Security news vol. 3 - 20150219 - Risk & Technology Wrocław Group

1. Security News
2015.02.19
Borys Łącki b.lacki@logicaltrust.net

2. http://zaufanatrzeciastrona.pl/post/laptopy-lenovo-podsluchuja-twoje-polaczenia-i-umozliwiaja-to-innym/
Superfish, ma za zadanie prezentować wizualne reklamy w wynikach
wyszukiwania np. Google. Program ten instaluje również swój własny
certyfikat jako zaufany w repozytorium certyfikatów Windows, co
umożliwia mu podszywanie się pod każdą witrynę. Co gorsza, każdy
komputer ma identyczny certyfikat, dzięki czemu posiadacz klucza
prywatnego może przeprowadzać ataki MiTM na innych właścicieli
laptopów Lenovo.

3. http://www.reuters.com/article/2015/02/02/usa-budget-cybersecurity-idUSL1N0VC0XH20150202
President Barack Obama's budget proposal for the 2016 fiscal year seeks
$14 billion for cybersecurity efforts across the U.S. government to better
protect federal and private networks from hacking threats.

4. http://25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com/files/2015/02/Equation_group_questions_and_answers.pdf
● zaszyfrowane klucze w rejestrze Windows NSA Domain Fail
● odszyfrowuje swój kod na konkretnym komputerze
● modyfikowanie sterowników dysków twardych
● ominięcie konieczności podpisywania kodu – Windows
● iOS i OS X
● CD in the middle

5. http://h30499.www3.hp.com/t5/Fortify-Application-Security/IoT-is-the-Frankenbeast-of-Information-Security/ba-p/6705017
Of 10 IoT-connected home security systems tested,
100% are full of security FAIL

6. http://www.bbc.com/news/technology-31093065
BMW has patched a security flaw that left 2.2 million cars,
including Rolls Royce and Mini models, open to hackers.
The patch, which would be applied automatically, included making data
from the car encrypted via HTTPS (HyperText Transfer Protocol Secure)
- the same security commonly used for online banking, BMW said.

7. https://adrifelt.github.io/sslinterstitial-chi.pdf

8. http://blog.sucuri.net/2015/01/adsense-abused-with-malvertising-campaign.html
At least two Google AdWords campaigns have been hijacked
by scammers who modified legitimate ads to automatically
redirect visitors to scam sites once they get displayed (no clicks
required).

9. Ukradli bankowi milion dolarów, chcieli wysłać na polskie konta
● dedykowana stacja robocza do przelewów,
● sprzętowy VPN do banku Rezerwy Federalnej, który pośredniczył w realizacji
przelewów,
● profil użytkownika o ograniczonych uprawnieniach do realizowania przelewów,
● aktywny Windows Firewall,
● zainstalowany na każdej stacji roboczej Symantec Small Business Endpoint
Protection 12.5 (z modułami antywirusa, firewalla, IDSa i IPSa),
● każdy przelew musiał być autoryzowany przez dwóch pracowników,
● każdy pracownik dysponował własnym tokenem sprzętowym niezbędnym do
realizacji przelewu,
● token był zabezpieczony dodatkowym hasłem a każdy pracownik miał swój login i
hasło,
● sieć banku chroniona była przez sprzętowy firewall Sonic WALL NSA 240 (z
modułami Gateway Antivirus, Gateway Anti-Spyware i Gateway Intrusion
Protection),
● siedziba banku objęta była monitoringiem wizyjnym.
http://zaufanatrzeciastrona.pl/post/ukradli-bankowi-milion-dolarow-chcieli-wyslac-na-polskie-konta

10. https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
The GHOST vulnerability is
a serious weakness in the
Linux glibc library.
Applications have access to
the DNS resolver primarily
through the gethostbyname*()
set of functions.

11. http://seclists.org/fulldisclosure/2015/Feb/0
Internet Explorer 10, 11 - Universal Cross Site Scripting(XSS)
Attackers can steal anything from another domain, and inject anything into another domain

12. Kontakt
Borys Łącki b.lacki@logicaltrust.net