Microsoft: Síť zombie rozvrácena
Díky právnickému triku se Microsoftu podařilo paralyzovat jednu z největších sítí botů na světě. Síť zvaná Waledac sestávala z několika set tisíc zombie počítačů, které byly dálkově řízeny z hackerské centrály. Software pro vzdálený přístup nahrávali útočníci do napadených počítačů prostřednictvím trojských koní nebo využitím bezpečnostních mezer. Síť Waledac byla jednou z deseti největších světových sítí botů; denně přes zotročené počítače běželo více než 1,5 miliardy spamových mailů. Poněvadž je výstavba takové gigasítě botů velmi náročná, chrání ji hackeři velice důkladně proti přístupu ze strany orgánů činných v trestním řízení. Nyní se Microsoftu přesto podařil průlom: na základě dočasného opatření nechal podnik vypnout všechny ". com" adresy řídicích serverů sítí botů. Tím útočníci ztratili kontakt se svými zombie PC. Přesto by měl každý zkontrolovat svůj PC aktuálním virovým skenerem, neboť spammeři mezitím tento výpadek kompenzovali jinými sítěmi.
INFO: www.microsoft.com
Zdroje útoků: Spam z Afriky?
Podle analýzy společnosti Symantec se těžiště nelegálních aktivit přesouvá do rozvojových zemí. Podle dostupných zdrojů jsou nepochybné známky toho, že nebezpečná činnost se nyní zabydluje v zemích s nově vznikající širokopásmovou infrastrukturou, jako jsou Brazílie, Indie, Vietnam nebo Rusko. V roce 2009 se tyto země posunuly vzhůru v hodnoceních zemí jako zdroje a cíle nebezpečné činnosti, za níž stojí počítačoví zloději. Zjištění ze zprávy nasvědčují, že v důsledku přísných opatření vlád v rozvinutých zemích začali počítačoví zloději provádět své útoky z rozvojového světa, kde je menší pravděpodobnost, že budou trestně stíháni. Naopak ubylo aktivit z Číny, která nedávno zpřísnila opatření proti hackerům (viz Chip 5/2010).
INFO: www.symantec.cz
K VZTEKU: SKORO KAŽDÝ MAIL JE SPAM
Z každodenních zhruba 130 miliard mailů je téměř 90 % reklamní balast. Podle expertů toto procento v příštích letech dokonce ještě vzroste.
MILIONY VIRŮ DENNĚ
Začátkem roku 2008 museli výrobci antivirových prostředků čelit "jenom" 7 mil. virů – dnes jich je 33 milionů.
leden 08 7 000 000
červen 08 10 000 000
prosinec 08 16 000 000
duben 09 20 000 000
srpen 09 27 000 000
prosinec 09 33 000 000
PŘEDPOVĚĎ NEBEZPEČÍ STŘEDNÍ RIZIKO
Spammeři momentálně lákají své oběti na domnělé vstupenky na mistrovství světa v kopané.
Digitální tajemství kopírek
Kopírovací zařízení, v současnosti nemyslitelná součást každé kanceláře, mohou "uskladnit" až tisíce dokumentů, se kterými přišla do styku.
Tato skutečnost otvírá příležitost ke zneužití citlivých informací dalšími uživateli zařízení, například při prodeji kopírky jiné firmě. Téměř každé podobné zařízení vyrobené po roce 2002 (určené pro kancelářské a firemní použití) totiž obsahuje pevný disk, na který se ukládají "záznamy" každého dokumentu – ať už skenovaného, nebo kopírovaného. Společnost Digital Copier Security (DSC) se už delší čas snaží firmy prodávající použité kopírky před tímto problémem varovat, zatím však neúspěšně. Dokonce vyvinula software, který dokáže tato citlivá data z disku kompletně vymazat. Pro demonstraci vážnosti tohoto problému vybrala firma DSC jeden z dvaceti pěti skladů v New Jersey, ve kterém se nacházelo přibližně 6 000 kopírek připravených na další prodej. Pomocí volně dostupného softwaru pak firma DCS už za 30 minut stahovala data z jednotlivých přístrojů. To, že se na kopírovacím skle některých přístrojů nacházely i originální dokumenty, lze ještě pochopit, obsah disků v kopírkách byl ale šokující: od zápisů o spáchaných trestných činech či seznamu vyšetřovaných drogových dealerů přes čísla ID a pojistek až po plány budov blízko Ground Zero na Manhattanu a kopie šeků. To vše našli pracovníci Digital Copier Security v kopírovacích zařízeních připravených k dalšímu prodeji. Podrobnější informace o této kauze najdete na webu portálu CBS News (www.cbsnews.com/stories/2010/04/19/eveningnews/main6412439.shtml). A jak jsou na tom vaše kopírovací zařízení? Budete je před prodejem "lustrovat"?
INFO: zprávy.actinet.cz
Foto: Tajemství: V digitálních kopírkách můžete narazit na staré dokumenty, které původní majitelé nesmazali...
Nástroje pro útoky: Hacking pro každého
V loňském roce se na trhu s malwarovými nástroji stále častěji objevovaly nástroje pro provádění hackerských útoků. Téměř kdokoli může zakoupit sadu on-line a začít ji používat k provádění důmyslných útoků. Výhodou těchto nástrojů je také jejich snadné použití. Podle Symantecu patří mezi nejčastěji používané sady nástrojů Zeus. Mezi další důmyslné nástroje patří i sady Spyeye a Fragus. Zajímavé je, že mezi sadami existuje i konkurence. Některé sady mají funkce pro vypnutí nebo zachytávání komunikace dalších sad, které již počítač napadly.
A k čemu lze takové nástroje využít? Například sada Zeus umožňuje přizpůsobit binární soubor malwaru a vytvoření velkého množství variant. V roce 2009 společnost Symantec například vysledovala 90 000 různých binárních souborů vytvořených pomocí sady Zeus. Toto číslo naznačuje, že u bezpečnostních nástrojů je důležitá i integrace zabezpečení založeného na hodnocení.
INFO: www.symantec.cz
Adobe: Stahování virů
Hackeři zneužili Download-Manager (DLM) od Adobe k rozesílání škodlivých programů. Využívají k tomu zmanipulovanou webovou stránku spouštějící na napadeném počítači DLM plug-in, který pak přijímá malwarové pakety. Normálně by DLM plug-iny po updatu od Adobe měly automaticky z počítače zmizet. To se však děje teprve v aktuální verzi, která je na stránkách Adobe k dispozici
INFO: adobe.com
3,8
miliardy eur je podle Symantecu hodnota kreditních karet, které jsou ilegálně nabízeny na webu.
Microsoft IE: Mezera pro všechny
Pomocí zmanipulované webové stránky mohou hackeři uživatelům Internet Exploreru nahrát do počítače škodlivý kód. Postiženy jsou verze 6 a 7 IE pro Windows XP SP3 a Vista SP2. Pro tuto mezeru se nyní dokonce objevil volně použitelný program (www.metasploit.com). S ním mohou preparovat webové stránky virem dokonce i začátečníci v IT. Microsoft už pracuje na záplatě.
INFO: microsoft.com
Hackeři manipulují mobily ve výrobě
Nové případy dokazují, že útočníci nahrávají do mobilů viry a jiné škůdce ještě dříve, než se telefony dostanou k zákazníkům.
Zbrusu nový mobilní telefon značky HTC byl nakažen virem už z výroby. Model HTC Magic byl distribuován prostřednictvím společnosti Vodafone Španělsko a naštěstí se jako první dostal do rukou odborníka antivirové firmy Panda Security. Ten ve svém novém mobilu odhalil bot Mariposa, který byl nainstalován na zároveň dodané paměťové kartě. Po důkladném testu objevil specialista firmy Panda v přístroji od HTC kromě botu Mariposa také ještě červa Conficker a trojského koně kradoucího hesla. Souborový systém mobilu s Androidem však zmanipulován nebyl. Mariposa se spustila při zapnutí přístroje automaticky a vytvořila datové vedení k jiným počítačům v místní síti, aby je infikovala vlastní záškodnickou rutinou. Navíc se škůdce pokusil navázat kontakt s Command & Control serverem, přes který měl dostávat další příkazy. Máme-li věřit Vodafonu, virus se do mobilu nedostal ve výrobním závodě, ale byl dodatečně zkopírován na paměťovou kartu. K tomu by hackeři museli nejprve šikovně odlepit pečeť na obalu přístroje a na kartu nahrát virus. Potom by museli mobil opět zabalit do originálního kartonu a nalepit pečeť. Ve kterém momentě mezi výrobou a dodávkou se to mohlo stát, zatím není známo.
Ochrana proti hackerům: Kontrolovat pečeť
Při koupi nového přístroje proto zvláště pečlivě pátrejte po neobvyklostech na obalové pečeti. Zdá-li se vám podezřelá, požadujte jiný přístroj. Při nákupu přes eBay & Co. byste vždy měli po prvním spuštění provést hardwarový reset a pak nahrát čerstvý firmware. Kromě toho byste měli paměťové karty zkontrolovat antivirovým nástrojem.
INFO: pandasecurity.com
Statistiky firmy Eset
Win32/Agent krade data
Data získaná ze statistik ESET ThreatSense.Net za duben 2010 vykazují nárůst napadených počítačů škodlivým kódem Win32/Agent. Početná malwarová rodina se schopností vykrádat citlivá data z infikovaného počítače se v dubnu dostala do první trojky nejrozšířenějších počítačových infiltrací. Česko v dubnu ovládl adware Win32/Adware.Softomate. Tento škodlivý kód nepředstavuje vysoké riziko, ale znepříjemňuje práci například nevyžádaným otevíráním reklamních oken. Z první trojice nejrozšířenějších hrozeb naopak po dlouhých měsících vypadla směs trojských koní, vykrádajících data z on-line her Win32/PSW. OnLineGames. Nejrozšířenějšími hrozbami i nadále zůstávají Win32/ Conficker (9,47 %) a INF/Autorun (7,98 %). Zajímavostí je, že i když Conficker tradičně dosahoval velkého výskytu ve východní Evropě (v létě 2009 to na Ukrajině a v Rusku bylo skoro 30 %), momentálně je nejvíce rozšířený v západní a severní Evropě. V Česku výskyt Confickeru oproti březnu vzrostl o 1,62 % na 6,44 %, a i proto byl tento červ v dubnu druhým nejčastěji šířeným malwarem u nás.
INFO: www.eset.cz
Microsoft a bezpečnost
Microsoft představil nové bezpečnostní produkty, které firmám umožňují větší zabezpečení dat v rámci firemní komunikace. Nové produkty Forefront Protection 2010 pro platformu Microsoft Office SharePoint Server 2010 a Active Directory Federation Services 2.0 (AD FS 2.0) pro Windows Server zajišťují bezpečnou podnikovou spolupráci odkudkoliv a v kterémkoliv čase. Forefront Protection 2010 pro SharePoint poskytuje antivirovou ochranu a zároveň zabraňuje uživatelům nahrávat nebo stahovat infikované dokumenty, prohlížet nevhodný obsah na internetu či citlivé informace. Pro zjednodušení správy obsahuje Forefront Protection 2010 pro SharePoint vestavěnou konzoli pro správu, předdefinované náhledy při prohledávání škodlivých souborů a virů v reálném čase.
INFO: www.microsoft.cz
Zdroje spamu
Souboje sítí botů
Společnost Symantec se ve své dubnové zprávě 2010 MessageLabs Intelligence Report podrobně zabývá spamem rozesílaným jednotlivými sítěmi botů. Analýza odhaluje, že robotická síť Rustock předstihla svou konkurenci (především v podobě sítě Cutwail) a stala se největší robotickou sítí, a to jak podle objemu odeslané nevyžádané pošty, tak i podle množství aktivních botů, které ovládá. Nejprve u ní sice došlo k omezení výstupu jednotlivých botů o 65 %, ale počet aktivních botů v síti se zvýšil o 300 % – i kvůli tomu je síť odpovědná za 32,8 % veškeré nevyžádané pošty šířené na internetu.
Druhá v pořadí síť Cutwail se zmenšila ze 2 milionu botů (v květnu 2009) na "pouhých" 600 000 botů a nyní odpovídá jen za 4 % veškeré nevyžádané pošty. "Robotickou síť Cutwail zasáhlo ukončení činnosti poskytovatele služeb internetu Real Host v srpnu 2009. Síť pravděpodobně ztratila schopnost aktualizovat některé své boty, a to způsobilo značné snížení jejich počtu bez možnosti náhrady," řekl Paul Wood, MessageLabs Intelligence Senior Analyst.
Druhou a třetí největší robotickou sítí jsou subjekty Grum a Mega-D, které odpovídají za 23,9 %, respektive 17,7 % nevyžádané pošty. Robotická síť Mega-D přežila několik pokusů o ukončení činnosti poskytovatelů služeb internetu, a má proto méně botů než Rustock a Grum, ale je to "nejpracovitější síť", která dokáže přimět každý ze svých 240 000 aktivních botů k odeslání přibližně 430 nevyžádaných zpráv za minutu. Konkurenční síť Grum se v posledních pěti měsících vyhnula výkyvům a každý bot průměrně odesílal mezi 145 a 150 nevyžádanými e-maily za minutu. Síť ale nedávno zvýšila počet ovládaných botů ze 700 000 na 1 milion, takže se z ní stala druhá největší robotická síť.
INFO: www.symantec.com
Foto: Botnety: V loňském roce síť Zeus rostlla...
Microsoft Security Report
Domácí útočníci
Podle statistik Microsoftu se internetový zločin České republice nevyhýbá, a to jak na straně obětí, tak na straně útočníků. Z pohledu ochrany osobních počítačů jsou na tom čeští uživatelé ve srovnání se světem relativně dobře. Na každých tisíc kontrol počítačů nástrojem Malicious Software Removal Tool připadá v Česku 4,1 napadeného počítače, v celosvětovém průměru je napadených sedm z každého tisíce kontrolovaných počítačů. Ve srovnání s vyspělými zeměmi, však úroveň zabezpečení počítačů pokulhává. Česko a jeho národní doména .cz se v analýze Microsoftu na seznamech zdrojů rizik vyskytovala také. Odkazy na škodlivý software obsahuje přibližně půl procenta všech webových serverů v České republice. Tyto odkazy se na servery dostávají například prostřednictvím výměnné reklamy. Z Česka do světa míří ale také nevyžádaná pošta. Spamy odeslané z českých serverů tvoří více než procento veškeré nevyžádané pošty na světě.
INFO: www.microsoft.cz
Bezpečnostní problém
Zranitelnost HP Insight Control
V aplikaci HP Insight Control (konkrétně ve verzích předcházejících 6.0) byla nalezena chyba, která může být zneužita k vyvolání útoku typu cross-site scripting. Útočníkovi umožňuje k napadeném systému použít libovolný HTML a script kód. Více informací o problému naleznete na webu www.hp.com. Řešením je update na verzi 6.0 a novější.
INFO: zpravy.actinet.cz
Vzdálená správa
ESET Remote Administrator 4
ESET uvolnil finální verzi ESET Remote Administrator 4 pro produkty ESET NOD32 Antivirus Business Edition, ESET Smart Security Business Edition a další bezpečnostní řešení ESET určená pro firemní prostředí. Majitelé dosavadní verze ESET Remote Administrator mají nárok na upgrade zdarma, a to jednoduchým stažením nejnovějšího produktu z webové stránky a následnou instalací. "V produktu jsme udělali klíčové změny v některých oblastech tak, aby se zjednodušilo jeho ovládání v prostředí středních a velkých podniků," říká Richard Marko, ředitel pro technologie společnosti ESET. Mezi hlavní vlastnosti a charakteristiky ESET Remote Administratoru 4 patří:
Inteligentní Group manager – nové parametrické skupiny umožňují dynamický update skupin klientů splňujících zadaná kritéria. Jsou podporované v rámci filtrů, reportů, notifikací a pravidel jednotlivých politik. Rozšířená synchronizace s Active Directory ulehčuje nasazení ESET byznys řešení do velkých firemních sítí s komplexní hierarchickou strukturou.
Inovovaný Policy manager – nový intuitivní průvodce ulehčuje mapování politik ke skupinám. Možnost importování a exportování jednotlivých politik odstraňuje potřebu zálohování či duplikování pravidel pro pobočky.
INFO: www.eset.cz/esetremoteadministrator-4
Systém šifrování hovorů
Potřebujete bezpečně telefonovat s obchodním partnerem či klientem? Obáváte se, aby někdo nepovolaný neodposlouchával váš telefonní hovor?
Na trh vstupuje nový systém šifrování hovorů, speciální čip, umístěný na micro SD kartě, kterou lze použít do běžně dostupných mobilních telefonů. Nejedná se však o softwarové řešení, u kterého není možné vyloučit tzv. "backdoors", tedy skrytý přístup třetích osob do softwaru. Nový systém s názvem Secuvoice proto představuje hardwarové, velmi bezpečné řešení. Po zakoupení a instalaci karty se do systému nedostane nikdo jiný kromě jejího držitele. O maximální bezpečnosti hovoří i fakt, že vlastník karty je jediný, kdo zná PIN a PUK, a ani výrobce nedisponuje náhradním řešením.
"Jedná se o první naprosto bezpečné komerční zabezpečení telefonu proti odposlechům, používající hardwarové kryptování, které dosud využívá například německá vláda či zpravodajské služby," přibližuje princip produktu Zdeněk Procházka ze společnosti Special Service International (SSI), která dodává tento systém na tuzemský trh. Uživatelsky je navíc používání karty pro bezpečné volání velmi jednoduché. Karta Secuvoice se spojí se softwarem telefonu, uživatel si vybere osobu, s níž chce šifrovaně telefonovat, a jedním stisknutím tlačítka na svém mobilu aktivuje bezpečnostní režim Secuvoice.
Pro efektivní šifrovací hovor však musí mít kartu Secuvoice oba účastníci telefonického rozhovoru a v ideálním případě systémem prověřený telefon Nokia řady E nebo N. Karta je k nerozeznání od běžně dostupných paměťových micro SD karet, takže manipulace s ní nikterak nevzbuzuje pozornost okolí. Využití karty je navíc rozšířené o 4 GB paměti, kterou mohou uživatelé využít pro přenos či uchování dat.
"Našimi klienty jsou převážně velké, často nadnárodní společnosti, které náš produkt používají při komunikaci obsahující citlivé obchodní informace a chrání se tak před možnou průmyslovou špionáží," hodnotí klientelu Zdeněk Procházka ze společnosti SSI. "Zájem o kartu Secuvoice však také projevily některé politické strany a státní správa," dodává.
Klienti, kteří mají zájem o produkt, však musejí vyhovět internímu etickému kodexu společnosti SSI, aby systém nemohl být zneužit pro nekalé obchodní praktiky či přímo trestnou činnost. Special Service International po dodržení podmínek garantuje klientovi maximální diskrétnost.
Odposlouchávání mobilních telefonů je přitom v dnešní době bohužel velmi snadné. Do mobilu sledovaného účastníka hovoru přijde například aktivační SMS, kterou volající ani nemusí postřehnout, a důvěrný telefonický hovor je přesměrován k odposlechu jiným subjektům. Společnost SSI představí odborné veřejnosti revoluční systém Secuvoice v rámci Konference bezpečnostního managementu v Praze, společnost SSI však produkt nabízí zájemcům již nyní.
INFO: www.ssi.cz
NOVÁ BEZPEČNOSTNÍ RIZIKA
GOOGLE PICASA
Stačí zmanipulovaný JPEG obrázek, a přes obrazový editor Googlu Picasa lze do počítače propašovat škodlivý software. Útočníci k tomu využívají "integer overflow" v souboru "PicasaPhotoViewer.exe".
ŘEŠENÍ Google rychle zareagoval a už nabízí záplatu. Verze 3.6 Build 105.41 je bezpečná.
Info: picasaweb.google.com
MOZILLA THUNDERBIRD
Hned několik slabých míst v poštovním programu Thunderbird mohou útočníci využít k získání kontroly nad napadeným počítačem.
ŘEŠENÍ Mozilla ve verzi Thunderbirdu 3.0.2 uzavřela několik kritických mezer a z bezpečnostních důvodů deaktivovala DNS prefetching.
Info: www.mozillamessaging.com
TWITTER
Aby se při 160znakových krátkých zprávách daly používat i dlouhé URL, o to se starají tzv. zkracovače URL – pak už ovšem není rozeznatelný cíl URL. Toho hojně zneužívají hackeři ke svým nekalým rejdům.
ŘEŠENÍ Mezitím služba pro krátké zprávy zareagovala a nyní automaticky kontroluje každou URL. Dodatečnou ochranu poskytuje doplněk Firefoxu "Long URL Please", který webové odkazy zobrazuje vždy v plné délce.
Info: www.twitter.com
ANTIVIR MCAFEE DAT 5958
Chyba v aktualizaci virové databáze způsobila nefunkčnost systému Windows XP SP3. Důležitá součást Windows byla mylně označena za nebezpečný kód a antivir ji smazal. Následkem toho počítače končí v nekonečné smyčce restartů. McAffee chybu potvrdil a nabídl novou virovou databázi a návod, jak počítače opět zprovoznit. Detailní návod a popis chyby najdete na http://vil.nai.com/vil/5958_false.htm. Chyba se projevila pouze ve Windows XP SP3.
ŘEŠENÍ Administrátoři musí použít soubor svchost.exe ze stanice, kde soubor nebyl smazán.
Info: zpravy.actinet.cz
HTTP FILE SERVER
Podle serveru Secunia (http://secunia.com/advisories/39499/) byly v HTTP File Serveru potvrzeny dvě závažné chyby, které mohou být zneužity a umožnit potenciálním útočníkům obejít některé bezpečnostní omezení, případně způsobit DoS (Denial of Service). Jde o chyby při zpracování HTTP požadavků, které obsahují znaky "%00" – při nich může dojít k povolení stahování souborů ze zakázaných složek. Požadavky, které obsahují tyto znaky, také mohou omezit nebo zpomalit provoz postiženého serveru. Více informací o problému najdete na adrese http://aluigi.altervista.org/adv/hfsrefadv.txt.
ŘEŠENÍ Nejjednodušším řešením je update na verzi 2.2f.
Info: zpravy.actinet.cz
MICROSOFT SHAREPOINT SERVER 2007
V produktech Microsoft SharePoint Server 2007 a Windows SharePoint Services 3.0 byla nalezena zranitelnost. Chyby jsou zapříčiněny nedostatečným ošetřením vstupu poskytovaného souboru "_layouts/help.aspx" před navrácením uživateli. To může být zneužito ke spuštění libovolného skriptu nebo HTML v kontextu uživatelova prohlížeče.
ŘEŠENÍ Doporučujeme podrobně prostudovat vyjádření výrobce, které najdete na adrese www.microsoft.com/technet/security/advisory/983438.mspx na serveru Technet.
Info: zpravy.actinet.cz