Nejdůležitější události roku
Bezpečnost v roce 2006
Loňský rok byl z hlediska bezpečnosti v celé řadě oblastí přelomový. Je zbytečné zmiňovat, o kolik procent přibylo virů, spamu nebo spywaru - všeho bylo zkrátka o dost více než v předešlém roce.
Petr Kratochvíl
Útoky na naše konta
Slovo phishing bylo až donedávna pro většinu z nás jen vzdálenou internetovou hrozbou, která trápila Američany, případně Němce. V loňském roce se však phishing přesunul v kolonce hrozeb z oddělení „možná“ do sekce „existující“. Velké množství uživatelů totiž obdrželo na první pohled věrohodně vyhlížející mail od České spořitelny, který byl prvním reálným phishingovým útokem u nás. Tomu odpovídala i pozornost, kterou mu věnovala média. Ovšem zatímco všichni předpovídali odstartování vlny podobných incidentů, na internetu bylo „ticho po pěšině“. Proč?
Hlavním důvodem je (i přes velké nátlakové akce bank) relativně malý počet aktivních uživatelů internet bankingu. Ten používají především mladší (a v oblasti internetu zkušenější) uživatelé. Česká spořitelna pochopitelně nezveřejnila „následky“ phishingové akce, počet obětí však bude relativně malý. Ve srovnání s internetově „vyspělými“ zeměmi (např. USA), kde je počítač připojený k internetu běžnou denní potřebou, budou tedy i zisky útočníků u nás několikanásobně nižší. V budoucnu se určitě ještě pár pokusů objeví, masivního rozšíření útoků se však s největší pravděpodobností v blízké budoucnosti nedočkáme.
Problémová Windows Vista
V únoru loňského roku, kdy se rozvířila diskuse, zda Microsoft splní, či posune termín vydání Windows Vista, „přebilo“ veškeré poznámky tvrzení, že u vývoje systému Vista je prioritou kvalita, nikoliv rychlost (vývoje). Už v prosinci (kdy již byla dostupná finální verze) byl objeven problém v Client Server Run-Time subsystému, který se kromě Windows Vista dotýká i Windows XP a 2000. K dispozici je dokonce i ukázkový kód, který zranitelnost umí využít. Pro objektivitu je ovšem třeba dodat, že k provedení útoku je nutné mít na napadeném stroji účet (což částečně boří představy útoku z internetu). Ve spojení s problémem s virtualizačními technologiemi (Blue Pill: www.eweek.com/article2/0,1895,1983037,00.asp) tak dostává vize nejbezpečnějšího operačního systému nepříjemné trhliny.
Češi nejen proti virům
Z hlediska počtu firem „bojujících proti virům“ v přepočtu na jednoho uživatele patří naše republika určitě ke světové špičce. Potěšitelné je, že v loňském roce většina z těchto firem pochopila, že samotný antivir je v počítači k ničemu. Spojení s antispywarovým programem je jen dalším logickým krokem. Nejdále šel v této oblasti Grisoft, který uživatelům nabídl balík Internet Security. Ten v rámci komplexní ochrany nabízí nejen antivir a antispyware, ale i antispam a firewall. Pozitivní zprávou pro čtenáře Chipu určitě je, že většinu těchto nástrojů mají k dispozici zdarma...
Rootkity ve světle reflektorů
Tyto nejzákeřnější nástroje už mají na svém „hřbetě“ pěkných pár křížků, ale mediální pozornosti se jim dostalo až v roce 2006. Spouštěcím mechanismem byl určitě „rootkit od Sony“ objevený o rok dříve, ale teprve loni se začaly objevovat zprávy o používání podobných metod. A od „komerčních rootkitů“ byl jen krůček k počátku boje proti pravým nepřátelům - rootkitům ve službách hackerů.
Skutečným průlomem pak bylo uvolnění produktu RootkitRevealer od společnosti Sysinternals, který si nyní můžete zdarma stáhnout ze stránek Microsoftu (www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx). Ten totiž není jen obyčejným „detektorem rootkitů“, ale spíše utilitou pro vyhledávání skrývajících se nežádoucích aplikací. Jedinou jeho nevýhodou je potřeba určité míry zkušeností, které v případě nutnosti určí, zda je nalezená aplikace skutečnou hrozbou, či nikoliv. Ale i v tomto případě už existuje pomoc pro méně zkušené uživatele - stejně jako v případě „antispyware detektoru“ Hijack This lze i log z programu RootkitRevealer nahrát na web, kde vám určitě někdo poradí. Jako příklad lze uvést fórum na známém webu Viry.cz (www.viry.cz/forum).
Zpráva o bezpečnosti
Průzkum internetových hrozeb
Rok 2006 přinesl oživení malwaru - „nejlepším přítelem“ hackerů se staly botnety; v roce 2007 se dá očekávat nárůst ohrožení přes web, a to včetně těch hrozeb, které budou směřovat na webové stránky sociálního networkingu. Uživatelé se musí mít na pozoru.
Společnost Trend Micro zveřejnila svou zprávu o internetových hrozbách za rok 2006 a předpověď na rok 2007. Zpráva vychází z průzkumu uskutečněného a vyhodnoceného laboratořemi TrendLabs a vyplývá z ní, že i v roce 2006 hrál organizovaný zločin klíčovou roli při krádežích identity, průmyslové špionáži a vydírání. Mezi útočníky si značnou oblibu získaly botnety jako oblíbený prostředek pro provedení cílených útoků. V roce 2007 se očekává další nárůst počtu webových hrozeb - útoků, které využívají ke škodlivým aktivitám internet. Tyto útoky budou ve stále větší míře zaměřeny na stránky věnované sociálnímu networkingu.
P2P v ohrožení
Díky rostoucí rychlosti připojení k internetu stoupá oblíbenost stahování multimediálních souborů, populárních programů a dalších typů dat. Útočníci ve stále větší míře využívají stránek pro P2P sítě, na nichž ukrývají svůj malware. Nic netušící uživatelé si stahují škodlivé soubory, které často vedou ke spuštění hned několika infekcí v počítači najednou.
Hlavní motivací většiny útoků zůstávají peníze. Během roku 2006 se do popředí dostal obrázkový spam, který napomáhá růstu výroby nelegálních napodobenin značkových léků a obchodu s nimi. Při úsilí vydělat peníze na domácích i podnikových uživatelích navíc spojili své síly hackeři a skupiny vytvářející spyware a malware.
Konec virových epidemií
V roce 2006 prakticky vymizely velké virové epidemie a byly nahrazeny menšími cílenými nebo regionálními útoky. Cílený útok se zaměřuje na určitou skupinu lidí - jako je určitá společnost nebo skupina uživatelů. Regionální útoky si jsou podobné, zasahují však zemi nebo region s pečlivě zhotoveným malwarem, který využívá určitý typ události, jenž by mohl být pro danou cílovou skupinu významný. Epidemie jsou v této nové situaci značně odlišné - zasahují menší počet lidí a často kombinují více částí malwaru s cílem vytvořit smíšenou hrozbu. Trend Micro očekává, že tento trend bude pokračovat i v roce 2007 a později.
Amatéři končí, nastupují profesionálové
„Počítačový zločin přerůstá v organizovaný zločin, v němž už není místo pro jednotlivé útočníky,“ řekl Jamz Yaneza, výzkumný analytik zabývající se hrozbami. „Náš výzkum ukázal, jak se hrozby postupně mění z rychlých a rozsáhlých epidemií na propracované útoky zasahující velmi specifické skupiny uživatelů. Webové hrozby vyspívají a uživatelé by měli být ještě opatrnější ohledně toho, co stahují a instalují - smíšené hrozby jsou ve svých snahách o zcizení podnikových či osobních údajů a peněz mnohem lstivější než dříve.“
Jaký byl loňský rok?
Mezi významná zjištění uvedená ve zprávě 2006 Threat Report and 2007 Forecast společnosti Trend Micro patří:
Počet digitálních hrozeb se meziročně v průměru zvýšil zhruba o 163 procent.
Webové hrozby se od minulého prosince zvýšily o 15 procent a za rok 2006 dosahují téměř půl milionu hlášení.
Boj proti spywaru dosáhl, zdá se, svého vrcholu a z některého adwaru se v souvislosti se zneužíváním klikání pomalu stává malware.
Výrazně vzrostl i počet botů. Společnost Trend Micro zjistila od minulého prosince průměrný nárůst 15 procent, když se každý měsíc objevilo více než 140 000 botů.
Celou zprávu si můžete stáhnout z webových stránek www.trendmicro.com.
SPAMOVÝ ÚTOK
Trojský kůň v „updatu od Microsoftu“
Vydává se za bezpečnostní aktualizaci - a otevírá škůdcům dveře dokořán. Řeč je o e-mailovém červu Stration. C. V poslední době se šíří závratnou rychlostí a zvláště zákeřným způsobem: infikované e-maily obsahují domnělé administrátorské zprávy. Jako předmět se v nich objevuje „Mail Delivery System“ nebo „Mail Transaction Failed“, ve vlastním textu je obsažen „Mail Server Report“ s odkazem na zavirovaný e-mail odeslaný z účtu příjemce. V textu je dále uveden pokyn ke spuštění připojené „bezpečnostní aktualizace Windows“ a k restartování počítače. Kdo uposlechne, samozřejmě si namísto aktualizace nainstaluje Stration. C. Před útokem vás ochrání zvýšená bdělost: přílohou je Zip soubor - což je u aktualizací velmi neobvyklé.
Info: www.avira.com
Cross-Site scripting
Bezpečnostní mezery on-line obchodů
Objednáte si na internetu dárek, ale kromě účtu nedostanete nic. Pokud jste takovouto neradostnou adventní historku zažili, nenadávejte hned na obchodníka nebo na poštu. Není totiž vyloučeno, že jste se stali obětí hackerů.
Petr Kratochvíl
Útok může vypadat třeba takto: Zatímco v pohodlí domova on-line nakupujete nebo si objednáváte zájezd, útočník stačí údaje několika formulářů potřebných pro uskutečnění nákupu zmanipulovat tak, že server internetového obchodu považuje za zákazníka právě jeho. Lze si tak představit scénář, ve kterém hacker změní adresu příjemce a pak hojně nakupuje na váš účet - anebo si objedná (na váš účet) ubytování v hotelu.
To, že proti takovým falešným nákupům je většina webových stránek bezbranná, potvrzuje Tobias Kaufmann z firmy Mayflower. Tento podnik vyvinul pro programátory nástroj „Chorizo“, který jim pomáhá při odhalování slabých míst webových stránek - a najde je prakticky pokaždé. Nejde přitom zpravidla ani tak o špatné programování, ale, jak Kaufmann říká, „problémem je kreativita hackerů“. Z ní také pramení další nová metoda pro využívání mezer v prohlížečích nebo webových stránkách -Cross-Site Re-quest Forgery (CSRF). Funguje podobně jako známé Cross-Site Scripting (XSS). Připomeňme, že při XSS se prostřednictvím zmanipulované URL spustí v browseru podvržený kód, který do důvěryhodného prostředí například propašuje vstupní pole pro zadávání hesel. Cross-Site Request Forgery jde ještě o krok dál: při takovém napadení změní útočník přímo data webové aplikace - třeba objednávkového systému.
Web 2.0: Nebezpečí druhé generace internetu
Potenciální nebezpečí CSRF se zvětšuje se zaváděním Webu 2.0 a aplikací AJAX. Zde jsou skripty spouštěné původně na serveru často prováděny v prohlížeči. Problém spočívá ve faktu, že samotný server není schopen poznat, zda formulář, který obdržel od prohlížeče, je autentický, nebo podvržený. Každopádně si však každý uživatel může bezpečnostní úroveň sám zvyšovat - tak, že si nahrává všechny bezpečnostně relevantní aktualizace. A také tak, že je disciplinovaný a navštěvuje jen důvěryhodné stránky.
AVG FREE EDITION 7.1
Grisoft prodlužuje podporu
Grisoft ohlásil prodloužení podpory pro svůj produkt AVG Anti-Virus Free Edition ve verzi 7.1, která měla původně skončit 15. ledna. Důvodem je stále ještě vysoký počet uživatelů, kteří si dosud nestačili nahradit starší verzi AVG novou verzí 7.5. Využití bezplatné antivirové ochrany s AVG Free Edition 7.1 včetně možnosti konverze nyní potrvá až do 18. února 2007. Poté již bude podporována pouze nová verze tohoto antivirového freewaru.
RFID
Napadení rádiových kreditních karet
Otevírají dveře, vídáme je na některých typech zboží, najdete je i v některých „zaměstnaneckých kartách“ - a teď se RFID čipy objevují i v kreditních kartách. S povážlivými důsledky: uživatelská data uložená v čipech s technikou „Radio Frequency Identification“ se totiž dají snadno přečíst. Přinejmenším se to podařilo americkým vědcům na univerzitě v Massachusetts. Skupina informatiků si pro svůj pokus sestrojila jednoduchou čtečku karet a přezkoumala bezpečnost 20 různých kreditních karet - byly mezi nimi karty Visa, Mastercard a American Express. Ačkoliv banky prohlašují, že údaje na kartách jsou chráněny silným šifrováním, výzkumníkům se podařilo „kreknout“ beze zbytku všechny karty. Malou útěchou nám může být fakt, že na rozdíl od USA se u nás RFID kreditní karty ještě nepoužívají.
Info: http://prisms.cs.umass.edu
Operační systémy
NOVÁ BEZPEČNOSTNÍ RIZIKA
Windows 2000 + XP
Zvláště kritická chyba v XML Core Service může rozvrátit bezpečnostní pravidla Internet Exploreru - například načítání cookies. Zmanipulované XML soubory kromě toho zjednají útočníkovi v napadeném počítači administrátorská práva. Záplata nebyla v době uzávěrky k dispozici - doporučujeme sledovat nové aktualizace.
Info: www.microsoft.com
Internet Explorer 5 + 6
Objevil se další problém s ActiveX Control - bezpečnostní mezerou může při volání některých funkcí Internet Exploreru vniknout do systému škodlivý kód. Uživatel k tomu musí být naveden na zmanipulovanou webovou stránku. Ani v tomto případě nebyla do uzávěrky záplata k dispozici…
Info: www.microsoft.com
Lednové záplaty od Microsoftu
Microsoft zveřejnil na svých stránkách podpory seznam lednových záplat: www.microsoft.com/technet/security/bulletin/ms07-jan.mspx. Tři záplaty řeší kritické chyby umožňující vzdálené spuštění kódu v Excelu, Outlooku a Internet Exploreru. Jediná, pro nás pravděpodobně zbytečná záplata se týká MS Office s nainstalovanou kontrolou gramatiky brazilské portugalštiny…
ZRANITELNÉ PROGRAMY
Nové bezpečnostní mezery
Opera
Vzdálené spuštění kódu
Dvě nové zranitelnosti byly nalezeny v prohlížeči Opera verze dřívější než 9.10. První (viz www.opera.com/support/search/supsearch.dml?index=852) je ve zpracování obrázků (JPEG) a ve druhém případě (www.opera.com/support/search/supsearch.dml?index=851) jde o chybu v Javascriptu při předávání zákeřně upraveného objektu do „createSVGTransformFromMatrix()“. Zneužití těchto zranitelností může vést k pádu prohlížeče a vzdálenému spuštění kódu. Opravená verze 9.10 je již k dispozici na stránkách výrobce (www.opera.com/download).
Info: zprávy.actinet.cz
OpenOffice
Přetečení bufferu
Kancelářský balík OpenOffice verze 2.0.4 a dřívější a 1.1.5 a starší obsahuje několik závažných chyb, které v případě otevření zákeřně upraveného souboru umožní vzdálenému útočníkovi spustit na cílovém stroji libovolný kód. Jedná se o chyby v paměťové struktuře, vznikající při zpracování speciálně upravených souborů typu „EMF“ a „WMF“. Výrobce doporučuje upgrade na opravenou verzi 2.1.0. Podrobnosti viz oznámení na http://archives.neohapsis.com/archives/vulnwatch/2007-q1/0002.html.
Info: zprávy.actinet.cz
Prohlížeče PDF dokumentů
Vzdálené spuštění kódu
Na stránkách info-pull.com (http://info-pull.com) byla zveřejněna zranitelnostech v PDF prohlížecích Adobe Acrobat Reader 7.0 a starších a v xpdf 3.0.1, která může dovolit útočníkovi pomocí upraveného PDF dokumentu spustit kód v systému uživatele. V původním oznámení (http://projects.info-pull.com/moab/MOAB-06-01-2007.html) naleznete také proof of concept. Záplaty na tuto zranitelnost ještě nebyly zveřejněny.
Adobe Acrobat Reader plug-in
XSS a spuštění příkazu
Byly objeveny čtyři různé zranitelnosti v Adobe Acrobat Reader plug-inu verze 7.0.8 a dřívější. Jde o chyby, které vzniknou kvůli nedostatečnému ošetření parametrů zadávaných v URL. Tímto způsobem může útočník například spustit nejrůznější útoky na webové aplikace, např. Cross-site scripting, HTTP Request Splitting, Cross-Site Request Forgery apod. V případě plug-inu do Firefoxu je možné teoreticky spustit i libovolný kód a v případě Internet Exploreru je možné provést útok typu Denial of Service. Více informací se dozvíte na adrese www.wisec.it/vulns.php?page=9.
Info: zprávy.actinet.cz
Mozilla
Nové zranitelnosti
Produkty ze stáje Mozilla Foundations jsou ohroženy několika novými zranitelnostmi. Ohroženy jsou Mozilla Firefox dřívější než 2.0.0.1 a 1.5.0.9, Mozilla Thunderbird verze dřívější než 1.5.0.9 a Mozilla SeaMonkey verze dřívější než 1.0.7. Celkem se jedná o devět různých zranitelností (více na www.mozilla.org/security/announce), které mohou umožnit útočníkovi převzít kontrolu nad cílovým systémem nebo obejít bezpečnostní nastavení.
Info: zprávy.actinet.cz ´
AOL ICQ 5.1
V ActiveX Control populárního instant messengeru ICQ je slabé místo, přes něž může útočník prostřednictvím zmanipulovaného „avatara“ propašovat do systému škodlivý kód a spustit jej. Záplata už existuje a nahraje se automaticky po aktivaci ICQ.
Info: www.icq.com
Info: zprávy.actinet.cz
Mozilla Firefox 1. X
Kritickou slabinu odhalil bezpečnostní portál Secunia i v oblíbeném opensourcovém prohlížeči Firefox. Dají se tak deaktivovat bezpečnostní nastavení a realizovat útoky typu Cross-Site Scripting.
Řešením je upgrade na Firefox 1.5.0.8 nebo 2.0.
Info: www.mozilla.com
Virová ročenka Panda Software
Zákeřní vtipálci
Společnost Panda Software připravila virovou ročenku, informující o škodlivých kódech, které nemusely být vždy nástrojem šíření virových epidemí, ale určitým způsobem vyčnívaly z řady.
Nejvíce moralizující.
Takto by mohl být označený spyware Zcodec, který mimo jiné monitoruje, zda uživatelé surfují na webové stránky s pornografickým obsahem. Možná, aby tyto informace mohl využít pro zasílání cílené reklamy. Je ovšem také možné, že autor spywaru má jiné cíle...
Nejhorší uchazeč o práci.
Červ Eliles. A rozesílá CV na všechny možné kontakty. Dokonce i na mobilní čísla uživatelů, která najde v PC. Jakoby si nebyl jistý vlastním zaměřením...
Nejvíce senzacechtivý.
Ohromující titulky téměř vždy znamenají úspěch, a pravděpodobně proto je nyní využívají i viry. Nejvíce vynikl Nuwar. A, který takto informoval o vyhlášení třetí světové války.
Nejtvrdošíjnější.
Říká se, že všechno někdy skončí. Škoda, že toto rčení neslyšeli tvůrci červa Spamta. Možná by přestali rozesílat jednu vlnu za druhou téměř identických variant tohoto škodlivého kódu.
Nejsoutěživější.
Poté, co se spyware Popuper nainstaluje do počítače, spustí pirátskou verzi známého antivirového programu. Ovšem pro uživatele to žádnou výhodou není. Popuper se jen takto snaží eliminovat z PC potencionální soupeře.
Nejusilovnější.
Phishingové emaily se snaží shromažďovat důvěrné informace, jako například čísla kreditních karet nebo přístupové údaje k účtům, za účelem krádeže peněz. Toto tvrzení však neplatí pro BarcPhish. HTML, který jde mnohem dále. Sbírá totiž vše, co mu „přijde pod ruku“: jména, CVV (Card Verification Value), kódy, emaily... Tvůrce si určitě říkal: radši více, než méně...
Největší špicl.
V tomto případě nebyla volba těžká. WebMic. A je škodlivý kód, který dokáže zaznamenávat zvuky pomocí mikrofonu a obrázky z web kamery připojené k počítači. Tohoto nezvaného hosta byste asi měli ve svém PC neradi...
Nejzlomyslnější.
Nedro. B je červ, který se po infikování počítače jaksi začne nudit. Asi proto začne měnit ikony, brání v přístupu k programům, skrývá přípony, maže volby v nabídce Start - zkrátka způsobuje chaos. Autorům to možná připadá vtipné, uživatelům však určitě ne.
Nejcudnější.
Škodlivé kódy, které se šíří přes P2P sítě, používají lákavé názvy souborů, aby si je uživatelé dobrovolně stáhli do počítače. Naprostá většina tak má erotický, nebo přímo pornografický kontext. Ale mezi 37 000 různými názvy, které používá FormShared. A, nenajdete žádný s odkazem na sex. To je určitě rekord...
Nejvíce archaický.
Očividně stále existují tvůrci „retro virů“. Ať už červa DarkFloppy. A vytvořil kdokoliv, určitě neslyšel o emailech nebo P2P sítích, protože jako způsob šíření zvolil diskety. Zde tedy není moc velká šance způsobit epidemii, že?
Nejvíce promiskuitní.
Tento titul patří škodlivému kódu Gatt. A, protože dokáže infikovat různé platformy: Windows, Linux, atd.
Nejzákeřnější.
SafetyBar se tváří, že nabízí informace o bezpečnosti, včetně stáhnutí antispyware programu. Jakmile však tento program stáhnete, začne vás varovat před neexistujícími hrozbami.
Některé z těchto hrozeb se mohou zdát zajímavé nebo zábavné, ovšem pouze do chvíle, než se objeví na vašem počítači. Základem ochrany před podobnými škodlivými kódy by měl být i pravidelně aktualizovaný antivir. Pokud na váš „stroj“ i přesto pronikne škůdce, zkuste pro radu navštívit Panda encyklopedii škodlivých kódů na adrese www.pandasoftware.com/virus_info/encyclopedia.
NOVÝ PROJEKT
The Month of Apple Bugs
Po měsících hledání chyb v prohlížečích a jádrech operačních systémů se rozjel i projekt, který si klade za cíl nalézt denně jednu chybu v softwaru společnosti Apple. Projekt (http://projects.info-pull.com/moab) odstartoval 1. 1. 2007 a hned odhalil závažnou zranitelnost v multimediálním přehrávači Apple Quicktime verze 7.1.3 a dřívější. Zranitelnost typu přetečení zásobníku nastane při zpracování speciálně upravené URL. Více podrobností o zranitelnosti včetně ukázkového exploitu naleznete na adrese http://projects.infopull.com/moab/MOAB-01-01-2007.html.
Info: zprávy.actinet.cz
Země podle produkce spamu v roce 2006
Zbytek světa 29,8%
USA 21,6%
Německo 3,0%
Čína 13,4%
Itálie 4,3%
Jižní Korea 6,3%
Brazílie 4,7%
Polsko 4,8%
Francie 6,3%
Španělsko 5,8%
Zdroje spamu: Reklamní balast pochází především z USA a z Číny.
Rozšíření virů
Potěšitelný trend: Virů ve spamových mailech ubývá.
Cíle Phishingu
Zdroj: Phishtank.com, počty za měsíc říjen 2006
OBĚŤ POČET ÚTOKŮ
1 PayPal 1493
2 eBay, Inc. 1210
3 Barclays Bank PLC 321
4 Fifth Third Bank 203
5 Volksbank a Raiffeisenbank 191
- Aktuality - Bezpečnost (572 kB) - Staženo 0x