Hlavní navigace

Bezpečnost 2010: Staré klasiky v moderním podání

Pavel Čepský 21. 12. 2010

Uplynulý rok nepřinesl žádná převratná rizika, s nimiž bychom se již dříve nesetkali, spíše oživil původní hrozby. Která nebezpečenství nám pila krev a čím si útočníci zajistili další z úspěšných let?

Antivirová řešení pro mobily různých kvalit a od nejrůznějších dodavatelů jsou tu s námi již nějaký ten pátek, kromě klasické kontroly dat zvládnou také například ochranu přístupu do mobilu v případě jeho odcizení. Otázkou zůstává, nakolik jde o lákadla výrobců antivirů a z jaké části je mobily opravdu nutné chránit. Koncový uživatel by vždy měl nejprve zvážit, jestli ochranu svého mobilu vůbec potřebuje. Pokud v něm neuchovává citlivá data (například poštu, důležité dokumenty apod.), je často zbytečné podobnou ochranu vůbec zvažovat.

Jaká rizika chytrým mobilům vlastně hrozila? Nejdiskutovanějšími jsou mobilní viry, které však stále představují poměrně exotickou kategorii zneužití, nemálo lidí má totiž infekci virem spojenou hlavně s klasickými počítači, o možnosti infekce mobilních telefonů často neuvažují. Například již přibližně před šesti lety však spatřil světlo světa červ schopný šíření pomocí Bluetooth, který infikoval chytré mobilní telefony se Symbian OS.

Uvedený škodlivý kód pro smartphony nesl označení Cabir.A a naděje na svou replikaci vkládal do SIS souborů, které přes Bluetooth rozesílal na další, v okolí dostupná zařízení. Ve skutečnosti Cabir neobsahoval žádné škodlivé rutiny, pouze po zapnutí telefonu ohlásil svou přítomnost zobrazením krátké zprávy. Z parazitů Bluetooth nelze nezmínit například Commwarrior a Mabir.A. Mabir.A rozesílá soubory s názvem caribe.sis, takže se na první pohled tváří jako původní Cabir. Monitoruje však dále také všechny příchozí SMS i MMS zprávy a jako odpověď automaticky odesílá infikovaný soubor caribe.sis.

Nejen v uplynulém roce 2010, ale i do budoucna by nás mohly čekat těžké mobilní dny vinou těsného spojení (nejen) smartphonů s Internetem, dnes už je v řadě případů těžké sledovat datový provoz, který neustále připojený mobil na cestách provází. V tomto případě samozřejmě přímo nemusí jít o zneužití samotnými útočníky, ale spíše uživatelovu nepozornost.

Kdo má na míru šitý datový tarif, toho vysoký účet nečeká, pokud ale firma v hromadném paušálu nebo jednotlivec individuální smlouvě „datuje“ na čas či má striktní limit, mohou se dodatečně přenesená data pořádně projevit. Na pozadí komunikující aplikace, opakovaná aktualizace pošty v zahraničí a další nešvary nakonec mohou do peněženky sáhnout mnohem hlouběji, než by to zvládl kdejaký virus… Právě zde je velký rozdíl v důležitosti různých druhů ochrany mezi počítačem a mobilním telefonem. Kromě virů ale uživatele mobilů čas od času ohrožují také spamové reklamní a podvodné zprávy, které mohou obsahovat odkaz přímo na web. Jedná se o takzvaný SMiShing, nicméně nejde o příliš časté riziko.

Screenshot viru šířícího se přes Bluetooth. Zdroj: F-Secure

Detekce viru Cabir v mobilním telefonu. Zdroj: F-Secure

Nebezpečný fotbal a kopaná s uživateli

Mistrovství světa ve fotbale v Jihoafrické republice již dávno skončilo, z drtivé většiny proklínané vuvuzely a často nudné pokoukání jsou ty tam. Z pohledu počítačového a síťového nadšence je zde však ještě jeden důležitější konec, a sice odliv vlny spamu, která byla během šampionátu zaznamenána. Spam je tu s námi v obrovském množství stále, nicméně jeho navýšení bylo ve zmíněném období více než jen drobným zesílením.

Společnost Symantec v červencové zprávě o stavu spamu a phishingu zveřejnila, že počet e-mailů, které měly mistrovství světa ve svém předmětu, vzrostl až devětkrát oproti mistrovství světa ve fotbale 2006. Nejčastěji se v této souvislosti objevoval e-mail s názvem „FIFA World Cup South Africa… bad news“, navíc se zvýšil i počet herních webů a sázkových společností, které se chtěly přiživit na popularitě světového šampionátu.

Podle citované zprávy z webu společnosti Symantec je zřejmé, že podvodníci volí předměty falešných e-mailů v řadě případů podle toho, jaké jsou aktuální titulky hlavních zpráv. Právě tento trend v souvislosti s nedávno skončivším mistrovstvím světa proto zformoval následující zajímavou tabulku – jedná se o deset nejčastějších předmětů nevyžádaných zpráv, které se přesně shodovaly s titulky renomovaných zpravodajských serverů.

Nevyžádaná pošta samozřejmě není pouze jedinou cestou, kterou se podvodníci snaží nalákat nic netušící a často přespříliš důvěřivé oběti, své pozice na výsluní se nevzdává ani klasický phishing. Tvůrci podvodných phishingových stránek vsadili nejen na falešné informace o aktualitách z mistrovství světa, ale snažili se také uživatele nalákat prostřednictvím podvržených značek různých sázkových kanceláří. Hlavní motivací se zde staly původní legitimní nabídky, speciálně týkající se Mistrovství: uživatelé se často registrovali jen u příležitosti výhodných podmínek v průběhu šampionátu, a tak pak podvodníci zkoušeli loudit údaje pod hlavičkou různých sázkovek.

Ačkoliv podobné útoky mohou být na první pohled sofistikované, nechybí ani opravdu velice pochybné techniky, na které je opravdu těžké skočit. Jedním z takových případů je falešná zpráva s informací o výhře 110 milionů dolarů v loterii související s mistrovstvím světa. Kolik uživatelů se na takovou vějičku může nachytat? Navíc, když si cílová stránka žádá vložení adresu a heslo, teprve poté je přesměrování vedeno na domovskou stránku původní společnosti, úvodní přihlašovací údaje mezitím putují přímo k podvodníkovi. Klasické, jednoduché schéma, které se v různých variantách opakuje donekonečna, ale tvůrcům za pokus vždy stojí.

Vývoj spamu v květnu a červnu vzhledem k celkovému objemu e-mailových zpráv. Zdroj: Symantec

Nebezpečí v malých porcích, zato všemi způsoby

I když se z dlouhodobého pohledu útočníci a podvodníci snaží co nejvíce zjednodušit své nekalé rejdy, ale zato je o to víc zefektivnit, nechybí ani občasné přeháňky pokusů, jež vyžadují více technického umu. Jednou z oblíbených variant je optimalizace kódu stránek s malwarem tak, aby se při hledání umístily co možná nejvýše. Takové malé záškodnické SEO dokáže (stejně jako u klasických stránek) pořádně ovlivnit, kolik obětí se nachytá.

Ačkoliv nebezpečná hledání zcela jistě nepatří mezi ta, která byste používali od rána do večera, je i přesto zajímavé, že jen každý stý výsledek dokáže uživatele dopravit na bezpečnou stránku. U klasických odkazů a hledaných výrazů je samozřejmě procento mnohem nižší, a tak stále můžeme vyhledávačům v tomto ohledu věřit. Dlouhodobě nejnebezpečnějšími tématy v hledání jsou lechtivé fotky nebo videa celebrit, podcenit ale nelze ani klasiku v podobě vyzvánění na mobily zdarma nebo hry či sady bezplatných animovaných smajlíků.

Online zneužití touhy po slavných celebritách, ať už ryze českých, nebo těch světových, není jen doménou vyhledávání, stačí vzpomenout na několik dalších technik. Nestárnoucí klasikou se v tomto ohledu staly lákavé nabídky fotek některých z nich, případně i utajovaná videa apod. Specialitkou jsou pak roboty automaticky šířené odkazy skrze instant messaging, kdy navíc dochází ke zneužití seznamu kontaktů jednotlivých uživatelů, a tak každý další příjemce může získat pocit, že zpráva pochází od dobrého známého. U nás, v Česku, naštěstí nejde o tak velký problém, nicméně v anglicky mluvicích zemích nemusí být tak těžké následovat podvodný odkaz „Watch this: www.bit.ly/abc :)”, který se tváří, že přišel od někoho ze seznamu kontaktů.

Uvedené zkracování URL prostřednictvím specializovaných služeb není použito náhodně, jedná se totiž o jednu z oblíbených praktik. Pokud by uživatel na první pohled viděl nějakou čínskou nebo japonskou doménu, nejspíš zbystří, nicméně takto je vše pěkně skryto. Jedná se o rafinovanější metodu než jen klasické skrývání odkazu za jiný text v HREF tagu, oblibě se ze strany útočníků těší v automatickém komentářovém spamu, maskování odkazů na Twitteru, Facebooku apod.

Hledání je jednou z nejčastějších akcí, které na webu provádíme. Jedná se o tak automatizovanou činnost, že často ani nesledujeme, jaký odkaz ve skutečnosti následujeme, kam vede. Univerzální obranou se tak do značné míry stává dobré rozmyšlení před finálním kliknutím, případně použití zdarma dostupných rozšíření prohlížečů pro hodnocení nalezených výsledků. Vějičky útočníků mohou být sebelepší, nicméně stále je pouze na nás, s jak velkým úspěchem se setkají. A proto jim to raději příliš neusnadňujme.

Zkracování odkazů patří mezi oblíbené pokusy útočníků, služba sama nebezpečná není

Stahujeme riziko sami

Jak již bylo zmíněno, drtivá většina kolující pošty stále spadá do kategorie nevyžádané, a tak jsou síťové dálnice nadále přehlcené zbytečným provozem tohoto typu. Více než každá devátá zpráva z deseti by měla mít spamový příznak, potají také doufáme, že právě náš filtr nevyžádané pošty zafunguje s maximální účinností. A pokud nemáme filtr vlastní, spoléháme se na výchozí filtry poštovního serveru, k němuž jsme připojeni. I když jde o blokování nevyžádané pošty a nikoliv omezení jejího šíření, filtry naštěstí tuto akci zvládnou velice dobře. Doufejme však, že nám to bude stačit i v případě narůstajícího trendu, prozatím se dlouhou dobu pohybujeme právě kolem devadesátiprocentní hranice.

Proč je vlastně kolem spamu tolik povyku? Jedním z důvodů je samozřejmě fakt, že nás může otravovat, nicméně hlavní problém je s jeho zneužitím v podobě přístupové cesty do milionů počítačů. Spam totiž nesmíme chápat jen jako otravnou reklamu, ale jako opravdu hromadně rozesílanou poštu, jež se stává prostředníkem pro šíření virů a balamutění uživatelů. V tomto je hlavní nebezpečí nevyžádané pošty především u začínajících uživatelů.

V posledních letech mají uživatelé Internetu stále větší zájem o online video nebo stahování hudby, a tak toho útočníci pořádně využívají. Jakmile je začínající uživatel omámen megabity rychlosti svého připojení, často hodí bezpečnostní zábrany stranou a velice rád například i vypne antivir, firewall, případně nainstaluje podivné rozšíření prohlížeče, jen aby podle instrukcí tvůrců podvodných stránek získal slibovaný trhák zdarma. A že se mu to nakonec nepodaří? Co na tom, jde hledat jiný zdroj. Mezitím už ale pomaličku číhá nově pozvaný malware v jeho počítači…

Za drtivou většinou úspěšných útoků a podvodů stojí uživatelská nepozornost, zbrklost, nevědomost, případně kombinace všech uvedených faktorů. Bezpečnostní software zvládne zatáhnout za onu pomyslnou záchrannou brzdu, nicméně zpravidla je hlavní tíha na bedrech a rozumu samotného uživatele. Ve firemní síti jim s trochou štěstí politiku nadiktuje tamní správce, ale doma si pak vše vynahradí surfováním s minimem bezpečnostních barikád. Bohužel.

Nesmrtelný Conficker

Ptali jste se někdy sami sebe, který škodlivý kód je vlastně v nedávné historii dlouhodobě nejúspěšnější? O mistrovský titul v této oblasti bojuje několik zástupců, respektive rodin malwaru, nicméně osobně bych sem zařadil Conficker. Rozmanitost zneužití Confickeru, resp. jeho záludných následků, vybočuje z řady běžných virů nebo jiných pokusů o útok.

Před koncem roku 2008 došlo k objevení a prvnímu zneužívání zranitelnosti Microsoftu, která mohla v operačních systémech Windows otevřít cestu pro vzdálené spuštění kódu a jíž se věnoval security bulletin s pořadovým označením MS08–067. Ačkoliv tak byla záplata k dispozici, v druhé polovině ledna dalšího roku se rychlostí blesku začal šířit škodlivý kód, který danou zranitelnost zneužíval.

Neblaze proslulým hlavním hrdinou malwarového thrilleru se stal červ Conficker (též známý jako Downadup), jenž během poměrně krátké doby nakazil více než deset milionů počítačů. Jedná se o jeden z příkladů, kdy za rozšíření mohou sami uživatelé nebo nezodpovědní správci, jelikož oprava se distribuovala pomocí automatických aktualizací ještě před největším rozmachem.

Zhruba po dobu tří týdnů, od prvního rozšíření v prosinci 2008 po polovinu ledna 2009, si Conficker vybudoval slušnou základnu pro případné další útoky. Původní prognózy se ale naplnily i dál, Confickeru a jeho různým variantám pravidelně každý měsíc patří některá z předních příček malwarových hitparád. Takřka po dvou letech je v různých mutacích stále velice aktivní (srovnejte s jiným škodlivým kódem), na počátku přitom byla ona „prkotina“ s nezáplatovanou zranitelností.

Čas již dostatečně prokázal, že právě botnety mohou být nejvíce problematické, a to kvůli popsané tiché hrozbě. Jejich tvůrci navíc nemusí usilovat pouze o rozesílání spamu nebo hromadné útoky, včele například s DDoS, ale nabízí se jim také možnost pronájmu takto systematicky vytvořených sítí – pokud chce někdo další rozeslat nevyžádanou poštu, případně odrovnat konkurenci odepřením služby, stáčí se veškeré otázky jen k ceně. Conficker již dva roky představuje nejrozšířenější hrozbu a můžeme směle odhadnout, že nás neopustí ani v roce 2011.

Domovské stránky pro stažení LOIC při boji za WikiLeaks

Ještě horké WikiLeaks

Jednou z důležitých kauz nedávné doby se stala válka na mnoha frontách kolem serveru WikiLeaks, kterému postupně odepřely služby Visa, MasterCard a například i PayPal. Odříznutí od peněz bylo ze strany zmíněných obhajováno porušením podmínek, nicméně v pozadí zůstává hořká pachuť dalšího nátlaku. WikiLeaks chvíli vypadalo jako projekt, který bude pohřben zaživa, avšak hned se ozvala řada serverů po celém světě s nabídkou hostování obrazu aktuální databáze citlivých informací.

Servery společností Visa, MasterCard a PayPal se pak ocitly pod palbou útočníků, kteří měli jediný cíl: zablokovat jmenované služby jako mstu za nekalé jednání proti WikiLeaks. K těmto útokům se přihlásila hackerská skupina Anonymous, jejíž (samozřejmě anonymní) členové uvedli, že se jedná o informační válku za to, aby byl internet nadále svobodný. Také proto celá akce získala označení Operation Payback, nikdo se nijak neskrýval s tím, že jde o skutečnou odplatu.

Organizovaný DDoS útok ukázal další možnou cestu, po které se lze vydat. Stačí „pouze“ najít uvěřitelnou a obhajitelnou teorii, tou si podložit útok a nalákat ovečky. Narychlo vytvořená skupina pak může s minimem nákladů a během pár chvil odstavit servery, do jejichž zabezpečení a chodu provozovatelé investovali nesrovnatelně větší sumy. DDoS útoky z botnetů, na jehož tvorbě se dobrovolně podílejí sami uživatelé, nepatří mezi každodenní rutinu. Kauza boje za WikiLeaks ale jasně ukázala, že mohou být úspěšné, v budoucnosti se terčem může stát kterýkoliv server, hlavní podmínkou je nadšení samotných uživatelů.

Našli jste v článku chybu?

21. 12. 2010 10:58

limit_false (neregistrovaný)

Anonymous turns attack drones against fax machines ;-)

http://www.theregister.co.uk/2010/12/14/anon_fax_ddos/

21. 12. 2010 7:44

Nevymýšlet Nick bývalo fajn (neregistrovaný)

Test na infekci "pohledem", od Joe Stewarta ze SecureWorks.

Conficker Eye Chart

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení