Miljoonat haittaohjelmat ja tuhannet haitalliset hakkerijoukot vaeltavat nykypäivän verkkomaailmassa saalistaen helposti huijauksia. Uudelleen käyttämällä samaa taktiikkaa, joka on toiminut vuosia, ellei vuosikymmeniä, he eivät tee mitään uutta tai mielenkiintoista hyödyntääkseen laiskuuttamme, tuomiojemme raukeamista tai pelkkää idiotisuuttamme.
Mutta joka vuosi haittaohjelmien tutkijat törmäävät muutamaan tekniikkaan, joka nostaa kulmakarvoja. Haittaohjelmat tai hakkerit käyttävät näitä innoitettuja tekniikoita venyttämään haitallisen hakkeroinnin rajoja. Ajattele niitä innovaatioina poikkeavuudessa. Kuten kaikki innovatiiviset, monet ovat yksinkertaisuuden mittareita.
[Kerro itsesi 14 likaisessa IT-tietoturvakonsultin temppussa, 9 suositussa IT-tietoturvakäytännössä, jotka eivät vain toimi, ja 10 hullussa tietoturvatemppussa, jotka toimivat. | Opi suojaamaan järjestelmät Web-selaimen Deep Dive PDF -erikoisraportilla ja Security Central -uutiskirjeellä. ]
Otetaan 1990-luvun Microsoft Excel -makovirus, joka korvaa nollat satunnaisesti satunnaisesti isoilla O: lla laskentataulukoissa ja muuttaa numerot välittömästi tekstitarroiksi, joiden arvo on nolla - muutoksia, joita ei ole havaittu, ennen kuin varmuuskopiointijärjestelmät eivät sisällä muuta kuin huono data.
Nykypäivän nerokkaimmat haittaohjelmat ja hakkerit ovat yhtä varkaita ja miellyttäviä. Tässä on joitain viimeisimpiä tekniikoita, jotka ovat herättäneet kiinnostukseni turvallisuustutkijana ja saadut opit. Jotkut seisovat aikaisempien haitallisten innovaattoreiden harteilla, mutta kaikki ovat nykyään hyvin muodissa keinona repiä jopa savviimpia käyttäjiä.
Varkaushyökkäys nro 1: Väärennetyt langattomat tukiasemat
Mikään hakkerointi ei ole helpompaa kuin väärennetty WAP (langaton tukiasema). Jokainen, joka käyttää vähän ohjelmistoa ja langatonta verkkokorttia, voi mainostaa tietokonettaan käytettävissä olevana WAP: na, joka on sitten kytketty todelliseen, lailliseen WAP: iin julkisessa paikassa.
Ajattele kaikkia kertoja, jolloin olet käynyt paikallisessa kahvilassa, lentokentällä tai julkisessa keräilypaikassa ja yhteydessä "ilmaiseen langattomaan" verkkoon. Starbucksin hakkereilla, jotka kutsuvat väärennettyä WAP: ää "Starbucks Wireless Network": ksi, tai Atlantan lentokentällä "Atlanta Airport Free Wireless": ksi, on kaikenlaisia ihmisiä, jotka ovat yhteydessä tietokoneeseensa muutamassa minuutissa. Hakkerit voivat sitten haistaa suojaamattoman datan tietovirroista, jotka lähetetään tahattomien uhrien ja heidän aiottujen etäisäntiensä välillä. Sinun olisi yllättynyt siitä, kuinka paljon tietoa, jopa salasanoja, edelleen lähetetään selkeänä tekstinä.
Ilkikuremmat hakkerit pyytävät uhreja luomaan uuden käyttöoikeustilin käyttääkseen WAP: ää. Nämä käyttäjät käyttävät todennäköisesti yhteistä kirjautumisnimeä tai yhtä sähköpostiosoitteestaan yhdessä muualla käyttämänsä salasanan kanssa. WAP-hakkeri voi sitten yrittää käyttää samoja kirjautumistietoja suosituilla verkkosivustoilla - Facebook, Twitter, Amazon, iTunes ja niin edelleen. Uhrit eivät koskaan tiedä, miten se tapahtui.
Oppitunti: Et voi luottaa julkisiin langattomiin tukiasemiin. Suojaa aina langattoman verkon kautta lähetetyt luottamukselliset tiedot. Harkitse VPN-yhteyden käyttöä, joka suojaa kaikkea viestintääsi, äläkä kierrä salasanoja julkisten ja yksityisten sivustojen välillä.
Varkaushyökkäys nro 2: Evästeiden varkaus
Selainevästeet ovat hieno keksintö, joka säilyttää tilan, kun käyttäjä liikkuu verkkosivustolla. Nämä pienet tekstitiedostot, jotka verkkosivusto on lähettänyt koneellemme, auttavat verkkosivustoa tai palvelua seuraamaan meitä vierailun tai useiden vierailujen aikana, mikä antaa meille mahdollisuuden ostaa esimerkiksi farkut. Mistä ei pidä?
Vastaus: Kun hakkeri varastaa evästeemme ja siitä tehdessään tulee meistä - yhä useammin näinä päivinä. Pikemminkin he todennetaan verkkosivustoillemme ikään kuin he olisivat meitä ja olisivat antaneet kelvollisen kirjautumisnimen ja salasanan.
Toki, evästeiden varastaminen on ollut olemassa verkon keksimisestä lähtien, mutta nykyään työkalut tekevät prosessista yhtä helppoa kuin napsauta, napsauta, napsauta. Esimerkiksi Firesheep on Firefox-selaimen lisäosa, jonka avulla ihmiset voivat varastaa suojaamattomia evästeitä muilta. Kun sitä käytetään väärennetyn WAP: n kanssa tai jaetussa julkisessa verkossa, evästeiden kaappaaminen voi olla varsin onnistunutta. Firesheep näyttää kaikki löytämiensä evästeiden nimet ja sijainnit, ja hakkeri voi ottaa istunnon haltuunsa yhdellä hiiren napsautuksella (katso esimerkki Firesheepin käytöstä Codebutler-blogista).
Mikä pahempaa, hakkerit voivat nyt varastaa jopa SSL / TLS-suojatut evästeet ja haistaa ne tyhjästä. Syyskuussa 2011 tekijöiden BEAST-niminen hyökkäys osoitti, että jopa SSL / TLS-suojattuja evästeitä voidaan saada. Tämän vuoden lisäparannukset ja parannukset, mukaan lukien hyvin nimetty CRIME, ovat tehneet salattujen evästeiden varastamisen ja uudelleenkäytön entistä helpommaksi.
Jokaisen julkaistun evästehyökkäyksen yhteydessä verkkosivustoille ja sovelluskehittäjille kerrotaan, kuinka suojata käyttäjiään. Joskus vastaus on käyttää uusinta salausta; muina aikoina on poistaa jokin hämärä ominaisuus, jota useimmat ihmiset eivät käytä. Tärkeintä on, että kaikkien verkkokehittäjien on käytettävä suojattuja kehitystekniikoita evästevarkauksien vähentämiseksi. Jos verkkosivustosi ei ole päivittänyt salaussuojaansa muutaman vuoden ajan, olet todennäköisesti vaarassa.
Oppitunnit: Jopa salatut evästeet voidaan varastaa. Muodosta yhteys verkkosivustoihin, jotka käyttävät turvallisia kehitystekniikoita ja viimeisintä salausta. HTTPS-verkkosivustojesi tulisi käyttää uusinta salausta, mukaan lukien TLS-versio 1.2.
Stealth-hyökkäys nro 3: Tiedostonimen temput
Hakkerit ovat käyttäneet tiedostonimen temppuja saadakseen meidät suorittamaan haittaohjelmia haittaohjelmien alusta lähtien. Varhaiset esimerkit sisälsivät tiedoston nimeämisen jollekin, joka rohkaisi epäuskoisia uhreja napsauttamaan sitä (kuten AnnaKournikovaNudePics) ja useiden tiedostotunnisteiden (kuten AnnaKournikovaNudePics.Zip.exe) käyttöä. Tähän päivään asti Microsoft Windows ja muut käyttöjärjestelmät piilottavat helposti "tunnetut" tiedostotunnisteet, mikä saa AnnaKournikovaNudePics.Gif.Exe näyttämään AnnaKournikovaNudePics.Gif.
Vuosia sitten haittaohjelmavirusohjelmat, jotka tunnetaan nimellä "kaksoset", "kutijat" tai "kumppanivirukset", tukeutuivat vähän tunnettuun Microsoft Windows / DOS -ominaisuuteen, jossa vaikka kirjoittaisit tiedostonimen Start.exe, Windows näyttäisi ja jos se löytyy, suorita sen sijaan Start.com. Apuvirukset etsivät kaikkia kiintolevyltäsi olevia .exe-tiedostoja ja luovat viruksen samalla nimellä kuin EXE, mutta tiedostopääte .com. Microsoft on jo kauan sitten korjannut tämän, mutta sen löytäminen ja hyödyntäminen varhaisilta hakkereilta loi perustan kekseliäille tavoille piilottaa viruksia, jotka kehittyvät edelleen.
Tällä hetkellä käytössä olevien kehittyneempien tiedostojen uudelleennimeämistemppujen joukossa on Unicode-merkkien käyttö, jotka vaikuttavat käyttäjien esittämään tiedostonimen tulokseen. Esimerkiksi Unicode-merkki (U + 202E), jota kutsutaan Oikealta vasemmalle -ohitukseksi, voi huijata monia järjestelmiä näyttämään AnnaKournikovaNudeavi.exe -nimisen tiedoston AnnaKournikovaNudexe.avi-muodossa.
Oppitunti: Aina kun mahdollista, varmista, että tiedät minkä tahansa tiedoston oikean, täydellisen nimen, ennen kuin suoritat sen.
Varkaushyökkäys nro 4: Sijainti, sijainti, sijainti
Toinen mielenkiintoinen piilotemppu, joka käyttää käyttöjärjestelmää itseään vastaan, on tiedoston sijaintitemppu, joka tunnetaan nimellä "suhteellinen vs. absoluuttinen". Jos kirjoitit vanhoissa Windows-versioissa (Windows XP, 2003 ja aiemmat) ja muissa varhaisissa käyttöjärjestelmissä, jos kirjoitit tiedostonimen ja painat Enter-näppäintä tai jos käyttöjärjestelmä etsii tiedostoa puolestasi, se alkaisi aina ensin nykyisen kansion tai hakemiston sijainnin, ennen kuin etsit muualta. Tämä käyttäytyminen saattaa tuntua riittävän tehokkaalta ja vaarattomalta, mutta hakkerit ja haittaohjelmat käyttivät sitä hyödyksi.
Oletetaan esimerkiksi, että halusit suorittaa sisäänrakennetun, vaarattoman Windows-laskimen (calc.exe). Komentorivin avaaminen on tarpeeksi helppoa (ja usein nopeampi kuin useiden hiiren napsautusten käyttö), kirjoita calc.exe ja paina Enter. Mutta haittaohjelma voi luoda haittaohjelman nimeltä calc.exe ja piilottaa sen nykyiseen hakemistoon tai kotikansioon; kun yritit suorittaa calc.exe, se suorittaa väärän kopion.
Rakastin tätä vikaa tunkeutumistestaajana. Usein, kun olin murtautunut tietokoneeseen ja tarvinnut korottaa oikeudet järjestelmänvalvojaan, otin tuntemattoman, aiemmin haavoittuvan ohjelmiston palaamattoman version ja laitoin sen väliaikaiseen kansioon. Suurimman osan ajasta minun piti vain sijoittaa yksi haavoittuva suoritettava tiedosto tai DLL, jättäen koko aiemmin asennettu korjaustiedosto yksin. Kirjoitan ohjelman suoritettavan tiedoston nimen väliaikaiseen kansioon, ja Windows lataa haavoittuvan troijalaisen suoritettavan tiedoston väliaikaisesta kansiostani äskettäin korjatun version sijaan. Rakastin sitä - voisin hyödyntää täysin korjattua järjestelmää yhdellä huonolla tiedostolla.
Linux-, Unix- ja BSD-järjestelmissä tämä ongelma on korjattu yli vuosikymmenen ajan. Microsoft korjasi ongelman vuonna 2006 Windows Vista / 2008 -julkaisuilla, vaikka ongelma on edelleen vanhoissa versioissa takautuvista yhteensopivuusongelmista johtuen. Microsoft on myös varoittanut ja opettanut kehittäjiä käyttämään absoluuttisia (eikä suhteellisia) tiedostojen / polkujen nimiä omissa ohjelmissaan monien vuosien ajan. Kymmenet tuhannet vanhat ohjelmat ovat kuitenkin alttiita sijaintitemppuille. Hakkerit tietävät tämän paremmin kuin kukaan muu.
Oppitunti: Käytä käyttöjärjestelmiä, jotka pakottavat absoluuttiset hakemisto- ja kansiopolut, ja etsi tiedostoja ensin järjestelmän oletusalueilta.
Stealth-hyökkäys nro 5: Isäntätiedostojen uudelleenohjaus
Suurimmalle osalle nykypäivän tietokoneen käyttäjistä on tietämätön DNS-nimisen Hosts-tiedoston olemassaolo. Hosts-tiedosto sijaitsee Windowsin C: \ Windows \ System32 \ Drivers \ Etc -kohdassa. Hosts-tiedosto voi sisältää merkintöjä, jotka linkittävät kirjoitetut verkkotunnukset vastaaviin IP-osoitteisiin. DNS käytti alun perin Hosts-tiedostoa tapana, jolla isännät pystyivät ratkaisemaan paikallisesti nimi-IP-osoitteen haun ottamatta yhteyttä DNS-palvelimiin ja suorittamaan rekursiivista nimien tarkentamista. Suurimmaksi osaksi DNS-toiminnot toimivat hienosti, ja useimmat ihmiset eivät koskaan ole vuorovaikutuksessa Hosts-tiedostonsa kanssa, vaikka se onkin siellä.
Hakkerit ja haittaohjelmat rakastavat kirjoittaa omia haitallisia merkintöjään isäntiin, joten kun joku kirjoittaa suositun verkkotunnuksen - esimerkiksi bing.com - hänet ohjataan johonkin muuhun haitallisempaan. Haitallinen uudelleenohjaus sisältää usein lähes täydellisen kopion halutusta alkuperäisestä verkkosivustosta, joten kyseinen käyttäjä ei ole tietoinen kytkimestä.
Tätä hyväksikäyttöä käytetään edelleen laajalti.
Oppitunti: Jos et pysty selvittämään, miksi sinut ohjataan vahingollisesti, tarkista Hosts-tiedosto.
Varkaushyökkäys nro 6: Vesireikien hyökkäykset
Vesireikähyökkäykset saivat nimensä nerokkaasta metodologiastaan. Näissä hyökkäyksissä hakkerit hyödyntävät sitä, että heidän kohdennetut uhrit tapaavat tai työskentelevät usein tietyssä fyysisessä tai virtuaalisessa paikassa. Sitten he "myrkyttävät" sijainnin haitallisten tavoitteiden saavuttamiseksi.
Esimerkiksi useimmilla suurilla yrityksillä on paikallinen kahvila, baari tai ravintola, joka on suosittu yrityksen työntekijöiden keskuudessa. Hyökkääjät luovat väärennettyjä WAP-tiedostoja yrittäessään saada mahdollisimman monta yrityksen tunnistetietoa. Tai hyökkääjät muokkaavat vahingollisesti usein vierailtua verkkosivustoa tekemään samoin. Uhrit ovat usein rennompia ja epäilevämpiä, koska kohteena on julkinen tai sosiaalinen portaali.
Vesireikien hyökkäyksistä tuli suuri uutinen tänä vuonna, kun useat korkean profiilin teknologiayritykset, kuten Apple, Facebook ja Microsoft, vaarantuivat suosittujen sovelluskehityssivustojen takia, joita heidän kehittäjänsä vierailivat. Sivustot oli myrkytetty haitallisilla JavaScript-uudelleenohjauksilla, jotka asentivat haittaohjelmat (joskus nolla päivää) kehittäjien tietokoneisiin. Vaarantuneita kehittäjätyöasemia käytettiin sitten pääsyyn uhriyritysten sisäisiin verkkoihin.
Oppitunti: Varmista, että työntekijät ymmärtävät, että suositut "vesireiät" ovat yleisiä hakkereiden kohteita.
Stealth-hyökkäys nro 7: Syötti ja kytkin
Yksi mielenkiintoisimmista käynnissä olevista hakkereiden tekniikoista kutsutaan syötiksi ja vaihdoksi. Uhreille kerrotaan, että he lataavat tai suorittavat yhtä asiaa, ja väliaikaisesti he ovat, mutta sitten se kytketään pois haitallisella esineellä. Esimerkkejä on runsaasti.
Haittaohjelmien levittäjät ostavat yleensä mainostilaa suosituilta verkkosivustoilta. Vahvistaessaan tilausta verkkosivustoille näytetään haitallinen linkki tai sisältö. Verkkosivusto hyväksyy mainoksen ja ottaa rahat. Paha kaveri vaihtaa sitten linkin tai sisällön haitallisemmalla. Usein he koodaavat uuden haitallisen verkkosivuston ohjaamaan katsojat takaisin alkuperäiseen linkkiin tai sisältöön, jos joku katsoo niitä alkuperäisen hyväksyjän IP-osoitteesta. Tämä vaikeuttaa nopeaa tunnistamista ja poistamista.
Mielenkiintoisimmista syövän ja vaihdon hyökkäyksistä, joita olen nähnyt myöhään, liittyy pahiksia, jotka luovat "ilmaista" sisältöä, jonka kuka tahansa voi ladata ja käyttää. (Ajattele verkkosivun alaosan hallintakonsolia tai kävijälaskuria.) Usein nämä ilmaiset sovelmat ja elementit sisältävät lisenssilausekkeen, jonka mukaan "Voidaan käyttää uudelleen vapaasti, kunhan alkuperäistä linkkiä on jäljellä." Epäilemättömät käyttäjät käyttävät sisältöä hyvässä uskossa, jättäen alkuperäisen linkin koskematta. Yleensä alkuperäinen linkki ei sisällä muuta kuin grafiikkatiedoston tunnuksen tai jotain muuta triviaalia ja pientä. Myöhemmin, kun väärä elementti on sisällytetty tuhansiin verkkosivustoihin, alkuperäinen haitallinen kehittäjä muuttaa vaarattoman sisällön haitallisemmaksi (kuten haitallinen JavaScript-uudelleenohjaus).
Oppitunti: Varo linkkejä mihin tahansa sisältöön, jota et ole suoraan hallinnassasi, koska se voidaan kytkeä pois päältä hetkellisen ilmoituksen avulla ilman suostumustasi.
