Zagrożenia z sieci: I-VI 2006

• Strona Główna

Zagrożenia z sieci: I-VI 2006
2029-06-20 06:00:00

Reklama:

---

Lata odporności komputerów Macintosh na wirusy przeszły do historii. W lutym wykryto po raz pierwszy wirusa przeznaczonego dla systemu Mac OSX o nazwie Leap A. Pierwotnie został on wysłany na forum dyskusyjne MacRumors. W ślad za rozprzestrzeniającym się poprzez iChat i infekującym pliki lokalne wirusem pojawiły się kolejne, atakujące tę platformę, m.in. wirus typu "proof of concept" OSX/Inqtana.A, wykorzystujący lukę w mechanizmie Bluetooth OBEX Push do rozprzestrzeniania się na inne komputery. Robert Vamosi napisał artykuł na temat systemów zapłonu bezkluczykowego bazujący na wynikach badań przeprowadzonych przez Johns Hopkins University i RSA. We wnioskach Vamosi zwrócił uwagę, że producenci systemów RFID wydają się nie dostrzegać problemu. Może powinni porozmawiać z Davidem Beckhamem, któremu w Hiszpanii ukradziono BMW X5 wyposażone w taki właśnie system. Można także owijać kluczyk folią aluminiową, dopóki obecna sytuacja nie ulegnie zmianie. W maju 2006 roku stwierdzono, że poprzez internetowy serwis hazardowy wykorzystywano używający rootkita backdoor, czyli "tylne wejście", do potajemnego rejestrowania i kradzieży informacji o graczach korzystających z internetowych serwisów pokerowych. Gracze instalowali na swoich maszynach pozornie tylko przydane narzędzie. Tylne wejście, pozwalające nielegalnie uzyskać zdalny dostęp do komputera, zostało w tym przypadku utworzone poprzez umieszczenie na komputerze użytkownika niebezpiecznych plików, a sterownik pakietu rootkit posłużył do ukrycia całej operacji. Następnie włamywacz uzyskiwał dostęp do przechowywanych w maszynie informacji służących do logowania w internetowych serwisach pokerowych, takich jak Partypoker, Empirepoker, Eurobetpoker czy Pokernow. Wówczas podszywając się pod innych graczy haker mógł umyślnie przegrywać partie z samym sobą, zgarniając w ten sposób wygrane. Dwa z najbardziej rozpowszechnionych robaków instalujących klienty-boty korzystały z technologii rootkit. W marcu wykryto warianty rodzin Bagle i Mydoom wykorzystujące rootkit do ukrywania plików, procesów i wpisów w rejestrze dokonywanych przez robaki. Najbardziej interesujące w odmianach Bagle jest to, że pokazują ewolucję wirusów i współpracę ich autorów. Dwa lata temu Bagle był prostym wirusem, plikiem wykonywalnym z rozszerzeniem *.exe rozsyłającym się przez pocztę email. Już tak nie jest. Autorzy Bagle nadzorują złożoną sieć i opracowali cały pakiet współpracujących ze sobą programów. Pod koniec 2005 roku odkryto nową wersję konia trojańskiego Breplibot. Złośliwa aplikacja dostawała się do systemu poprzez wykorzystanie funkcji Sony DRM, która umożliwia ukrywanie własnej obecności za pomocą techniki zbliżonej do rootkit. System Sony DRM jednocześnie zapewniał niewidzialność wszystkim programom o nazwie zaczynającej się od ciągu znaków "sys". Ten mechanizm wykorzystał Trojan Breplibot, który instalował się w systemie pod nazwą "sysdrv.exe". Był on niewidoczny zarówno dla mechanizmów zabezpieczających Windows jak i standardowych programów antywirusowych. Celem firmy Sony było uniemożliwienie nielegalnego kopiowania płyt, jednak ostatecznie umożliwiono, bez zgody użytkowników, dostęp do ich maszyn co wywołało liczne protesty. Przesłanie do producentów dowolnego rodzaju oprogramowania (nie tylko programów zabezpieczających przed kopiowaniem) jest proste. Powinni zawsze unikać prób ukrycia czegokolwiek przed użytkownikiem, w szczególności przed administratorem. Rzadko kiedy odpowiada to potrzebom użytkownika, a w wielu przypadkach bardzo ułatwia powstanie luki w systemie bezpieczeństwa. TOP 10 wirusów w okresie styczeń-czerwiec 2006 Nowocześni złodzieje samochodów nie używają łomów, czy zaimprowizowanych wytrychów. Żeby włamać się do samochodu korzystają z laptopów. Jeżeli w drogim modelu zastosowano system bezkluczykowego zapłonu, oparty na uwierzytelnianiu przy pomocy szyfrowania 40-bitowego, właściciel może stracić możliwość korzystania z auta w ciągu 60 sekund. Rootkity - nierozwiązany problem • 8057 eBay, 1634 PayPal, 497 Citibank tyle jest domen z nazwami tych i innych instytucji finansowych oraz banków w sieci. Tylko niektóre z nich są prawdziwe. Tymczasem jak wykazują badania aż 90% uczestników dało się oszukać przez fałszywą witrynę. Pierwszy m-wirus pojawił się w telefonach komórkowych w czerwcu 2004 roku, ale zakres wyrządzonych przez niego szkód był ograniczony. Pierwsze złośliwe oprogramowanie na Javę lub J2ME wykryto pod koniec lutego, kiedy to pojawił się koń trojański Redbrowser. Trojan ten, reklamujący się użytkownikowi jako sposób na darmowe korzystania z serwisów WAP, wykorzystywany był do kradzieży pieniędzy. W przypadku uruchomienia wysyłał na numer w Rosji SMS Premium Rate w cenie ok. 5 USD za każdą wysłaną wiadomość. Na szczęście skala ataku była ograniczona ze względu na użycie języka rosyjskiego. Spodziewamy się jednak, że w przyszłości będzie dochodzić do podobnych ataków również w innych językach. W roku 2006 liczba złośliwych programów atakujących telefony komórkowe przekroczyła 200. W porównaniu z sytuacją w świecie komputerów PC nie można jeszcze mówić o stanie zagrożenia, ale z pewnością ten trend się rozwija. W miarę upodabniania się telefonów komórkowych do komputerów i pojawiania się możliwości realizowania przez nie transakcji finansowych należy się spodziewać nowych ataków ze strony autorów m-wirusów. W obu wymienionych przypadkach zastosowano technikę rootkita. W takim przypadku rootkit ma bezpośredni dostęp do wszystkich funkcji systemowych, przez co wykrycie go staje się jeszcze trudniejsze. Jeżeli autorzy Bagle unowocześniają swój pakiet w oparciu o rootkity to pozwala sądzić, że ten krok jest groźny i warto bacznie obserwować ich poczynania. Zagrożenia z sieci: I-VI 2006 3322.org jest działającym w Chinach darmowym serwisem oferującym bounce hosta. Każdy może zarejestrować dowolną nazwę hosta w domenie 3222.org (o postaci NAZWA.3322.org), a serwis powiąże taką nazwę hosta z dowolnym adresem IP. W chwili obecnej działa kilka takich serwisów, m.in. 8866.org, 2288.org, 6600.org, 8800.org i 9966.org. W przypadku jakichkolwiek wątpliwości co do pochodzenia pliku Word załączonego do emaila zalecane jest, aby przynajmniej sprawdzić logi firmowego gateway’a, pozwalające określić ruch między firmą a takimi serwisami. Gorączkowy początek roku Wirus w komórce dla każdego Zagrożenia z sieci: I-VI 2006 Przez pierwszych sześć miesięcy roku 2006, wydawałoby się, panował spokój. W rzeczywistości to pozory - w tym okresie powstało wiele nowych złośliwych kodów i miały miejsce kolejne ataki, mniej jednak o tym mówiono. Nowe zagrożenia mają o wiele jaśniej zdefiniowany cel, ataki są naprawdę dobrze zamaskowane, a przestępcy ciągle znajdują sposoby na przerwanie linii obrony. • 185 tysięcy wirusów istnieje obecnie, ale ich liczba gwałtownie rośnie Popularny phishing Wirus Da Vinci Code - prawda czy fałsz? Największa zmiana, jaka zaszła w ciągu ostatnich dwudziestu lat nie dotyczy typów wirusów czy ilości "złośliwego oprogramowania" (malware) lecz motywacji, jaką kierują się twórcy wirusów. Najbardziej istotna jest ewolucja autorów wirusów - od osób traktujących ich pisanie jako hobby, do grup przestępczych tworzących złośliwe aplikacje w celu uzyskania korzyści finansowych. Tendencja ta utrzymuje się. Większość przypadków tworzenia nowych niszczycielskich kodów ma podłoże finansowe, a ich celem jest przekształcenie zarażonego komputera w bota wykorzystywanego do rozsyłania spamu lub phishingu, bądź wykradania informacji prywatnych i danych finansowych. Zagrożenia z sieci: I-VI 2006 F-Secure przeprowadził proste wyszukiwanie w domenach com/net/org/us/biz/info pod kątem popularnych nazw banków i innych instytucji finansowych. Rezultaty tego działania pokazują, że mają one nader liczną reprezentację w sieci WWW - z pewnością niektóre z nich są prawdziwe, ale większość ma zwykle na celu ukraść pieniądze nie dość ostrożnym osobom. Z przeprowadzonego niedawno badania dotyczącego technik phishingu wynika, że fałszywa witryna najbardziej przypominająca prawdziwą pod względem wizualnym była w stanie oszukać 90 % uczestników badania. W liczbie tej znaleźli się zaawansowani technicznie użytkownicy. Podstawową rolę odegrał tu wygląd, nie zaś podrobienie funkcji bezpieczeństwa. Wiele się wydarzyło w ciągu pierwszego miesiąca 2006 roku. 17 stycznia pojawił się kolejny, niezwykle agresywnie rozprzestrzeniający się robak. Robak ten, nazwany Nyxem.E (inne nazwy to: MyWife, Blackworm i Blackmal), był interesujący z dwóch powodów: po pierwsze, wykorzystywał licznik odwiedzin w celu ustalenia liczby zainfekowanych komputerów; po drugie, określonego dnia co miesiąc miał niszczyć dokumenty Word i arkusze Excela na komputerze. W czasach cyberprzestępczości nieczęsto ma się do czynienia z kodem o działaniu destrukcyjnym. Jak wspomniano, ciekawą cechą tego robaka było wykorzystanie licznika odwiedzin. Nie był to wprawdzie pierwszy taki przypadek, tym razem jednak mogliśmy uzyskać od firmy udostępniającej licznik dane statystyczne pozwalające ustalić wszystkie adresy IP, z których odwiedzano licznik. Adresy te zidentyfikowane zostały przy pomocy narzędzia F-Secure Worldmap, tworząc w ten sposób mapę rozmieszczenia zaatakowanych komputerów na całym świecie. W marcu 2005 roku F-Secure wprowadziła na rynek technologię Blacklight, wykrywającą rootkiy. Rootkity skutecznie ukrywają narzędzia pozwalające autorom złośliwych aplikacji włamać się do komputera i "robić swoje" w sposób zupełnie niezauważony. Od tego czasu obserwujemy stały wzrost liczby różnego rodzaju niebezpiecznych programów wykorzystujących technologię rootkit. Co ciekawe, większość dostawców rozwiązań z dziedziny ochrony danych wciąż nie oferuje narzędzi wykrywających rootkity, nawet pomimo głośnej w ubiegłym roku sprawy firmy Sony. A stawka jest coraz wyższa. Początek roku 2006 był szczególnie gorący, nastąpił wtedy bowiem atak (zero-day exploit) na Windows Graphic Rendering i pliki WMF (Windows Metafile) - w którym pod koniec 2005 roku wykryto "dziurę". W ciągu kilku kolejnych dni stwierdzono mnóstwo złośliwych plików wykorzystujących "dziurę" do ataku. Ponieważ nie była dostępna łata producenta oprogramowania, tymczasową pierwszą łatę opracował Ilfak Guilfanov z DataRescue. Firma Microsoft musiała zmienić dotychczasowy zwyczaj publikowania aktualizacji raz w miesiącu i kolejną łatkę udostępniła 5 stycznia. Jednym z najczęstszych celów ataku był brytyjski parlament. Na kilkadziesiąt bardzo ważnych adresów poczty elektronicznej przychodziły listy, wysyłane z komputera zlokalizowanego w Korei Południowej. W mailu znajdowała się zachęta do otworzenia załącznika z mapą, który w rzeczywistości otwierał tylne drzwi do systemu i umożliwiał pełen dostęp do danych zgromadzonych w maszynie. Najbardziej interesujące w tym przypadku jest wykorzystanie socjotechniki – odbiorca otrzymywał wiadomość rodem z filmów szpiegowskich i...otwierał ją. Wirus na Macintosha W tej sytuacji można przytoczyć podsumowanie artykułu opublikowanego latem ubiegłego roku w magazynie Neuron: "Jeżeli nie widzisz czegoś często, często nie będziesz tego zauważał". Można także powiedzieć: "Jeżeli nie widzisz podróbek często, często nie będziesz zauważał podróbek". Dlatego też wielu twórców wizualnie łudzących stron internetowych służących do phishingu w mniejszym stopniu polega na sprytnych wybiegach technicznych , a w znacznie większym na niedoskonałości możliwości percepcyjnych ludzkiego mózgu. Jeżeli coś wygląda jak to, czego oczekuje mózg, często nie będzie on w stanie zauważyć, że to coś innego. Zagrożenia z sieci: I-VI 2006 • 60 sekund tyle potrzebują złodzieje, aby przy pomocy laptopa przejąć kontrolę nas samochodem z systemem bezkluczykowego zapłonu. W marcu 2006 roku wykryto pierwszy w telefonie komórkowym program typu spyware - Flexispy. Jest to aplikacja komercyjna. Klient loguje się do portalu, a oprogramowanie po zainstalowaniu na telefonie komórkowym monitoruje wszystkie wykonane połączenia, wysłane wiadomości SMS i MMS, i przekazuje te informacje na portal. Nowocześni złodzieje samochodów Co to za dokument? Pod koniec maja wiele mówiono o nowej "dziurze" w programie Word. Jak informują niektóre źródła, jedna z amerykańskich firm otrzymała e-maile wysłane z zewnątrz, ale spreparowane w taki sposób, że wyglądały jak wewnętrzne e-maile firmy. Zawierały one załącznik - dokument w formacie *.doc. Po otwarciu plik uruchamiał backdoor ukryty przy pomocy rootkita, pozwalający na nieograniczony dostęp atakującego do komputera, z hosta zarejestrowanego w chińskiej domenie 3322.org. Pliki w formacie *.doc stanowią cel ataku z wielu przyczyn. Kilka lat temu, kiedy problemem nr 1 były makrowirusy w wielu firmach bramki poczty elektronicznej odrzucały załączniki w formacie *.doc. Obecnie jednak pliki *.doc zwykle się przepuszcza. Problemem o większym znaczeniu jest to, że w programie Word są luki, a użytkownicy zwykle nie instalują łat do Worda, podobnie jak łat do systemu Windows. Dlaczego zatem banki nie umożliwiają personalizowania interfejsu internetowego konta bankowego przy pomocy wybranego przez siebie zdjęcia? Np. własnej twarzy użytkownika? Jego zwierzaka? Jego dziewczyny lub chłopaka? Czegoś co związane byłoby wyłącznie z nim – czegoś, czego brakowałoby wyraźnie, gdyby nie było obecne na stronie. Niektóre firmy pracują już nad technologią personalizacji wizualnej. Rozwiązanie to uważane jest za dobry pomysł, mogący przyczynić się do ograniczenia skali phishingu.

• Przeczytaj

  • SII
  • Bankowość
  • Książki
  • Tenis
  • Estrada
  • Z życia
  • Maszyny do pakowania
  • Budownictwo
  • Agencje-fotograficzne
  • SEM
  • Nauka-jazdy
  • Sprzet-medyczny
  • Kosmetyki,Uroda
  • Rolety,Żaluzje,Okna
  • gry_komputerowe
  • Jubiler,Biżuteria
  • RTV,AGD
  • Motocykle
  • Stomatologia,Zdrowie
  • mieszkania_nieruchomosci
  • Dj,Muzyka,Dyskdzokej
  • nauka_języków
  • tv_kamery
  • dla_dzieci
  • dostawa_wody
  • drukarnia_wielkoformatowa
  • wynajem_aut
  • wynajem_aut
  • łazienka
  • meble_ogrodowe
  • okna_drzwi

• Sprawdź także

  • Portugalia
  • łysienie plackowate
  • hurtownia odżywek
  • ks. Piotr Pawlukiewicz
  • Bestia katalog kujawsko-pomorskie
  • Kukica
  • Blog znajomego
  • Marek

• Archiwum

  • 2012 Luty
  • 2012 Styczeń
  • 2011 Grudzień
  • 2011 Listopad
  • 2011 Październik
  • 2011 Wrzesien
  • 2011 Sierpień
  • 2011 Lipiec
  • 2011 Czerwiec
  • 2011 Maj
  • 2011 Kwiecień
  • 2011 Marzec
  • 2011 Luty
  • 2011 Styczeń
  • 2010 Grudzień
  • 2010 Listopad
  • 2010 Październik
  • 2010 Wrzesien
  • 2010 Sierpień
  • 2010 Lipiec
  • 2010 Czerwiec
  • 2010 Maj
  • 2010 Kwiecień
  • 2010 Marzec
  • 2010 Luty
  • 2010 Styczeń
  • 2009 Grudzień
  • 2009 Listopad
  • 2009 Październik
  • 2009 Wrzesien
  • 2009 Sierpień
  • 2009 Lipiec
  • 2009 Czerwiec
  • 2009 Maj
  • 2009 Kwiecień
  • 2009 Marzec
  • 2009 Luty
  • 2009 Styczeń
  • 2008 Grudzień
  • 2008 Listopad
  • 2008 Październik
  • 2008 Wrzesien
  • 2008 Sierpień
  • 2008 Lipiec
  • 2008 Czerwiec
  • 2008 Maj
  • 2008 Kwiecień
  • 2008 Marzec
  • 2008 Luty
  • 2008 Styczeń