Povezava vas vabi na spletno mesto caughtonfb. info in obljublja posnetek, kako je punca na Facebooku naredila lažni profil in prepričala lastnega fanta v zmenek. No, tega tam ne boste videli ... Omenjeno spletno mesto nas preusmeri na datoteko main.php; če to poskusimo na svoj računalnik potegniti s posebnim programom, dobimo tole:

Nič kaj prijazno. Verjetno pa ni bil namen tega spletnega mesta prikazati to neprijazno sporočilo vsem obiskovalcem. To sporočilo nam je snovalec namenil zato, ker ve, da ga nismo obiskali z navadnim spletnim brskalnikom (Internet Explorerjem, Firefoxom ali Chromom), ampak s posebnim programom wget. Ob vsakem kliku na spletno mesto namreč brskalnik sporoči, kdo je, uporabljeno orodje pa ne. Avtor caughtonfb .info nam je tako pokazal jezik, saj ve, da preiskujemo, kaj se pravzaprav dogaja. Lahko pa ga poskusimo prepričati, da smo eden od običajnih obiskovalcev in orodju wget povemo, da smo navaden brskalnik in da smo na spletno mesto prišli iz vstopne strani:

To uspe in med drugim lahko vidimo v datoteki tudi HTML kodo, ki za vsamu obiskovalcu tega spletnega mesta podtakne ukaze na facebook.com, ki izvede “Všeč mi je” (angl. “Like”) ukaz za caughtonfb. info. 

Če ste torej prijavljeni v Facebook, boste nevede postali oboževalec tega spletnega mesta. Postali ste žrtev ranljivosti spletnega mesta facebook.com, ki se imenuje “Cross-Site Request Forgery” ali CSRF. Tu res ne moremo govoriti o napaki uporabnika, saj bi Facebook spletišče moralo preverjati, od kod prihajajo ukazi. Ali ima Facebook pomanjkljivost le za “Všeč mi je,” ali pa je možno njegovim uporabnikom podtikati tudi druge ukaze na podoben način, pa še ni znano ...

Kako preverite, ali se vam je kaj podobnega prikradlo v profil? Kliknite “Uredi Profil” pod svojim imenom, potem na “Zanimanja in interesi”, kjer proti dnu pa najdete povezavo “Pokaži ostale strani”. Tam odstranite morebitno smetje.

V manj kot minuti je caughtonfb. info pridobila 200 novih oboževalcev ...

Gorazd Božič

SI-CERT novice in Fokus blog lahko spremljate tudi preko Twitterja ali Facebooka.

Po poročanju španskega časopisa El Pais prejšnji teden, je k nesreči pripomogla okužba računalnika na letališču, ki se uporablja za pregled sistemov letala. Nadzorni računalnik letalske družbe naj bi bil okužen s trojanskimi konji, to pa naj bi bil tudi razlog, da se ni sprožil alarm zaradi zaznanih napak. Na letalu sta se dan prej že pojavili dve napaki in ob tretji bi moral nadzorni računalnik na tleh ob pregledu to javiti in letalo ne bi smelo vzleteti. Trojanec je ta postopek zmotil.

Računalniški sistemi za upravljanje z napravami, ki lahko vplivajo na življenje in smrt so se včasih razvijali s posebnimi orodji in programskimi jeziki, delovali pa so na za to posebej prirejenih operacijskih sistemih, ki so zagotavljali stabilnost sistema. Ker je tak specializiran razvoj vedno počasnejši in dražji od tistega, ki ga vsakodnevno spremljamo na namiznih in prenosnih računalnikih, se kritični sistemi vedno bolj selijo na opremo “s police” (off-the-shelf), tako v strojnem, kot programskem smislu. 

To je seveda povsem človeško. Kot rad vedno poudari najbolj znan strokovnjak za kriptografijo in informacijsko varnost, Bruce Schneier, je varnost vedno daj-dam, kar pomeni, da za dodatno varnost nekaj plačamo, oz. se nečemu odpovedemo. Če pa je res Spanair JK 5022 strmoglavil tudi zaradi varčevanja pri nadzorni opremi, potem je bila tu cena za potnike največja od možnih. Vsi, ki bomo še kdaj potovali z letalom, pa lahko razmišljamo o tem, kako bomo del varčevanja letalske družbe plačali z nekoliko povečanim tveganjem.

Prenos kritičnih sistemov na opremo za splošno uporabo je ponavadi deležen pomislekov in kritike strokovne javnosti, in redkokdo zavrne pomisleke kot popolnoma neutemeljene. Namesto tega se tem opozorilom nasproti postavi predloge organizacijskih in postopkovnih rešitev ravnanja z opremo, ki naj bi verjetnost neljubih dogodkov in posledic zmanjšali do te mere, da razlike (s stališča varnosti) skoraj ne bo. V najbolj enostavnem primeru je to izjava, da sistem ne bo povezan na internet in torej ne bo izpostavljen zunanjim grožnjam. Koliko se lahko zanašamo na to, je pokazal zadnji incident s SCADA sistemi, kjer so bili nadzorni sistemi za elektrodistibucijo okuženi s posebnim virusom, ki se je širil s prenosom USB ključev. In tudi na omenjeni letališki računalnik so trojanci očitno nekako že prišli. 

S prenosom obravnave tveganja iz faze zasnove opreme v fazo same uporabe nismo pri ničelni vsoti, ampak naredimo omenjeni Schneierjev daj-dam. Cena za to je včasih razumna, včasih pa ne, kar se pokaže šele čez čas, ko prehod nazaj ni več možen. Končno poročilo o Spanairovi nesreči bo znano decembra in takrat bomo šele videli, v kolikšni meri je trojanec res k njej tudi pripomogel. 

Gorazd Božič

Povezave:

• trojanec sokriv za nesrečo (The Register, Sophos Blog),
• The Register: Royal Navy completes Windows for Submarines™ rollout,
• Wired: Sunk by Windows NT,
• The Inquirer: Microsoft could be in deep water over oil spill,
• SI-CERT 2010-04 / Windows LNK kritična ranljivost.

SI-CERT novice in Fokus blog lahko spremljate tudi preko Twitterja ali Facebooka.

Zvabiti nas mora na svoje spletno mesto, to pa lahko naredi na različne načine. Ravno danes smo ujeli recimo lažni račun Amazona, ki pravi, da smo kupili iPad. Klik nas pelje na brazilsko spletno mesto skrajšanih naslovov migre.me, potem pa po nekaj korakih na rusko domeno oooooo1.ru.

Preusmerjanje služi zavajanju, že samo ime končnega "pristajališča" pa daje slutiti, da gre za domeno, ki se uporablja za podtikanje zlonamerne kode ali phishing napade.

In kako lahko iz samega sporočila ugotovimo, da ne gre za legitimno sporočilo (poleg samega dejstva, da na amazon.com nismo kupili iPada in da ga tam trenutno tudi ne prodajajo)? V sporočilu (glej spodaj) preverimo naslov pošiljatelja in z miškinim postankom na spletnih povezavah hitro ugotovimo, da namesto na amazon.com peljejo na migre.me:

Na srečo trenutno spletni strežnik na oooooo1.ru ne odgovarja na zahteve. To lahko pomeni, da so se storilci že premaknili drugam, včasih pa tudi poskrbijo tudi za to, da je strežnik dostopen samo ciljanim žrtvam in tako dlje časa traja, da ga razkrijemo in zlonamerno kodo preiščemo in pošljemo protivirusnim podjetjem.

Gorazd Božič

SI-CERT novice lahko spremljate tudi preko Twitterja ali Facebooka.

Iz drobcev informacij, ki so bili na voljo, je bilo hitro jasno, da gre za akcijo, povezano z Mariposabotnetom (omrežjem okuženih računalnikov, ki jih storilec nadzoruje preko kontrolnega strežnika). Center operacij Mariposa botneta je bil v Španiji, kjer je že marca njihova policija aretirala tri upravljalce botneta (dva sta se kasneje celo ponujala v zaposlitev protivirusnemu podjetju PandaLabs). Preiskava računalnikov teh upravljalcev je pokazala na "kompleksno omrežje ponudnikov, ki so ponujali paleto storitev, od vdiranja z namenom vzpostavitve kontrolnega strežnika, šifrirnih storitev, ki so botom omogočili izogib protivirusni zaznavi, anonimnih VPN povezav, preko katerih se je upravljalo botnet itn." (vir: PandaLabs Blog). Kaže, da so bili med omenjenimi "ponudniki storitev" tudi Mariborčani.

"Kako težko je napisati tak virus?" je bilo pogosto vprašanje novinarjev ob tem dogodku. Vsekakor se mora pisec dovolj spoznati na delovanje omrežij in programiranje, na kar pa se (vsaj upam) študentje računalništva itak morajo. Hekanje pa je sicer skupek veščin, spretnosti in motiviranosti. Res je, da je Mariposa skupina uspela v botnet povezati do sedaj največje število računalnikov (13 milijonov), 800.000 uporabnikom pa so ukradl podatke (gesla za dostop do bančnih in drugih storitev ali podatke o kreditnih karticah) in v tem smislu lahko govorimo o največjem botnetu. Ta je bil infrastruktura, preko katere so njegovi upravljalci nameščali dodatno zlonamerno kodo (kot je recimo ZeuS bančni trojanec), uporabnikom spreminjali iskalne rezultate, razpošiljali spam in tudi na črnem trgu tržili vse te storitve Mariposa botneta.

Ne glede na vse to pa je ta Mariposa bot napadel le tistega, ki ga je lahko, nekateri protivirusni programi so ga namreč zaznali in onemogočili že januarja 2009. Pri tovrstnih zlorabah pravzaprav ne gre za ciljane napade (čeprav bi morda lahko tako sklepali iz posameznih medijskih objav, češ kako so avtorji virusa vdirali celo v obveščevalne službe). Cilj storilca je zajeti čim širšo množico in iz nje potegniti velik zaslužek.

Druga pomembna novica s področja informacijske varnosti prejšnji teden (a medijsko spregledana) se je nanašala na 0-day ranljivost v Windows sistemih, ki jo trenutno izkorišča specializiran računalniški trojanec Stuxnet (glej obvestilo SI-CERT 2010-04). 0-day ranljivost pomeni, da se je tudi sam proizvajalec (Microsoft) ni zavedal. Trojanec se v tem primeru aktivira že samo s pregledom mape na USB ključu, namesti rootkit (napreden program za skrivanje podtaknjene kode), digitalno podpisan kot Windows gonilnik z ukradenimi ključi (certifikati) dveh tajvanskih podjetij (RealTek in JMicron Technologies), od katerih je enemu veljavnost potekla pred kratkim, zato so storilci začeli podpisovati z drugim.

Zanimivosti s tem še ni konec: Stuxnet namreč preveri, ali se na okuženem sistemu nahajajo Siemensovi SCADA programi. Kratica pomeni "supervisory control and data acquisition" in označuje sisteme za nadzor industrijskih procesov, kot so proizvodnja in distribucija električne energije, plina itd. Veliko od teh sistemov označujemo z enotnim pojmom kritična infrastruktura. SCADA datoteke z okuženega sistema pošlje trojanec (podobno kot pri Mariposi) na kontrolni strežnik.

O tem, kdo stoji za trojancem, ki ga zanima infrastruktura po državah, se trenutno še ne ve. V protivirusnem podjetju Symantec so recimo ugotovili, da je več kot 50 % prizadetih sistemov lociranih v Iranu (ki mu sledita Indonezija in Indija). Zaradi načina širjenja, ki temelji na fizičnem prenosu USB ključev seveda ne moremo imeti enako razpršene slike okužbe, kot takrat, ko se te vršijo preko omrežja, je pa ta način seveda primeren prav za te nadzorne sisteme, ki dostikrat nalašč niso priključeni na internet.

Iz obeh primerov lahko vidimo, da odgovor na vprašanje, kateri virus (oz. črv, bot, trojanec) je "najnevarnejši", nikakor ni enostaven. Eden ogroža bančne račune posameznikov, drugi pa krade občutljive informacije, ki bi jih lahko kdo nekoč izkoristil za povzročitev škode povsem drugačnih razsežnosti. Kateri je dejansko nevarnejši, je težko reči.

Za konec pa še opomba. Ob občasnih komentarjih na časopisnih forumih, kako so pisci virusov "carji", da jim je to ratalo: velja se spomniti, da je pri celotni Mariposa operaciji šlo za zelo jasen namen: kako ljudem ukrasti denar, ali pa na njihov račun drugače zaslužiti.

Gorazd Božič

Slika (cc) (by) flickr.com uporabnik fhemerick

Čeprav podrobnosti še niso znane, je po nekaterih navedbah v prispevku 24ur.com mogoče potegniti vzporednice z akcijo FBI, ki je onesposobila Mariposa botnet konec prejšnjega leta. Ali so bili mariborčani avtorji, soavtorji, ali pa so za botnet razvijali specializirane dodatke, bo jasno, ko bo policija sporočila več podrobnosti preiskave.

1. izogibajte se bankomatom z neobičajnimi navodili
2. uporabljajte bankomate znotraj bank
3. izogibajte se samostoječim bankomatom
4. bodite pozorni na okolico
5. ljudje v vrsti naj ne stojijo preblizu
6. pri vnosu PINa tipkovnico zakrijte z roko
7. bodite pozorni na neobičajne dodatke na bankomatu
8. bodite pozorni na spremenjeno režo, kamor vstavite bančno kartico
9. bodite pozorni na spremenjeno tipkovnico
10. preverite, če so v bližini morda nameščene dodatne kamere
11. če vam bankomat zaseže kartico, to takoj prijavite banki
12. če bankomat ne vrne denarja, je lahko tudi zlonameren
13. pogosto preverjajte stanje na bančnem računu
14. zaseženo kartico takoj prijavite banki in ne dovolite tujcem, da vam jo pomagajo dobiti nazaj
15. vsak sum zlorabe takoj prijavite banki

V dokumentu je navedenih nekaj primerov t.i. Card Skimminga, ko prevaranti na bankomat namestijo dodatne naprave, ki jim omogočajo krajo podatkov bančnih kartic.

Nekaj primerov takih napadov je v svojem blogu objavil tudi ameriški novinar Brian Krebs, ki se ukvarja z raziskovanjem internetnega kriminala in omrežne varnosti:

• http://krebsonsecurity.com/2010/01/would-you-have-spotted-the-fraud/
• http://krebsonsecurity.com/2010/02/atm-skimmers-part-ii/
• http://krebsonsecurity.com/2010/03/would-you-have-spotted-this-atm-fraud/
• http://krebsonsecurity.com/2010/05/fun-with-atm-skimmers-part-iii/

Tadej Hren

Zdravo Moje ime je Teresa Fidalgo, danes je 26 let od moje smrti Če tega ne pošlješ 20 ljudem bom spala na tvoji strani od te noči za vedno Če ne verjameš vpiši moje ime v google in boš videl.

Več o verižnih pismih si lahko preberete v članku na spletni strani časnika Delo ali v tiskani izdaji tednika Nedelo, tokratno verižno pismo pa je zanimivo predvsem zato, ker prejemnike celo nagovarja, naj preverijo istovetnost preko spletnega iskalnika google.

Google kot prvi zadetek za iskalni niz "Teresa Fidalgo" vrne spletno stran wikipedije. 

Tu lahko preberemo, da se ime pojavi v posnetku, ki ga snema potnik v avtomobilu. Posnetek naj bi prikazoval nesrečo s smrtnim izzidom, ki jo povzroči avtoštoparka z imenom Teresa Fidalgo. Ta naj bi po podatkih policije umra na istem kraju že leta 1983.

Najbolj zanimivo pri tem pa je, da v istem članku lahko najdemo tudi podatek, da gre za povsem izmišljeno zgodbo, kar naj bi potrdil tudi producent tega kratkega filma.

Očitno nekateri uporabniki ne upoštevajo niti samih navodil v verižnem pismu, ampak slepo zaupajo napisanemu in sporočilo pošljejo naprej. Če ste tudi vi prejeli tako sporočilo, lahko pošiljatelja prijazno obvestite, naj drugič vsaj malce razmisli, predno tako pismo pošilje naprej. Tudi če to ni izrecno zapisano v samem sporočilu, ponavadi pomaga, da del besedila vpišete v spletni iskalnik. Na ta način se lahko zelo hitro ugotovi, ali je sporočilo verodostojno ali ne.

Tadej Hren

Pod pretvezo napada na vaš Twitter račun vas želi sporočilo prepričati, da kliknete na povezavo, ki dejansko pelje do trojanskega konja, preko katerega lahko napadalec dostopa do podatkov na vašem računalniku in gesel za dostop do storitev na omrežju. Tudi drugi dve povezavi v sporočilu (not my account in Twitter Support) vodita do trojanca.

Elektronska pošta ima zadevo (Subject) oblike "Twitter X-Y", kjer sta X in Y števili, ki verjetno omogočata prevarantom identifikacijo žrtve, če se ta javi z vprašanji po elektronski pošti.

Kot vedno svetujemo izredno previdnost pri obravnavi povezav v elektronskih sporočilih. Če se z miško na povezavi zadržimo sekundo ali dve, nam bo brskalnik ali program za elektronsko pošto prikazal povezavo, do koder res vodi klik.

Če ste uporabnik Twitterja, lahko spremljate SI-CERT obvestila tudi preko twitter.com/sicert.

Predstavljajte si naslednji scenarij: uporabnik ima odprtih več spletnih strani v zahihkih, med drugim tudi npr. Gmail. Ena od odprtih spletnih strani vsebuje posebej prirejeno javascript kodo, ki zazna, kdaj ima uporabnik aktiven drug zavihek. Medtem ko uporabnik brska po drugih zavihkih, javascript koda spremeni samo spletno stran, ikono spletne strani in njen naslov, tako da na prvi pogled izgleda kot vstopna  stran za Gmail. Ko bo uporabnik zopet odprl ta zahihek, bo mislil, da je bil iz Gmaila odlogiran, in vpisal avtentikacijske podatke. Ti bodo poslani napadalcu, spletna stran pa bo preusmerila na legitimen Gmail. Ker uporabnik pravzaprav nikoli ni bil odjavljen, bo mislil, da je prijava uspela.

Seveda gre lahko za napad na poljubno spletno storitev, ne samo na Gmail. Kot predlaga avtor prispevka, se lahko učinkovitost napada poveča z uporabo nedavno odkritega napada beleženja obiskanih spletnih strani s pomočjo CSS zgodovine. Na avtorjevi spletni strani si prikaz delovanja ranljivosti lahko tudi v živo ogledate.

Poleg velike previdnosti pri vpisovanju avtentikacijskih podatkov se lahko pred takimi napadi zaščitite tako, da onemogočite poganjanje javascript kode na spletnih straneh. Na primer s pomočjo vtičnika Noscript za Firefox.

V poenostavljeni obliki se izkoristi ranljivost tako, da za obiskane strani avtor določi neko specifično lastnost (barvo, velikost, ...), zraven pa strani doda JavaScript kodo, ki za spletne naslove z vnaprej pripravljenega seznama preveri, ali imajo povezave to lastnost (seznam ni nujno izpisan na spletni strani, lahko ostane skrit).

Testiranje vaše zgodovine brskanja pa je možno tudi, če izklopite JavaScript, saj se lahko izvede samo s CSS stilom (primer vzet iz http://wtikay.com/docs/details.html):

<style>
a#link1:visited { background-image: url(/log?link1_was_visited); }
a#link2:visited { background-image: url(/log?link2_was_visited); }
</style> 
<a href="http://google.com" id="link1">
<a href="http://yahoo.com" id="link2">

V zgornjem primeru vsaka od definiranih povezav sproži poizvedbo nazaj na strežnik in tako lahko upravitelj zabeleži, kdo je navedene naslove že obiskal.

In rešitev? Glede na to, da gre za pomanjkljivost v zasnovi, ne bo enostavna oz. bo temeljila na tem, da se določena funkcionalnost odstrani iz CSS implementacij in JavaScript funkcij.

Povezave:

• What the internet knows about you
• Artur Janc, Lukasz Olejnik: "Feasibility and Real-World Implications of Web Browser History Detection" (PDF)
• Mozilla Hacks: privacy-related changes coming to CSS :visited