7 prikradajućih napada koje koriste današnji najokudniji hakeri

Milijuni komada zlonamjernog softvera i tisuće zlonamjernih hakerskih bandi lutaju današnjim internetskim svijetom i plijene lagane prevare. Ponovnom uporabom istih taktika koje su djelovale godinama, ako ne i desetljećima, ne čine ništa novo ili zanimljivo u iskorištavanju naše lijenosti, propusta u prosudbi ili običnog idiotizma.

No, svake godine istraživači antimalvera nailaze na nekoliko tehnika koje podižu obrve. Koriste ih zlonamjerni softver ili hakeri, ove nadahnute tehnike proširuju granice zlonamjernog hakiranja. Shvatite ih kao inovacije u devijaciji. Kao i sve inovativno, mnogi su mjera jednostavnosti.

[Recite se u 14 prljavih trikova za savjetnike za IT sigurnost, 9 popularnih postupaka za IT sigurnost koji jednostavno ne rade i 10 ludih sigurnosnih trikova koji to čine. | Saznajte kako zaštititi svoje sustave pomoću posebnog izvješća PDF pretraživača Deep Dive i biltena Security Central, oboje od. ]

Uzmimo makro virus Microsoft Excel iz 1990-ih koji je u proračunskim tablicama tiho, nasumično zamijenio nule velikim O, odmah transformirajući brojeve u tekstualne naljepnice s vrijednošću nula - promjene koje su, uglavnom, bile neotkrivene sve dok sistem sigurnosnih kopija nije sadržavao ništa drugo loši podaci.

Današnji najgenijalniji zlonamjerni softver i hakeri jednako su tajni i prijetljivi. Evo nekoliko najnovijih tehnika primjedbi koje su me pobudile kao istraživača sigurnosti i naučenih lekcija. Neki stoje na ramenima prošlih zlonamjernih inovatora, ali svi su danas u modi kao načini da se otmu i najpametniji korisnici.

Nevidljivi napad br. 1: Lažne bežične pristupne točke

Nijedan hak nije lakše ostvariti od lažnog WAP-a (bežične pristupne točke). Svatko tko koristi malo softvera i bežičnu mrežnu karticu može oglašavati svoje računalo kao dostupni WAP koji je zatim povezan sa stvarnim, legitimnim WAP-om na javnom mjestu.

Sjetite se svih puta kada ste - ili vaši korisnici - odlazili u lokalni kafić, zračnu luku ili javno okupljalište i spajali se na "besplatnu bežičnu" mrežu. Hakeri u Starbucksu koji svoj lažni WAP nazivaju "Starbucks Wireless Network" ili u zračnoj luci Atlanta zovu ga "Atlanta Airport Free Wireless" imaju sve vrste ljudi koji se za nekoliko minuta povezuju s računalom. Zatim hakeri mogu njušiti nezaštićene podatke iz tokova podataka koji se šalju između nesvjesnih žrtava i njihovih udaljenih hostova. Iznenadili biste se koliko se podataka, čak i lozinki, i dalje šalje u jasnom tekstu.

Zlobniji hakeri tražit će od svojih žrtava da stvore novi pristupni račun za korištenje svog WAP-a. Ti će korisnici više nego vjerojatno koristiti zajedničko ime za prijavu ili jednu od svojih adresa e-pošte, zajedno s lozinkom koju koriste negdje drugdje. WAP haker tada može pokušati upotrijebiti iste vjerodajnice za prijavu na popularnim web mjestima - Facebooku, Twitteru, Amazonu, iTunesu i tako dalje - a žrtve nikada neće znati kako se to dogodilo.

Lekcija: Ne možete vjerovati javnim bežičnim pristupnim točkama. Uvijek zaštitite povjerljive podatke poslane putem bežične mreže. Razmislite o upotrebi VPN veze koja štiti svu vašu komunikaciju i nemojte reciklirati lozinke između javnih i privatnih web lokacija.

Nevidljivi napad br. 2: Krađa kolačića

Kolačići preglednika prekrasan su izum koji čuva "stanje" kada korisnik kreće web stranicama. Te male tekstualne datoteke, koje web mjesto šalje našim strojevima, pomažu nam da nas web mjesto ili usluga prate tijekom našeg posjeta ili tijekom više posjeta, što nam omogućuje lakšu kupnju traperica, na primjer. Što se ne sviđa?

Odgovor: Kad nam haker ukrade kolačiće i zahvaljujući tome postane mi - sve češća pojava u današnje vrijeme. Umjesto toga, oni postaju autentični na našim web mjestima kao da smo mi i dali su valjano ime i lozinku za prijavu.

Svakako, krađa kolačića postoji otkad je izumljen Web, ali alati danas olakšavaju postupak poput klika, klika, klika. Na primjer, Firesheep je dodatak za preglednik Firefox koji omogućava ljudima da drugima ukradu nezaštićene kolačiće. Kada se koristi s lažnim WAP-om ili na zajedničkoj javnoj mreži, otmica kolačića može biti prilično uspješna. Firesheep će prikazati sva imena i mjesta kolačića koje pronalazi, a jednostavnim klikom miša haker može preuzeti sesiju (pogledajte blog Codebutler za primjer kako je lako koristiti Firesheep).

Još gore, hakeri sada mogu ukrasti čak i SSL / TLS zaštićene kolačiće i njušiti ih iz zraka. U rujnu 2011. godine napadi koje su njegovi tvorci označili kao "ZVIJER" dokazali su da se mogu dobiti čak i kolačići zaštićeni SSL / TLS. Daljnja poboljšanja i usavršavanja ove godine, uključujući dobro nazvani CRIME, dodatno su olakšali krađu i ponovnu upotrebu šifriranih kolačića.

Sa svakim izdanim napadom kolačića web lokacijama i programerima aplikacija govori se kako zaštititi svoje korisnike. Ponekad je odgovor upotreba najnovije kripto šifre; drugi puta je onemogućavanje neke nejasne značajke koju većina ljudi ne koristi. Ključno je da svi web programeri moraju koristiti tehnike sigurnog razvoja kako bi smanjili krađu kolačića. Ako vaše web mjesto već nekoliko godina nije ažuriralo zaštitu za šifriranje, vjerojatno ste u opasnosti.

Pouke: Čak se i kriptirani kolačići mogu ukrasti. Povežite se s web lokacijama koje koriste tehnike sigurnog razvoja i najnovije kripto. Vaša HTTPS web mjesta trebala bi upotrebljavati najnoviju kripto, uključujući TLS verzije 1.2.

Stealth napad br. 3: trikovi s nazivom datoteke

Hakeri koriste trikove s imenima datoteka kako bi nas natjerali na izvršavanje zlonamjernog koda od početka zlonamjernog softvera. Rani primjeri uključivali su davanje datoteke nečemu što bi poticalo nesumnjive žrtve da kliknu na nju (poput AnnaKournikovaNudePics) i upotrebu višestrukih proširenja datoteka (poput AnnaKournikovaNudePics.Zip.exe). Do danas, Microsoft Windows i drugi operativni sustavi lako skrivaju "dobro poznate" nastavke datoteka, što će AnnaKournikovaNudePics.Gif.Exe izgledati poput AnnaKournikovaNudePics.Gif.

Prije mnogo godina, programi za viruse zlonamjernog softvera poznatiji kao "blizanci", "mrijesteri" ili "prateći virusi" oslanjali su se na malo poznatu značajku Microsoft Windows / DOS-a, čak i ako upišete ime datoteke Start.exe, Windows će izgledati i, ako je pronađen, umjesto toga izvršite Start.com. Popratni virusi tražili bi sve .exe datoteke na vašem tvrdom disku i stvorili virus s istim imenom kao EXE, ali s nastavkom datoteke .com. Microsoft je to odavno popravio, ali njegovo otkriće i iskorištavanje od strane ranih hakera postavilo je temelje inventivnim načinima sakrivanja virusa koji se nastavljaju razvijati i danas.

Među sofisticiranijim trikovima za preimenovanje datoteka koji se trenutno koristi je upotreba Unicode znakova koji utječu na izlaz imena korisnika koji su predstavljeni. Primjerice, Unicode znak (U + 202E), nazvan Desno nadesno nadjačavanje, može zavarati mnoge sustave u prikazivanju datoteke koja se zapravo zove AnnaKournikovaNudeavi.exe kao AnnaKournikovaNudexe.avi.

Lekcija: Kad god je to moguće, prije izvođenja provjerite znate li pravo, cjelovito ime bilo koje datoteke.

Nevidljivi napad br. 4: Mjesto, mjesto, mjesto

Još jedan zanimljiv skriveni trik koji koristi operativni sustav protiv sebe jest trik za lokaciju datoteke poznat kao "relativni nasuprot apsolutnom". U naslijeđenim verzijama Windowsa (Windows XP, 2003 i stariji) i drugim ranim operativnim sustavima, ako ste upisali ime datoteke i pritisnuli Enter, ili ako je operativni sustav potražio datoteku u vaše ime, to bi uvijek počelo sa prvo svoju trenutnu mapu ili direktorij, prije nego što potražite drugdje. Ovo bi se ponašanje moglo činiti dovoljno efikasnim i bezopasnim, no hakeri i zlonamjerni softver koristili su ga u svoju korist.

Na primjer, pretpostavimo da ste željeli pokrenuti ugrađeni, bezopasni Windows kalkulator (calc.exe). Dovoljno je jednostavno (i često brže od korištenja nekoliko klikova mišem) otvoriti naredbeni redak, upisati calc.exei pritisnuti Enter. No, zlonamjerni softver može stvoriti zlonamjernu datoteku koja se zove calc.exe i sakriti je u trenutni direktorij ili vašu kućnu mapu; kada ste pokušali izvršiti calc.exe, umjesto toga će pokrenuti lažnu kopiju.

Volio sam ovu grešku kao ispitivač prodora. Često bih, nakon što sam provalio u računalo i trebao podići svoje privilegije na Administrator, uzeo neotkrivenu verziju poznatog, ranije ranjivog dijela softvera i smjestio ga u privremenu mapu. Većinu vremena sve što sam trebao učiniti bilo je postavljanje jedne ranjive izvršne datoteke ili DLL-a, dok sam cijeli, prethodno instalirani zakrpani program ostavljao sam. Utipkao bih ime datoteke izvršne datoteke programa u svoju privremenu mapu, a Windows bi učitao moju ranjivu trojansku izvršnu datoteku iz moje privremene mape umjesto nedavno zakrpane verzije. Svidjelo mi se - mogao sam iskoristiti potpuno zakrpani sustav s jednom lošom datotekom.

Linux, Unix i BSD sustavi imaju ovaj problem riješen više od deset godina. Microsoft je problem riješio 2006. izdanjima sustava Windows Vista / 2008, iako je problem ostao u naslijeđenim verzijama zbog problema s kompatibilnošću unatrag. Microsoft također već dugi niz godina upozorava i podučava programere da koriste apsolutna (a ne relativna) imena datoteka / staza u vlastitim programima. Ipak, deseci tisuća naslijeđenih programa ranjivi su na trikove lokacije. Hakeri to znaju bolje od svih.

Lekcija: Koristite operativne sustave koji provode apsolutne staze direktorija i mape i prvo potražite datoteke u zadanim područjima sustava.

Stealth napad br. 5: Preusmjeravanje datoteke hostova

Većini današnjih korisnika računara nepoznato je postojanje datoteke koja se odnosi na DNS pod nazivom Hosts. Smještena pod C: \ Windows \ System32 \ Drivers \ Etc u sustavu Windows, datoteka Hosts može sadržavati unose koji povezuju upisana imena domena s odgovarajućim IP adresama. DNS datoteku izvorno je koristio DNS kao način da domaćini lokalno razriješe traženje imena na IP adresu bez potrebe da kontaktiraju DNS poslužitelje i izvrše rekurzivno razlučivanje imena. DNS uglavnom funkcionira sasvim u redu i većina ljudi nikada ne stupa u interakciju sa svojom datotekom hostova, iako je tamo.

Hakeri i zlonamjerni softver vole pisati vlastite zlonamjerne unose u Hostove, tako da kad netko upiše popularno ime domene - recimo bing.com - budu preusmjereni na neko drugo zlonamjernije mjesto. Zlonamjerno preusmjeravanje često sadrži gotovo savršenu kopiju izvornog željenog web mjesta, tako da zahvaćeni korisnik nije svjestan prebacivanja.

Ovaj se podvig i danas široko koristi.

Lekcija: Ako ne možete otkriti zašto ste zlonamjerno preusmjereni, pogledajte datoteku hostova.

Stealth napad br. 6: Waterhole napadi

Napadi na vodene rupe ime su dobili po svojoj genijalnoj metodologiji. U tim napadima hakeri iskorištavaju činjenicu da se njihove ciljane žrtve često susreću ili rade na određenom fizičkom ili virtualnom mjestu. Tada "truju" to mjesto da bi postigli zlonamjerne ciljeve.

Na primjer, većina velikih tvrtki ima lokalni kafić, bar ili restoran koji je popularan među zaposlenicima tvrtke. Napadači će stvoriti lažne WAP-ove u pokušaju da dobiju što više vjerodajnica tvrtke. Ili će napadači zlonamjerno izmijeniti često posjećeno web mjesto kako bi učinili isto. Žrtve su često opuštenije i nesumnjivije jer je ciljano mjesto javni ili društveni portal.

Waterhole napadi postali su velika vijest ove godine kada je nekoliko tehnoloških kompanija visokog profila, uključujući Apple, Facebook i Microsoft, među ostalim, ugroženo zbog popularnih web stranica za razvoj aplikacija koje su njihovi programeri posjetili. Web mjesta bila su zatrovana zlonamjernim JavaScript preusmjeravanjima koja su instalirala zlonamjerni softver (ponekad i nula dana) na računala programera. Kompromitirane radne stanice programera tada su korištene za pristup unutarnjim mrežama tvrtki žrtava.

Lekcija: Pobrinite se da vaši zaposlenici shvate da su popularne "pojilice" uobičajena meta hakera.

Nevidljivi napad br. 7: Mamac i prebaci

Jedna od najzanimljivijih trajnih hakerskih tehnika zove se mamac i prebaci. Žrtvama se kaže da preuzimaju ili pokreću jednu stvar, i privremeno je, ali se tada isključuje sa zlonamjernom stavkom. Primjera ima na pretek.

Uobičajeno je da šireči zlonamjernog softvera kupuju prostor za oglašavanje na popularnim web mjestima. Kad potvrde narudžbu, web stranicama se prikazuje nenamjerna veza ili sadržaj. Web stranica odobrava oglas i uzima novac. Loš momak zatim prebacuje vezu ili sadržaj nečim zlonamjernijim. Često će kodirati novu zlonamjernu web stranicu kako bi gledatelje preusmjerili na izvornu vezu ili sadržaj ako ih netko pregleda s IP adrese koja pripada izvornom odobravatelju. To komplicira brzo otkrivanje i uklanjanje.

Najzanimljiviji napadi mamaca i prekidača koje sam vidio odnedavno uključuju negativce koji stvaraju "besplatan" sadržaj koji svatko može preuzeti i koristiti. (Zamislite administrativnu konzolu ili brojač posjetitelja za dno web stranice.) Često ovi besplatni apleti i elementi sadrže klauzulu o licenciranju koja kaže: "Može se slobodno ponovno koristiti sve dok ostane izvorna veza." Nesumnjivi korisnici koriste sadržaj u dobroj namjeri, ostavljajući izvornu vezu netaknutom. Izvorna veza obično neće sadržavati ništa osim amblema grafičke datoteke ili nečeg drugog trivijalnog i malog. Kasnije, nakon što je lažni element uključen u tisuće web stranica, izvorni zlonamjerni programer mijenja neškodljivi sadržaj u nešto zlonamjernije (poput štetnog JavaScript preusmjeravanja).

Pouka: Čuvajte se bilo kakve veze na bilo koji sadržaj koji nije pod vašom izravnom kontrolom, jer se na trenutak može isključiti bez vašeg pristanka.