Archiwum kategorii (nie)bezpieczeństwo

Od Javascriptu do ransomware’u

Od kilku dni w mojej skrzynce pojawiają się wiadomości, które rzekomo sam do siebie wysłałem.
e-mail
Takich maili przychodzi coraz więcej, najwyraźniej włamywacze komputerowi nauczyli się sprawniej omijać filtry antyspamowe. W załączniku takiego maila, zamiast pliku wykonywalnego lub dokumentu z eksploitem znalazłem coś innego – jest tam pojedynczy plik ze skryptem:
zrzut_ekranu-CUT3261123725.js (-tmp-.fr-LJvW3c) - gedit
Jak widać jest to zaciemniony kod Javascript, który ma za zadanie pobranie dalszych składników złośliwego oprogramowania. Trudno odmówić twórcom poczucia humoru – główna funkcja, która składa i pobiera malware nazywa się „instability”.
Niestety obfuskacja Javascriptu jest dość skutecznym narzędziem, bo nie każdy antywirus potrafi zablokować sam skrypt pobierający malware. Oto analiza z Virustotal.com, proszę zwrócić uwagę których producentów NIE ma na liście:
zrzut_ekranu-66
Końcowym etapem będzie instalacja złośliwego oprogramowania, które zaszyfruje dokumenty użytkownika i zażąda za nie okupu. Wyniki analizy w środowisku piaskownicy nie pozostawiają wątpliwości – to jest znany wirus o nazwie Locky:
locky
Pamiętajcie – nawet zwykły plik tekstowy w pospolitym archiwum ZIP może przynieść szkody, jeśli tylko pozwoli się na uruchomienie zawartego w nim skryptu. Wirus działa w ukryciu i wyświetla komunikaty dopiero wtedy, gdy już jest za późno. Oto taki komunikat (źródło – blog F-Secure):
locky-recover-instructions
Niestety Locky, podobnie jak Teslalocker oraz Cryptolocker coraz częściej infekują komputery w polskich firmach. Obecne wersje nie mają już błędu w implementacji algorytmu szyfrującego i odtworzenie kluczy jest już znacznie trudniejsze. Złodzieje nauczyli się także usuwać kopie migawkowe na woluminie, zatem odtworzenie danych za pomocą przywrócenia stanu sprzed infekcji będzie o wiele trudniejsze. Na szczęście nie potrafią usuwać plików z systemów obiegu dokumentów, a w kilku przypadkach pomaga sprytna sztuczka, polegająca na dołożeniu do profilu naprawdę dużego pliku (2GB) zawierającego losowe dane, opatrzonego odpowiednią nazwą. Za złośliwym oprogramowaniem Locky prawdopodobnie stoją ci sami ludzie, którzy rozsiewają konie trojańskie z serii Dridex.

Disaster bez recovery

27 lutego firma Adweb napisała na swoim profilu Facebookowym i stronie 2be.pl o tym, że w wyniku włamania straciła kontrolę nad wszystkimi usługami hostingowymi świadczonymi dla prawie 2 tys domen. Procedura disaster recovery nie została zaimplementowana poprawnie, po dwóch tygodniach pracy udało się odtworzyć backup z czerwca ubiegłego roku. Na odtworzenie danych klientów tuż sprzed zniszczeń praktycznie nie ma szans. Dodatkowo negatywny przekaz wzmacnia totalnie nieprofesjonalny PR właściciela przedsiębiorstwa.

Więcej »

Wirusy dla Linuksa?

Przez długi czas wydawało się to niemożliwe – mnogość różnych dystrybucji oraz konfiguracji poważnie utrudniała masowe infekcje komputerów pracujących pod kontrolą Linuksa. System ten, jak każdy inny, posiada podatności i napisanie eksploita wcale nie jest szczególnie trudne. Do tej pory jednak było to nieopłacalne, gdyż liczba stacji roboczych z Linuksem była nieco powyżej błędu statystycznego.
Oczywiście pod kontrolą Linuksa pracuje większość serwerów, a także urządzeń osadzonych. O ile serwery są w większości przypadków sprawnie aktualizowane, z Linuksem w urządzeniach osadzonych bywa zupełnie inaczej. Aktualizacji nikt nie wprowadza, czasami nawet nie powstają w ogóle nowe wersje firmware’u. poza tym kto myśli o ustawieniu dobrych haseł do takich urządzeń?

Włamywacze zatem znaleźli model biznesowy, w którym masowo włamują się do urządzeń takich jak kamerki, a następnie automatycznie instalują złośliwe oprogramowanie, które potem posłuży do ataków DDoS za pieniądze. Aby obejść problem różnorodności oprogramowania, zbudowali cały system kross-kompilacji i konsolidacji pod kątem docelowej platformy, oskryptowali wszystko, co potrzeba do infekcji. Wykorzystali także dość szczególną własność zdalnego połączenia przez SSH.
Miałem okazję analizować system w jednej z kamerek internetowych i przyznaję, że oprogramowanie zostało bardzo sprytnie napisane. Bezpośrednią przyczyną infekcji była jednak nie luka w jakims oprogramowaniu ale domyślne hasło („admin”). Kto nie zmienił hasła – niech się wstydzi. A potem niech niezwłocznie zmieni!
Zapraszam do lektury na łamach Computerworlda.

E-mail jest niebezpieczny…

…jeśli się nie umie z niego korzystać. Co pewien czas w mojej skrzynce oprócz pospolitego spamu znajdują się również maile podobne do tego, który otrzymał dziś nasz naczelny:
zrzut
Przyczyną zdenerwowania tego pana był problem zwany popularnie gąsienicą adresów (nie, nie łańcuszkiem maili, to inne zjawisko).
Oto geneza gąsienicy:
– Osoba taka jak pani Anna D. z firmy Inmedia wysyła mailingi i nie ma pojęcia o tym, jak należy to poprawnie robić.
– Każdy z odbiorców mailingu otrzymuje kompletną listę maili.
– Jeśli na choć jednym z komputerów, który taki mailing otrzymały, znajdzie się złośliwe oprogramowanie posiadające harvester adresów (narzędzie do pozyskiwania wszystkich adresów e-mail), to cała lista odbiorców oryginalnego mailingu trafia do bazy spamerskiej.
– Na skrzynkę docelowo przyjdzie więcej spamu.

Kiedyś interesowałem się tym tematem, do analizy posłużyłem się tymczasowymi adresami udostępnianymi przez portal o2 (domeny jadamspam oraz łykamspam – 🙂 ). Od odpowiedzi na podobny mailing do pierwszego spamu mijają średnio dwa tygodnie.
Swoją drogą od firmy Inmedia nie dostałem w ciągu ostatniego roku żadnego spamu PR, najwyraźniej target nie ten.

Ataki i obrona – krajobraz zagrożeń

Przedstawiam fragment wywiadu z Rajem Samanim, CTO EMEA firmy Intel Security.
Pracuję w tej chwili nad nieco szerszym tekstem, który obejmie zagadnienia obrony przed różnymi atakami. Wywiad, którego udzielił mi Raj Samani będzie bardzo przydatny.

Jak przyciągnać czyjąś uwagę?

Po coraz ciekawsze sposoby zwrócenia uwagi i zachęcenia do otwarcia pliku sięgają ostatnio cyberprzestępcy. Tym razem ewidentnie uderzyli w małe firmy. W kilku skrzynkach zbierających spam pojawiły się dziś takie wiadomości (pisownia oryginalna, podziały wierszy również):

16.07.2015 dyrektor Finansowy banku IPKO Laura Majko wystąpiła z wnioskiem,że od początku marca bieżącego roku, wszystkie przelewy są wykonywane pod ścisłym nadzorem urzędu podatkowego
i głownego banku Unii europejskiej w Brukseli.
Zostanie wprowadzony system limitow i automatycznej kontroli, w niektorych przypadkach pełny audyt.
Pełny raport w załączonym pliku.

Wiadomość zachęcająca do otwarcia pliku
W środku wiadomości znajduje się archiwum ZIP, zawierające plik .scr. Ten plik to oczywiście dropper instalujący jakąś odmianę Cryptolockera. Analiza nie pozostawia wątpliwości:
wirusik
Dlaczego uderzyli w małe firmy? Bo duże firmy mają prawnika oraz sprawne IT, na rzeczy się znają i na coś takiego się nie nabiorą. Zwykłych użytkowników domowych to niezbyt interesuje. A małe firmy nie zawsze znają się na zawiłościach niektórych transakcji finansowych, nie zawsze mają sprawny dział IT, są podatne na socjotechnikę i być może dadzą się nabrać na Cryptolockera – a potem zapłacą okup.

Niestety znowu nie wszystkie antywirusy znają ten kod. Wczoraj byłem na konferencji firmy Check Point, na której specjaliści omawiali dwie nowe technologie, które być może pomogą w zablokowaniu podobnych ataków. Szczegóły w najnowszym numerze Computerworld.

Krytyczna luka w systemie Apple OS X umożliwia zdalną kradzież haseł

Dwóch badaczy (Antoine Vincent Jebara oraz Raja Rahbani) zajmujących się oprogramowaniem myki przeznaczonym do zarządzania tożsamością odkryło bardzo poważny błąd we wszystkich aktualnie wspieranych wersjach systemu OS X. Błąd ten umożliwia zdalne przechwycenie zapisanych haseł i nie wymaga niemal żadnej aktywności ze strony użytkownika. Aplikacja w systemie OS X może zażądać dostępu do kluczy kryptograficznych i sama sobie udzielić zgody przez zasymulowane kliknięcie przycisku w oknie żądania zgody na dostęp. Komendy związane z udzielaniem zgody mogą być wydane przez złośliwe oprogramowanie zaszyte w aplikacji lub jako dodatek związany z wyświetlaniem wideo. Cały proces trwa krócej niż sekundę i jak podają badacze, może omijać większość zabezpieczeń. Badacze w liście otwartym do CSO piszą:

„Podatność jest ekstremalnie krytyczna. Umożliwia każdemu przechwycenie wszystkich twoich haseł w sposób zdalny poprzez pobranie pliku, który nie wydaje się złośliwy i nie może być sklasyfikowany jako taki przez detektory malware’u – gdyż nie wykazuje typowych dla malware’u zachowań. Istnieje kilka możliwych do wykorzystania wektorów ataku, wliczając wysłanie pliku pocztą elektroniczną, wyświetlenie w przeglądarce albo atak peer-to-peer”.

Oto demonstracja ataku tą drogą:

Badacze poinformowali Apple, ale nie uzyskali żadnej odpowiedzi. Apple nie wydało żadnej łaty usuwającej daną podatność.

Tymczasem jak podaje Dan Goodin z serwisu arstechnica.com, włamywacze korzystają z tej techniki już od ponad czterech lat – w analizowanym fragmencie kodu odpowiedzialnego za wyświetlanie reklam. Technika penetracji łańcucha kluczy była po raz pierwszy wykorzystywana w 2011r. przez malware o nazwie KeyRobber. Złośliwe oprogramowanie zwróciło na siebie uwagę różnych badaczy, gdyż przejmowało kontrolę nad akceleratorami GPU w celu uruchamiania procesów mających na celu wyliczanie wirtualnej waluty bitcoin. KeyRobber wykorzystywał tę lukę za pomocą sprytnego użycia języka skryptowego AppleScript.

Kod w wirusie KeyRobber, który umożliwia kradzież haseł w Apple OSX

Kod w wirusie KeyRobber, który umożliwia kradzież haseł w Apple OSX

Badacze z firmy Malwarebytes potwierdzili, że technika stosowana jeszcze w 2011r. jest skuteczna do dziś jeśli tylko użytkownik wcześniej pozwolił danej aplikacji (może być nią przeglądarka lub odtwarzacz wideo) na użycie skryptów. Ze względu na wygodę działania, użytkownicy niemal we wszystkich przypadkach takiej zgody udzielili.
Tę samą technikę wykorzystywał instalator Genieo – oprogramowania wyświetlającego spam reklamowy bez zgody użytkownika za pomocą manipulacji listami rozszerzeń przeglądarki Safari, również zabezpieczanej za pomocą systemowego narzędzia Keychain.

Jak przełamać zabezpieczenia OS X? Bardzo prosto

Ostatnie kilka dni obfitowały w doniesienia o poważnych lukach w bezpieczeństwie. Oprócz podatności w Androidach (pisałem o tym w poprzednim wpisie), możliwości obejścia ograniczeń logowania w OpenSSH (istotne przy serwerach dostępnych z Internetu), badacze opublikowali detale luki, która umożliwia uzyskanie uprawnień roota w aktualnym systemie OS X Yosemite firmy Apple bez żadnej interakcji ze strony użytkownika (nie trzeba znać ani podawać hasła administracyjnego, atak można przeprowadzić w tle, w sposób niewidoczny).

Ta luka w połączeniu z dowolną inną podatnością (Flash, Java, Safari) umożliwia bardzo proste zdalne i nienadzorowane uzyskanie uprawnień systemowych.

Bardzo poważna dziura w dynamicznym linkerze

Mechanizm ataku polega na ustawieniu zmiennej DYLD_PRINT_TO_FILE na ścieżkę z nazwą pliku odpowiedzialnego za kontrolę dostępu do konta root. W ten sposób po wykorzystaniu luki w dynamicznym linkerze dyld, w pliku sudoers ustawia się uprawnienia w ten sposób, by uzyskanie UID 0 (root) było możliwe bez podawania hasła.

Oto przykład eksploita:

echo ‚echo „$(whoami) ALL=(ALL) NOPASSWD:ALL” >&3’ | DYLD_PRINT_TO_FILE=/etc/sudoers newgrp; sudo -s

Mechanizm Technobloga zamienia pojedynczy apostrof na przecinek – przeklejenie kodu z powyższego przykładu nie wystarczy do ataku (i dobrze!). Polecenia echo służą do utworzenia wiersza w pliku sudoers podobnego do tego:
marcin ALL=(ALL) NOPASSWD:ALL

powyższe w połączeniu z aplikacją newgrp i błędem w dyld sprawi, że polecenie sudo -s nada użytkownikowi (przykładowo: marcin) uprawnienia roota i uruchomi powłokę z tymi uprawnieniami.

Skutek – uprawnienia roota

W ten sposób można przejąć pełną kontrolę nad systemem OS X, bez konieczności podawania hasła administracyjnego.
Apple o tej podatności zostało poinformowane pod koniec kwietnia 2015r. ale historia wprowadzania poprawek do krytycznych podatności (m.in. znana dziura rootpipe) wskazuje, że proces usuwania tej podatności prawdopodobnie będzie trwał całymi miesiącami, o ile w ogóle zostaną usunięte w obecnej wersji systemu. Linker dyld należy do istotnych składników OS X i wprowadzanie zmian w tak ważnym narzędziu wymaga przeprowadzania długotrwałych testów. Omawiana podatność nie występuje w wersji beta następnego wydania OS X o nazwie El Capitan.
Źródło – www.sektioneins.de

Poważna luka w Androidzie umożliwia zdalne włamanie

W niemal wszystkich wersjach systemu Android istnieje podatność, która umożliwia zdalne przejęcie kontroli nad systemem operacyjnym telefonu za pomocą odpowiednio przygotowanej wiadomości MMS zawierającej wideo.

Android jest obecnie najpopularniejszym mobilnym systemem operacyjnym na świecie, pod jego kontrolą pracuje około 80% wszystkich smartfonów. W większości z tych telefonów działa podatna biblioteka odpowiedzialna za przetwarzanie wideo. Aby zdalnie przejąć kontrolę nad systemem lub załamać jego pracę wystarczy odpowiednio spreparowana wiadomość MMS.

Istota problemu

Jeśli użytkownik korzysta z aplikacji Hangouts albo Messenger, to problem jest bardzo poważny, gdyż w obu przypadkach aplikacja pobiera wideo, zapisuje i przetwarza je automatycznie, by film był od razu dostępny w galerii. Działanie eksploita jest niewidoczne i w ten sposób można przejąć kontrolę nad całym systemem telefonu, włączając w to przechwycenie dźwięku i obrazu za pomocą mikrofonu i kamery w aparacie.

O aktualizacje będzie bardzo trudno, gdyż nawet jeśli Google szybko przygotuje łatę usuwającą tę podatność (co już się stało – załatana biblioteka jest w repozytoriach github), to za dostarczenie aktualizacji dla telefonów odpowiada producent. Nie sądzę, by producenci postanowili wprowadzić aktualizacje dla tych urządzeń, które dawno utraciły wsparcie techniczne.

Obejście problemu

Problem można jednak obejść, ale wymaga to wyłączenia obsługi MMS przez aplikację Hangouts oraz Messenger (tak naprawdę najlepszym wyjściem jest odinstalowanie Hangouts) a następnie wyłączenia w natywnym kliencie MMS automatycznego pobierania wiadomości MMS. Filmy w wiadomościach MMS należy wtedy pobierać i otwierać tylko od zaufanych osób, podobnie jak to czynimy dziś z wiadomościami e-mail zawierającymi załączniki.

MMS autoretrieve

Wyłączenie automatycznego odbierania wiadomości MMS w kliencie. Tutaj na przykładzie telefonu obsługującego dwie karty SIM.

Do czego złodzieje mogą ten błąd wykorzystać

Podatność tej klasy w najpopularniejszym systemie mobilnym na świecie umożliwia powszechne infekcje telefonów za pomocą złośliwego oprogramowania. W pierwszej kolejności będą to pewnie różne odmiany ZeuSa lub innych tak zwanych „trojanów bankowych” przeznaczone do kradzieży jednorazowych haseł SMS służących do autoryzacji transakcji w systemach bankowości elektronicznej. Zdalne zainfekowanie telefonu otwiera nowe możliwości działań złodziejom. Przykładowy scenariusz kradzieży mógłby wyglądać tak:

  1. Złodziej za pomocą stacjonarnego konia trojańskiego przechwytuje informacje niezbędne do zalogowania do systemu transakcyjnego ofiary, a następnie:
  2. Infekuje telefon ofiary za pomocą odpowiednio spreparowanej wiadomości MMS,
  3. Dysponując kompletem uwierzytelnienia stacjonarnego i mobilnego loguje się z komputera ofiary do systemu bankowości elektronicznej,
  4. Wykonuje przelew lub modyfikuje numer konta zaufanego odbiorcy,
  5. Jeśli jeszcze nie zrobił przelewu, po upływie pewnego czasu loguje się do systemu bankowości elektronicznej za pomocą trojana na komputerze ofiary, autoryzując przelew SMSem jeśli potrzeba. Ma kontrolę nad telefonem ofiary

Wujek dobra rada

Możliwość zdalnej, nienadzorowanej infekcji najpopularniejszej platformy mobilnej na świecie oznacza, że trzeba inaczej spojrzeć na bezpieczeństwo transakcji w systemach bankowości elektronicznej. Oznacza to także, że rada, której od dawna udzielałem użytkownikom internetowych systemów transakcyjnych jest nadal aktualna.

Brzmi ona:

Do autoryzacji w systemie bankowości elektronicznej korzystaj wyłącznie z bardzo prostego telefonu, który nie służy do niczego innego, a jego numer nie jest znany nikomu poza tobą i bankiem.

Jeśli w szufladzie leży zapomniana Nokia 6310i, to pora ją odkurzyć i wymienić baterię, a do zatwierdzania transakcji zakupić nową kartę SIM z nowym numerem, który do niczego innego nie będzie służył. To może być nawet zarejestrowany prepaid z roczną ważnością konta. Nie będzie problemu z kosztami, gdyż nawet w roamingu odbieranie SMS nie wiąże się z żadnymi opłatami.

Został tylko BlackBerry OS
Poważne luki obserwowaliśmy kilka razy w telefonach Apple’a, w których wystarczyło wysłać SMS (najnowsze zgłoszenie podobnego błędu miało miejsce pod koniec maja 2015r.), a także w starszych smartfonach Nokii z systemem Symbian S60 (był nawet wirus roznoszący się tą drogą, ale nie zyskał dużej popularności, gdyż usługi MMS w Polsce były wtedy mało rozpowszechnione, głównie z racji na koszt tej usługi i kłopotliwą konfigurację punktu dostępu APN). Komercyjny klient SMS/MMS dla Windows Mobile 2003 również miał zbliżoną podatność. Jedynym systemem, który nie miał w swojej historii błędu tego kalibru był BlackBerry OS.

Źródło – npr.org

Błąd, który spowodował katastrofę

Niedawno zacząłem przygotowywać materiały do tekstu na temat najgorszych w skutkach błędów programistów, ale materiał jeszcze nie jest skończony (brak czasu, krytycznie pilne komercyjne projekty są zadaniami priorytetowymi). Życie napisało do niego pewien suplement w postaci katastrofy samolotu Airbus A400M. Na razie nie ma oficjalnych wyników badań komisji śledczej, ale ze wstępnych informacji wywnioskowano, że jedną z przyczyn katastrofy w dziewiczym rejsie tego samolotu było wykasowanie plików odpowiedzialnych za kalibrację momentu obrotowego podczas aktualizacji oprogramowania w komputerach sterujących pracą silników. Wykryte tuż po starcie problemy zmusiły pilotów do zmniejszenia ciągu silników do flight idle (minimum), a z tego stanu już nie mogli wyjść, gdyż oprogramowanie posiada wbudowane zabezpieczenia przed niekontrolowanym wzrostem mocy. Bez danych kalibracji momentu obrotowego, oprogramowanie sterujące pracą silników nie może odpowiednio dobierać poszczególnych ustawień silnika – stąd konieczność wprowadzenia takiego zabezpieczenia. Maszyna nie mogła utrzymać się w powietrzu tylko z jednym sprawnym silnikiem. Niestety w katastrofie zginęły cztery osoby, dwie są ciężko ranne.
Katastrofa ta na pewno będzie mieć poważne konsekwencje. Projekt tego samolotu już dawno przekroczył budżet i notuje opóźnienie liczone w latach. Rejestratory katastroficzne zajął hiszpański sąd.