Menu

Bezpečnost

Co nás čeká

Čekání na bezpečnost

Již brzy se objeví nový operační systém od firmy Microsoft, nástupce Windows XP - Windows Vista. Jeho autoři a návrháři nám slibují mnohem vyšší bezpečnost a ochranu před útoky zvnějšku.
Text: Pavel Baudiš, Alwil Software

Jaká je však skutečná situace? Může nasazení nového operačního systému opravdu vymýtit počítačové viry, červy a další škodlivé programy?

Windows Vista a bezpečnost

Fakt je, že zvýšení úrovně ochrany a bezpečnosti patřily k hlavním pilířům při návrhu Windows Vista. Stejně tak však platí, že stoprocentní ochranu žádný takový systém přinést nemůže. O tom mluvil již před dvaceti lety Fred Cohen - problém je v samotném konceptu operačního systému typu Bell-LaPadula, který se soustřeďuje na ochranu dat a trochu pomíjí ochranu jejich integrity. Prověřený uživatel může spouštět neprověřené programy, které přitom sdílejí jeho úroveň přístupu a zabezpečení. To je hlavní rozdíl, kterým se škodlivé programy liší od hackerů a který se na úrovni operačního systému řeší velmi obtížně. Je totiž prakticky nemožné určit, zda program, který čte citlivá data a má k tomu oprávnění, je bude zpracovávat legálně, nebo ne. Je to podobné jako s ochranou filmů - systém nemůže vědět, zda program, který film z média čte, jej zobrazí na obrazovce, nebo jej zapíše/zkopíruje/odešle pryč z počítače. Sebelepší nový operační systém tohoto typu zkrátka nemůže nabídnout stoprocentní ochranu před škodlivými programy. Může však samozřejmě podstatně více ochranu zvýšit a práci škodlivým programům ztížit. Windows Vista z tohoto hlediska nabízejí několik novinek.

Uživatelská práva

Uživatelská práva - UAC (User Account Controls) - existují ve Windows už dlouho, problémem je pouze to, že je takřka nikdo nevyužívá. Dalším problémem je pak to, co jsme si řekli už před chvílí - programy dědí práva a omezení uživatelů, kteří je spouští. A tak může škodlivý program setrvávat na daném počítači dlouho bez toho, aby se mohl rozšířit; pokud jej ale nakonec spustí uživatel s právy administrátora, má plný přístup ke všem zdrojům. Standardní uživatelé budou moci provádět daleko víc činností (instalace programů či zařízení, připojování sítí), pokud budou znát administrátorské heslo. Problémem však může být podobně jako u řady firewallů to, že uživatel potvrdí a odsouhlasí (včetně zadání hesla) libovolnou akci -hlavně z toho důvodu, že zprávě nerozumí.

Lepší ochrana

V nových Windows Vista existuje i náznak ochrany integrity programů - to se týká hlavně ovladačů a kritických částí systému, které pracují v kernel modu (systémová úroveň). Pokud takové programy nebudou digitálně podepsané, nebudou spuštěny. To by mělo pomoci proti jednoduché modifikaci systému a proti systémovým rootkitům, neúčinná je však tato ochrana proti škodlivým programům, které pracují v user modu (uživatelská úroveň). Přesto může přinést zvýšenou ochranu systému. Oddělení aplikací (Application Isolation) znamená, že každá aplikace bude spuštěna v určité vlastní úrovni privilegií a nebude moci přímo ovlivňovat ostatní. To se týká hlavně tak exponovaných programů, jako je Internet Explorer. Tato novinka sice může snížit riziko infekce, nicméně činnosti škodlivých programů zabránit nemůže.

Nové akvizice

Součástí Windows Vista by měly být i další dodatečné programy, které Microsoft v posledních letech nakoupil a které už dnes nabízí samostatně: Windows Defender (antispyware zakoupený od firmy Giant Software) a antivirový program (akvizice firmy Gecad a jejího produktu RAV), dodávané pod jménem One Care. Je otázkou, jaký vliv by měly tyto programy, pokud by byly distribuovány přímo s operačním systémem -v minulosti se takové programy vždy staly cílem útoku škodlivých programů.

Máme se bát?

Co tedy systém Vista přinese nového? Zcela určitě přestane fungovat velká většina dnes existujících škodlivých programů. To ostatně není nic překvapivého, to se stává při každé větší změně operačního systému. Přechod od jednoho ke druhému mohou „přežít" jen velmi jednoduché programy, které nejsou příliš závislé na konkrétních vlastnostech OS.
Je jen otázkou času, kdy se objeví nové typy škodlivých programů, určené přímo pro nový operační systém. V několika posledních letech je vidět velký příklon ke škodlivým programům, jejichž primárním účelem je získání peněz pro své autory či zadavatele. Ti proto nebudou váhat s investicí práce i financí, aby zjistili slabiny a možné problémy, které se v systému Vista, obsahujícím spoustu nového a poměrně komplikovaného kódu, zcela určitě budou nacházet.
Velké rozšíření škodlivých programů je hlavně sociálním problémem dneška - existuje poptávka po takových programech, existují metody, jak takové programy k uživatelům dostat a jak dostat citlivá data od uživatelů zpět. Windows Vista mohou některé cestičky zúžit či uzavřít, vyřešení celého problému se jim však rozhodně nemůže podařit...

NOVÉ BEZPEČNOSTNÍ MEZERY

WINDOWS 98/ME

11. července zastavil Microsoft podporu pro Windows 98/Me. Týká se to i bezpečnostních aktualizací pro již známé bezpečnostní mezery. Příklad: Pokud zmanipulovaná webová stránka přesměruje surfaře na vzdálený souborový server, ten může prostřednictvím upravených COM objektů (Component Object Model) spustit libovolný kód.
Řešení: Přestupte na jiný operační systém.
Info: www.microsoft.com

OpenOffice

Objevil se první makrovirus pro OpenOffice. Je více otravný než nebezpečný: skript Stardust modifikuje standardní předlohu dokumentu. Do každého nově otevřeného dokumentu pak vloží pornografický obrázek z webu.
Update na aktuální verze OpenOffice (www.openoffice.org) a StarOffice (www.sun.com) bezpečnostní mezeru odstraní.

Filzip

Bezplatný univerzální komprimační program Filzip (www.filzip.de) ve své současné verzi 3.05 uzavírá jednu bezpečnostní mezeru - a zároveň hned otevírá novou: zmanipulované archivy mohou „rozpakovat" soubory i mimo zadanou cestu a přepsat tak třeba systémové soubory. Platí to pro formáty RAR, TAR, JAR a GZ.
Filzipem rozbalujte archivy jen s omezenými uživatelskými právy, například pod kontem hosta.

Apple Mac OS X

Společnost Apple vydala Security Update 2006-004 pro svůj Mac OS X verze 10.3.9 a 10.4.7 včetně Server verzí. Opravy se týkají celé řady produktů, jejichž seznam a popis chyb v nich opravených naleznete v původním oznámení (http://docs.info.apple.com/article.html?artnum=304063).
Svůj Mac OS X aktualizujte pomocí Software Update nebo přes Apple Download.

Firefox

Firefox 1.5.0.3 v PC samočinně spustí poštovní program. Stačí k tomu, aby v tagu byla uvedena URL adresáta. Na internetu k tomu koluje JavaScript, který takto vyvolá stovku URL a simuluje tím útok typu DoS. Tomu podlehne i ten „nejsilnější" počítač.
Aktualizace na Firefox 1.5.0.4 problém odstraní.

BAROMETR NEBEZPEČÍ

Hackeři si nyní prostřednictvím „bludných" mailů aktualizují své seznamy adres. Naznačuje to možnost velkého útoku v září.
Chip vyhodnocuje potenciál nebezpečí na webu na základě aktuálních bezpečnostních statistik.

Zdroje spamu

Ostatní 4,2 %
Kanada 1,4 %
Holandsko 3 %
Čína 3,3 %
USA 23,7 %
Tchaj-wan 64,5 %
Tchaj-wan vede ve spamových serverech. Důvodem jsou nízké tarify.

VIROVÝ TOP 5

Stav: červenec
1 MyTob. C (27,61 %)
Využívá mezeru ve Windows a rozesílá se e-mailem.
2 LovGate.w (10,01 %)
Rozesílá se všem odesilatelům mailů ve vstupu Outlooku.
3 NetSky.q (6.13)
Červ, který se šíří e-mailem a po sítích P2P.
4 LovGate.ad (5,83 %)
Červ otevírá „backdoor" pro vzdálený přístup.
5 NetSky.t (4,77 %)
Rozesílá se na položky seznamu adres v Outlooku.

Nové vyděračské viry

Peníze, nebo data!

Větší drzost si snad ani nelze představit. Nové vyděračské viry nejen že se nabourají do počítače, ale také v něm zašifrují nebo vymažou data - a to na tak dlouho, dokud oběť nezaplatí požadované výkupné. Nejnovější podrazy internetové mafie sahají daleko za obvyklou špionáž nebo šíření škodlivého spamu. Uživatelé se dostávají pod tlak metodami, jaké jsme dosud znali jen z hollywoodských filmů.
Nejnovější ukázkou tohoto trendu je virus Arhiveus, který zašifruje složku Dokumenty a uvolní ji teprve tehdy, až postižený uživatel začne nakupovat v pochybných ruských internetových lékárnách.
Takové vyděračské viry, v odborném žargonu zvané též „ransomware" (ransom = výkupné), patří k nejhorším škůdcům v počítačovém světě. Je alarmující, že podle antivirových specialistů firmy Trend Micro se jejich počet v prvním pololetí roku 2006 zdvojnásobil. Ocitly se tak v čele nových typů webových útoků, které znají jediný cíl: uživatelům záměrně tahat peníze z kapes.
Všechno to začalo v dubnu virem Ransom-A. Virus zahájil vymáhání výkupného s „Listen up mothafucka" a hrozil, že každých 30 minut vymaže jeden soubor - dokud oběť nepoukáže 11 dolarů. Ještě nestydatější je trojský kůň Zippo - u něj už se výkupné vyšplhalo na 300 dolarů. Zippo v počítači vyhledá dokumenty Office a databázové soubory a zašifruje je do chráněného ZIP archivu. Kód, jímž se dají zašifrovaná data znovu otevřít, obdrží uživatel až po poukázání peněz.
Ransomwaru se lze sice zbavit aktualizací antivirových prostředků, ale obnovit zašifrovaná data je možné jenom se správným heslem. To je natolik dlouhé, že na něj obvyklý „útok hrubou silou" nestačí. Naštěstí mají vyděračské viry ještě jednu slabinu: klíč k ZIP archivu je uložen někde v jejich programovém kódu. Díky tomu antiviroví experti dokázali Zippo i Arhiveus poměrně rychle zneškodnit tak, že právě tam dokázali klíč najít. Postižení by se proto nejprve měli informovat u výrobce svého antivirového programu, zda už heslo nebylo vypátráno.
Viroví experti firmy Sophos se však obávají, že v budoucnu už to tak snadné nebude. Není totiž velký problém, aby vyděračské viry generovaly pro každý napadený počítač vlastní heslo, které pak už v programovém kódu „viditelné" nebude.
Info: www.sophos.com

Domain kiting

Webové stránky pro spammery zdarma

Nepříjemná mezera ve statutech správy internetu ICANN má na svědomí, že spammerům a „rhybářům" webové stránky nikdy nedojdou. Podle ICANN má totiž každý uchazeč o doménu právo do pěti dnů přihlášenou stránku stáhnout - všechny náklady mu budou uhrazeny. Pravidlo, které mělo původně chránit soukromé zákazníky před ukvapenou koupí domény, dnes však systematicky využívají podvodníci k praktikování tzv. „domain kitingu", obrazně řečeno k neustálému přeskakování od stránky ke stránce. Zaregistrují si tedy velký počet domén, které nasadí jako „spamová děla", aby je po pěti dnech zcela legálně zase stornovali. Pak se hra odvíjí znovu od začátku, stránky si spammeři zaberou znovu, a tak pořád dokola. Rozsah těchto podvodů je šokující: v dubnu bylo u největšího amerického registrátora GoDaddy přihlášeno 35 milionů domén, z toho 32,7 milionu představovalo domain kiting, bylo tedy pro soukromého uživatele prakticky zablokováno. Není pak divu, že legálních stránek, které uživatelé získali natrvalo, bylo jen něco přes dva miliony.
Info: www.messagelabs.com

Firewall ohrožen

Barracuda Spam Firewall a neautorizovaný přístup

První ze dvou zranitelností Barracuda Spam Firewallu (verze 3.x) spočívá v přítomnosti defaultního účtu „guest" s heslem „bnadmin99" k webovému rozhraní (www.frsirt.com/english/advisories/2006/3104). Takto přihlášený uživatel může získat některé potenciálně důležité informace, jež mu nepřísluší znát. Druhá zranitelnost je způsobena špatným ověřením parametru „file" ve skriptu „cgi-bin/previewemail.cgi", čehož může vzdálený autentizovaný uživatel (včetně guesta) využít k přístupu k souborům, jež mu za normálních okolností nejsou dostupné. Pro získání opravy je třeba kontaktovat výrobce (www.barracudanetworks.com/ns/support).
Info: zpravy.actinet.cz

Inteligentní „rhybaření"

Extrémní phishing s falešnou stránkou PayPal

Zkuste si představit, že by webová adresa https://www.paypal.com/us byla phishingovou stránkou. Že to není možné? Chyba - neboť to, co vidíte v adresním řádku svého prohlížeče, není webová stránka, na které se nacházíte. Místo toho jste neprohlédli nejnovější trik phishingových specialistů. Zpočátku ještě všechno probíhá jako obvykle: e-mailová zpráva, údajně od platební služby eBay, obsahuje odkaz na nějakou webovou stránku. Tato stránka pak spustí JavaScript, který napodobí adresní lištu prohlížeče. Ta ale legální stránku PayPalu jen předstírá. Ve skutečnosti se důvěřivý surfař nachází nikoli tam, nýbrž na čínské phishingové stránce (www.skycar.net.com). Pokud nyní zadá své přístupové údaje do PayPalu, phishingový lov se podařil. Zvláště dobře tento trik funguje v prohlížeči Opera a ve starých verzích Internet Exploreru (verze 7 je však už o krok dále - akci správně rozpozná jako phishingový podvod a webovou stránku automaticky zablokuje).
Info: www.viruslist.com

Opravy a zranitelnosti

Rizikové browsery

Protože internetové prohlížeče patří mezi nejpoužívanější aplikace, je pochopitelné, že patří i mezi ty nejproblémovější.

Internet Explorer

Nikoho už nepřekvapí, že Internet Explorer 6 (ve Windows XP se Service Packem 2) obsahuje chybu, která může způsobit pád prohlížeče při zpracování různých funkcí obsažených v zákeřné HTML stránce. Zranitelnost byla výrobci oznámena. Příklad zranitelných funkcí můžete nalézt například na http://browserfun.blogspot.com/2006/07/mobb-25-native-function-iterator.html. Projekt Browser Fun (http://browserfun.blogspot.com/) stojí i za další zveřejněnou zranitelností, nalezenou v MS Internet Exploreru. Tentokrát jde o chybu typu integer overflow v knihovně Common Controls „comctl32.dll", která vznikne při zpracování objektu „WebViewFolderIcon" pomocí speciálně upravené metody „setSlice()". Zranitelnost způsobí pád Internet Exploreru a může potenciálně spustit libovolný kód, pokud útočník přesvědčí uživatele k návštěvě speciálně upravené stránky (http://browserfun.blogspot.com/2006/07/mobb-18-webviewfoldericonsetslice.html).
Postižen je Explorer 6 na několika systémech (Windows Server 2003, XP Service Pack 1 a 2, 98, 98 SE, ME) a oprava dosud nebyla zveřejněna. Potíže se však nevyhýbají ani „alternativcům".

Alternativní problémy

Společnost McAfee detekovala nového trojského koně, jenž se vydává za rozšiřující plug-in do Firefoxu (www.networkworld.com/news/2006/072606-trojan-cloaks-itself-as-firefox.html?fsrc=netflash-rss), a pojmenovala jej FormSpy. FormSpy se do počítače dostane přes jiného trojského koně nazvaného Downloader-AXM, který se do systému dostane nejčastěji přes e-mailový spam. Downloader-AXM stahuje bez vědomí uživatele do počítače další zákeřné programy, mezi jinými právě FormSpy, který se po stažení sám nainstaluje do Firefoxu a vydává se za rozšíření nazvané NumberedLinks 0.9. FormSpy alias NumberedLinks 0.9 umožňuje uživatelům Firefoxu navigaci mezi odkazy pomocí čísel na klávesnici místo klikání myší, avšak jeho pravá podstata spočívá v odesílání citlivých informací na cizí počítač. Podle McAfee může dojít k diskreditaci například čísla kreditní karty, hesel a elektronických bankovních PIN čísel. FormSpy dále dokáže zcizit hesla k ICQ, e-mailům a FTP. Mozilla také vydala nové verze Firefoxu 1.5.0.5, Thunderbirdu 1.5.0.5 a SeaMonkey 1.0.3, které opravují množství chyb, jejichž zneužitím může vzdálený útočník získat až kompletní kontrolu nad postiženým systémem, obejít bezpečnostní omezení nebo nepoctivě získat citlivé informace. Podrobnější popis chyb naleznete v oznámení FrSIRT (www.frsirt.com/english/advisories/2006/2998).
Problémy má i nová Opera. Byla totiž nalezena chyba (www.frsirt.com/english/advisories/2006/2987), jež může být zneužita vzdáleným útočníkem k pádu prohlížeče nebo potenciálně i ke kompletní kontrole postiženého systému. Tato chyba je způsobena zásahem do nesprávné části paměti při zpracování velmi dlouhé URL v CSS parametru „background" v DHTML souboru. Do uzávěrky nebylo známo vyjádření Opery...

Jablečné riziko

Ušetřen problémů s browsery nebyl ani Apple. Nedávno byla nalezena chyba v jeho webovém prohlížecí Safari (http://browserfun.blogspot.com/2006/07/mobb-31-safari-khtmlparserpoponeblock.html). Chyba je způsobena ve funkci „KHTMLParser::popOneBlock()", která při zpracování zákeřně upraveného DIV objektu obsahujícího SCRIPT element může způsobit pád prohlížeče nebo spuštění cizího kódu. Podmínkou je, aby uživatel navštívil zákeřně upravenou webovou stránku. Výrobce ani v tomto případě do uzávěrky nevydal opravu.

Intel Centrino

Zranitelnosti ve Wi-Fi ovladačích

Problémy se nevyhýbají ani Wi-Fi. Nedávno byla objevena zranitelnost v Intel PRO/Wireless 2200BG a 2915ABG Network Connection ovladačích pro Microsoft Windows (http://support.intel.com/support/wireless/wlan/sb/CS-023065.htm). Chyba se projeví při zpracování zákeřně upravených rámců a vzdálený útočník ji může zneužít ke spuštění cizího kódu. Opravenou verzi ovladačů Intel PROSet/Wireless 10.5.0.0 můžete stahovat na webu Intelu (http://support.intel.com/support/wireless/wlan/sb/cs-010623.htm). Dále byla nalezena lokálně zneužitelná zranitelnost v Intel 2100 PRO/Wireless Network Connection ovladači (http://support.intel.com/support/wireless/wlan/pro2100/sb/CS-023067.htm). Je způsobena stejnou chybou jako u předchozích ovladačů, lze ji však zneužít pouze lokálně. Nová verze s označením 7.1.4.6 je také dostupná na webu Intelu.
Info: zpravy.actinet.cz

Rizikové technologie

JavaScript, AJAX a bezpečnost

Poslední dobou se lze stále častěji setkávat s webovými aplikacemi programovanými technikou AJAX (Asynchronous JavaScript and XML) -používá ji například Seznam na svých mapách. Jak je už z názvu patrno, bez JavaScriptu se AJAX neobejde. Vzhledem ke svým možnostem je AJAX velmi vhodný pro tvorbu interaktivních webových aplikací. AJAX je poměrně široce podporován ze strany programovacích nástrojů. Lze předpokládat, že výrobci aplikačního softwaru budou stále častěji využívat této programovací techniky. Bohužel více AJAXu znamená více JavaScriptu a více JavaScriptu znamená větší riziko. Odpovědi na základní otázky ohledně JavaScriptu a bezpečnosti najdete v článku „FAQ: JavaScript insecurities" na ZDNet (http://news.zdnet.com/2100-100922-6100019.html). Více na téma bezpečnost a AJAX nabízí článek „Ajax security basics", který zhruba před měsícem vyšel na SecurityFocusu (www.securityfocus.com/infocus/1868).
Info: zpravy.actinet.cz


Dokumenty ke stažení