Menu

Bezpečnost

MODRÁ PILULKA ÚTOČÍ

Rootkit 2.0: „Tvůj počítač patří mně!"

Rootkity mají podobné cíle jako borgové ze seriálu Star Trek: podmanit si počítače s heslem „jakýkoliv odpor je marný". Až dosud šlo z hlediska této úrovně ohrožení spíše o planou hrozbu, neboť antivirové firmy disponují účinnými likvidátory rootkitů -ale právě jen dosud. Na hackerské konferenci Black Hat předvedli Joanna Rutkowská a Alex Tereshkin první virtualizační rootkit. Projekt pokřtěný Blue Pill pracuje jako virtuální stroje (VMware) a vklíní se mezi hardware a operační systém. Díky tomu má v každé situaci počítač pod kontrolou a může odblokovat antivirové programy. Navíc hackeři dokážou propašovat rootkit do systému i za plného provozu a oběť pak vůbec nemá šanci útok zpozorovat. A poněvadž je příslušný kód volně přístupný na internetu, bude nejspíš jen otázkou času, kdy bude touto technikou vybaven i první spyware.

Jak to začalo

V červenci 2006 v Singapuru na konferenci „SyScan" a v srpnu téhož roku na „Black Hat Briefings" v Las Vegas předvedla Joana Rutkowská prototyp škodlivého „nedetekovatelného" softwaru. Ten „využíval" technologii Pacifica od AMD a měl dokázat za běhu (bez restartu!) převzít kontrolu nad celým systémem, přičemž „stávající systém" poběží ve virtuálním PC. I proto název odkazuje na modrou pilulku z filmu Matrix...
Důležité je uvědomit si, že Blue Pill není škodlivým softwarem, ale pouze nástrojem, který může malware zneužít, což Joana předvedla i s beta verzí Windows Vista. Ihned poté se spustila lavina reakcí, počínaje nedůvěrou ke skutečné funkčnosti až po prohlášení o bezproblémové detekci (www.cdr.cz/a/21756). Tento souboj s celou řadou komických aspektů (požadavky při souboji Blue Pill versus Thomas Ptacek) vygradoval na letošním Black Hatu, kde tým Rutkowské představil druhou generaci „modré pilulky".

Potichoučku: Rootkit z webu vám odloudí počítač

Rootkit 2.0 vděčí za svou existenci aktuální generaci procesorů AMD a Intel. Ty podporují technologie Pacifica (AMD) a Vanderpool (Intel), které realizují příkazy pro tvorbu a správu virtuálních strojů. Joanna Rutkowská využívá techniku Pacifica k vytvoření virtuálního hostujícího systému, který potom zamění za hostitelský počítač. Vzhledem k nedostatečným bezpečnostním koncepcím výrobce se to bez problémů daří.

Bez pomoci: Procesorové příkazy jsou pro počítač podraz

Ani Intel není takových útoků ušetřen: BluePill se dá snadno přizpůsobit pro Vanderpool. A tak nezbývá než na Intel i AMD apelovat, aby do svých procesorů zabudovaly ochranný mechanismus pro virtualizační příkazy. Dalo by se například uvažovat o heslu, bez něhož by se tyto příkazy prostě nedaly provést. Poněvadž však ani Intel, ani AMD nemají nic podobného v plánu, experti pracují na ochranných programech. Už na Black Hat představili bezpečnostní specialisté techniky, jimiž by mělo být možné virtuální rootkit odhalit. Jsou tak ovšem rozpoznány pouze příznaky, které systému indikují, že běží ve virtuálním prostředí. Děje-li se tak úmyslně, poněvadž se jedná třeba o server s několika systémy, nemá to smysl - a uživatelé by se rootkitu stejně nezbavili.
Info: www.bluepillproject.org

NEBEZPEČÍ Z CHATU

Nový červ pro Skype

Globální středisko společnosti Trend Micro pro výzkum a podporu TrendLabs nedávno obdrželo vzorky nového červa, který se šíří prostřednictvím populární VoIP aplikace Skype. Červ s názvem WORM_SKIPI. A využívá chatovací funkci Skypu k zasílání zpráv kontaktům ze seznamu postiženého uživatele. Zprávy obsahují odkaz, odkud je možné tohoto červa nechtěně stáhnout. Většina nakažených počítačů je zatím hlášena z Tchaj-wanu a Spojených států.
Příznakem nakažení tímto červem je automatická změna stavu na Do Not Disturb nebo Invisible. Uživatelé nemohou tento stav změnit nebo otevřít své konzoly Skype. Na obrazovce se navíc objeví tento obrázek vpravo.
Pozoruhodné na červu WORM_ SKIPI. A je, že je schopen „maskovat" skutečný odkaz na místo, kde je kopie červu uložena. Odkazy například slibují stažení obrázků ve formátu JPG, ve skutečnosti však odkazují na jinou nebezpečnou URL adresu. Navíc je červ schopen rozesílat jiné „konverzační" zprávy v různých jazycích (v závislosti na nastavení aplikace). Program může zmást i ty nejopatrnější uživatele a přimět je, aby klikli na zobrazený odkaz, protože tento odkaz nevypadá nebezpečně a přichází od skutečného kontaktu, který je on-line.
Součástí aktivit škodlivého kódu tohoto červa je ukončení procesů spojených s různými antivirovými a bezpečnostními aplikacemi včetně produktů od společnosti Trend Micro, jako je OfficeScan Corporate Edition atd. Červ je také schopen modifikovat systémový soubor HOSTS a zamezit přístupu k určitým URL adresám, které jsou nejčastěji spojené s bezpečnostními webovými stránkami.
Skype má v současnosti okolo 220 milionů registrovaných uživatelských účtů, přičemž připojených bývá obvykle zhruba 9 milionů lidí. Tato čísla ukazují, že pokud by WORM_SKIPI. A zůstal neidentifikován, mohl by se šířit velmi rychle. Společnost Trend Micro odhalila tohoto červa pomocí souboru vzorů verze 4.709.00; všechny související URL adresy jsou již blokovány pomocí služby In-the-cloud Reputation Service.

NOVINKY SYMANTECU

Norton Internet Security 2008 a Norton AntiVirus 2008

Společnost Symantec Corp. představila novinky na poli bezpečnostních produktů: Norton Internet Security 2008 a Norton AntiVirus 2008. Oba systémy rozšířila tak, aby uživatelům poskytovaly komplexní ochranu před novými on-line hrozbami, včetně skrytých útoků. Kromě několika novinek se Symantec zaměřil i na zvýšení rychlosti produktu (ve srovnání s verzí 2007 došlo ke zvýšení rychlosti o 20 až 40 %). Za zmínku také stojí téměř o 70 % nižší objem zabrané paměti a 20% zrychlení při komplexním prověření počítače.

Novinky v produktech Norton 2008:

* Browser Defender - chrání před stahováním bez vědomí uživatele a před dalšími novými či neznámými hrozbami, které zneužívají zranitelná místa v prohlížeči Internet Explorer. Browser Defender tak poskytuje proaktivní ochranu před útoky maskovaných kódů ActiveX, JavaScript a VBScript, které se zaměřují na webový prohlížeč.
* Norton Identity Safe - chrání osobní údaje a identitu při nakupování a správě bankovních účtů on-line i při procházení internetu. Uživatelům umožňuje kontrolovat předávání informací na webové servery, bezpečně ukládá osobní údaje a automaticky vyplňuje hesla a webové formuláře. Ukládá a šifruje hesla a jiná důvěrná data a automaticky je vyhledá na žádost uživatele. Tím šetří čas a chrání tyto informace před krádeží programy zaznamenávajícími stisky kláves.
* Funkce domácí síť - mapuje připojená zařízení a zobrazuje zařízení v místní síti. Sleduje celkový stav zabezpečení dalších počítačů s nainstalovanou aplikací Norton Internet Security 2008 nebo Norton AntiVirus 2008. V aplikaci Norton Internet Security 2008 tato funkce také kontroluje stav zabezpečení bezdrátové sítě, upozorňuje uživatele, když se připojí k nezabezpečené bezdrátové síti, a prostřednictvím odborných rad pomáhá uživatelům spravovat nastavení zabezpečení sítě. Součástí stavu zabezpečení bezdrátové sítě jsou doporučení k zabezpečení bezdrátových směrovačů a obecné informace o zabezpečení domácí sítě.

Nová bezpečnostní rizika

MP3

Červ W32. Deletemusic vymaže z PC všechny hudební soubory. Přitom se instaluje také na jednotky E až O - jsou-li k dispozici. Pokud je tedy přes USB připojen externí hardware, červ na něm hned dále pokračuje ve svém zkázonosném díle. Řešení je snadné: stáhněte si do svého antivirového programu aktuální soubor virových signatur.
Info: http://www.mcafee.com/

DIVX

Virový skener AntiVir nesprávně hlásí, že je infikován instalační soubor DivX. Příčinou je zastaralá signatura v databance programu. Pro odstranění hlášení si z webové stránky „DivX" stáhněte novou verzi - pak falešné hlášení zmizí.
Info: http://www.divx.com/

QUICKTIME

V Apple QuickTime verze 7.x byla odhalena nová zranitelnost. Jde o chybu, kterou může vzdálený útočník zneužít a prostřednictvím které může na cílovém stroji spustit libovolný kód. Chyba se objeví při zpracování speciálně upraveného souboru s parametrem „qtnext". Útočníkovi stačí přesvědčit uživatele, aby navštívil zákeřně upravenou stránku nebo spustil upravený soubor. Více informací včetně praktické ukázky naleznete na www.gnucitizen.org/blog/0day-quicktimepwnsfirefox. Oficiální reakce od společnosti Apple dosud není k dispozici.
Info: zpravy.actinet.cz  

ORACLE

Podle článku na The Register (www.theregister.co.uk) by měl Oracle uvolnit opravy 51 bezpečnostních problémů ve svých produktech, které mj. zahrnují pět vzdáleně zneužitelných děr v Oracle Database a sedm v Oracle Application Serveru. Dále budou uvolněny opravy pro Oracle E-Business Suite and Applications, Oracle Enterprise Manager, Oracle PeopleSoft Enterprise PeopleTools a JD Edwards EnterpriseOne.
Info: zpravy.actinet.cz

TOR

Kdo používá TOR, chce samozřejmě surfovat anonymně. Jenomže kvůli bezpečnostní mezeře dokáže útočník zmanipulovat konfigurační soubor „torcc" - a jeho prostřednictvím se dostat až ke skutečné IP adrese surfaře. Chcete-li zůstat v anonymitě, proveďte aktualizaci na TOR 0.1.2.16 nebo v „torcc" deaktivujte službu ControlPort.
Info: http://tor.eff.org/

PANDA

Programová složka antivirového programu by jistě měla být zvláště dobře chráněna. Ne tak u Pandy. Aby zde záškodník mohl měnit soubory, nepotřebuje k tomu ani oprávnění správce. Doporučujeme tedy upravit pro příslušnou programovou složku přístupová práva manuálně.
Info: http://www.pandasecurity.com/

OPENOFFICE

V produktech OpenOffice byla nalezena zranitelnost způsobená přetečením bufferu při manipulaci s dokumenty typu „TIFF". Postiženy jsou verze nižší než 2.3 - viz www.openoffice.org/security/cves/CVE-2007-2834.html. Důsledkem této zranitelnosti může být spuštění libovolného příkazu s právy uživatele, který spustil OpenOffice. Zranitelnost byla odstraněna ve verzi 2.3.
Info: zpravy.actinet.cz

CA

Byly objeveny tři druhy zranitelností postihujících produkty společnosti CA - CA BrightStor Backup, CA Server Protection Suite a CA Business Protection Suite. V prvním případě se jedná o zranitelnosti vzniklé přetečením bufferu, což může mít za následek vzdálené spuštění kódu útočníkem. Druhá zranitelnost spočívá v tom, že privilegované funkce se spouští bez korektní autorizace, a ve třetím případě se jedná o porušení paměťové struktury v RPC. Více informací včetně odkazů na záplaty a seznam zranitelných produktů najdete v oznámení na webu CA.
Info: zpravy.actinet.cz

WLAN HACKING

Ukradené a nebezpečné cookies

Je to pohodlíčko: posadíte se do kavárny, otevřete si notebook a v klidu si prohlížíte došlé maily. Škoda jen, že právě tak jednoduché je i odposlouchávání v hotspotu - a to díky novému hackerskému nástroji Ferret. Ten od okamžiku, kdy svůj notebook zapnete, shromažďuje všechny informace, které jste po WLAN vyslali - mezi nimi poslední IP adresu, login ID a seznam všech serverů, k nimž se chcete připojit. Proto také Ferret k napadení GMail účtu nepotřebuje žádné rafinované techniky. Prostě si odposlechne všechny cookies, které byly vyměňovány - mezi nimi také ten, který obsahuje přístupová práva. Doplňkový nástroj Hamster pak tyto informace přenáší do webového prohlížeče útočníka. Potom už si hacker přečte vaše maily právě tak pohodlně jako vy.
Info: www.erratasec.com  

ZPRÁVA IBM

Trojské koně nejpoužívanější...

Společnost IBM oznámila nárůst objemu sofistikovaného malwaru, prodejů škodlivého kódu a snížení počtu odhalených zranitelností ve srovnání s první polovinou roku 2006. Tento závěr vyplývá ze zprávy, která se zabývá bezpečnostními statistikami za první polovinu roku 2007. Během tohoto roku výzkumný a vývojový tým Internet Security Systems (ISS) X-Force identifikoval a analyzoval více než 210 000 vzorků nového škodlivého kódu, čímž překonal celkový počet malwarových vzorků zaznamenaných v roce 2006.

Konec okrádání zlodějů

Už zpráva za rok 2006 naznačila, že dodavatelé „řízených zneužití" začali kód, který dokáže využít zranitelností, šifrovat (aby nemohl být pirátsky zneužit) a začali jej draze prodávat distributorům spamu. V roce 2007 zahrnuli tito „poskytovatelé" do svého portfolia nové produkty. Útočníci tak nyní mohou díky pronájmu technik pro zneužití zranitelnosti zkoušet útoky s mnohem nižšími vstupními náklady. Podle letošní zprávy jsou „hitem letošního roku" trojské koně (s podílem 28 % veškerého škodlivého kódu). V letošním roce je také stále patrnější používání maskovacích technik pro zakrytí škodlivého kódu na webu. Cíl je zřejmý - ztížit detekci útoků pomocí systémů založených na signaturách. V roce 2006 bylo přibližně 50 % všech webů určených k infikování prohlížečů kamuflováno a maskováno. V prvním pololetí roku 2007 vzrostl tento poměr až na 80 %.

Méně odhalení, více škod

Bereme-li v úvahu historické trendy, ze zpráv týmu X-Force vyplynulo, že v první polovině roku 2007 se ve srovnání se stejným obdobím roku 2006 snížil celkový počet včas odhalených zranitelností. Na vině je několik trendů, které se objevily v roce 2007. Prvním důvodem je přímá snaha vydělat na zranitelnostech. Tento trend již dospěl do podoby „obchodovatelné" na černém trhu. Z tohoto důvodu zůstalo velké procento zranitelností delší dobu neodhaleno a používá se ve finanční kriminalitě. Dalším důvodem je fuzzing, který pomohl v posledních dvou letech odkrýt řadu snadno odhalitelných zranitelností. Fuzzing představuje testovací techniku, jejímž prostřednictvím je program zahrnován náhodnými daty s cílem zaznamenat konflikty, potažmo i zranitelnosti programu. „Vzhledem k tomu, že je stále více technologií a softwaru vystaveno fuzzingu a automatickému vyhledávání chyb v programech, začíná naše odvětví při hledání tohoto typu zranitelností dosahovat jistého bodu nasycení, který vede nezvratně ke snížení počtu odhalených zranitelností," prohlásil Kris Lamb, ředitel týmu X-Force IBM Internet Security. Posledním faktorem je množství obecných chyb v kódu, které se snižuje v důsledku snahy těch dodavatelů softwaru a technologie, kteří přijali za své mnohem bezpečnější metody vývoje softwaru a mnohem obezřetnější přístup k tvorbě kódu.

Více menšího spamu

Dalším zajímavým trendem je pokles velikosti spamových zpráv. Tento pokles koresponduje s poklesem spamu založeného na obrázcích. Od poloviny roku 2005 byl spam založený na obrázcích jednou z největších antispamových výzev, ale v první polovině roku 2007 procento tohoto spamu kleslo na úroveň poloviny roku 2006, tedy na hodnotu mírně převyšující 30 %. „Pokles velikosti spamových zpráv a spamu založeného na obrázcích je způsoben tím, že spammeři si úspěšně osvojili nové techniky, k nimž patří spam založený na formátu PDF a Excel. Tyto techniky umožňují vyhnout se mnohem úspěšněji antispamovým technologiím," řekl Lamb.

Co nás čeká?

Ve druhé polovině roku 2007 a v roce 2008 neočekává tým X-Force exponenciální nárůst odhalených zranitelností, lze však počítat s nárůstem cíleného malwaru, jako jsou trojské koně, a pokračující růst používání technik k zamaskování hrozeb na webu. Více informací o bezpečnostních trendech a očekáváních IBM včetně bezpečnostních statistik naleznete ve zprávě „Cyber Attacks on the Rise: IBM X-Force 2007 Midyear Report", na adrese www.iss.net/x-force_report_ images/2007.

Zajímavá fakta

* Leden byl svými 600 odhalenými zranitelnostmi dosud nejplodnějším měsícem tohoto roku.
* Španělsko převzalo od Jižní Koreje primát v rozesílání phishingových e-mailů (17,9 % celosvětového objemu).
* Procento zranitelností, které mohou být využívány vzdáleně, vzrostl jen mírně - za první polovinu roku 2007 na 90 % ve srovnání s 88 % ve stejném období roku 2006.
* V současnosti tvoří nevyžádaný obsah, jako je pornografie, kriminalita, erotické a sociální úchylky, kolem deseti procent obsahu internetu.

64BITOVÁ VISTA

Falešné poplachy

Podle mínění Microsoftu je 64bitová varianta Visty nejbezpečnějším a nejstabilnějším operačním systémem na trhu. Pak by tedy mělo být docela jednoduché napsat pro tento systém antivirový program. Chyba lávky! V prvním větším testu, který provedl Virus Bulletin, hlásily mnohé antiviry jeden falešný poplach za druhým.
Časopis Virus Bulletin se proslavil svou pečetí jakosti VB100, která je dnes povinným testem pro každý virový skener. Ten nemusí dokázat nic víc než rozpoznat stovku škůdců. Zní to jednoduše, ale tuto pečeť chce Virus Bulletin několika virovým skenerům pro 64bitovou Vistu odepřít - a to právě kvůli mnoha falešným poplachům. Prominentní obětí testu je firma Trend Micro, která měla mezi „propadlými" hned tři adepty.
Info: www.virusbtn.com  

Barometr nebezpečí

Méně bezpečnostních mezer, vlna PDF spamu utichá. Že by si i autoři virů vzali dovolenou?

Podíly spamových mailů:
1. Izrael 60,8 %
2. Hongkong 59,7 %
3. Německo 54,9 %
4. USA 50,5 %
5. Francie 48,5 %
Zdroj: Message Labs
Z evropských zemí nyní jen v Německu obíhá více mailů se spamem než s žádoucím obsahem.

ČÍSLO MĚSÍCE

30.000 webových stránek denně je infikováno malwarem - podle měření firmy Sophos v červnu 2007.


Dokumenty ke stažení