Archiwum Wrzesień 2015

Ataki i obrona – krajobraz zagrożeń

Przedstawiam fragment wywiadu z Rajem Samanim, CTO EMEA firmy Intel Security.
Pracuję w tej chwili nad nieco szerszym tekstem, który obejmie zagadnienia obrony przed różnymi atakami. Wywiad, którego udzielił mi Raj Samani będzie bardzo przydatny.

Sztuczna inteligencja

Nasza konferencja Miasto 2.0 miała być zareklamowana za pomocą Adwordsów. Reklama została odrzucona przez tzw. sztuczną inteligencję Google’a.
Oto miniatura:
Reklama miasto 2.0

Dlaczego głupi gógiel odrzucił ten obraz?

Przyczyną był herb Warszawy, który zawiera zarówno odsłoniętą kobiecą pierś, jak i miecz.

Sex and violence – oto przyczyna.

Współczuję tym, którzy muszą reklamować cokolwiek związanego z naszym miastem stołecznym przez amerykańskie sieci reklamowe. Nie spodziewałem się tak posuniętego kretynizmu i nie przypuszczałem, że algorytm gógla nie zna herbu Warszawy!

Jak przyciągnać czyjąś uwagę?

Po coraz ciekawsze sposoby zwrócenia uwagi i zachęcenia do otwarcia pliku sięgają ostatnio cyberprzestępcy. Tym razem ewidentnie uderzyli w małe firmy. W kilku skrzynkach zbierających spam pojawiły się dziś takie wiadomości (pisownia oryginalna, podziały wierszy również):

16.07.2015 dyrektor Finansowy banku IPKO Laura Majko wystąpiła z wnioskiem,że od początku marca bieżącego roku, wszystkie przelewy są wykonywane pod ścisłym nadzorem urzędu podatkowego
i głownego banku Unii europejskiej w Brukseli.
Zostanie wprowadzony system limitow i automatycznej kontroli, w niektorych przypadkach pełny audyt.
Pełny raport w załączonym pliku.

Wiadomość zachęcająca do otwarcia pliku
W środku wiadomości znajduje się archiwum ZIP, zawierające plik .scr. Ten plik to oczywiście dropper instalujący jakąś odmianę Cryptolockera. Analiza nie pozostawia wątpliwości:
wirusik
Dlaczego uderzyli w małe firmy? Bo duże firmy mają prawnika oraz sprawne IT, na rzeczy się znają i na coś takiego się nie nabiorą. Zwykłych użytkowników domowych to niezbyt interesuje. A małe firmy nie zawsze znają się na zawiłościach niektórych transakcji finansowych, nie zawsze mają sprawny dział IT, są podatne na socjotechnikę i być może dadzą się nabrać na Cryptolockera – a potem zapłacą okup.

Niestety znowu nie wszystkie antywirusy znają ten kod. Wczoraj byłem na konferencji firmy Check Point, na której specjaliści omawiali dwie nowe technologie, które być może pomogą w zablokowaniu podobnych ataków. Szczegóły w najnowszym numerze Computerworld.

Krytyczna luka w systemie Apple OS X umożliwia zdalną kradzież haseł

Dwóch badaczy (Antoine Vincent Jebara oraz Raja Rahbani) zajmujących się oprogramowaniem myki przeznaczonym do zarządzania tożsamością odkryło bardzo poważny błąd we wszystkich aktualnie wspieranych wersjach systemu OS X. Błąd ten umożliwia zdalne przechwycenie zapisanych haseł i nie wymaga niemal żadnej aktywności ze strony użytkownika. Aplikacja w systemie OS X może zażądać dostępu do kluczy kryptograficznych i sama sobie udzielić zgody przez zasymulowane kliknięcie przycisku w oknie żądania zgody na dostęp. Komendy związane z udzielaniem zgody mogą być wydane przez złośliwe oprogramowanie zaszyte w aplikacji lub jako dodatek związany z wyświetlaniem wideo. Cały proces trwa krócej niż sekundę i jak podają badacze, może omijać większość zabezpieczeń. Badacze w liście otwartym do CSO piszą:

„Podatność jest ekstremalnie krytyczna. Umożliwia każdemu przechwycenie wszystkich twoich haseł w sposób zdalny poprzez pobranie pliku, który nie wydaje się złośliwy i nie może być sklasyfikowany jako taki przez detektory malware’u – gdyż nie wykazuje typowych dla malware’u zachowań. Istnieje kilka możliwych do wykorzystania wektorów ataku, wliczając wysłanie pliku pocztą elektroniczną, wyświetlenie w przeglądarce albo atak peer-to-peer”.

Oto demonstracja ataku tą drogą:

Badacze poinformowali Apple, ale nie uzyskali żadnej odpowiedzi. Apple nie wydało żadnej łaty usuwającej daną podatność.

Tymczasem jak podaje Dan Goodin z serwisu arstechnica.com, włamywacze korzystają z tej techniki już od ponad czterech lat – w analizowanym fragmencie kodu odpowiedzialnego za wyświetlanie reklam. Technika penetracji łańcucha kluczy była po raz pierwszy wykorzystywana w 2011r. przez malware o nazwie KeyRobber. Złośliwe oprogramowanie zwróciło na siebie uwagę różnych badaczy, gdyż przejmowało kontrolę nad akceleratorami GPU w celu uruchamiania procesów mających na celu wyliczanie wirtualnej waluty bitcoin. KeyRobber wykorzystywał tę lukę za pomocą sprytnego użycia języka skryptowego AppleScript.

Kod w wirusie KeyRobber, który umożliwia kradzież haseł w Apple OSX

Kod w wirusie KeyRobber, który umożliwia kradzież haseł w Apple OSX

Badacze z firmy Malwarebytes potwierdzili, że technika stosowana jeszcze w 2011r. jest skuteczna do dziś jeśli tylko użytkownik wcześniej pozwolił danej aplikacji (może być nią przeglądarka lub odtwarzacz wideo) na użycie skryptów. Ze względu na wygodę działania, użytkownicy niemal we wszystkich przypadkach takiej zgody udzielili.
Tę samą technikę wykorzystywał instalator Genieo – oprogramowania wyświetlającego spam reklamowy bez zgody użytkownika za pomocą manipulacji listami rozszerzeń przeglądarki Safari, również zabezpieczanej za pomocą systemowego narzędzia Keychain.