlepszych specjalistów i badaczy bezpieczeństwa systemu iOS, Xiaolong Bai, zademonstrował sposób na ominięcie systemu bezpieczeństwa APFS. Sam przyznaje, że nie było to trywialne zadanie. System plików zaprojektowany przez Apple jest tak zbudowany, że najpierw instaluje się w urządzeniu jako tylko do odczytu, tzn. z zabezpieczeniem zapisu. Jeżeli ktokolwiek próbuje zmienić zamontowany obraz sytemu, iOS automatycznie rozpoznaje niewłaściwy znacznik czasu i sumę kontrolną, reagując dobrze znanym kernel panic, czyli całkowitym przerwaniem pracy i zawieszeniem systemu. Bai był w stanie ominąć system bezpieczeństwa poprzez dość wyrafinowane działania polegające, w dużym uproszczeniu, na przeprowadzeniu ataku na jądro iOS-a tak, by móc podstawić własny system plików i na tej podstawie uzyskać prawidłowy znacznik czasu umożliwiający już modyfikację oryginalnego systemu plików. Demonstrując swoją metodę, pokazał nielegalny, teoretycznie niemożliwy do zainstalowania na urządzeniach Apple, nieautoryzowany przez producenta sklep z aplikacjami Cydia. Dostał ogromne brawa.

Z prezentacji Baia skorzysta także Apple. Programiści giganta z Cupertino reagują szybko i wprowadzają zmiany w kodzie, neutralizując potencjalny atak, który w najnowszych, zaktualizowanych wersjach systemu iOS już nie byłby skuteczny.

Sposób na Apple ma również DriveSavers, grupa specjalistów, która jednak nie dzieli się wiedzą z producentem iPhone’ów. Przestępcy? Nic z tych rzeczy, po prostu utrzymanie tajemnicy leży w ich interesie. DriveSavers znają metodę na odczytanie kodu dostępu do zablokowanego urządzenia Apple i to nawet w sytuacji, gdy użytkownik skonfigurował system tak, żeby po dziesięciu nieudanych próbach wprowadzenia kodu PIN iOS aktywował procedurę usuwania wszystkich danych z urządzenia. Dzięki swojej wiedzy DriveSavers proponuje tym, którzy zapomnieli kodu, możliwość tworzenia kopii zapasowych wszystkich danych urządzenia. Dlaczego nie chcą ujawnić, jak dokładnie działa trik i jakie słabe punkty kodu Apple wykorzystuje? Stawka jest zbyt wysoka. Jednorazowe odblokowanie urządzenia kosztuje 3900 dolarów (blisko 15 tysięcy złotych). Ujawnienie ich wiedzy może i pomogłoby Apple, ale zniszczyłoby biznes DriveSavers. Co ciekawe, usługa skierowana jest do zwykłych użytkowników i choć może trudno w to uwierzyć, biorąc pod uwagę ceny, to klientów nie brakuje.

Rządy wolą Androida

W przypadku iOS-a atak, choć jest możliwy do przeprowadzenia, wymaga jednak wyrafinowanych metod, zaawansowanej wiedzy i dużych pieniędzy. Z Androidem jest zupełnie inaczej – i nie dlatego, że jest np. niedbale zaprojektowany. Problem leży w architekturze, a dokładnie w otwartości Androida, skrzętnie wykorzystywanej przez cyberprzestępców, cyberterrorystów oraz służby wywiadowcze. Eksperci z firmy Lookout, Michael Flossman, szef grupy specjalizującej się w wykrywaniu zagrożeń, oraz Kristin Del Rosso, analityczka wywiadu bezpieczeństwa, zbadali, jak działają profesjonaliści. Wzięli na warsztat narzędzia ataku wykorzystywane przez grupę hakerów znaną pod nazwą Syryjska Armia Elektroniczna. Syrian Electronic Army jest grupą najprawdopodobniej sponsorowaną przez agencje rządowe. Jej główne zadania to szpiegowanie przeciwników rządu Baszara el-Asada oraz rozpowszechnianie syryjskiej (prorządowej), a także prorosyjskiej propagandy.

Schemat działania SEA rozpoznany przez ekspertów z Lookout jest następujący. Syryjscy hakerzy przez podstawionych wydawców rejestrują w sklepie Google Play aplikacje, które, pobierane przez niczego nie podejrzewających użytkowników, służą do rozprzestrzeniania szpiegowskiego oprogramowania Silverhawk. Jak na ironię, oprogramowanie udaje aktualizacje popularnych komunikatorów, takich jak np. Telegram, Chat-Secure itp., czyli programów, z których korzystają raczej ci, którzy chcą uniknąć szpiegowania ich urządzeń (Telegram na przykład znany jest z szyfrowania end-to-end). Opisywany złośliwy kod może udawać również aktualizację MS Office’a.

Dla bezpieczeństwa Androida, warto nie tylko aktualizować aplikacje, ale też uruchamiać aktualizacje bezpośrednio w sklepie Google Play (graf. CHIP)

Po tym jak złośliwy kod w formie fałszywej aktualizacji trafi na telefon ofiary, Syryjska Armia Elektroniczna jest w stanie niezauważenie rejestrować dźwięk i obraz (zdjęcia, wideo). Ponadto może kopiować wiadomości SMS oraz kontakty i eksportować treści z komunikatorów takich jak WhatsApp czy wspomniany Telegram. Hakerzy mają dostęp do aktualnych danych lokalizacyjnych i całej historii GPS, a także wszystkich danych aplikacji. Złośliwy kod umożliwia też odczytanie danych poprzez połączenie z innym telefonem komórkowym.

Google oczywiście stara się neutralizować tego typu ataki w swoim sklepie, niemniej wciąż zdarzają się często. Recepta ekspertów? Korzystanie z mobilnego skanera antywirusowego. Ale przede wszystkim warto aktualizacje oprogramowania przeprowadzać, klikając przycisk Aktualizuj w samym Google Play, a nie poprzez np. powiadomienie, które pojawia się na pasku.

Utrata danych przez kabel ładujący

Niestety, nawet jeżeli twoje urządzenie jest wyposażone w nowoczesne rozwiązania antywirusowe, dbasz o to, by wszystkie aktualizacje systemu i zainstalowanego w nim oprogramowania były zainstalowane, a ustawienia systemu są świetnie zestrojone pod kątem ochrony danych – napastnicy wciąż mogą odczytać twoje dane. Riccardo Spolaor z Oxford University zademonstrował ciekawą metodę bazującą na analizie zużycia energii podczas ładowania mobilnego urządzenia z systemem Android. Spolaor udowodnił, że w trakcie ładowania da się wejść do pamięci smartfonu.

Przejściówka USB, wygląda jak zwykły pendrive, ale pozwala wyłącznie ładować urządzenie mobilne (fot. CHIP)

Podstawowa idea nie jest tak do końca nowa. Być może niektórzy z was słyszeli już np. o zmanipulowanych ładowarkach na lotniskach czy w innych miejscach publicznych. Ofiara, podłączając swój telefon do publicznej ładowarki, myśli, że ładuje akumulator smartfonu, a tymczasem ukryty w ładowarce komputer umożliwia agresorom odczyt danych z telefonu. W przypadku najnowszych wersji Androida przeprowadzenie tego ataku nie jest już tak łatwe, ponieważ Google zadbało o ochronny kod, który blokuje nawiązywanie połączenia dla danych bez wyraźnej zgody użytkownika ładującego smartfon.

Po prawej zwykłe złącze USB, po lewej złącze USB Data Blocker. Wyraźnie widać, że to drugie nie ma dwóch środkowych złącz odpowiedzialnych za transfer danych. Niestety, nawet bez pinów do przesyłu danych można przesłać dane (fot. CHIP)

Co bardziej zapobiegliwy (lub paranoicy, jak wolą niektórzy) mogą stosować specjalne nakładki, przejściówki czy kable nazywane prześmiewczo “prezerwatywami USB”. To nakładki na złącze USB wtykane do ładowarki, które na wyjściu mają tylko dwa kontakty – co wystarcza do transferu energii, lecz wyklucza transfer danych.

Jednak Ricardo Spolaor uporał się z odczytem danych nawet w przypadku owego “paranoidalnego” zabezpieczenia. Jego metoda wykorzystuje miernik prądu, którym można badać różnice w przepływie energii i w ten sposób rozpoznawać, kiedy wyświetlacz ładowanego smartfonu jest wyłączony, a kiedy CPU urządzenia jest mocno zajęte obliczeniami. Aby odczytać dane z zabezpieczonego urządzenia, napastnik musi zainstalować w smartfonie aplikację, która ma dostęp do odczytywanych danych. Spolaor napisał dla celów demonstracyjnych aplikację typu “proof-of-concept” (pomysł a nie gotowe rozwiązanie), udowadniając jednocześnie, że podczas prawdziwego ataku ukrycie aplikacji np. w standardowym budziku w Androidzie jest możliwe. Co więcej, programu Spolaora nie rozpoznają mobilne skanery AV czy mechanizmy radaru Google’a. Spolaor wyjaśnia, że aplikacja nie musi mieć żadnych uprawnień, więc nie budzi podejrzeń, jej zadaniem jest tylko komunikowanie się z komputerem w ładowarce i przesyłanie danych kodem Morse’a poprzez odpowiednie modulowanie impulsów elektrycznych. W jaki sposób alfabet Morse’a jest modulowany, skoro zakłada się, że użytkownik korzysta ze wspomnianej “prezerwatywy USB”, czyli z kabla pozbawionego pinów do transmisji danych?

Pomiar prądu pobieranego przez smartfon pozwala wykryć np. obciążenie CPU (graf. CHIP)

Wspomniałem, że miernik elektryczny jest w stanie wykryć zmiany obciążenia CPU ładowanego telefonu. Co robi zatem aplikacja Spolaora? Tak steruje cyklami pracy procesora, żeby jego obciążenie przekładało się na kod Morse’a na mierniku energii. Ochrona przed podobnym atakiem jest możliwa tylko w taki sposób, że użytkownik wyłączy smartfon podczas ładowania. Biorąc pod uwagę, jak trudno jest nam zwykle rozstać się ze smartfonem nawet na krótką chwilę, zwłaszcza kiedy czekamy na lotnisku, to mało prawdopodobny scenariusz. Niemniej po prezentacji Spolaora zaskakująco wielu uczestników konferencji Black Hat zaczęło wyłączać swoje telefony podczas korzystania z publicznych ładowarek.

Nowe próby phishingu

Atakujący mogą uzyskać dostęp do danych użytkowników komputerów stacjonarnych bez żadnych manipulacji sprzętowych. Cyberprzestępcy wykorzystują w tym celu stosunkowo starą technikę: phishing. Ponad 91 procent wszystkich ataków zaczyna się właśnie od tej metody. Jednak dziś phishing jest bardzo zaawansowany. Przez lata wystarczającą ochroną było szukanie zielonej kłódki obok paska adresu w przeglądarce. Ta wskazówka jest dziś przestarzała. Kłódka informuje tylko, że dana strona korzysta z szyfrowania, ale wcale nie oznacza – jak mylnie sądzi aż 82 procent internautów – że odwiedzany serwis jest faktycznie tą, zaufaną stroną, którą chcieliśmy odwiedzić. Statystyki z Phishlabs pokazują, że dziś już co czwarty atak phishingowy korzysta z certyfikatów TLS, co oznacza, że, będąc nawet na fałszywej, podszywającej się pod znany serwis stronie, będziemy widzieć w przeglądarce zieloną kłódkę.

Laikowi nie zawsze jest łatwo rozpoznać taki certyfikat hakera. Nowoczesne systemy antywirusowe, dzięki wsparciu algorytmów sztucznej inteligencji, są w stanie wykrywać certyfikaty TLS, których celem jest jedynie ukrycie czy blokowanie widoczności złośliwych adresów URL. Z drugiej strony, napastnicy również nie śpią. Alejandro Correa Bahnsen z Cyxtera Technologies zademonstrował na Black Hat metodę ataku polegającą na skutecznym zablokowaniu rozpoznawania certyfikatów przez oprogramowanie antywirusowe. Bahnsen zaprogramował sztuczną inteligencję, która poprawia atak dzięki uczeniu maszynowemu. Wskaźnik powodzenia ataków konwencjonalnych wzrósł z około 5 do 36 procent w przypadku stosowania “złośliwej” AI. Kto mieczem wojuje ten od miecza ginie? Według Bahnsena należy zainwestować więcej w rozwój systemów SI, które będą w przyszłości wykrywać takie ataki i staną się po prostu “mądrzejsze” od SI stosowanych przez cyberprzestępców.

Ciepło prawdę ci powie

Specjalista w zakresie kryptografii z Uniwersytetu Kalifornijskiego, Ercan Ozturk, opracował atak, który wykorzystuje, jako bramę, nieświadomego użytkownika, a dokładniej ciepło jego ciała. Ozturk użył kamery termowizyjnej, aby z wysoką skutecznością odczytać znaki z klawiatur, na których użytkownicy wprowadzili właśnie swoje hasła. Wynik jest o tyle imponujący, że nawet w przypadku złożonych ciągów znaków, czas, jakiego potrzebował badacz na poprawne odszyfrowanie hasła, wynosił maksymalnie 40 sekund.

Kamera termowizyjna okazuje się być użytecznym narzędziem do łamania haseł (fot. CHIP)

W znacznie lepszej sytuacji są tu użytkownicy, którzy posiedli umiejętność bezwzrokowego pisania na klawiaturze przy użyciu wszystkich dziesięciu palców, pod warunkiem jednak, że wszystkie z nich trzymają na klawiaturze. Niestety wiele osób wpisuje hasła nawet tylko jednym palcem, co ułatwia rozpoznanie za pomocą metody zaprezentowanej przez Ercana Ozturka. Niemniej badacz przyznaje, że można stosunkowo łatwo zabezpieczyć się przed tym atakiem. Wystarczy że – dosłownie – pogłaszczą całą klawiaturę płaską dłonią przed opuszczeniem stanowiska, a tym samym w miarę równomiernie nagrzeją wszystkie klawisze.

Analiza termiczna obrazu pozwala nie tylko wykryć, które z klawiszy były naciskane, ale też w jakiej kolejności (fot. CHIP)

Niekiedy jednak zrobisz wszystko dobrze, masz aktualizacje, oprogramowanie AV, wyłączasz telefon podczas ładowania na lotnisku, głaszczesz pieszczotliwie klawiaturę przed opuszczeniem choćby na chwilę stanowiska pracy, a i tak cię dopadną…

Uwierzytelniające tokeny RSA SecurID to chętnie wykorzystywane przez korporacje narzędzie weryfikacji tożsamości uprawnionych osób (fot. CHIP)

Joe Fitzpatrick, kolejny ekspert prezentujący swoje dokonania na konferencji Black Hat, ostrzega przez zmanipulowanym sprzętem, z którego korzystają użytkownicy. Mogą to być np. klawiatury, czytniki kart płatniczych itp. Na przykład w Stanach Zjednoczonych miał miejsce przypadek, kiedy agresorzy zmodyfikowali czytnik kart zainstalowany w pompie paliwa na bezobsługowej stacji benzynowej. Czytnik przechowywał w swojej pamięci dane kart kredytowych wszystkich użytkowników konkretnej stacji. Hakerzy przychodzili co kilka dni, by odczytać pamięć urządzenia. Fitzpatrick pokazał również rozwiązanie koncepcyjne polegające na wyposażeniu RSATokena w dodatkowy układ scalony, który przekazuje agresorowi przez radio hasło wyświetlane na niewielkim wyświetlaczu tokena.

Niepewny łańcuch dostaw urządzeń zabezpieczających to ryzyko, że ktoś dokona w nich zmian (fot. CHIP)

Fitzpatrick swoją prezentacją chciał zainteresować duże przedsiębiorstwa, w których szpiegostwo przemysłowe opłaca się i które używają kluczy RSA do zabezpieczenia ważnych punktów dostępu na komputerach. Tokenami RSA można manipulować np. w fazie transportu, gdy są one przechowywane w magazynach firmy wysyłkowej. Dlatego ekspert zaleca stosowanie wyłącznie tych produktów, których łańcuch dostaw jest w pełni znany.

Maszyny wirtualne są niebezpieczne

Wielokrotnie z pewnością słyszeliście, że maszyny wirtualne to remedium na kłopoty ze złośliwym oprogramowaniem. Owszem, kiedyś tak było. Dziś nawet oprogramowanie wirtualizacyjne może być atakowane. Udowodnił to Zisis Sialveras z firmy CENSUS, który pokazał sposób wykorzystania protokołu SVGA-3D VMware do wysyłania i wykonywania kodu programu do systemu hosta w systemie wirtualnym. To przykład luki typu zero-day. Szczególnie niebezpieczny przypadek. Cechą luk typu zero-day jest przede wszystkim to, że są one praktycznie niewykrywalne przez jakiekolwiek oprogramowanie antywirusowe, a przynajmniej nie bezpośrednio. Można oczywiście liczyć na analizę heurystyczną i behawioralną, ale o ile agresor nie popełni błędów we wprowadzeniu własnego kodu podczas wykorzystania takiej luki, mamy do czynienia raczej z przypadkiem ataku nie do obrony. Zagrożenie przedstawione przez Sialverasa jest tym bardziej groźne, że zwykle wirtualne maszyny nie są tak dobrze chronione jak systemy rzeczywiste. W tym przypadku skończy się na opracowaniu odpowiedniej łaty (Zisis Sialveras współpracuje już w tej sprawie z VMware). To przy okazji kolejny dowód, że aktualizowanie systemów w telefonach, tabletach, smarttelewizorach i komputerach nie jest tylko pustą mantrą, a ma kluczowe znaczenia dla bezpieczeństwa urządzeń. | CHIP