Archiwum kategorii (nie)bezpieczeństwo

Fałszywe faktury przynoszą … infekcje

Internetowi złodzieje sięgają po coraz nowsze sposoby, byśmy zajrzeli do wiadomości i pobrali kolejnego konia trojańskiego. W mojej skrzynce znalazły się fałszywe faktury (zadziwiająco dobrze przechodzą przez systemy antyspamowe), powiadomienia o rejestracji w różnych serwisach, w tym BIK, a od niedawna przychodzą sfałszowane informacje o rzekomej przesyłce DHL zwróconej do adresata.
Pierwsze takie wiadomości (05 czerwca) były częściowo w języku niemieckim:

dhl-starsze

Ale złodzieje się uczą – dziś otrzymałem już nieco lepszą:
Fałszywka

Na służbową skrzynkę spływały także wiadomości z błędnie enkodowanym załącznikiem w treści
Fałszywka z załącznikiem inline

Oczywiście wszystkie linki w wiadomości wiodą prosto do archiwum ZIP…
pobieranie fałszywej faktury
…które to archiwum zawiera plik wykonywalny. Szybka analiza na świetnej stronie virustotal udowadnia, że jest to dropper znanego konia trojańskiego Emotet.
Analiza za pomocą virustotal
Ku mojemu zdziwieniu zaledwie kilka antywirusów zna ten kod, mimo to, że według Microsoftu kampanie z użyciem Emoteta trwały co najmniej od listopada 2014r.
W archiwum microsoftowego Technetu można znaleźć opracowanie ataków, w których używano tego konia trojańskiego – oto link do wpisu ze stycznia 2015r. Początkowo atak kierowano na rynek niemiecki, obecnie na celowniku są użytkownicy komputerów domowych w naszym kraju.

Pierwsze ataki z użyciem Emoteta, styczeń 2015, źródło: Microsoft, Technet

Rozkład ataków z użyciem Emoteta, styczeń 2015, źródło: Microsoft, Technet

Zachęcam wszystkich Czytelników do zachowania szczególnej ostrożności. W taki link nie wolno klikać, gdyż każdy z nich jest na swój sposób unikalny i złodzieje będą mogli wyśledzić adres e-mail i ocenić skuteczność kampanii phishingowej. Jednocześnie zbierają informacje na temat podatnych systemów – a takie informacje stanowią cenny kąsek.

Jaki będzie skutek działania złodziei?
Ukradzione hasła, kradzież danych, a przede wszystkim pieniędzy z kont bankowości elektronicznej.

Nie klikaj – nie daj się złowić.

Oszustwo zawsze w cenie

Gdy pisałem tekst o bezpieczeństwie transakcji elektronicznych (ukazał się niecały miesiąc temu), w jednym ze śródtytułów nawiązałem do faktu, że złodzieje posłużą się dowolnym środkiem, który prowadzi do celu. Jedną z metod jest pospolite oszustwo – złodzieje wysyłają podrobiony dokument informujący o zmianie numeru konta bankowego. W ten sposób oszukano warszawskie metro, szpitale we Wrocławiu i Bolesławcu oraz prawdopodobnie wiele innych organizacji.
Życie do tego tekstu dopisało niespodziewany epilog. Podlaski Zarząd Dróg Wojewódzkich przelał na rachunek złodziei blisko 4 miliony złotych, które miały trafić do wykonawcy robót drogowych w ramach jednej z transzy zapłaty za wykonane prace.
To jest duża inwestycja, zrealizowana w większej części ze środków unijnych. Mechanizm oszustwa był taki sam, jak w przypadku warszawskiego metra czy obu wspomnianych szpitali: złodzieje założyli rachunek bankowy na podstawioną osobę, wysłali podrobioną wiadomość z informacją o rzekomej zmianie rachunku i podjęli pieniądze natychmiast po realizacji przelewu. Zdarzenie potwierdziła rzecznik marszałka województwa podlaskiego, sprawę prowadzi właściwa miejscowo komenda wojewódzka policji na zlecenie Prokuratury Apelacyjnej w Białymstoku.

Jak można się zabezpieczyć przeciw podobnym zdarzeniom?
Czasami pomaga zdrowy rozsądek:

  • Wdrożyć i ścisłe przestrzegać procedury sprawdzania informacji dotyczących płatności firmowych.
  • Dyspozycja zmiany rachunku powinna się odbywać tylko razem z fakturą.
  • Numer konta należy sprawdzić i porównać z oficjalnie publikowanym rachunkiem, choćby na stronie firmy (wiele przedsiębiorstw podaje taką informację publicznie). Wątpliwości można wyjaśnić przez telefon.
  • Każdą zmianę należy potwierdzić – np. zadzwonić do działu księgowości pod numer telefonu podany w oficjalnym spisie.

Dreamliner i obejście problemu

Niejednokrotnie w trakcie eksploatacji jakiegoś rozwiązania ujawniony zostaje bardzo poważny problem, którego wystąpienie można jednak wcześniej przewidzieć i przygotować odpowiednie programy zaradcze. W takim przypadku obejście problemu może być równie skuteczne, co jego ostateczne usunięcie.
Przykładem właśnie takiego działania jest zaproponowana przez Boeinga dyrektywa RIN 2120 – AA64 dotycząca samolotów Boeing 787 Dreamliner. Samolot ten ma skomplikowany system elektryczny (nie korzysta już z energii sprężonego powietrza bleed air pochodzącego ze sprężarek silników), a zatem posiada generatory energii elektrycznej o odpowiednio dużej mocy. Właśnie w oprogramowaniu komputerów sterujących tymi generatorami znajduje się błąd, który przypomina przepełnienie 32 bitowej zmiennej przez wartość licznika taktowanego sto razy na sekundę (przepełnienie nastąpi po 248 dniach). Skutkiem przepełnienia we wszystkich generatorach (zazwyczaj uruchamianych w krótkich odstępach czasu po sobie) jest przejście w tryb awaryjny i utrata zasilania. Taka awaria w locie prawdopodobnie skutkowałoby utratą kontroli nad maszyną. Boeing podjął zatem działanie zaradcze – proponuje wydanie dyrektywy AD (airworthiness directive), która nakazuje okresowe wyłączanie generatorów do czasu wydania nowej wersji oprogramowania. Wyłączenie można z powodzeniem wykonać na ziemi i według informacji Boeinga, we wszystkich Dreamlinerach generatory były wyłączane po 120 dniach w ramach regularnych czynności serwisowych. Czasami najprostsze sposoby są skuteczne.

Wirusik w skrzynce

Często spotykaną drogą infekcji komputera jest spam, dlatego co pewien czas przeglądam zawartość cyfrowych śmieci w poszukiwaniu ciekawych wiadomości, których zadaniem jest zainfekowanie komputera.
Oto jedna z nich – informuje rzekomo o zamrożeniu konta w związku z naruszeniem zasad korzystania z usługi (TOS):

Your account #730591542735 was frozen for violation of our TOS.
Please see attached.

=====
Sheena Forberg
Bui Khac Vinh
425, rue Sherbrooke Est, Montréal, QC H2L 1J9

CANADA
514-892-3833

W załączniku jest plik ZIP zawierający plik wykonywalny Windows o rozszerzeniu .scr. Oczywiście jest to dropper wirusa – badanie za pomocą virustotal.com nie pozostawia wątpliwości.
virustotal
Dropper ten był odpowiednio optymalizowany pod względem wykrywania – z najpopularniejszych antywirusów znają go jedynie AVG, ESET-NOD32 i Kaspersky – a zatem prawdopodobnie przeszedłby przez filtry wielu firm.

Po dokładniejszym badaniu w maszynie wirtualnej okazało się, że instalowany wirus jest jedną z odmian CTB-Lockera, programu, który szyfruje dokumenty użytkownika, a następnie żąda za nie okupu.

CTB Locker

Warto rozważyć wprowadzenie reguł, które usuną z kolejki te wiadomości e-mail, które zawierają pliki wykonywalne Windows zarówno przesyłane bezpośrednio w załączniku (od 2006r. są na to gotowe wyrażenia i sposoby konfiguracji serwera pocztowego qmail), jak i wewnątrz archiwum ZIP. Polecam wprowadzenie takiego filtru w firmie, gdyż plików wykonywalnych od dawna nie wysyła się w załączniku poczty elektronicznej.

Zapomniany certyfikat

Czasami zwykłe zapomnienie może być przyczyną przerw w dostępności usług, mimo sprawnego sprzętu i aplikacji. Wystarczy, że firma zapomni zainstalować na czas nowy certyfikat bezpieczeństwa. Taka wpadka przydarzyła się w niedzielę Google – administratorzy serwisów poczty elektronicznej zapomnieli odnowić certyfikat Google Internet Authority G2 (wydany przez GeoTrust Global CA). Skutek? Problemy z wysyłaniem poczty elektronicznej.
W każdym środowisku powinna być procedura okresowego sprawdzania daty wygasania certyfikatów i podejmowane działania, by nowe certyfikaty były instalowane z odpowiednim wyprzedzeniem.
smtp.google.com_chain-expired

Źródło – securityweek.com

Wybuch

Jedną z ciekawszych gałęzi nauki, w której zwraca się uwagę na bezpieczeństwo jest chemia. Przy pracy z niektórymi substancjami naukowcy zachowują ekstremalne wręcz środki bezpieczeństwa, a eksplozje lub inne podobne zdarzenia nadal mają miejsce. W odróżnieniu od informatyki, przy doświadczeniach chemicznych środowiska nie można „wyłączyć” a przy planowaniu bierze się także pod uwagę demontaż, czyli bezpieczne pozbycie się tych substancji, które nie są już potrzebne. Do tego skutki fizyczne awarii są o wiele gorsze niż przy zwykłym włamaniu na serwer.
Więcej »

Błąd trudny do wykorzystania

Błąd GHOSTSpecjaliści z Qualysa znaleźli błąd w linuksowych bibliotekach glibc – przepełnienie bufora w funkcji gethostbyname(). Błąd ten ochrzczono duchem. Przyjrzyjmy się czy bardzo ten duch straszy, czy tylko trochę.

Więcej »

Pułapka i myszy

Podstawowym problemem związanym z płatnościami bezgotówkowymi przy pomocy kart kredytowych są nadużycia, czyli fraudy. Organizacje związane z obsługą kart i wystawcy znają to ryzyko i zarządzają nim, utrzymując nieoficjalnie wskaźnik na poziomie 10bps (czyli straty 10 centów na każde 100USD transakcji). Utrzymują straty na akceptowalnym poziomie. Przypomnę, że w tak wielkim kraju, jak USA, nadal używa się prostych kart z magnetycznym paskiem i akceptuje się transakcje bez obecności karty (MOTO – mail order / telephone order) potwierdzanych jedynie numerem karty oraz datą ważności. Zabezpieczenie takich transakcji jest wręcz prymitywne w porównaniu do znanych w Polsce systemów, które wykorzystują mikroprocesory oraz kod PIN dodatkowo weryfikowany online. Tym bardziej dziwi wysoki poziom nadużyć przy płatnościach Apple Pay, w których korzysta się z protokołu szyfrowanej komunikacji bezprzewodowej, wykorzystuje się tokenizację, w urządzeniach przenośnych tej firmy jest czytnik linii papilarnych, a sam moduł zawierający informacje na przykład biometryczne jest chroniony. Tymczasem poziom nadużyć przy transakcjach via Apple Pay jest bardzo wysoki, w przypadku jednego z wystawców przekracza 600bps – sześć procent ogólnej kwoty transakcji to fraudy. Stoi to w sprzeczności z początkowymi analizami, które zakładały poziom nadużyć rzędu 2-3 bps. Analizy te uwzględniały zastosowane zabezpieczenia i wykorzystywały doświadczenia wystawców kart w innych krajach, takich jak Polska (jesteśmy przecież liderem w bezstykowych płatnościach przy stosunkowo niskim poziomie fraudów). Problem dotyczy jednak nie samego systemu Apple Pay i jego zabezpieczeń technicznych, ale tego, w jaki sposób został on wprowadzony.
Więcej »

Keylogger wbudowany w OS X

Razem z aktualizacją do najnowszego Firefoksa i Thunderbirda Mozilla wydała bardzo ważne ostrzeżenie związane z funkcjonowaniem mechanizmu CoreGraphics w systemie Apple OS X w wersji Yosemite (10.10). Niektóre aplikacje, w tym takie, które korzystają z własnego mechanizmu zarządzania pamięcią (takiego jak jmemalloc), ze względu na błąd frameworku Apple’a mogą trafić na swoistą „czarną listę” i uruchomić mechanizm keyloggera wbudowany w ten system. Skutkuje to zapisywaniem wszystkich wciskanych klawiszy przy pracy z tym programem do specjalnego pliku /tmp/CGLog_<nazwa procesu>. Właśnie to zdarzyło się Firefoksowi w wersji niższej niż 34. Chociaż jest to błąd programistyczny, niestety źle świadczy o frameworku i o samym systemie operacyjnym.
W każdym przypadku należy sprawdzić obecność podobnych plików w katalogu /tmp i wyczyścić wszystkie pliki

/tmp/CGLog_*

gdyż zawierają one zapis wszystkich wciskanych klawiszy, włącznie z ewentualnymi hasłami, numerami kart kredytowych i innymi poufnymi informacjami.
Yosemite (10.10) jest pierwszym wydaniem OSX, w którym ta funkcja jest domyślnie włączona (kod był obecny także w poprzednich wersjach, wystarczyło ustawić odpowiednio zmienną kCGSDebugOptionVerboseLoggingAllApps). Jeśli korzystasz z backupu, na przykład za pomocą Time Machine, należy usunąć te pliki z backupu, a na przyszłość usunąć /tmp z szablonu kopii bezpieczeństwa.

Czy zawsze AJAX jest dobry?

Aplikacje webowe wykorzystujące technologię AJAX mogą zaoferować całkiem ciekawe możliwości swoim użytkownikom. Mogą być wyposażone w dynamiczne formularze, aktywne obiekty, ciekawe elementy graficzne i tekstowe, mogą działać interaktywnie. Niestety zapewnienie spójnego odbioru pracy takiej aplikacji wcale nie jest proste. Wystarczy drobny problem z komunikacją, opóźnienie lub zatrzymanie ładowania jednego ze składników, błąd w jednym z wielu skryptów albo nieprzewidziane przez autorów działania użytkownika, by w stronie mogły pojawiać się błędy. Pół biedy, gdy dotyczy to stron informacyjnych. Niestety ten sam problem dotyczy także niektórych stron transakcyjnych, przykładem może być nowy serwis mBanku.
Więcej »