Závažná hrozba
Nulová šance
V poslední době se začínají objevovat stále nebezpečnější formy útoků. Víte, které z nich jsou ty nejnebezpečnější a jak se proti nim bránit?
Text: Pavel Baudiš, Alwil Software
V poslední době se několikrát objevil „0day attack“, využívající „0day vulnerabilitu“. O co se jedná a jak jsou takové události pro uživatele nebezpečné? „0day attack“ můžeme přeložit jako útok v nultém dni, což znamená, že je využita slabina nebo bezpečnostní díra v programu či operačním systému, která je buď zcela neznámá, nebo která byla právě v tento den odhalena. Existuje spousta lidí, kteří se vyhledáváním bezpečnostních problémů zabývají - není na tom nic špatného ani ilegálního. Důležité je však to, jak s takovým objevem naloží. Ve většině případů funguje při odhalení závažné bezpečnostní chyby jakási „solidarita“ člověka, který chybu najde, s autory programu. Je vhodné kontaktovat výrobce, chybu mu oznámit, pak počkat, až ji v některé příští verzi či prostřednictvím záplaty odstraní, a teprve dodatečně svůj nález oznámit veřejnosti -v tom okamžiku je již v naprosté většině případů k dispozici záplata s opravou chyby. Fakt je, že ani pak není vyhráno - jak jsme viděli například u řady červů (SQLSlammer, Blaster, Sasser), opravy často nejsou na straně uživatelů instalovány včas. Nicméně v tomto případě je už řešení k dispozici a je možno se proti útoku bránit.
Temná strana síly
Slabiny programů však nehledají jen lidé s čistými úmysly -někteří je hledají proto, že chtějí takový problém využít. Takoví lidé místo kontaktování výrobce vypustí škodlivý program, který tuto bezpečnostní díru používá pro své účely. V tomto případě se na existenci chyby přijde až při zkoumání úspěšného škodlivého programu, který dosud neznámou slabinu využívá a který byl náhodně zachycen či odhalen. V tomto okamžiku už však může útok probíhat po docela dlouhou dobu. Chyba je pak okamžitě známa i výrobci, nicméně až do vydání opravy nemají uživatelé k dispozici žádnou ochranu proti tomuto bezpečnostnímu problému. To je samozřejmě velice nepříjemné a výrobce softwaru je tlačen k tomu, aby opravu vydal co nejdříve. Vydávání záplat však není jednoduchý proces, protože hrozí zavlečení nových chyb, a tak zde proti sobě stojí dvě rozporuplné možnosti: rychlá oprava, avšak s možností nových problémů, a důkladněji otestovaná, ale s rizikem velkého počtu nechráněných počítačů uživatelů.
Obtížná obrana
Útok v nultém dni je noční můrou výrobců programů i bezpečnostních pracovníků mnoha firem. Incidenty z poslední doby naštěstí nezpůsobily ani jednu velikou epidemii a škody u zákazníků, nicméně katastrofické scénáře hovoří o tom, že s využitím dosud neznámé závažné chyby by útočník mohl napadnout obrovské množství počítačů ve velice krátkém čase. Jakákoli obrana je v takovém případě velmi problematická a přichází v úvahu až po zjištění problému a způsobu průniku. Problémem je i to, že proti těmto útokům nejsou příliš účinné antivirové programy, a dokonce ani firewally. Jedinou obranou je pak podle typu útoku například blokování určité služby, přístupu na port, posílání určitého typu souboru a podobně, a to až do chvíle, než je k dispozici skutečné odstranění problému -oprava programu. Tento způsob ochrany však může být v určitých případech velmi náročný a v krajním případě může mít i přímý dopad na uživatele (například vypnutí elektronické pošty). Velikým problémem může být i útok nultého dne namířený speciálně proti nějaké firmě - ta má pak opravdu malou šanci se proti němu úspěšně bránit, zejména pokud útočník využije znalosti prostředí, způsobu ochrany či firemních zvyklostí a standardů.
Staré rány...
Za poslední rok došlo k několika takovým případům, přičemž jejich četnost se v posledních měsících zvyšuje. Na přelomu roku 2005 a 2006 to byl široce medializovaný problém s metasoubory WMF (bezpečnostní problém v nich existoval už od Windows verze 3.1!). Firma Microsoft napřed odmítala uvolnit opravu dříve než ve „standardním“ termínu (druhé úterý v měsíci), nakonec však podlehla tlaku uživatelů a médií a záplatu publikovala mimo termín (devět dní po objevení chyby). V květnu se objevil útok na program Word, následovalo několik dalších na Excel (červen a červenec) a PowerPoint (červenec), ale třeba i na poštovního klienta služby Yahoo (červen). V současné době jsou všechny výše uvedené bezpečnostní problémy odstraněny, pokud byly instalovány poslední opravné záplaty. Nicméně nových, neznámých problémů se asi dočkáme brzy...
BEZPEČNOST NOVĚ
Určitě jste si všimli, že rubrika Bezpečnost dostává stále více prostoru. I proto jsme se rozhodli změnit její uspořádání a nabídnout vám více informací v přehlednějším „kabátu“. Nadále zde najdete články s informacemi o virech, spywaru nebo phishingu. Na okrajích stránek ale také nově naleznete stručné a přehledné informace o chybách v nejpoužívanějších programech, chybět nebude ani tip na jejich eliminaci. Prostor dostanou i mezery v operačních systémech, ovšem vzhledem k jejich velkému množství budeme u Windows upozorňovat pouze na ty nejnebezpečnější. Další zajímavou novinkou bude sekce s informacemi o novinkách v oblasti boje proti škůdcům. V ní vám nabídneme nejen vše o nových programech proti virům a spywaru, ale upozorníme vás i na nové internetové zdroje zabývající se toto tematikou.
BEZPEČNOSTNÍ TECHNIKA
Superfirewall made in Germany
Není vyloučeno, že i váš PC se stal pomocníkem hackerů. Ti nechráněné počítače zneužívají k útokům typu „Distributed Denial of Service“, při nichž tisíce takto zotročených počítačů přetíží napadený server. Provozovatelé internetových služeb až dosud neměli proti těmto útokům žádný prostředek. Nyní však vědci na univerzitě v Tübingenu vyvinuli firewallovou technologii nazvanou „Diadem“. Tato kombinace hardwaru a softwaru rozpozná v síti počítače, které náhle potřebují větší šířku pásma - a takto podezřelé PC odpojí od sítě. Aby bylo na internetu bezpečněji, muselo by tuto techniku nasadit co nejvíce provozovatelů. První krok už byl učiněn: Diadem nyní v praktickém testu zkouší France Télécom a polský Telekom. Tato technologie by mohla být zajímavá i pro samotné uživatele. Jen málokterý začátečník rozpozná napadení svého počítače, ale totální odpojení od internetu by neměl přehlédnout snad nikdo. Tato technika by mohla být zajímavým krokem vpřed v boji proti armádám zombií, které si hackeři až doposud shánějí s minimální námahou…
Info: www.diadem-firewall.org
ZRANITELNÉ PROGRAMY
Paypal
Phishingoví podvodníci se nyní z uživatelů služby PayPal (která je nyní dostupná i u nás) pokoušejí vymámit data pomocí domnělých „horkých linek“. Kdo sedne na lep takovému telefonickému phishingu, draze to zaplatí.
Řešení je snadné. Volejte pouze na ta čísla, která jsou uvedena přímo na webové stránce PayPal.
Info: www.paypal.com
Clam AntiVirus
Clam AntiVirus verze 0.88.3 a dřívější má problémy při zpracování speciálně upraveného komprimovaného UPX souboru. Při jeho zpracování může dojít k přetečení bufferu, které může mít za následek převzetí kontroly nad počítačem. Stane se tak například po zaslání e-mailu, který obsahuje takto zákeřně upravený soubor a který je chráněn zranitelnou aplikací.
Více informací najdete na adrese www.overflow.pl/adv/clamavupxheap.txt.
Flash Player 8
Prostřednictvím softwaru Adobe (dříve Macromedia) Flash Player 8 a s využitím zmanipulovaných SWF souborů si hackeři dokáží zjednat přístup do paměťových oblastí. Do nich pak mohou propašovat škodlivé programy a spouštět je. Řešením je bezpodmínečně aktualizovat na Flash Player 10. Novou verzi najdete na adrese www.adobe.com/shockwave/download/.
D-Link router
Sedm D-Link routerů se může stát otevřenými „vraty do stodoly“, pokud útočníci pomocí zmanipulovaného kódu využijí mezeru ve službě UPnP (Universal Plug and Play), aby tak vyvolali přetečení bufferu. Seznam postižených routerů najdete na http://secunia.com/advisories/21081/.
Řešením je aktualizace firmwaru, viz web výrobce (www.d-link.com).
PowerZip
Byla nalezena chyba v produktu PowerZip verze 7.06 Build 3895 (předešlé verze mohou být též postiženy). Zranitelnost se projeví při zpracování zip archivů, které obsahují soubory s příliš dlouhým jménem. V takovém případě dojde k přetečení zásobníku, což může vyústit v puštění cizího kódu na uživatelově počítači. Řešením je update na verzi 7.07, která je dostupná na www.powerzip.biz/download.aspx.
CA eTrust Antivirus WebScan
Antivir verze 1.1.0.1047 a nižší obsahuje tři zranitelnosti, které umožní vzdálenému útočníkovi spustit libovolný kód nebo získat privilegovaný přístup. Zranitelnosti se objevily při zpracování zastaralých komponent a kvůli nesprávnému ošetření uživatelských vstupů. Opravená verze 1.1.0.1048 je již k dispozici na stránkách výrobce (www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=34509).
McAfee SecurityCenter
McAfee SecurityCenter verze 6.0.22 a starší obsahuje chybu, která dovoluje vzdálenému útočníkovi vykonat na napadeném systému libovolný kód. Podmínkou zneužití zranitelnosti je spolupráce napadeného uživatele spočívající v kliknutí na zákeřnou URL.
Podrobné informace o zranitelnosti a aktualizaci naleznete na http://ts.mcafeehelp.com/faq3.asp?docid=407052.
Wireshark
V aplikaci Wireshark (dříve Ethereal), sloužící k analýze síťového provozu, bylo ve verzi 0.99.2 a nižší objeveno několik závažných zranitelností, které mohou být zneužity ke vzdálenému spuštění nepřátelského kódu, případně k útoku typu Denial of Service. Problémy nastanou při rozkladu protokolů DHCP, Q2391 a SCSI. Další problémy mohou nastat v případě zkompilování Wiresharku s podporou pro dešifrování protokolu IPsec. Více informací včetně možného workaroundu naleznete ne webu autorů www.wireshark.org/security/wnpa-sec-2006-02.html.
Univerzita hackerů
Společnost McAfee zorganizovala na konci srpna projekt s názvem Hacker's Univerzity. Jeho cílem bylo v praxi ukázat postupy hackerů a metody obrany proti nim.
S neměnnou pravidelností vám v Chipu nabízíme pohled na grafy se stoupajícími počty spywaru, spamu a phishingu. Podobně stoupající tendenci mají i grafy zobrazující počty internetových útoků. Další, ještě více znepokojivou statistikou je přehled „použití rootkitů“. Zatímco v roce 2002 byl rootkit termínem známým jen unixovým guru, loni se s ním veřejnost mohla setkat i v „komerční aplikaci“ - jen málokdo by zapomněl na rootkit od Sony, chránící nevybíravým způsobem zájmy firmy…
Hromadné útoky
Útoky, které mohou ohrozit váš počítač, lze zjednodušeně rozdělit na dvě kategorie. První jsou náhodné a příležitostné útoky, mířící na miliony počítačů a hledající nezazáplatované stroje a děravé servery. Typickým příkladem jsou mailoví červi, spyware ve spořičích obrazovky nebo zavirované přílohy spamů. Úspěšnost takovýchto útoků je velmi nízká - odhaduje se pod pět procent. Když si však uvědomíte, že cílem útoků jsou miliony počítačů, dostanou útoky hrozivější rozměr. Proti tomuto typu útoků je obrana relativně snadná - pravidelné záplatování, kvalitní obranný software (firewallem počínaje, process explorerem konče) a používání mozku: pokud často otvíráte „zajímavý dopis s přílohou“ od neznámé osoby, je jakýkoliv bezpečnostní software zbytečnou investicí.
Cíl zaměřen
Mnohem nebezpečnější jsou útoky cílené na vybraného jedince nebo firmu. Zde už nejde o střelbu naslepo. Cílem útoku je v tomto případě krádež citlivých dat a tomu odpovídají i použité metody. Nezřídka jsou v takovýchto případech využívány „armády zombie“ (ovládnutých počítačů), nebo dokonce „zero day exploity“. Poněkud překvapivou informací je velmi časté využívání „sociálního inženýrství“. Zdroje personálních informací (veřejně přístupná CV, blogy, osobní stránky) často obsahují takové detaily, že pro hackery není velkým problémem vydávat se za přátele/kolegy/příbuzné a získat velké množství dalších informací. Ať už jde o zahraniční servery typu MySpace.com, nebo o místní, jako např. „Lidé.cz“, vždy na nich najdete hromadu potenciálně zneužitelných informací.
Příležitosti se najdou
Představujete si hackera jako počítačového šílence, který uvažuje binárně, vyjadřuje se v C++ a žije v serverovně? Chyba lávky. Podobnou cestou se může dát i naprostý počítačový začátečník - úspěšný útok hrubou silou na freemailové servery využívající nejčastěji používaná hesla už tu několikrát byl. Wardriving (využívání bezdrátových sítí) také nevyžaduje IT doktorát - odhaduje se, že 50 % bezdrátových sítí nepoužívá šifrování a ty zbývající používají z 90 % pouze 40bitové šifrování. O tom, že ohrnovat nos nad dumpster divingem (prohledáváním odpadků) je zbytečné, jsme se také již několikrát mohli přesvědčit. Poslední velkou aférou byly na východních trzích prodávané „obnovené pevné disky“ z vojenských základen.
Poznávací znamení
Všimli jste si, co má většina útoků společného? Ve většině případů nejsou využívány chyby v programech (pochopitelně s výjimkou 0day útoků), ale chyby a neznalost lidí. Zneužity nebývají jen chybějící záplaty, ale především neznalí a důvěřiví uživatelé. V celé řadě případů bývá „krátké proškolení“ nebo alespoň „úvod do problematiky“ efektivnější než složitá konfigurace firewallu, instalace antiviru nebo antispywaru. Zkuste také popřemýšlet, jaké informace o sobě nabízíte komukoliv na internetu - možná budete nepříjemně překvapeni…
OPEN DNS
Lepší ochrana před spywarem & spol.
Stačí nepozornost v adresním řádku prohlížeče, třeba „yahoo.cmo“ místo „.com“, nebo nechtěné kliknutí - a už je PC infikován spywarem nebo ještě něčím horším. Tato technika je stará jako „internet“ sám - ovšem až donedávna bylo cílem těchto technik získat pozornost surfaře. Po překlepu se obvykle dostal na komerční web, který nabízel výhodný „nákup“. Tento tzv. Typo-Squatting se však nyní stává opravdovou pohromou: drobné překlepy vedou na webové stránky plné odkazů na nejrůznější malware. Podobným podrazům chce nyní učinit přítrž opensourcový projekt OpenDNS prostřednictvím automatické kontroly pravopisu. Než služba případnou „přesmyčku“ předá DNS serveru, předem ji porovná alespoň s nejpopulárnějšími požadavky na URL. Pokud odpovídající adresu nenajde ve vlastní databázi, předá ji dále na stránku s výsledky vyhledávání - které se obejdou bez odkazů na spyware a spol.
Info: www.opendns.org
CROSS SITE SCRIPTING
Nové nebezpečí internetového bankovnictví
Po poněkud neohrabaném phishingu teď hackeři ve snaze dostat se k vašim datům přecházejí na „vypilovanější“ metodu: je jí tzv. Cross Site Scripting (XSS). Tento trik, v ojedinělých případech používaný již dříve, se nyní stává posledním výkřikem internetového podfukářství. K cílům útoků patřily donedávna hlavně platební služba PayPal aukčního serveru eBay a internetový obchodní dům Amazon.com - tedy portály, u nichž by nikdo žádné bezpečnostní mezery nepředpokládal.
Při hledání bezpečnostních děr metodou XSS se hackeři soustředí na slabiny dynamicky vytvářených webových stránek. Právě takové jsou stránky, na nichž jejich návštěvníci zadávají své potenciálně zneužitelné údaje (hesla, uživatelská jména, TAN ap.). Svá data zde uživatel vkládá přes aplikace integrované do webové stránky - většinou JavaScripty nebo skripty ActiveX či CGI. Tyto programy se vyvolávají přímo přes URL a prostřednictvím webové adresy jsou jim předávány i parametry. V případě, že dynamická webová stránka nekontroluje, zda tyto parametry pocházejí z důvěryhodných zdrojů, objevil hacker kýženou mezeru.
Takový nedostatek využije hacker následovně: Nejprve zmanipuluje URL tak, aby chybný skript prováděl to, co si přeje hacker. Například zneužije CGI skript tak, aby do webové stránky propašoval vlastní data. Může to být frame s podvrženou URL, která vede na hackerovu vlastní stránku. Je-li mezera dostatečně velká, dala by se dokonce i do zabezpečeného prostředí https vpravit vstupní maska pro vyžádání dat. A kdo se pak pozastaví nad tím, že se například Amazon pídí po údajích z kreditní karty nebo bankovního účtu? Tato data pak cestují přímo do hackerovy náruče.
Hackerské napadení vypadá asi takto: Samotný útok je realizován klasickými metodami. Podvrženou URL rozšíří hacker „mezi lid“ jednoduše prostřednictvím e-mailu nebo ji v podobě odkazu zveřejní ve vhodných fórech.
A jak se lze bránit? Pokud se nechcete spolehnout na bezpečnostní opatření provozovatelů webových stránek, můžete proti Cross Site Scriptingu něco udělat sami: deaktivujte JavaScript (Active Scripting). Sice si pak možná už nebudete moci prohlédnout některé webové stránky v plném rozsahu, ale to je rozhodně lepší než „vybílený“ bankovní účet.
Info: www.cgisecurity.com
INVEX 2006
Antivirová konference opět bude!
S blížícím se termínem dalšího ročníku podzimního veletrhu ITC Invex 2006 jsme zde opět s pozvánkou na dnes už tradiční Antivirovou konferenci, kterou naše vydavatelství připravuje ve spolupráci s předními společnostmi v oboru počítačové bezpečnosti.
Na rozdíl od loňského roku, kdy jsme konferenci pořádali v konferenčním sále pavilonu E, se letos opět vracíme do výškové budovy BVV, místnosti 102. Vzhledem ke svému uspořádání je tato místnost přece jen pro akce tohoto typu vhodnější a nabízí více klidu jak přednášejícím, tak posluchačům.
V rámci dopoledního programu, který začíná v 9.30 hodin, opět vystoupí přední odborníci na antivirovou problematiku ze společností AEC, Alwil, Grisoft a Eset. Ve svých přednáškách se budou věnovat např. novým metodám boje proti spamu, chybám lidského faktoru (tedy vlastních uživatelů, které zvyšují bezpečnostní rizika, přehledu současných typů virů a úrovní jejich nebezpečnosti, slabým stránkám Windows a Office a dalším tématům, která jsou v dnešním světě počítačové bezpečnosti aktuální.
Konference je plánována jako dopolední, její ukončení předpokládáme ve 13.00 hodin, záleží však samozřejmě na intenzitě diskuzí a množstvích vašich dotazů. Každopádně nezapomeňte: středa 11. října, 9.30 hodin, výšková budova BVV, místnost 102. Jste srdečně zváni, účast na konferenci je zdarma a pro každého účastníka bude připraven malý dárek. Přijďte!
OPERAČNÍ SYSTÉMY A ZRANITELNOSTI
Windows, Internet Explorer
Pád prohlížeče při zpracování dlouhé URL
Na konci srpna vydal Microsoft opravu (do dneška dostupnou jen jako hotfix) nedávné kumulativní opravy Internet Exploreru, která po instalaci způsobovala nestabilitu prohlížeče při návštěvě webových stránek, jež používají HTTP 1.1 protokol a kompresi. Jedná se o chybu přetečení zásobníku, která je způsobena zpracováním příliš dlouhé URL (přes 500 bajtů) a která se projevuje pouze v prohlížeči Internet Explorer 6 SP1 na systémech Microsoft Windows XP SP1 a Windows 2000 SP4. V současné době je oprava dostupná přes stránky výrobce nebo přes službu Windows Update.
Windows 2000, XP
Kvůli chybné programové knihovně ve Windows mohou hackeři získat přístup do počítače, pokud pomocí zmanipulovaných hypertextových odkazů propašují škodlivý kód do dokumentů sady Office. Do redakční uzávěrky nebyla oprava bohužel dostupná. V případě pochybností neotvírejte žádné dokumenty Office.
Windows XP, Office
Společnost Microsoft vydala v srpnu devět kritických záplat pro operační systém Microsoft Windows a kancelářský balík Microsoft Office. Tyto záplaty souhrnně opravují množství chyb. Důležité jsou především tři z nich, které se týkají pouze Internet Exploreru. Podrobné informace včetně tabulky s odkazy pro stažení oprav naleznete na stránkách Microsoftu (www.microsoft.com/technet/security/bulletin/ms06-aug.mspx).
Solaris
Společnost Sun vydala dvě úzce související bezpečnostní oznámení, která informují o zranitelnostech systému Solaris v defaultně nastavené Role-Based Access Control (RBAC) konfiguraci asociované s File System Management profilem a dále o buffer overflow chybě v příkazu format(1M). Tyto chyby může zneužít lokální uživatel přiřazený k File System Management profilu k eskalaci práv a spustit jakýkoli příkaz s právy roota. Podrobnější informace a odkazy na příslušné opravy naleznete v původních oznámeních na webu Sunu.
Dokumenty ke stažení- Aktuality - Bezpečnost (504.38 kB) - Staženo 0x