Milióny škodlivého softvéru a tisíce škodlivých hackerských gangov sa potulujú dnešným online svetom a lovia ľahké podvody. Opakovaným používaním rovnakej taktiky, ktorá fungovala roky, ak nie desaťročia, nerobia nič nové alebo zaujímavé pri využívaní našej lenivosti, zlyhania v úsudku alebo obyčajnej idiocie.
Každý rok však výskumníci v oblasti antimalwaru narazia na niekoľko techník, ktoré zdvihnú obočie. Tieto inšpirované techniky, ktoré používajú malware alebo hackeri, posúvajú hranice škodlivého hackingu. Predstavte si ich ako inováciu v deviácii. Rovnako ako všetko inovatívne, aj mnohé sú mierou jednoduchosti.
[Verte si 14 špinavými trikmi bezpečnostného konzultanta v oblasti IT, 9 populárnymi bezpečnostnými postupmi v oblasti IT, ktoré jednoducho nefungujú, a 10 šialenými bezpečnostnými trikmi, ktoré fungujú. | Naučte sa, ako zabezpečiť svoje systémy pomocou špeciálnej správy webového prehľadávača Deep Dive PDF a bulletinu Security Central, z oboch. ]
Vezmite si makrovírus z Microsoft Excel z 90. rokov, ktorý potichu, náhodne nahradil nuly veľkými písmenami O v tabuľkách, a okamžite transformoval čísla na textové štítky s hodnotou nula - zmeny, ktoré zostali väčšinou nezistené, až potom, čo zálohové systémy neobsahovali nič iné zlé dáta.
Dnešný najgeniálnejší malware a hackeri sú rovnako nenápadní a záludní. Tu sú niektoré z najnovších techník zaznamenávania, ktoré vyvolali môj záujem ako výskumného pracovníka v oblasti bezpečnosti a získané ponaučenia. Niektoré stoja na pleciach minulých škodlivých inovátorov, ale všetci sú dnes v móde ako spôsoby, ako odtrhnúť aj tých najchudobnejších používateľov.
Tajný útok č. 1: Falošné bezdrôtové prístupové body
Žiadny hack nie je ľahšie dosiahnuteľný ako falošný WAP (bezdrôtový prístupový bod). Ktokoľvek, kto používa trochu softvéru a bezdrôtovej sieťovej karty, môže inzerovať počítač ako dostupný WAP, ktorý je potom pripojený k skutočnému a legitímnemu WAP na verejnom mieste.
Myslite na to, že vy alebo vaši používatelia ste vždy šli do miestnej kaviarne, na letisko alebo na verejné zhromaždenie a pripojili ste sa k bezdrôtovej sieti „zadarmo“. Hackeri v spoločnosti Starbucks, ktorí nazývajú svoje falošné WAP „Starbucks Wireless Network“, alebo na letisku v Atlante ju nazývajú „Atlanta Airport Free Wireless“, majú najrôznejšie typy ľudí, ktorí sa k počítaču pripájajú behom niekoľkých minút. Hackeri potom môžu čuchať nechránené údaje z dátových tokov odosielaných medzi nechcenými obeťami a ich zamýšľanými vzdialenými hostiteľmi. Boli by ste prekvapení, koľko údajov, dokonca aj hesiel, sa stále odosiela ako text.
Tí hanebnejší hackeri požiadajú svoje obete, aby si vytvorili nový prístupový účet na používanie ich WAP. Títo používatelia s najväčšou pravdepodobnosťou použijú bežné prihlasovacie meno alebo jednu zo svojich e-mailových adries spolu s heslom, ktoré používajú inde. Hacker WAP sa potom môže pokúsiť použiť rovnaké prihlasovacie údaje na populárnych webových stránkach - Facebook, Twitter, Amazon, iTunes atď. - a obete nikdy nebudú vedieť, ako sa to stalo.
Ponaučenie: Nemôžete dôverovať verejným bezdrôtovým prístupovým bodom. Vždy chráňte dôverné informácie odosielané prostredníctvom bezdrôtovej siete. Zvážte použitie pripojenia VPN, ktoré chráni všetku vašu komunikáciu, a nerecyklujte heslá medzi verejnými a súkromnými stránkami.
Tajný útok č. 2: krádež súborov cookie
Súbory cookie prehľadávača sú úžasným vynálezom, ktorý zachováva „stav“, keď sa používateľ pohybuje na webových stránkach. Tieto malé textové súbory, ktoré do našich strojov odosiela webová stránka, pomáhajú webovej stránke alebo službe sledovať nás počas našej návštevy alebo pri viacerých návštevách, čo nám umožňuje napríklad ľahšie si kúpiť rifle. Čo sa nepáči?
Odpoveď: Keď hacker ukradne naše súbory cookie a na základe toho sa stane nami - v dnešnej dobe je to čoraz častejší jav. Namiesto toho sa autentifikujú na našich webových stránkach, akoby sme boli my a poskytli platné prihlasovacie meno a heslo.
Iste, krádež súborov cookie existuje už od vynájdenia webu, ale v dnešnej dobe nástroje tento proces uľahčujú ako klikanie, klikanie, klikanie. Napríklad Firesheep je doplnok prehliadača Firefox, ktorý umožňuje ľuďom ukradnúť nechránené cookies iným. Pri použití s falošným WAP alebo na zdieľanej verejnej sieti môže byť únos súborov cookie celkom úspešný. Firesheep zobrazí všetky názvy a umiestnenia súborov cookie, ktoré nájde, a jednoduchým kliknutím myši môže hacker prevziať reláciu (príklad, ako ľahké je používať Firesheep, nájdete v blogu Codebutler).
Horšie je, že hackeri teraz môžu ukradnúť dokonca aj súbory cookie chránené protokolom SSL / TLS a vyňuchať ich. V septembri 2011 útok tvorcov označený ako „BEAST“ dokázal, že je možné získať dokonca aj súbory cookie chránené pomocou SSL / TLS. Ďalšie vylepšenia a vylepšenia v tomto roku, vrátane známeho CRIME, ešte viac uľahčili krádež a opätovné použitie šifrovaných súborov cookie.
Pri každom zverejnenom útoku na súbory cookie dostanú webové stránky a vývojári aplikácií pokyny, ako chrániť svojich používateľov. Odpoveďou je niekedy použitie najnovšej kryptografickej šifry; inokedy to má byť deaktivácia niektorých nejasných funkcií, ktoré väčšina ľudí nepoužíva. Kľúčom je, že všetci weboví vývojári musia používať techniky bezpečného vývoja na zníženie krádeží súborov cookie. Ak váš web neaktualizoval ochranu šifrovania už niekoľko rokov, pravdepodobne ste vystavení riziku.
Ponaučenie: Aj šifrované súbory cookie môžu byť ukradnuté. Pripojte sa na webové stránky, ktoré využívajú bezpečné vývojové techniky a najnovšie kryptomeny. Vaše webové stránky HTTPS by mali používať najnovšie kryptomeny vrátane protokolu TLS verzie 1.2.
Tajný útok č. 3: Triky s názvami súborov
Hackeri používajú triky s názvami súborov, aby nás donútili spustiť škodlivý kód od začiatku škodlivého softvéru. Medzi prvé príklady patrilo pomenovanie súboru, ktoré by povzbudilo nič netušiace obete, aby naň klikli (napríklad AnnaKournikovaNudePics) a použitie viacerých prípon súborov (napríklad AnnaKournikovaNudePics.Zip.exe). Microsoft Windows a ďalšie operačné systémy dodnes ľahko skrývajú „známe“ prípony súborov, vďaka čomu bude AnnaKournikovaNudePics.Gif.Exe vyzerať ako AnnaKournikovaNudePics.Gif.
Pred rokmi sa malvérové vírusové programy známe ako „dvojčatá“, „trenie“ alebo „sprievodné vírusy“ spoliehali na málo známu vlastnosť systému Microsoft Windows / DOS, kde aj keby ste zadali názov súboru Start.exe, Windows by vyzerali pre a ak sa nájdu, vykonajte namiesto toho Start.com. Sprievodné vírusy vyhľadajú všetky súbory .exe na vašom pevnom disku a vytvoria vírus s rovnakým názvom ako EXE, ale s príponou .com. Spoločnosť Microsoft to už dávno napravila, ale jej objavenie a zneužitie prvými hackermi položilo základy invenčným spôsobom, ako skryť vírusy, ktoré sa naďalej vyvíjajú.
Medzi sofistikovanejšie triky na premenovanie súborov, ktoré sa v súčasnosti používajú, patrí použitie znakov Unicode, ktoré majú vplyv na výstup názvu súboru. Napríklad znak Unicode (U + 202E), ktorý sa nazýva Prepísanie sprava doľava, môže oklamať mnoho systémov, aby zobrazili súbor, ktorý sa skutočne volá AnnaKournikovaNudeavi.exe, ako AnnaKournikovaNudexe.avi.
Ponaučenie: Kedykoľvek je to možné, pred spustením súboru sa uistite, že poznáte skutočný a úplný názov ľubovoľného súboru.
Tajný útok č. 4: Poloha, umiestnenie, umiestnenie
Ďalším zaujímavým trikom stealth, ktorý používa operačný systém sám proti sebe, je trik umiestnenia súboru známy ako „relatívny verzus absolútny“. Ak by ste v starších verziách systému Windows (Windows XP, 2003 a starších) a iných skorších operačných systémoch zadali názov súboru a stlačili kláves Enter, alebo ak by operačný systém hľadal súbor vo vašom mene, vždy by sa začínal reťazcom najskôr vyhľadajte svoj aktuálny priečinok alebo adresár a až potom hľadajte inde. Toto správanie sa môže javiť ako dostatočne efektívne a neškodné, ale hackeri a malware ho využili vo svoj prospech.
Predpokladajme napríklad, že chcete spustiť vstavanú neškodnú kalkulačku systému Windows (calc.exe). Je to dosť ľahké (a často rýchlejšie ako použitie niekoľkých kliknutí myšou) otvoriť príkazový riadok, napísať calc.exe a stlačte kláves Enter. Malvér však môže vytvoriť škodlivý súbor s názvom calc.exe a skryť ho v aktuálnom adresári alebo domovskom priečinku; keď ste sa pokúsili spustiť calc.exe, namiesto toho by sa spustila falošná kópia.
Miloval som túto chybu ako tester penetrácie. Často, keď som sa vlámal do počítača a potreboval som povýšiť svoje oprávnenie na administrátora, vzal som neopravenú verziu známeho predtým zraniteľného softvéru a umiestnil som ho do dočasného priečinka. Väčšinou som musel umiestniť jediný zraniteľný spustiteľný súbor alebo DLL, pričom som nechal celý predtým nainštalovaný opravený program sám. Zadal by som do dočasného priečinka názov súboru spustiteľného programu a systém Windows by mi z najnovšej opravenej verzie načítal môj zraniteľný trójsky spustiteľný súbor z môjho dočasného priečinka. Páčilo sa mi to - mohol som zneužiť plne opravený systém s jedným chybným súborom.
Systémy Linux, Unix a BSD majú tento problém vyriešený už viac ako desať rokov. Spoločnosť Microsoft opravila problém v roku 2006 vydaním Windows Vista / 2008, aj keď v starších verziách problém pretrváva kvôli problémom so spätnou kompatibilitou. Spoločnosť Microsoft už mnoho rokov varuje a učí vývojárov, aby v rámci svojich vlastných programov používali absolútne (skôr než relatívne) názvy súborov alebo ciest. Desiatky tisíc starších programov sú napriek tomu zraniteľné voči lokačným trikom. Hackeri to vedia lepšie ako ktokoľvek iný.
Ponaučenie: Používajte operačné systémy, ktoré vynucujú absolútne cesty k adresárom a priečinkom, a najskôr vyhľadajte súbory v predvolených systémových oblastiach.
Tajný útok č. 5: Presmerovanie súborov hostiteľa
Väčšina súčasných používateľov počítačov nevie o existencii súboru spojeného s DNS s názvom Hosts. Súbor Hosts, ktorý sa nachádza v priečinku C: \ Windows \ System32 \ Drivers \ Etc v systéme Windows, môže obsahovať položky, ktoré odkazujú zadané názvy domén na ich príslušné adresy IP. Súbor Hosts bol pôvodne používaný serverom DNS ako spôsob, ako môžu hostitelia lokálne vyhľadávať adresy typu IP to IP bez toho, aby museli kontaktovať servery DNS a vykonávať rekurzívne preklady mien. DNS je vo väčšine prípadov v poriadku a väčšina ľudí nikdy so svojim súborom Hosts nekomunikuje, hoci tam je.
Hackeri a malware radi píšu svoje vlastné škodlivé záznamy do hostiteľov, takže keď niekto napíše populárny názov domény - povedzme bing.com -, bude presmerovaný na niekde inde škodlivejšie. Škodlivé presmerovanie často obsahuje takmer dokonalú kópiu pôvodnej požadovanej webovej stránky, takže dotknutý používateľ o zmene nevie.
Toto zneužitie sa dnes ešte stále používa.
Ponaučenie: Ak nemôžete zistiť, prečo dochádza k škodlivému presmerovaniu, pozrite si súbor Hosts.
Stealth útok č. 6: Napádanie napajedla
Útoky na napajedlá dostali svoje meno podľa svojej dômyselnej metodiky. Pri týchto útokoch hackeri využívajú skutočnosť, že ich cieľové obete sa často stretávajú alebo pracujú na konkrétnom fyzickom alebo virtuálnom mieste. Potom toto miesto „otrávia“, aby dosiahli škodlivé ciele.
Napríklad väčšina veľkých spoločností má miestnu kaviareň, bar alebo reštauráciu, ktorá je obľúbená medzi zamestnancami spoločnosti. Útočníci vytvoria falošné WAP v snahe získať čo najviac poverení spoločnosti. Alebo útočníci zlomyseľne upravia aj často navštevované webové stránky, aby tak učinili. Obete sú často uvoľnenejšie a nič netušiace, pretože cieľovým miestom je verejný alebo sociálny portál.
Útoky na Waterhole sa tento rok stali veľkou novinkou, keď došlo k kompromitácii niekoľkých významných technologických spoločností, okrem iných aj spoločností Apple, Facebook a Microsoft, kvôli populárnym webovým serverom pre vývoj aplikácií, ktoré ich vývojári navštívili. Webové stránky boli otrávené škodlivými presmerovaniami JavaScriptu, ktoré nainštalovali škodlivý softvér (niekedy nula dní) na počítače vývojárov. Ohrozené vývojové pracovné stanice sa potom použili na prístup do vnútorných sietí spoločností, ktoré sa stali obeťami.
Ponaučenie: Uistite sa, že si vaši zamestnanci uvedomujú, že populárne „napájadlá“ sú bežnými hackerskými cieľmi.
Tajný útok č. 7: Návnada a výmena
Jedna z najzaujímavejších prebiehajúcich hackerských techník sa nazýva bait and switch. Obetiam sa hovorí, že sťahujú alebo prevádzkujú jednu vec, a dočasne to tak sú, potom sa to však vypne so škodlivým predmetom. Príkladov je neúrekom.
Rozširovači škodlivého softvéru bežne kupujú reklamný priestor na populárnych webových stránkach. Webovým stránkam sa pri potvrdení objednávky zobrazí nenápadný odkaz alebo obsah. Web schvaľuje reklamu a berie peniaze. Zlý človek potom prepne odkaz alebo obsah na niečo škodlivejšie. Nový škodlivý web často zašifrujú, aby divákov presmerovali späť na pôvodný odkaz alebo obsah, ak si ich niekto prezerá z adresy IP patriacej pôvodnému schvaľovateľovi. To komplikuje rýchlu detekciu a odstránenie.
Najzaujímavejšie útoky typu „návnada a prepínač“, ktoré som v poslednej dobe videl, sa týkajú zločincov, ktorí vytvárajú „bezplatný“ obsah, ktorý si môže ktokoľvek stiahnuť a použiť. (Mysli na administratívnu konzolu alebo počítadlo návštevníkov v dolnej časti webovej stránky.) Tieto bezplatné applety a prvky často obsahujú licenčnú doložku, ktorá v tomto zmysle hovorí: „Môže byť voľne znovu použitá, pokiaľ zostane pôvodný odkaz.“ Nič netušiaci používatelia používajú obsah v dobrej viere, pričom pôvodný odkaz zostávajú nedotknutý. Pôvodný odkaz zvyčajne nebude obsahovať nič iné ako znak grafického súboru alebo niečo iné triviálne a malé. Neskôr, po zahrnutí falošného prvku do tisícov webových stránok, pôvodný škodlivý vývojár zmení neškodný obsah na niečo škodlivejšie (napríklad škodlivé presmerovanie kódu JavaScript).
Ponaučenie: Dajte si pozor na akýkoľvek odkaz na akýkoľvek obsah, ktorý nemáte priamo pod kontrolou, pretože ho môžete bez vášho súhlasu okamžite vypnúť.
