"Cu capãtul arcurilor, trecînd,
rãzboinicii
mîngîie roua..."

Yosa Buson (1715-1783)

Tendința de atac a atacatorilor informatici s-a schimbat: ei nu mai încearcă atît de mult să exploateze găurile de securitate din programele existente (software) și se axează tot mai mult pe domeniul ingineriei sociale prin care caută să-i păcălească pe utilizatori în a-și descărca în calculatoare. Studiul lui Google care arată acest lucru este prezentat și aici. Astfel, pe măsură ce utilizatorii navighează pe rețea le apar ferestre cu avertismente ale unor antiviruși falși în încercarea de a-i speria pe oameni. Acest gen de atacuri reprezintă 15% din totatul malware-ului detectat în perioada ianuarie 2009 și februarie 2010. O altă problemă o reprezintă faptul că aceste tentative de înșelăciune au fost integrate în cadrul campaniilir de publicitate, iar acest lucru îi afectează pe cei care distribuie publicitate pe rețea.

Apple a reușit să vîndă 1 milion de bucăți din iPad 3G wi-fi în primele 28 de zile de la lansare. Astfel, numărul 1 milion a fost vîndul la 30 aprilie. Mai multe informații aici.

În același timp, utilizatorii de iPad care rulează Windows sînt vizați de către atacatorii informatici prin intermediul mesajelor nesolicitate (spam). Mai multe informații despre modul de acțiunie al virusului denumit Backdoor.Bifrose.AADY se pot găsi aici.

Hewlett-Packard este pe cale să cumpere Palm și sistemul de operare webOS pentru 1,2 miliarde de dolari sau 5,70 dolari pe acțiune. Afacerea a fost deja aprobată de ambele consilii de directori și este un colac de salvare pentru Palm a cărei situație financiară nu este deloc extraordinară. Mai multe informații aici.

O vulnerabilitate foarte gravă a fost descoperită în navigatorul de internet Opera, prin intermediul ei atacatorii putea executa cod de la distanță. Ea afecta utilizatorii de Windows și Mac și a fost deja reparată în versiunea Opera 10.53.

De asemenea, cei de la Google au aplicat două petice la Chrome (în 20 și 27 aprilie) rezolvînd cîteva dintre problemele de securitate. Informații suplimentare se găsesc aici.

Malware este un termen folosit în limba engleză și preluat destul de des în limbajul terminologic românesc care provine de la malicious software (adică programe malițioase). E vorba despre acele programe care se folosesc de găurile (de securitate) ale sistemului și de naivitatea ori neatenția utilizatorilor pentru a strînge informații confidențiale în folosul propriu sau pentru a face rău. Printre programele malițioase se regăsesc virușii, troienii, viermii, phishing și o mulțime de alte amenințări care apar zilnic.

Despre pishing am mai scris deja pe Supravirtual.ro, dar revin cu acest subiect pentru că atacurile malware au crescut vertiginos în ultimul timp, iar metodele prin care acționează infractorii informatici s-au diversificat. De exemplu, în loc să trimită un simplu mesaj electronic (email mai pe englezește) către milioane de utilizatori și clienti de-ai băncilor, își selectează atent lista potențialelor victime conform unui profil specific troianului trimis. Recent, un astfel de troian a cauzat dificultăți autorităților și unor corporatii americane. Aceste atacuri specifice vizează informațiile secrete ale corporațiilor, bazele de date cu clienți și alte informații sensibile ale companiilor, instituțiilor și autorităților. Este vorba de pishing, iar timpurile în care phishing-ul și alte atacuri malware erau orientate către marea majoritate a utilizatorilor a cam trecut. Avînd in vedere ca informații diverse despre parteneri, responsabilități, proiecte și structuri organizatorice sînt păstrate pe paginile web ale multor companii este relativ ușor pentru hackeri să falsifice un mesaj electronic și să-i confere un conținut aparent „de incredere”.

O metodă mai nouă este de a ataca paginile de rețele sociale gen Twitter. Așa cum scrie Radu Georgescu în jurnalul lui, în august 2008 a avut loc primul atac malware pe Twitter. Pe scurt, a primit un mesaj pe twitter care îl redirecționa spre o pagină care distribuia un malware. Așa cum probabil știți deja, Twitter și Facebook sînt două din paginile Web 2.0 cele mai populare în acest moment. Tehnologia web 2.0 a devenit o țintă interesantă pentru atacatori prin noile metode de atac pe care aceasta le oferă. De asemenea, pe rețele sociale este foarte ușor să exploatezi falsa impresie de încredere pe care ti-o oferă un nume sau o fotografie cunoscută. De exemplu, dacă ești prieten cu Ion Popescu pe Twitter, iar acesta scrie un mesaj de genul „O pagină mișto: http://…”, cea mai mare parte a celor care îl urmăresc pe Ionel pe twitter vor accesa url-ul respectiv fără să se gîndească prea mult asupra riscurilor la care se supun. Pagina respectivă ar putea să fie la fel de bine autentică și bine intenționată, dar la fel de bine o pagină care să adăpostească un program malițios. Fără o verificare în prealabil nu ai cum să știi, iar dacă la adresa nou accesată apare o avertizare cum că trebuie instalat un plugin nou (adică un program auxiliar navigatorului pentru accesarea în bune condiții a unei pagini), o foarte mare parte dintre vizitatori nu vor ezita prea mult înainte de a-l rula în sistem. Asta fiindcă ei consideră că este improbabil ca o persoană precum Ion Popescu să vrea să infecteze pe altcineva în mod voit. Marea majoritate a atacurilor prin intermediul rețelelor sociale se bazează pe exploatarea încrederii în prieteni sau persoane publice.

Un alt exemplu elocvent este campania „Twitter Pet Name” în care utilizatorii au fost rugați să menționeze numele animalului lor de companie și strada pe care locuiesc. Ceea ce au pierdut din vedere cei care au completat formularul este că aceste informații se folosesc de obicei la răspunsuri de siguranță și întrebări de securitate în anumite formulare de înregistrare (de exemplu pe interfața yahoo), iar aflarea acestora poate duce la obținerea parolei de acces la contul utilizatorului.

Troienii sînt programe care, aparent, îndeplinesc funcțiii folositoare, dar care în realitate execută funcții dăunătoare care rămîn ascunse. Ei sînt cele mai active amenințări ale ultimelor luni pe internet. Ei pot fi ascunși în mesaje, pagini web, camuflate sub diverse nume, și doresc să preia controlul calculatorului sau să fure detaliile contului bancar sau al numerelor de carduri de credit, dar și parolele pentru diverse servicii comerciale.

Viermii sînt programe care se multiplică în memoria calculatorului care le rulează și au capacitatea de a infecta alte sisteme (de exemplu prin trimiterea de mesaje care conțin versiuni ale viermelui). Renumitul vierme de Internet Downadup, cunoscut și sub numele Conficker a cauzat cele mai mari pagube utilizatorilor în anul 2009. Acesta a reușit să infecteze un număr record de calculatoare în toată lumea (aproximativ 11 milioane) și fost de asemenea prezent în secțiunile de știri ale multor reviste de specialitate și a mass mediei pentru o bună perioadă de vreme. Downadup se propagă folosind vulnerabilitățile sistemului de operare Windows. Odată ce sistemul a fost compromis, viermele dezinstalează actualizările de Windows și blochează accesul utilizatorului la paginile producătorilor de soluții de securitate pentru a impiedica curățarea sistemului.

În ce privește trimiterea de mesaje nesolicitate (adică spam pe englezește), în anul 2009 a existat o tendință crescătoare a mesajelor nesolicitate contextuale, mesajele nesolicitate ce trimit textul mesajului în cadrul unei imagini ieșind în evidență. Aceste imagini sînt incluse în mesaje de știri în format HTML și pot fi descărcate pe calculatoarele țintă, astfel trecînd de filtrele de spam de pe servere sau de pe calculatoarele țintă.

Un alt aspect trebuie evidențiat: așa cum am mai scris pe Supravirtual.ro, unii dintre creatorii de mesaje nesolicitate dovedesc o necunoaștere a legislației în vigoare sau/și un tupeu incredibil, susținînd în mesajele lor că acestea nu pot fi considerate spam pentru că adresele respective au fost găsite pe pagini publice sau în diverse directoare cu informații. Ei bine, din punctul de vedere a legislației românești (care este corelată cu legislația europeană) se definește ca mesaj comercial nesolicitat (spam) orice mesaj care nu este precedat de o cerere de ofertă. Adică trebuie să ceri mai întîi o ofertă și abia apoi să primești mesajul, nu să primești mesaje cu chestii care nu te interesează.

O metodă care a luat amploare în ultimul timp este deturnarea paginilor web prin injectii cu javascript și cu sql și folosirea lor pentru a propaga mai departe malware. Astfel, sînt folosite breșe de securitate ale programelor care rulează pe servere (de exemplu: magazinele virtuale, sistemele de administrare, jurnale sau forumuri adică paginile web în general). Multe asemenea pagini folosesc configurații standard și pot prezenta breșe de securitate care nu au fost eliminate de actualizările mai recente. De asemenea, paginile web trebuie să conțină filtre care să fie aplicate datelor introduse de utilizatori care să împiedice atacurile cross site scripting sau SQL injections. O altă metodă de acces la paginiile web este prin accesul direct la server (prin programe ftp, de exemplu) atunci cînd aceste programe au parole de securitate foarte slabe (de exemplu „123456” sau „admin123”). Acestea pot fi sparte în cîteva secunde folosind “dicționar-de-atacuri” (o metodă de atac a hackerilor).

Parolele slabe, breșele de securitate din programele (software) serverului și filtrele inadecvate ale intrărilor folosite de utilizator sînt doar cîteva dintre modurile în care infractorii pot ataca o pagină web.

Există specialiști răspîndiți în toată lumea care lucrează în limitatea răspîndirii malware-ului (prin descoperirea lui, aducerea la cunoștintă proprietarilor și administratorilor serverelor și paginilor web care împrăștie malware și blocarea acestora atunci cînd măsurile de eliminare întîrzie sau lipsesc), dar, în cele din urmă, cea mai bună măsură este realizarea unor pagini web sigure și care să nu fie vulnerabile la atacurile rău-voitoare.

Reiau metodele de protecție enumerate în articolul anterior cu completările de rigoare:

- Nu completați formulare electronice cu date confidențiale, mai ales dacă sînt trimise prin mesaje electronice. Orice furnizor de servicii competent folosește pagini de internet securizate și certificate digitale. De asemenea, este foarte improbabil ca orice rețea socială, magazin virtual sau bancă online să vă ceară date confidențiale prin intermediul mesajelor electronice. Băncile electronice și magazinele virtuale le au deja (le-ați completat atunci cînd ați creat contul) iar rețelele sociale n-au nevoie de ele.

- Cînd primiți mesaje suspecte, mai ales dacă sînt neașteptate și nesolicitare, nu deschideți paginile ale căror locații apar în ele și contactați-l pe cel care apare la expeditor pentru a verifica dacă este într-adevăr persoana care a trimis mesajul. Eventual introduceți de la tastatură adresele la care mesajul face referire în bara de navigare a navigatorului.

- Asigurați-vă că folosiți o pagina de internet securizată (conține https:// la începutul căii de acces) și verificați certificatele digitale.

- Verificați în mod regulat conturile și extrasele bancare.

- Actualizați-vă constant sistemul de operare și programele pe care le folosiți în mod curent cu cele mai noi completări pe măsură ce apar. De asemenea, este indicat să aveți un antivirus, un firewall și o soluție de securitate cît mai completă și cît mai actualizată. Ultimele soluții de securitate scanează programele pe care le descărcați (iar dacă nu o fac este bine să o faceți voi) și verifică paginile pe care le accesați, anunțîndu-vă dacă aceste pagini sînt dubioase sau periculoase.

- Creați copii de siguranță ale datelor importante (salvîndu-le de exemplu pe cd-uri, dvd-uri sau pe hard disk-uri auxiliare). Exemple de date importante: corespondența, proiectele la care lucrați, documente, imagini, etc.

- Cînd retrimiteți un mesaj primit de la altcineva ștergeți toate adresele electronice (e-mail) ce apar în mesaj, iar dacă trimiteți un mesaj la mai multă lume puneți o singură adresă la destinatar, iar restul în de destinatari ascunși (BCC = Blind Copy Carbon, sînt destinatarii care primesc mesajul fără ca adresele lor să apară în textul acestuia). Acest lucru evită apariția de cîrnațuri lungi de adrese electronice care sînt vîndute pe bani buni celor care trimit mesaje nesolicitate).

- Evitați produsele Microsoft, găurile lor de securitate au devenit deja legendare.

Ce este „phishing” și care e originea acestui termen?
Phishing (derivat din cuvîntul englezesc fishing = „pescuit”) sau "brand spoofing" (imitarea mărcii/imaginii) este o metodă de sustragere de date care vizează mai ales clienții companiilor furnizoare de acces la internet (ISP), clienții băncilor și ai serviciilor bancare online, agenții guvernamentale etc.

Activitatea de a strînge informații confidențiale este un proces condamnat prin lege și are ca țintă furtul de informații financiare și parole de acces în conturi bancare (dar nu numai). Această activitate se bazează pe necunoașterea faptului că organizațiile oficiale nu trimit niciodată mesaje electronice prin intermediul cărora solicită informații confidențiale.

Autorii de „phishing” creează pagini web care imită paginile băncilor sau firmelor furnizoare de servicii deja cunoscute pentru a inspira încredere. Avînd la dispoziție adresele de poștă electronică (generate sau colectare de pe internet) infractorii lansează momeala trimițînd mesaje prin care încearcă să îi convingă pe destinatari să acceseze paginile web false și să completeze informații confidențiale. Poșta electronică și mesageria instantă sînt cele mai comune moduri de trimitere a mesajelor false, dar nu sînt singurele. Mesajele trimise au subiecte credibile și motive plauzibile pentru a-i convinge pe destinatari să acționeze imediat, pot aduce și argumente convingătoare în acest sens.

Exemple de subiecte ale acestor mesaje sînt "Update Your PayPal Account" sau "Your eBay User Account has been suspended!", dar ele variază în funcție de furnizorul de servicii vizat și de țara țintă. Informațiile cerute sînt de obicei numărul cardului de credit/debit, codul PIN pentru bancomate, informații despre contul bancar, codul numeric personal/contul de asigurare, parole de acces, alte date personale.

În general este foarte greu de a recupera sumele pierdute odată ce infractorii au obținut datele personale și au sustras banii din cont(uri) sau de a obține produsele comandate prin internet cu ajutorul datelor despre cardul de credit/debit.

De obicei paginile folosite de autorii de „phishing” sînt active doar cîteva ore sau cîteva zile.
Tehnici de sustragere a datelor confidențiale
Principala metodă este folosirea de mesaje electronice credibile cu scopul de a redirecționa cititorii spre pagini de web false. Unele mesaje conțin formulare de înscriere prin care se apelează direct la pagina falsă, fără a mai fi nevoie de o redirecționare.

Exemple de mesaje:

„Noi masuri de securitate introduse de BCR. Mesajul poate fi vazut in fisierul atasat. Pentru protectia dumneavoastra verificati adresa de la care a fost trimis email-ul sa coincida cu: securitate@bcr.ro
————————————————-
BANCA COMERCIALA ROMANA - SOCIETATE ADMINISTRATA IN SISTEM DUALIST, Bucuresti, B-dul Regina Elisabeta nr.5, Sector 3 - © 2008 BCR SA Toate drepturile rezervate”

Locația exemplului: http://krumel.seo-point.com/bcr-noi-masuri-de-securitate-pentru-protectia-dumneavoastra/

„Prin prezenta notificare iti aducem la cunostinta preluarea comisionului de intretinere in valoare de 1,50 RON din contul tau. De asemenea ai 1 mesaj necitit (Modificare Cont Distrigaz). Pentru vizualizarea detaliilor logheaza-te acum. Adresa web pentru logare o poti gasi mai jos.

http://raiffeisenonline.ro/eBankingWeb/login

Iti multumim ca ai ales serviciile Raiffeisen Bank

______________________________

© Raiffeisen Bank 2006„

Locația exemplului: http://krumel.seo-point.com/raiffeisen-bank-pishing-comision-de-intretinere/

„Banca Transilvania wrote:

Incepand cu data de 16 - aprilie - 2008 serviciul Fastbanking de la Banca Transilvania va fi obligatoriu pentru toti clientii care poseda cardul maestro Banca Transilvania Direct.

Pentru incepe procesul de inregistrare la serviciul Fastbanking de la Banca Transilvania Click Aici .

Va multumim pentru intelegere

Toate drepturile rezervate Banca Transilvania 2006.”

Locația exemplului: http://krumel.seo-point.com/pishing-banca-transilvania-fastbanking/
Există metode de falsificare a URL-ului (Uniform Resource Locator = Adresa uniformă pentru localizarea resurselor) din paginile copiate:

- "Social engineering": URL-ul este foarte asemănător cu cel real, lucru ce nu poate fi detectat la prima vedere. De exemplu adresa http://www.volksbank.ro poate fi inlocuită cu http://www.voIksbank.ro – par identice dar nu sînt: litera "l"din prima locație a fost înlocuită cu majuscula lui "i".

- Exploatarea vulnerabilității navigatorului: pagina web falsă poate contine un script de exploatare al navigatorului. În acest caz se afisează locația reală, dar pagina accesată este cea de pe serverul fals.

- Pop-up: Conexiunea din mesajul electronic duce la pagina web reală, dar o altă fereastră de navigare se afișează în prim-plan. Pagina reală poate fi navigată fără riscuri, dar trebuie evitată cealaltă fereastră. De obicei aceste ferestre ce apar în plin plan nu au o bară de adrese prin care să poată fi identificate ca pagini false.

Se pot exploata și alte vulnerabilități ale navigatoarelor pentru a descărca și a rula cod malware (programe malițioase). Un asemenea program poate fi un troian care înregistrează datele introduse de la tastatură și traficul Internet, mai ales atunci cînd este completat și trimis un formular online.

„Pharming”, numit și „domain spoofing” (falsificarea domeniului), redirecționează utilizatorul către o pagina web falsă, desi este introdusă adresa corectă. URL-ul corect rămîne afișat în calea de acces a navigatorului, neschimbat. Pentru a realiza procesul de redirecționare, rezoluția numelui trebuie modificată fie prin schimbarea configurației pentru protocolul TCP/IP, fie printr-o intrare in fisierul „hosts”.

„Man in the middle” este probabil cea mai elaborată metodă deoarece nu trebuie să modifice nimic pe computerul local. Atacul de „phishing” este situat între utilizator și serverul fals, dirijînd astfel conexiunea.

Pagina web falsă poate folosi si trucuri precum „tooltip” falsificat sau făcînd inaccesibile funcțiile butonului din dreapta al șoarecelui.

Autorii astfelor de atacuri folosesc tehnici de evitare a programelor antispam/antiphishing precum caractere aleatoare în subiectul sau textul mesajului, text invizibil în mesajele electronice trimise în format HTML, conținut HTML sau Javascript în loc de text simplu, mesaj alcătuit doar din imagini (fără alt text).
Consecințele căderii în capcana unui asemenea atac variază de la incapacitatea de a accesa adresa de poștă electronică pînă la pierderi financiare importante. Infractorii pot goli conturi de bancă, pot crea conturi noi, pot semna contracte (de utilități, împrumuturi, etc) în numele victimei, pot comite infracțiuni sub o identitate falsă.

Metode de a lupta împotriva unor asemenea atacuri:

- Nu completați formulare electronice cu date confidențiale, mai ales dacă sînt trimise prin mesaje electronice. Orice furnizor de servicii competent folosește pagini de internet securizate și certificate digitale.

- Cînd primiți mesaje suspecte, mai ales dacă sînt neașteptate și nesolicitare, nu deschideți paginile ale căror locații apar în ele și contactați-l pe cel care apare la expeditor pentru a verifica dacă este într-adevăr persoana care a trimis mesajul. Eventual introduceți de la tastatură adresele la care mesajul face referire în bara de navigare a navigatorului.

- Asigurați-vă că folosiți o pagina de internet securizată (conține https:// la începutul căii de acces) și verificați certificatele digitale.

- Verificați în mod regulat conturile și extrasele bancare.

- Actualizați-vă constant sistemul de operare și programele pe care le folosiți în mod curent cu cele mai noi completări pe măsură ce apar.

- Evitați produsele Microsoft, găurile lor de securitate au devenit deja legendare.

Realizatorii de navigatoare de internet (Microsoft, Mozilla, etc) au realizat pentru produsele lor metode de a lupta împotriva furtului de informații personale, dar educarea utilizatorilor este cea mai importantă. E mai ușor să previi decît să repari. Fiți sceptici cu mesajele nesolicitate pe care le primiți, indiferent cine (aparent) le trimite. Căutați să confirmați identitatea expeditorului prin alte metode.