Milijonai kenkėjiškų programų ir tūkstančiai kenksmingų įsilaužėlių gaujų klajoja šiandieniniame internetiniame pasaulyje ir grobia lengvus apgaulius. Pakartotinai panaudoję tą pačią taktiką, kuri veikė daugelį metų, jei ne dešimtmečius, jie nieko naujo ar įdomaus neišnaudoja mūsų tinginystei, teisingumo netekimui ar paprastam idiotizmui.
Tačiau kiekvienais metais antimalware programos tyrėjai susiduria su keletu būdų, kurie pakelia antakius. Naudojamos kenkėjiškos programos ar įsilaužėlių, šios įkvėptos technikos išplečia kenkėjiško įsilaužimo ribas. Pagalvokite apie juos kaip apie nuokrypio naujoves. Kaip ir viskas, kas naujoviška, daugelis yra paprastumo matas.
[Versi save 14 nešvarių IT saugumo konsultantų triukų, 9 populiarių IT saugumo praktikų, kurios tiesiog neveikia, ir 10 beprotiškų saugumo gudrybių, kurios veikia. | Sužinokite, kaip apsaugoti savo sistemas naudodami žiniatinklio naršyklės „Deep Dive“ PDF specialią ataskaitą ir „Security Central“ naujienlaiškį. ]
Paimkite dešimto dešimtmečio „Microsoft Excel“ makrokomandą, kuris tyliai atsitiktinai skaičiuoklėse nulius pakeitė didžiosiomis raidėmis O. Skaičius iš karto pavertė teksto etiketėmis, kurių vertė lygi nuliui - pokyčiai, kurių daugiausiai nebuvo, kol nebuvo pastebėta, kol atsarginės sistemos nebuvo blogi duomenys.
Šiandienos genialiausios kenkėjiškos programos ir įsilaužėliai yra tokie pat slapti ir malonūs. Čia yra keletas naujausių pastabų, kurios sukėlė mano, kaip saugumo tyrėjo, susidomėjimą ir išmoktas pamokas. Kai kurie stovi ant praeities kenksmingų novatorių pečių, tačiau visi šiandien yra labai madingi, kaip būdai išplėšti net pačius išmintingiausius vartotojus.
Slaptas išpuolis Nr. 1: suklastoti belaidžio ryšio prieigos taškai
Joks įsilaužimas nėra paprasčiau įvykdomas nei netikras WAP (belaidis prieigos taškas). Kiekvienas, kuris naudoja šiek tiek programinės įrangos ir belaidžio tinklo plokštę, gali reklamuoti savo kompiuterį kaip galimą WAP, kuris tada yra prijungtas prie tikro, teisėto WAP viešoje vietoje.
Pagalvokite apie visus kartus, kai jūs - ar jūsų vartotojai - lankėtės vietinėje kavinėje, oro uoste ar viešoje susibūrimo vietoje ir prisijungėte prie „nemokamo belaidžio“ tinklo. „Starbucks“ įsilaužėliai, kurie savo netikrą WAP vadina „Starbucks Wireless Network“ arba Atlantos oro uoste, vadina „Atlanta Airport Free Wireless“, turi įvairiausių žmonių, kurie per kelias minutes prisijungia prie savo kompiuterio. Tada įsilaužėliai gali užuosti neapsaugotus duomenis iš duomenų srautų, siunčiamų tarp netyčinių aukų ir jų numatytų nuotolinių kompiuterių. Nustebtumėte, kiek duomenų, net slaptažodžių, vis dar siunčiama aiškiu tekstu.
Niekadesni įsilaužėliai paprašys savo aukų sukurti naują prieigos paskyrą, kad galėtų naudoti savo WAP. Šie vartotojai greičiausiai naudos bendrą prisijungimo vardą arba vieną iš savo el. Pašto adresų kartu su slaptažodžiu, kurį naudoja kitur. Tada WAP įsilaužėlis gali pabandyti naudoti tuos pačius prisijungimo duomenis populiariose svetainėse - „Facebook“, „Twitter“, „Amazon“, „iTunes“ ir kt. - ir aukos niekada nesužinos, kaip tai įvyko.
Pamoka: negalima pasitikėti viešaisiais belaidžio ryšio prieigos taškais. Visada saugokite konfidencialią informaciją, siunčiamą belaidžiu tinklu. Apsvarstykite galimybę naudoti VPN ryšį, kuris apsaugo visus jūsų ryšius, ir neperdirbkite slaptažodžių tarp viešų ir privačių svetainių.
Slapta ataka Nr. 2: slapukų vagystė
Naršyklės slapukai yra nuostabus išradimas, išsaugantis „būseną“, kai vartotojas naršo svetainėje. Šie nedideli tekstiniai failai, kuriuos svetainė siunčia į mūsų mašinas, padeda svetainei ar tarnybai sekti mūsų vizitą ar kelis apsilankymus, leidžiančius, pavyzdžiui, lengviau įsigyti džinsus. Kas nepatinka?
Atsakymas: kai įsilaužėlis pavagia mūsų slapukus ir dėl to tampa mumis - šiais laikais tai daroma vis dažniau. Atvirkščiai, jie patvirtinami mūsų svetainėse, tarsi jie būtų mes ir pateikę galiojantį prisijungimo vardą ir slaptažodį.
Aišku, slapukų vagystės egzistuoja nuo pat žiniatinklio išradimo, tačiau šiomis dienomis įrankiai palengvina procesą, kaip spustelėti, spustelėti, spustelėti. Pavyzdžiui, „Firesheep“ yra naršyklės „Firefox“ priedas, leidžiantis žmonėms pavogti neapsaugotus slapukus iš kitų. Naudojant suklastotą WAP arba bendrame viešajame tinkle, slapukų užgrobimas gali būti gana sėkmingas. „Firesheep“ parodys visus surastų slapukų pavadinimus ir vietas, o paprastu pelės paspaudimu įsilaužėlis gali perimti sesiją (žr. „Codebutler“ tinklaraštį, kuriame rasite pavyzdį, kaip lengva naudoti „Firesheep“).
Dar blogiau, įsilaužėliai dabar gali pavogti net SSL / TLS apsaugotus slapukus ir uostyti juos iš oro. 2011 m. Rugsėjo mėn. Išpuolis, kurio kūrėjai pažymėjo „BEAST“, įrodė, kad galima gauti net SSL / TLS apsaugotus slapukus. Tolesni šių metų patobulinimai ir patobulinimai, įskaitant gerai pavadintą „CRIME“, dar labiau palengvino šifruotų slapukų vagystę ir naudojimą.
Su kiekviena išleista slapukų ataka svetainėms ir programų kūrėjams nurodoma, kaip apsaugoti savo vartotojus. Kartais atsakymas yra naudoti naujausią šifravimo kodą; kartais tai yra tam tikrų neaiškių funkcijų, kurių dauguma žmonių nenaudoja, išjungimas. Svarbiausia yra tai, kad visi žiniatinklio kūrėjai turi naudoti saugias kūrimo technikas, kad sumažintų slapukų vagystę. Jei jūsų svetainė per kelerius metus neatnaujino savo šifravimo apsaugos, tikriausiai rizikuojate.
Pamokos: gali būti pavogti net užšifruoti slapukai. Prisijunkite prie svetainių, kuriose naudojamos saugios kūrimo technologijos ir naujausia kriptografija. Jūsų HTTPS svetainėse turėtų būti naudojama naujausia šifruotė, įskaitant TLS 1.2 versiją.
Slapta ataka Nr. 3: failo vardo gudrybės
Įsilaužėliai nuo kenkėjiškų programų pradžios naudoja failų vardų gudrybes, norėdami priversti mus vykdyti kenkėjišką kodą. Pirmieji pavyzdžiai buvo failo pavadinimas, kuris paskatintų nieko neįtariančius aukas jį spustelėti (pvz., AnnaKournikovaNudePics), ir kelių failų plėtinių naudojimas (pvz., AnnaKournikovaNudePics.Zip.exe). Iki šios dienos „Microsoft Windows“ ir kitos operacinės sistemos lengvai slepia „gerai žinomus“ failų plėtinius, dėl kurių AnnaKournikovaNudePics.Gif.Exe atrodys kaip AnnaKournikovaNudePics.Gif.
Prieš daugelį metų kenkėjiškų programų virusų programos, žinomos kaip „dvyniai“, „nerštai“ ar „kompanioniniai virusai“, rėmėsi mažai žinomu „Microsoft Windows“ / DOS bruožu, kur net įvedus failo pavadinimą „Start.exe“ „Windows“ atrodytų ir, jei rasta, vykdykite Start.com. Papildomi virusai ieškotų visų .exe failų kietajame diske ir sukurtų virusą tokiu pačiu pavadinimu kaip EXE, tačiau su failo plėtiniu .com. „Microsoft“ tai jau seniai ištaisė, tačiau ankstyvieji įsilaužėliai ją atrado ir išnaudojo, padėjo pagrindą išradingiems būdams slėpti virusus, kurie ir toliau vystosi ir šiandien.
Tarp sudėtingesnių šiuo metu naudojamų failų pervadinimo triukų yra „Unicode“ simbolių naudojimas, turintis įtakos failų, kuriuos pateikia vartotojai, išvestį. Pavyzdžiui, „Unicode“ simbolis (U + 202E), vadinamas nepaisymu iš dešinės į kairę, gali suklaidinti daugelį sistemų rodant failą, pavadintą AnnaKournikovaNudeavi.exe kaip AnnaKournikovaNudexe.avi.
Pamoka: kai tik įmanoma, prieš vykdydami įsitikinkite, kad žinote tikrą ir išsamų failo pavadinimą.
Slapta ataka Nr. 4: vieta, vieta, vieta
Kitas įdomus slaptas triukas, kuris naudoja operacinę sistemą prieš save, yra failo vietos gudrybė, vadinama „santykine ir absoliučia“. Senosiose „Windows“ versijose („Windows XP“, 2003 ir ankstesnėse versijose) ir kitose ankstyvosiose operacinėse sistemose, jei įvedėte failo pavadinimą ir paspauskite „Enter“ arba jei operacinė sistema ieškojo failo jūsų vardu, jis visada prasidėtų pirmiausia ieškokite savo dabartinio aplanko ar katalogo vietos, prieš ieškodami kitur. Šis elgesys gali atrodyti pakankamai efektyvus ir nekenksmingas, tačiau įsilaužėliai ir kenkėjiškos programos tai panaudojo savo naudai.
Pvz., Tarkime, kad norėjote paleisti integruotą, nepavojingą „Windows“ skaičiuoklę (calc.exe). Pakanka lengvai (ir dažnai greičiau nei naudojant kelis pelės paspaudimus) atidaryti komandų eilutę, įveskite calc.exe ir paspauskite Enter. Bet kenkėjiška programa gali sukurti kenkėjišką failą, vadinamą calc.exe, ir paslėpti jį dabartiniame kataloge arba namų aplanke; kai bandėte vykdyti calc.exe, ji veiktų fiktyvią kopiją.
Man patiko ši klaida kaip įsiskverbimo bandytojui. Dažnai po to, kai įsilauždavau į kompiuterį ir turėdavau iškelti savo teises į administratorių, paimdavau nepatvirtintą žinomos, anksčiau pažeidžiamos programinės įrangos versiją ir padėdavau ją į laikiną aplanką. Dažniausiai tereikėjo įdėti vieną pažeidžiamą vykdomąjį failą arba DLL, paliekant visą anksčiau įdiegtą pataisytą programą. Įrašyčiau programos vykdomojo failo pavadinimą į savo laikiną aplanką, o „Windows“ į mano pažeidžiamą „Trojan“ vykdomąjį failą įkeltų iš mano laikino aplanko, o ne į neseniai pataisytą versiją. Man tai patiko - galėčiau išnaudoti visiškai užtaisytą sistemą su vienu blogu failu.
„Linux“, „Unix“ ir BSD sistemose ši problema buvo išspręsta daugiau nei dešimtmetį. „Microsoft“ ištaisė problemą 2006 m. Išleidusi „Windows Vista / 2008“, nors problema išlieka senose versijose dėl atgalinio suderinamumo problemų. „Microsoft“ jau daugelį metų perspėjo ir mokė kūrėjus savo programose naudoti absoliučius (o ne santykinius) failų / kelių pavadinimus. Vis dėlto dešimtys tūkstančių senų programų yra pažeidžiamos vietos gudrybių. Įsilaužėliai tai žino geriau nei bet kas kitas.
Pamoka: naudokite operacines sistemas, užtikrinančias absoliučius katalogų ir aplankų kelius, ir pirmiausia ieškokite failų numatytosiose sistemos srityse.
Slapta ataka Nr. 5: Šeimininkų failo peradresavimas
Daugumai šių dienų kompiuterio vartotojų nežinant yra su DNS susijęs failas, pavadintas „Šeimininkai“. „Hosts“ faile, esančiame „Windows“ C: \ Windows \ System32 \ Drivers \ Etc, gali būti įrašų, kurie susietus domenų vardus susieja su atitinkamais IP adresais. Iš pradžių DNS failą „Hosts“ naudojo kaip būdą, leidžiantį šeimininkams lokaliai išsiaiškinti vardų ir IP adresų paieškas nereikalaujant susisiekti su DNS serveriais ir atlikti rekursyvų pavadinimo sprendimą. Daugeliu atvejų DNS funkcijos yra puikios, ir dauguma žmonių niekada nebendrauja su savo „Hosts“ failu, nors jis ir yra.
Įsilaužėliai ir kenkėjiškos programos mėgsta įrašyti savo kenkėjiškus įrašus į šeimininkus, todėl, kai kas nors įveda populiarų domeno vardą - tarkime, bing.com -, jis bus nukreiptas į kitą kenkėjiškesnę vietą. Kenkėjiškame peradresavime dažnai yra beveik tobula norimos svetainės originalo kopija, todėl nukentėjęs vartotojas nežino apie perjungimą.
Šis išnaudojimas vis dar plačiai naudojamas ir šiandien.
Pamoka: jei negalite išsiaiškinti, kodėl esate piktybiškai nukreiptas, patikrinkite savo „Hosts“ failą.
Slaptas išpuolis Nr. 6: „Waterhole“ atakos
Vandens skylių išpuoliai pavadino juos išradinga metodika. Šiose atakose įsilaužėliai naudojasi tuo, kad jų aukos dažnai susitinka arba dirba tam tikroje fizinėje ar virtualioje vietoje. Tada jie „nuodija“ tą vietą, kad pasiektų kenkėjiškų tikslų.
Pavyzdžiui, dauguma didelių kompanijų turi vietinę kavinę, barą ar restoraną, kuris yra populiarus tarp įmonės darbuotojų. Užpuolikai sukurs padirbtus WAP, bandydami gauti kuo daugiau įmonės duomenų. Arba užpuolikai piktybiškai pakeis dažnai lankomą svetainę, kad padarytų tą patį. Aukos dažnai būna labiau atsipalaidavusios ir neįtaria, nes tikslinė vieta yra viešas ar socialinis portalas.
„Waterhole“ išpuoliai šiais metais tapo didele naujiena, kai kelios aukšto lygio technologijų įmonės, įskaitant „Apple“, „Facebook“ ir „Microsoft“, be kita ko, buvo pažeistos dėl populiarių programų kūrimo svetainių, kuriose apsilankė jų kūrėjai. Svetainės buvo užnuodytos kenksmingais „JavaScript“ peradresavimais, kurie kūrėjų kompiuteriuose įdiegė kenkėjiškas programas (kartais nulis dienų). Tada pažeistos kūrėjų darbo vietos buvo naudojamos prieigai prie nukentėjusių įmonių vidinių tinklų.
Pamoka: įsitikinkite, kad jūsų darbuotojai supranta, jog populiarūs „laistymo skylės“ yra įprasti įsilaužėlių taikiniai.
Slaptas puolimas Nr. 7: masalas ir perjungimas
Viena įdomiausių nuolatinių įsilaužėlių technikų vadinama jauku ir perjungimu. Aukoms sakoma, kad jie atsisiunčia ar vykdo vieną dalyką, ir laikinai jie yra, bet tada jis išjungiamas su kenkėjišku daiktu. Pavyzdžių gausu.
Įprasta, kad kenkėjiškų programų platintojai perka reklamos vietą populiariose svetainėse. Svetainėms, patvirtinant užsakymą, rodoma nenaudinga nuoroda ar turinys. Svetainė patvirtina reklamą ir paima pinigus. Tada blogasis vaikinas pakeičia nuorodą ar turinį kenkėjiškesniu. Dažnai jie užkoduos naują kenkėjišką svetainę, kad nukreiptų žiūrovus atgal į pradinę nuorodą ar turinį, jei kas nors jį peržiūri iš pirminio patvirtintojo IP adreso. Tai apsunkina greitą aptikimą ir nuėmimą.
Įdomiausios vėlai matytos atakos už jauko keitimą yra susijusios su blogais vaikinais, kurie kuria „nemokamą“ turinį, kurį gali atsisiųsti ir naudoti visi. (Pagalvokite apie interneto puslapio apačioje esančią administracinę konsolę ar lankytojų skaitiklį.) Dažnai šiose nemokamose programėlėse ir elementuose yra licencijavimo sąlyga, kurioje sakoma: „Gali būti laisvai pakartotinai naudojamas tol, kol lieka originali nuoroda“. Nieko neįtardami vartotojai sąžiningai naudoja turinį, palikdami originalią nuorodą nepaliestą. Paprastai originalioje nuorodoje nėra nieko, išskyrus grafikos failo emblemą ar ką nors nereikšmingo ir mažo. Vėliau, kai fiktyvus elementas buvo įtrauktas į tūkstančius svetainių, originalus kenkėjiškas kūrėjas nekenksmingą turinį pakeičia į kenkėjiškesnį (pvz., Žalingą „JavaScript“ peradresavimą).
Pamoka: saugokitės bet kokios nuorodos į bet kokį turinį, kurio tiesiogiai nevaldote, nes jį galite iš anksto įspėti be jūsų sutikimo.
