Miliony malwaru a tisíce škodlivých hackerských gangů se potulují dnešním online světem a loví jednoduché dupy. Opakovaným používáním stejné taktiky, která fungovala roky, ne-li desítky let, nedělají nic nového ani zajímavého při využívání naší lenivosti, mezer v úsudku nebo prosté idiotství.
Výzkumníci v oblasti antimalwaru však každý rok narazí na několik technik, které zvedají obočí. Tyto inspirované techniky, které používají malware nebo hackeři, posouvají hranice škodlivého hackerství. Přemýšlejte o nich jako o novinkách v deviaci. Stejně jako cokoli inovativního, i mnohé jsou měřítkem jednoduchosti.
[Uvědomte si 14 špinavých triků IT konzultanta, 9 populárních postupů zabezpečení IT, které prostě nefungují, a 10 šílených triků zabezpečení, které fungují. | Naučte se, jak zabezpečit své systémy pomocí speciální zprávy webového prohlížeče Deep Dive PDF a zpravodaje Security Central, z obou. ]
Vezměte si makrovírus Microsoft Excel z 90. let, který tiše, náhodně nahradil nuly velkými písmeny O v tabulkách a okamžitě transformoval čísla na textové štítky s hodnotou nula - změny, které šly z větší části nezjistit, dokud systémy zálohy neobsahovaly nic jiného než špatná data.
Dnešní nejgeniálnější malware a hackeři jsou stejně nenápadní a záludní. Zde jsou některé z nejnovějších technik poznámky, které vzbudily můj zájem jako bezpečnostního výzkumníka a poučení. Někteří stojí na bedrech minulých škodlivých inovátorů, ale všichni jsou dnes velmi v módě jako způsoby, jak odtrhnout i ty nejchytřejší uživatele.
Tajný útok č. 1: Falešné bezdrátové přístupové body
Žádný hack není snadnější dosáhnout než falešný WAP (bezdrátový přístupový bod). Každý, kdo používá trochu softwaru a bezdrátové síťové karty, může inzerovat počítač jako dostupný WAP, který je poté připojen ke skutečnému a legitimnímu WAP na veřejném místě.
Přemýšlejte o všech případech, kdy jste - nebo vaši uživatelé - šli do místní kavárny, na letiště nebo na veřejné shromažďovací místo a připojili se k „bezdrátové“ síti. Hackeři ve Starbucks, kteří nazývají své falešné WAP „Starbucks Wireless Network“, nebo na letišti v Atlantě to nazývají „Atlanta Airport Free Wireless“, mají všechny druhy lidí připojených k jejich počítači během několika minut. Hackeři pak mohou čichat nechráněná data z datových toků odesílaných mezi nevědomými oběťmi a jejich zamýšlenými vzdálenými hostiteli. Byli byste překvapeni, kolik dat, dokonce i hesel, je stále odesíláno jako prostý text.
Čím hanebnější hackeři požádají své oběti, aby si vytvořily nový přístupový účet pro používání jejich WAP. Tito uživatelé pravděpodobně použijí společné přihlašovací jméno nebo jednu ze svých e-mailových adres spolu s heslem, které používají jinde. Hacker WAP se pak může pokusit použít stejné přihlašovací údaje na populárních webových stránkách - Facebook, Twitter, Amazon, iTunes atd. - a oběti nikdy nebudou vědět, jak se to stalo.
Lekce: Nemůžete důvěřovat veřejným bezdrátovým přístupovým bodům. Chraňte vždy důvěrné informace odeslané přes bezdrátovou síť. Zvažte použití připojení VPN, které chrání veškerou vaši komunikaci, a nerecyklujte hesla mezi veřejnými a soukromými weby.
Tajný útok č. 2: Krádež souborů cookie
Soubory cookie prohlížeče jsou skvělý vynález, který zachovává „stav“, když se uživatel pohybuje na webových stránkách. Tyto malé textové soubory odesílané do našich strojů webem pomáhají webu nebo službě sledovat nás během naší návštěvy nebo více návštěv, což nám například umožňuje snadnější nákup džínů. Co se nelíbí?
Odpověď: Když hacker ukradne naše cookies a díky tomu se stane námi - v dnešní době je to stále častější událost. Spíše se stanou autentizovanými na našich webových stránkách, jako by to byli my a zadali platné přihlašovací jméno a heslo.
Jistě, krádež souborů cookie existuje již od vynálezu webu, ale nástroje v dnešní době tento proces usnadňují jako klikání, klikání, klikání. Firesheep je například doplněk prohlížeče Firefox, který umožňuje lidem ukrást nechráněné soubory cookie ostatním. Při použití s falešným WAP nebo ve sdílené veřejné síti může být únos souborů cookie docela úspěšný. Firesheep zobrazí všechny názvy a umístění souborů cookie, které najde, a jednoduchým kliknutím myši může hacker převzít relaci (příklad toho, jak snadné je používat Firesheep, najdete v blogu Codebutler).
Horší je, že hackeři nyní mohou ukrást i soubory cookie chráněné SSL / TLS a očichat je. V září 2011 útok jeho tvůrců označený jako „BEAST“ prokázal, že lze získat i soubory cookie chráněné pomocí SSL / TLS. Další vylepšení a vylepšení v tomto roce, včetně dobře pojmenovaného CRIME, ještě více usnadnily krádež a opětovné použití šifrovaných cookies.
Při každém uvolněném útoku na soubory cookie se webům a vývojářům aplikací řekne, jak chránit své uživatele. Někdy je odpovědí použití nejnovější šifrovací šifry; jindy je zakázat některé nejasné funkce, které většina lidí nepoužívá. Klíčem je, že všichni vývojáři webu musí používat techniky bezpečného vývoje, aby omezili krádež souborů cookie. Pokud váš web neaktualizoval ochranu šifrování za několik let, pravděpodobně jste v nebezpečí.
Poučení: I šifrované soubory cookie mohou být odcizeny. Připojte se k webům, které využívají zabezpečené vývojové techniky a nejnovější kryptoměny. Vaše weby HTTPS by měly používat nejnovější kryptografii, včetně TLS verze 1.2.
Tajný útok č. 3: Triky s názvem souboru
Hackeři používají triky s názvem souboru, aby nás přiměli spustit škodlivý kód od začátku malwaru. První příklady zahrnovaly pojmenování souboru, které by povzbudilo nic netušící oběti, aby na něj klikly (například AnnaKournikovaNudePics) a používaly více přípon souborů (například AnnaKournikovaNudePics.Zip.exe). Až do dnešního dne Microsoft Windows a další operační systémy snadno skrývají „dobře známé“ přípony souborů, díky nimž bude AnnaKournikovaNudePics.Gif.Exe vypadat jako AnnaKournikovaNudePics.Gif.
Před lety se malwarové virové programy známé jako „dvojčata“, „spawnery“ nebo „doprovodné viry“ spoléhaly na málo známou funkci systému Microsoft Windows / DOS, kde by i kdybyste zadali název souboru Start.exe, systém Windows by vypadal pro a pokud je nalezen, spusťte místo toho Start.com. Doprovodné viry by vyhledaly všechny soubory .exe na vašem pevném disku a vytvořily virus se stejným názvem jako EXE, ale s příponou .com. Společnost Microsoft to již dávno napravila, ale její objev a využití ranými hackery položilo základy pro vynalézavé způsoby, jak skrýt viry, které se dnes stále vyvíjejí.
Mezi sofistikovanější triky pro přejmenovávání souborů, které se v současné době používají, patří použití znaků Unicode, které ovlivňují výstup jména uživatelů, které jsou prezentovány. Například znak Unicode (U + 202E), zvaný Přepsání zprava doleva, může oklamat mnoho systémů, aby zobrazily soubor, který se skutečně jmenuje AnnaKournikovaNudeavi.exe jako AnnaKournikovaNudexe.avi.
Lekce: Kdykoli je to možné, ujistěte se, že znáte skutečný a úplný název libovolného souboru, než jej spustíte.
Tajný útok č. 4: Místo, umístění, umístění
Dalším zajímavým trikem stealth, který používá operační systém proti sobě, je trik umístění souboru známý jako „relativní versus absolutní“. Pokud jste ve starších verzích systému Windows (Windows XP, 2003 a dřívějších) a jiných dřívějších operačních systémech zadali název souboru a stiskli klávesu Enter, nebo pokud by operační systém hledal soubor vaším jménem, vždy by začínal nejprve vyhledejte svou aktuální složku nebo adresář, než začnete hledat jinde. Toto chování se může zdát dostatečně účinné a neškodné, ale hackeři a malware jej využili ve svůj prospěch.
Předpokládejme například, že jste chtěli spustit integrovanou neškodnou kalkulačku systému Windows (calc.exe). Otevření příkazového řádku je snadné (a často rychlejší než použití několika kliknutí myší), zadejte calc.exe a stiskněte klávesu Enter. Malware však může vytvořit škodlivý soubor s názvem calc.exe a skrýt jej v aktuálním adresáři nebo domovské složce; při pokusu o spuštění souboru calc.exe by se místo toho spustila falešná kopie.
Miloval jsem tuto chybu jako tester penetrace. Často, když jsem se vloupal do počítače a potřeboval jsem povýšit svá oprávnění na správce, vzal jsem neopravenou verzi známého, dříve zranitelného softwaru a umístil jej do dočasné složky. Většinu času, co jsem musel udělat, bylo umístit jeden zranitelný spustitelný soubor nebo DLL, přičemž jsem nechal celý dříve nainstalovaný opravený program sám. Do mé dočasné složky bych zadal název spustitelného programu a Windows by načetl můj zranitelný trojský spustitelný soubor z mé dočasné složky namísto nedávno opravené verze. Miloval jsem to - mohl jsem zneužít plně opravený systém s jediným špatným souborem.
Systémy Linux, Unix a BSD řeší tento problém již více než deset let. Společnost Microsoft problém vyřešila v roce 2006 vydáním systému Windows Vista / 2008, i když tento problém ve starších verzích přetrvává kvůli problémům se zpětnou kompatibilitou. Společnost Microsoft již mnoho let varuje a učí vývojáře používat absolutní (spíše než relativní) názvy souborů / cest ve svých vlastních programech. Desítky tisíc starších programů jsou přesto zranitelné vůči lokačním trikům. Hackeři to vědí lépe než kdokoli jiný.
Lekce: Používejte operační systémy, které vynucují absolutní cesty k adresářům a složkám, a nejprve vyhledejte soubory ve výchozích systémových oblastech.
Tajný útok č. 5: Přesměrování souborů hostitelů
Většina dnešních uživatelů počítačů nevěděla, že existuje soubor související s DNS s názvem Hosts. Soubor Hosts, který se ve Windows nachází pod C: \ Windows \ System32 \ Drivers \ atd., Může obsahovat položky, které propojují zadané názvy domén s jejich odpovídajícími IP adresami. Soubor Hosts byl původně používán serverem DNS jako způsob, jak hostitelé lokálně řeší vyhledávání adres IP na adresu IP, aniž by museli kontaktovat servery DNS a provádět rekurzivní překlad názvů. Většinou funguje DNS v pohodě a většina lidí se svým souborem Hosts nikdy nekomunikuje, i když tam je.
Hackeři a malware rádi píší své vlastní škodlivé položky na hostitele, takže když někdo zadá oblíbený název domény - řekněme bing.com -, bude přesměrován na někde jinde škodlivější. Škodlivé přesměrování často obsahuje téměř dokonalou kopii původního požadovaného webu, takže dotyčný uživatel o přechodu neví.
Toto zneužití je dodnes široce využíváno.
Lekce: Pokud nemůžete přijít na to, proč vás někdo škodlivě přesměruje, podívejte se na soubor Hosts.
Stealth útok č. 6: Napadení napajedla
Útoky na vodní díry dostaly své jméno podle své důmyslné metodiky. Při těchto útocích hackeři využívají skutečnosti, že se jejich cílené oběti často setkávají nebo pracují na konkrétním fyzickém nebo virtuálním místě. Poté toto místo „otráví“, aby dosáhli škodlivých cílů.
Například většina velkých společností má místní kavárnu, bar nebo restauraci oblíbenou u zaměstnanců společnosti. Útočníci vytvoří falešné WAP ve snaze získat co nejvíce pověření společnosti. Nebo útočníci zlomyslně upraví často navštěvovaný web, aby učinili totéž. Oběti jsou často uvolněnější a nic netušící, protože cílenou lokalitou je veřejný nebo sociální portál.
Útoky na napajedla se letos staly velkou novinkou, když došlo ke kompromisu několika významných technologických společností, včetně Apple, Facebook a Microsoft, kvůli populárním webům pro vývoj aplikací, které jejich vývojáři navštívili. Weby byly otráveny škodlivými přesměrováními JavaScriptu, která nainstalovala malware (někdy nula dní) na počítače vývojářů. Ohrožené vývojářské pracovní stanice byly poté použity pro přístup do interních sítí obětí společností.
Lekce: Zajistěte, aby si vaši zaměstnanci uvědomili, že populární „zavlažovací otvory“ jsou běžnými hackerskými cíli.
Tajný útok č. 7: Návnada a výměna
Jedna z nejzajímavějších probíhajících hackerských technik se nazývá bait and switch. Obětem se říká, že stahují nebo provozují jednu věc, a dočasně jsou, ale pak je to vypnuto se škodlivou položkou. Existuje mnoho příkladů.
Pro šíření malwaru je běžné, že si kupují reklamní prostor na populárních webových stránkách. Webovým stránkám se při potvrzení objednávky zobrazí nepříznivý odkaz nebo obsah. Web schvaluje reklamu a bere peníze. Zločinec pak přepne odkaz nebo obsah na něco škodlivějšího. Nový škodlivý web často zakódují tak, aby přesměroval diváky zpět na původní odkaz nebo obsah, pokud je někdo prohlédl z adresy IP patřící původnímu schvalovateli. To komplikuje rychlou detekci a odstranění.
Mezi nejzajímavější útoky na návnadu a přepínání, které jsem v poslední době viděl, patří padouchy, kteří vytvářejí „bezplatný“ obsah, který si může stáhnout a použít kdokoli. (Přemýšlejte o administrativní konzole nebo počitadle návštěvníků v dolní části webové stránky.) Tyto bezplatné applety a prvky často obsahují licenční doložku, která v tomto smyslu říká: „Může být volně znovu použita, pokud zůstane původní odkaz.“ Nic netušící uživatelé používají obsah v dobré víře a původní odkaz tak zůstávají nedotčeni. Původní odkaz obvykle nebude obsahovat nic jiného než znak grafického souboru nebo něco jiného triviálního a malého. Později, poté, co byl falešný prvek zahrnut na tisíce webů, původní vývojář škodlivého softwaru změní neškodný obsah na něco škodlivějšího (jako je škodlivé přesměrování JavaScriptu).
Lekce: Dejte si pozor na jakýkoli odkaz na jakýkoli obsah, který nemáte pod přímou kontrolou, protože jej lze bez vašeho souhlasu okamžitě vypnout.
