Milijoni kosov zlonamerne programske opreme in na tisoče zlonamernih hekerskih tolp potujejo po današnjem spletnem svetu in plenijo preproste prevare. Če ponovno uporabijo isto taktiko, ki je delovala leta, če ne celo desetletja, ne naredijo nič novega ali zanimivega pri izkoriščanju naše lenobe, napačnih sodb ali navadnega idiotizma.
Toda vsako leto raziskovalci antimalware naletijo na nekaj tehnik, ki dvignejo obrvi. Te navdihnjene tehnike, ki jih uporabljajo zlonamerna programska oprema ali hekerji, razširijo meje zlonamernega vdora. O njih razmišljajte kot o novostih v deviantnosti. Kot vse inovativne so tudi mnoge merilo preprostosti.
[Spoznajte 14 umazanih trikov za IT-svetovalce, 9 priljubljenih praks IT-varnosti, ki preprosto ne delujejo, in 10 norih varnostnih trikov, ki delujejo. | Naučite se zaščititi svoje sisteme s posebnim poročilom o spletnem brskalniku Deep Dive PDF in glasilom Security Central, oboje od. ]
Vzemimo makro virus Microsoft Excel iz devetdesetih let prejšnjega stoletja, ki je v preglednicah tiho, naključno nadomeščal ničle z velikimi O-ji, tako da je številke takoj pretvoril v besedilne nalepke z vrednostjo nič - spremembe, ki so bile večinoma neopažene, dokler varnostni sistemi niso vsebovali ničesar drugega slabi podatki.
Današnja najbolj iznajdljiva zlonamerna programska oprema in hekerji so prav tako prikrita in prijetna. Tu je nekaj najnovejših opozorilnih tehnik, ki so me zanimale kot raziskovalca varnosti in pridobljene lekcije. Nekateri stojijo na ramenih preteklih zlonamernih inovatorjev, vendar so danes vsi v modi kot načini, kako odtrgati tudi najbolj pametne uporabnike.
Nevidni napad št. 1: Lažne brezžične dostopne točke
Nobenega vdora ni lažje doseči kot ponarejen WAP (brezžična dostopna točka). Vsak, ki uporablja malo programske opreme in brezžično omrežno kartico, lahko svoj računalnik oglašuje kot razpoložljiv WAP, ki je nato na resničnem, zakonitem WAP-u povezan na javni lokaciji.
Pomislite, kdaj ste se - ali vaši uporabniki - odpravili v lokalno kavarno, letališče ali javno zbirališče in se povezali v "brezplačno brezžično" omrežje. Hekerji v Starbucksu, ki svojemu ponarejenemu WAP-u rečejo "Starbucks Wireless Network" ali na letališču v Atlanti pravijo "Atlanta Airport Free Wireless", se v nekaj minutah povežejo z najrazličnejšimi ljudmi. Nato hekerji lahko povohajo nezaščitene podatke iz podatkovnih tokov, poslanih med nevede žrtvami in njihovimi nameravanimi oddaljenimi gostitelji. Presenečeni boste, koliko podatkov, tudi gesel, je še vedno poslanih v jasnem besedilu.
Bolj nesramni hekerji bodo od svojih žrtev zahtevali, da ustvarijo nov dostopni račun za uporabo njihovega WAP-a. Ti uporabniki bodo več kot verjetno uporabili skupno ime za prijavo ali enega od svojih e-poštnih naslovov skupaj z geslom, ki ga uporabljajo drugje. Nato heker WAP lahko poskusi uporabiti iste poverilnice za prijavo na priljubljenih spletnih mestih - Facebook, Twitter, Amazon, iTunes itd. - in žrtve ne bodo nikoli vedele, kako se je to zgodilo.
Lekcija: Javnim brezžičnim dostopnim točkam ne morete zaupati. Vedno zaščitite zaupne podatke, poslane po brezžičnem omrežju. Razmislite o uporabi povezave VPN, ki ščiti vse vaše komunikacije, in ne reciklirajte gesel med javnimi in zasebnimi spletnimi mesti.
Nevidni napad št. 2: Kraja piškotov
Brskalniški piškotki so čudovit izum, ki ohranja "stanje", ko uporabnik krmili po spletnem mestu. Te majhne besedilne datoteke, ki jih na naše računalnike pošlje spletno mesto, nam pomagajo, da nam spletno mesto ali storitev sledijo med obiskom ali večkratnim obiskom, kar nam na primer omogoča lažji nakup kavbojk. Kaj ni všeč?
Odgovor: Ko nam heker ukrade piškotke in na ta način to postane, smo mi - v današnjem času vse pogostejši pojav. Namesto tega postanejo avtentificirani na naših spletnih mestih, kot da smo mi in so predložili veljavno ime in geslo za prijavo.
Seveda krajo piškotkov že od izuma spleta, toda danes orodja postopek olajšajo kot klik, klik, klik. Firesheep je na primer dodatek za brskalnik Firefox, ki ljudem omogoča, da drugim ukradejo nezaščitene piškotke. Ugrabitev piškotkov je lahko z uporabo lažnega WAP-a ali v skupnem javnem omrežju zelo uspešna. Firesheep bo prikazal vsa imena in lokacije piškotkov, ki jih najde, in s preprostim klikom miške lahko heker prevzame sejo (glejte blog Codebutler za primer, kako enostavno je uporabljati Firesheep).
Še huje, hekerji lahko zdaj ukradejo celo piškotke, zaščitene s SSL / TLS, in jih povohajo iz nič. Septembra 2011 je napad, ki so ga ustvarjalci označili z "BEAST", dokazal, da je mogoče dobiti celo piškotke, zaščitene s SSL / TLS. Letošnje nadaljnje izboljšave in izboljšave, vključno z dobro imenovanim ZLOČINOM, so olajšale krajo in ponovno uporabo šifriranih piškotkov.
Z vsakim napadom na piškotke se spletnim mestom in razvijalcem aplikacij pove, kako zaščititi svoje uporabnike. Včasih je odgovor uporabiti najnovejšo kripto šifro; v drugih primerih gre za onemogočanje nekaterih nejasnih funkcij, ki jih večina ljudi ne uporablja. Ključno je, da morajo vsi spletni razvijalci uporabljati varne razvojne tehnike za zmanjšanje kraje piškotkov. Če vaše spletno mesto v nekaj letih ni posodobilo zaščite pred šifriranjem, ste verjetno v nevarnosti.
Lekcije: Tudi šifrirane piškotke je mogoče ukrasti. Povežite se s spletnimi mesti, ki uporabljajo tehnike varnega razvoja in najnovejše kripto. Vaša spletna mesta HTTPS bi morala uporabljati najnovejšo kripto, vključno s TLS različice 1.2.
Nevidni napad št. 3: triki z imeni datotek
Hekerji že od začetka zlonamerne programske opreme uporabljajo trike z imeni datotek, da bi nas začeli izvajati zlonamerno kodo. Zgodnji primeri so vključevali poimenovanje datoteke, ki bi nič hudega sluteče žrtve spodbudila, da jo kliknejo (na primer AnnaKournikovaNudePics) in uporabijo več končnic datotek (na primer AnnaKournikovaNudePics.Zip.exe). Do danes Microsoft Windows in drugi operacijski sistemi zlahka skrivajo "dobro znane" pripone datotek, zaradi česar bo AnnaKournikovaNudePics.Gif.Exe videti kot AnnaKournikovaNudePics.Gif.
Pred leti so se programi z virusom zlonamerne programske opreme, znani kot "dvojčki", "drstitelji" ali "spremljevalni virusi", opirali na malo znano funkcijo Microsoft Windows / DOS, kjer bi Windows, tudi če bi vtipkali ime datoteke Start.exe, izgledal in, če ga najdete, namesto tega zaženite Start.com. Spremljevalni virusi bi na vašem trdem disku iskali vse datoteke .exe in ustvarili virus z istim imenom kot EXE, vendar s pripono .com. To je že zdavnaj odpravil Microsoft, vendar je njegovo odkritje in izkoriščanje s strani zgodnjih hekerjev postavilo temelje za iznajdljive načine skrivanja virusov, ki se razvijajo še danes.
Med bolj izpopolnjenimi triki za preimenovanje datotek, ki se trenutno uporabljajo, je uporaba znakov Unicode, ki vplivajo na izhod imena uporabnikove datoteke. Na primer, znak Unicode (U + 202E), imenovan Preglasitev desno na levo, lahko zavede številne sisteme, da prikažejo datoteko z imenom AnnaKournikovaNudeavi.exe kot AnnaKournikovaNudexe.avi.
Lekcija: Če je le mogoče, se prepričajte, da poznate pravo, popolno ime katere koli datoteke, preden jo zaženete.
Nevidni napad št. 4: Lokacija, lokacija, lokacija
Še en zanimiv prikrit trik, ki uporablja operacijski sistem proti sebi, je trik za lokacijo datoteke, znan kot "relativni v primerjavi z absolutnim". V starejših različicah sistema Windows (Windows XP, 2003 in starejših) in drugih zgodnjih operacijskih sistemih, če ste vtipkali ime datoteke in pritisnili Enter, ali če je operacijski sistem iskal datoteko v vašem imenu, bi se vedno začelo z najprej svojo trenutno mapo ali imenik, preden poiščete drugam. To vedenje se morda zdi dovolj učinkovito in neškodljivo, vendar so ga hekerji in zlonamerna programska oprema izkoristili sebi v prid.
Denimo, da ste želeli zagnati vgrajeni neškodljiv kalkulator sistema Windows (calc.exe). Dovolj je enostavno (in pogosto hitreje kot z več kliki miške), da odprete ukazni poziv, vnesite calc.exe in pritisnite Enter. Toda zlonamerna programska oprema lahko ustvari zlonamerno datoteko z imenom calc.exe in jo skrije v trenutnem imeniku ali domači mapi; ko bi poskusili zagnati calc.exe, bi namesto tega zagnal lažno kopijo.
Ta napaka mi je bila všeč kot preizkuševalcu penetracije. Pogosto sem potem, ko sem vlomil v računalnik in povišal svoje privilegije na skrbnika, vzel nepopravljeno različico znanega, prej ranljivega dela programske opreme in jo postavil v začasno mapo. Večino časa sem moral le postaviti eno ranljivo izvedljivo datoteko ali DLL, pri tem pa celoten, prej nameščeni popravljeni program pustiti pri miru. V svojo začasno mapo bi vpisal ime datoteke izvršljive datoteke programa, Windows pa bi namesto v nedavno popravljeni različici naložil mojo ranljivo trojansko izvršljivo datoteko iz moje začasne mape. Všeč mi je bilo - lahko izkoristim popolnoma popravljen sistem z eno samo slabo datoteko.
Sistemi Linux, Unix in BSD imajo to težavo že več kot desetletje. Microsoft je težavo odpravil leta 2006 z izdajami sistema Windows Vista / 2008, čeprav težava ostaja v starejših različicah zaradi težav z združljivostjo nazaj. Microsoft že vrsto let opozarja in poučuje razvijalce, da v svojih programih uporabljajo absolutna (in ne relativna) imena datotek / poti. Kljub temu je deset tisoč starih programov ranljivih za lokacijske trike. Hekerji to vedo bolje kot kdorkoli.
Lekcija: Uporabite operacijske sisteme, ki uveljavljajo absolutne poti imenikov in map, ter najprej poiščite datoteke na privzetih sistemskih območjih.
Nevidni napad št. 5: Preusmeritev datoteke gostitelja
Večina današnjih uporabnikov računalnikov ne ve, da obstaja datoteka, imenovana Hosts, povezana z DNS. Datoteka Hosts, ki se nahaja pod C: \ Windows \ System32 \ Drivers \ Etc v sistemu Windows, lahko vsebuje vnose, ki povezujejo vpisana imena domen z njihovimi ustreznimi naslovi IP. DNS datoteko Hosts je prvotno uporabljal DNS kot način, da gostitelji lokalno razrešijo iskanje po naslovih od imena do IP, ne da bi se morali obrniti na strežnike DNS in izvajati rekurzivno razrešitev imen. DNS večinoma deluje v redu in večina ljudi nikoli ne komunicira s svojo datoteko Hosts, čeprav je tam.
Hekerji in zlonamerna programska oprema radi zapisujejo lastne zlonamerne vnose v gostitelje, tako da so, ko nekdo vnese priljubljeno domensko ime - recimo bing.com - preusmerjeni nekam drugam, bolj zlonamernim. Zlonamerna preusmeritev pogosto vsebuje skoraj popolno kopijo izvirnega želenega spletnega mesta, tako da prizadeti uporabnik ne pozna stikala.
Ta podvig je še danes v široki uporabi.
Lekcija: Če ne morete ugotoviti, zakaj ste zlonamerno preusmerjeni, si oglejte datoteko Hosts.
Stealth napad št. 6: Waterhole napadi
Napadi na vodne luknje so ime dobili po svoji iznajdljivi metodologiji. Pri teh napadih hekerji izkoristijo dejstvo, da se njihove ciljne žrtve pogosto srečajo ali delajo na določeni fizični ali virtualni lokaciji. Nato to lokacijo "zastrupijo", da bi dosegli zlonamerne cilje.
Na primer, večina velikih podjetij ima lokalno kavarno, bar ali restavracijo, ki je priljubljena pri zaposlenih v podjetju. Napadalci bodo ustvarili ponarejene WAP-e, da bi dobili čim več poverilnic podjetja. Ali pa bodo napadalci zlonamerno spremenili pogosto obiskano spletno mesto, da storijo enako. Žrtve so pogosto bolj sproščene in nič hudega sluteče, ker je ciljni kraj javni ali socialni portal.
Napadi Waterhole so postali velika novica letos, ko je bilo več odmevnih tehnoloških podjetij, med njimi Apple, Facebook in Microsoft, ogroženih zaradi priljubljenih spletnih mest za razvoj aplikacij, ki so jih obiskali njihovi razvijalci. Spletna mesta so bila zastrupljena z zlonamernimi preusmeritvami JavaScript, ki so v računalnike razvijalcev namestile zlonamerno programsko opremo (včasih nič dni). Ogrožene delovne postaje za razvijalce so bile nato uporabljene za dostop do notranjih omrežij podjetij žrtev.
Lekcija: Poskrbite, da se vaši zaposleni zavedajo, da so priljubljene "zalivalne luknje" pogoste tarče hekerjev.
Nevidni napad št. 7: Vaba in preklop
Ena najzanimivejših tehnik hekerstva, ki se trenutno imenuje, se imenuje vaba in preklop. Žrtvam rečejo, da prenašajo ali poganjajo eno stvar, začasno pa jo tudi dobijo, vendar jo nato izklopijo z zlonamernim elementom. Primeri so številni.
Razširjevalci zlonamerne programske opreme običajno kupujejo oglasni prostor na priljubljenih spletnih mestih. Spletnim mestom se ob potrditvi naročila prikaže neupravičena povezava ali vsebina. Spletno mesto odobri oglas in vzame denar. Nato slabi tip zamenja povezavo ali vsebino z nečim bolj zlonamernim. Pogosto bodo kodovali novo zlonamerno spletno mesto, da bodo gledalce preusmerili nazaj na izvirno povezavo ali vsebino, če si jo nekdo ogleda z naslova IP, ki pripada prvotnemu odobritelju. To otežuje hitro zaznavanje in odstranjevanje.
Med najzanimivejšimi napadi vab in preklopov, ki sem jih pozno videl, so negativci, ki ustvarjajo "brezplačno" vsebino, ki jo lahko prenese in uporablja kdor koli. (Pomislite na skrbniško konzolo ali števec obiskovalcev za spodnji del spletne strani.) Ti brezplačni programčki in elementi pogosto vsebujejo licenčno klavzulo, ki pravi: "Lahko se prosto uporablja, dokler ostane izvirna povezava." Uporabniki, ki nič hudega sluteče, vsebino uporabljajo v dobri veri, prvotno povezavo pa pustijo nedotaknjeno. Običajno izvirna povezava ne vsebuje ničesar drugega kot emblem grafične datoteke ali kaj drugega trivialnega in majhnega. Potem, ko je lažni element vključen na tisoče spletnih mest, prvotni zlonamerni razvijalec spremeni neškodljivo vsebino za nekaj bolj zlonamernega (na primer škodljivo preusmeritev JavaScript).
Lekcija: Pazite se kakršne koli povezave do katere koli vsebine, ki ni pod vašim neposrednim nadzorom, ker jo je mogoče takoj izključiti brez vašega soglasja.
