Povezava vas vabi na spletno mesto caughtonfb. info in obljublja posnetek, kako je punca na Facebooku naredila lažni profil in prepričala lastnega fanta v zmenek. No, tega tam ne boste videli ... Omenjeno spletno mesto nas preusmeri na datoteko main.php; če to poskusimo na svoj računalnik potegniti s posebnim programom, dobimo tole:

Nič kaj prijazno. Verjetno pa ni bil namen tega spletnega mesta prikazati to neprijazno sporočilo vsem obiskovalcem. To sporočilo nam je snovalec namenil zato, ker ve, da ga nismo obiskali z navadnim spletnim brskalnikom (Internet Explorerjem, Firefoxom ali Chromom), ampak s posebnim programom wget. Ob vsakem kliku na spletno mesto namreč brskalnik sporoči, kdo je, uporabljeno orodje pa ne. Avtor caughtonfb .info nam je tako pokazal jezik, saj ve, da preiskujemo, kaj se pravzaprav dogaja. Lahko pa ga poskusimo prepričati, da smo eden od običajnih obiskovalcev in orodju wget povemo, da smo navaden brskalnik in da smo na spletno mesto prišli iz vstopne strani:

To uspe in med drugim lahko vidimo v datoteki tudi HTML kodo, ki za vsamu obiskovalcu tega spletnega mesta podtakne ukaze na facebook.com, ki izvede “Všeč mi je” (angl. “Like”) ukaz za caughtonfb. info. 

Če ste torej prijavljeni v Facebook, boste nevede postali oboževalec tega spletnega mesta. Postali ste žrtev ranljivosti spletnega mesta facebook.com, ki se imenuje “Cross-Site Request Forgery” ali CSRF. Tu res ne moremo govoriti o napaki uporabnika, saj bi Facebook spletišče moralo preverjati, od kod prihajajo ukazi. Ali ima Facebook pomanjkljivost le za “Všeč mi je,” ali pa je možno njegovim uporabnikom podtikati tudi druge ukaze na podoben način, pa še ni znano ...

Kako preverite, ali se vam je kaj podobnega prikradlo v profil? Kliknite “Uredi Profil” pod svojim imenom, potem na “Zanimanja in interesi”, kjer proti dnu pa najdete povezavo “Pokaži ostale strani”. Tam odstranite morebitno smetje.

V manj kot minuti je caughtonfb. info pridobila 200 novih oboževalcev ...

Gorazd Božič

SI-CERT novice in Fokus blog lahko spremljate tudi preko Twitterja ali Facebooka.

Veliko število Windows aplikacij vsebuje ranljivost, ki napadalcu omogoča podtikanje izvršljivih datotek ali DLL knjižnic. Napadalec lahko to izkoristi s tem, da žrtvi ponudi datoteko za prenos. Če to datoteko odpre program, ki ranljivost vsebuje, lahko napadalec podtakne knjižnico DLL (ali celo svoj EXE ali COM program) in dobi dostop do sistema v okviru pravic uporabnika, ki je program zagnal. 

DLL (Dynamic Link Library) so programske knjižnice, ki vsebujejo programske funkcije, ki jih uporablja več aplikacij. Za opravljanje posameznih opravil aplikacija naloži DLL knjižnico in nato uporablja funkcije v njej. Preko DLL knjižnic programi odpirajo, kopirajo in brišejo datoteke, odpirajo komunikacijska vrata, upravljajo z zaslonskimi okni itn.

Zgodaj spomladi je mariborsko podjetje ACROS Security odkrilo ranljivost v več Windows aplikacijah (preko 500).

Metode širjenja

Binarno datoteko lahko napadalec podtakne preko USB ključa, SMB mape v skupni rabi ali WebDAV mape.

Ranljive verzije

Večje število aplikacij za Windows operacijske sisteme.

Rešitev

Microsoft je izdal začasni popravek 2264107, preko katerega skrbnik lahko omeji nabor direktorijev, na katerih aplikacija išče DLL knjižnice. Dodatno lahko omejite dostop do zunanjih SMB naprav in izklopite WebClient storitev. Natačna navodila so navedena v Microsoftovem varnostnem obvestilu 2269637: “Insecure Library Loading Could Allow Remote Code Execution”.

Razvijalcem svetujemo, da sledijo navodilom za varno nalaganje DLL knjižnic.

Povezave

• ACROS Security Blog
• Microsoft Security Advisory (2269637): Insecure Library Loading Could Allow Remote Code Execution
• Microsoft Support: A new CWDIllegalInDllSearch registry entry is available to control the DLL search path algorithm
• MSDN: Dynamic-Link Library Security

Po poročanju španskega časopisa El Pais prejšnji teden, je k nesreči pripomogla okužba računalnika na letališču, ki se uporablja za pregled sistemov letala. Nadzorni računalnik letalske družbe naj bi bil okužen s trojanskimi konji, to pa naj bi bil tudi razlog, da se ni sprožil alarm zaradi zaznanih napak. Na letalu sta se dan prej že pojavili dve napaki in ob tretji bi moral nadzorni računalnik na tleh ob pregledu to javiti in letalo ne bi smelo vzleteti. Trojanec je ta postopek zmotil.

Računalniški sistemi za upravljanje z napravami, ki lahko vplivajo na življenje in smrt so se včasih razvijali s posebnimi orodji in programskimi jeziki, delovali pa so na za to posebej prirejenih operacijskih sistemih, ki so zagotavljali stabilnost sistema. Ker je tak specializiran razvoj vedno počasnejši in dražji od tistega, ki ga vsakodnevno spremljamo na namiznih in prenosnih računalnikih, se kritični sistemi vedno bolj selijo na opremo “s police” (off-the-shelf), tako v strojnem, kot programskem smislu. 

To je seveda povsem človeško. Kot rad vedno poudari najbolj znan strokovnjak za kriptografijo in informacijsko varnost, Bruce Schneier, je varnost vedno daj-dam, kar pomeni, da za dodatno varnost nekaj plačamo, oz. se nečemu odpovedemo. Če pa je res Spanair JK 5022 strmoglavil tudi zaradi varčevanja pri nadzorni opremi, potem je bila tu cena za potnike največja od možnih. Vsi, ki bomo še kdaj potovali z letalom, pa lahko razmišljamo o tem, kako bomo del varčevanja letalske družbe plačali z nekoliko povečanim tveganjem.

Prenos kritičnih sistemov na opremo za splošno uporabo je ponavadi deležen pomislekov in kritike strokovne javnosti, in redkokdo zavrne pomisleke kot popolnoma neutemeljene. Namesto tega se tem opozorilom nasproti postavi predloge organizacijskih in postopkovnih rešitev ravnanja z opremo, ki naj bi verjetnost neljubih dogodkov in posledic zmanjšali do te mere, da razlike (s stališča varnosti) skoraj ne bo. V najbolj enostavnem primeru je to izjava, da sistem ne bo povezan na internet in torej ne bo izpostavljen zunanjim grožnjam. Koliko se lahko zanašamo na to, je pokazal zadnji incident s SCADA sistemi, kjer so bili nadzorni sistemi za elektrodistibucijo okuženi s posebnim virusom, ki se je širil s prenosom USB ključev. In tudi na omenjeni letališki računalnik so trojanci očitno nekako že prišli. 

S prenosom obravnave tveganja iz faze zasnove opreme v fazo same uporabe nismo pri ničelni vsoti, ampak naredimo omenjeni Schneierjev daj-dam. Cena za to je včasih razumna, včasih pa ne, kar se pokaže šele čez čas, ko prehod nazaj ni več možen. Končno poročilo o Spanairovi nesreči bo znano decembra in takrat bomo šele videli, v kolikšni meri je trojanec res k njej tudi pripomogel. 

Gorazd Božič

Povezave:

• trojanec sokriv za nesrečo (The Register, Sophos Blog),
• The Register: Royal Navy completes Windows for Submarines™ rollout,
• Wired: Sunk by Windows NT,
• The Inquirer: Microsoft could be in deep water over oil spill,
• SI-CERT 2010-04 / Windows LNK kritična ranljivost.

SI-CERT novice in Fokus blog lahko spremljate tudi preko Twitterja ali Facebooka.

Acros in Microsoft že dlje časa skupaj delata na rešitvi, Mitja Kolšek pa bo problem predstavil na novembrski DeepSec konferenci na Dunaju.

Zvabiti nas mora na svoje spletno mesto, to pa lahko naredi na različne načine. Ravno danes smo ujeli recimo lažni račun Amazona, ki pravi, da smo kupili iPad. Klik nas pelje na brazilsko spletno mesto skrajšanih naslovov migre.me, potem pa po nekaj korakih na rusko domeno oooooo1.ru.

Preusmerjanje služi zavajanju, že samo ime končnega "pristajališča" pa daje slutiti, da gre za domeno, ki se uporablja za podtikanje zlonamerne kode ali phishing napade.

In kako lahko iz samega sporočila ugotovimo, da ne gre za legitimno sporočilo (poleg samega dejstva, da na amazon.com nismo kupili iPada in da ga tam trenutno tudi ne prodajajo)? V sporočilu (glej spodaj) preverimo naslov pošiljatelja in z miškinim postankom na spletnih povezavah hitro ugotovimo, da namesto na amazon.com peljejo na migre.me:

Na srečo trenutno spletni strežnik na oooooo1.ru ne odgovarja na zahteve. To lahko pomeni, da so se storilci že premaknili drugam, včasih pa tudi poskrbijo tudi za to, da je strežnik dostopen samo ciljanim žrtvam in tako dlje časa traja, da ga razkrijemo in zlonamerno kodo preiščemo in pošljemo protivirusnim podjetjem.

Gorazd Božič

SI-CERT novice lahko spremljate tudi preko Twitterja ali Facebooka.

Pravzaprav avtorji le napačno domnevajo, da bo nova oblika kriminala (ki temelji na določeni tehnologiji), skoraj povsem izpodrinila neke stare oblike. 

Link: http://www.paleofuture.com/blog/2009/3/23/computer-criminals-of-the-future-1981.html

http://www.adobe.com/support/security/bulletins/apsb10-16.html

Microsoft: August 2010 Bulletin Release Advance Notification

Greetings I have just viewed the list of this lovely item up here,i will like to know if the item is still in Good condition,and let me know the total cost of it including the shipment to UK. Regards

Vse uporabnike bolha.com portala (in podobnih posredniških spletnih mest) vabimo k ogledu priporočil v obvestilu SI-CERT 2009-06, "Prodajalci na bolha.com žrtve goljufij". Ob prvem kotaktu potencialnega kupca lahko njegovo lokacijo preverite s pomočjo prikazanega IP naslova. Obiščite recimo http://www.iplocation.net/ in s skopiranim IP naslovom preverite, kje se nahaja. Vendar pa se morate zavedati, da ta metoda ni zanesljiva. Več priporočil najdete v omenjenem obvestilu.

SI-CERT novice lahko spremljate tudi preko Twitterja ali Facebooka.