Téměř před měsícem skončila konference IT Security Workshop 2015, kde jsem měl na stejné téma přednášku a tak jsem si říkal, proč se o informace nepodělit i na portálu viry.cz 🙂
Dnešní havěť bych si dovolil rozdělit do dvou skupin: APT – Advanced Persistent Threat a na „havěť domácí“. Zatímco APT havěť je jak z amerického akčního filmu, „havěť domácí“ je běžná havěť, kterou znají všichni běžní smrtelníci. Přichází v podobě příloh e-mailů či se nachází na pochybných webových stránkách.
APT, jako z akčních filmů
S APT se obvykle a nevědomky střetnou pouze zaměstnanci instituce, která se stála terčem cíleného útoku a nejedná se tak o globální útok všemi směry s očekáváním, kdo se chytne. APT havěť je často psaná na zakázku různých vládních i nevládních institucí pro potřeby špionáže. Většinou jde o velice komplexní díla a rozsahem ani technologií je nelze srovnávat s domácí havětí. Pro obě skupiny je však společná jedna věc: kladou důraz na sociální inženýrství, tj. na „oblbovačky“ na uživatele, který je vždy nejslabším článkem v celém řetězci. Proč vymýšlet složitosti, jak se do technicky perfektně zabezpečeného systému nějaké instituce dostat, když stačí zaslat správně napsaný e-mail a zaměstnance nalákat ke spuštění závadné přílohy? Fungovalo to vždycky a vždycky bude.
Kromě toho se u APT využívají tzv. 0-day exploity. Tj. k průniku do systémů se využívají chyby v aplikacích (typicky v operačním systému, třeba Microsoft Windows), přičemž o existenci těchto chyb nemají ponětí ani samotní autoři aplikací. Pokud neexistuje oficiální záplata, která chybu odstraňuje, do systému lze proniknout zcela bez vědomí uživatele. U APT existuje celá řada případů, kdy se taková chyba bez problémů zneužívala třeba po dobu 3 let, než vznikla oficiální záplata!
Součástí APT jsou pak pochopitelně moduly pro sledování činností uživatele, systémů a odesílání dat útočníkům.
Několik APT z minulosti:
- Stuxnet, 2010 – útok na SCADA průmyslové systémy, prokazatelně zbrždění Iránského jaderného programu.
- Flame, 2012 – špionáže na středním východě, možná souvislost s problémy ropných terminálů v Iránu.
- Red October, 2012 – vládní špionáže, odhalen téměř po 5 letech aktivního působení!
- Equation, 2014 – nová věc v době psání tohoto článku (viz. níže).
- Plno dalších lze najít na hezky vizualizované časové ose apt.securelist.com.
Equation
Tato APT havěť si alespoň z mého pohledu zaslouží pozornost ze dvou důvodů. Využívá špičkové technologie a známe alespoň jeden konkrétní způsob, jak se vydala tato havěť do světa. První důvod naplňuje modul nazvaný GrayFish. Zatímco normálně u vztahu Windows vs havěť platí „havěť bězí ve Windows“, tak GrayFish přebírá kontrolu nad zavirovaným počítačem tak dokonale, že platí spíše heslo „Windows běží v havěti“.
Pak je tu modul Fanny, který řeší problematiku cíleného vykrádání informaci ze systémů / počítačů, které nejsou připojeny k internetu. Stačí, aby se dostal na počítač s připojením k internetu. Jakýkoliv USB flash disk, který bude zapojen do tohoto počítače, bude upraven tak, aby dokázal skrytě přenášet nakradená data, ale i návod – instrukce k jejich vykrádání. A pokud bude takový USB flash disk připojen do počítače izolovaného od internetu, budou instrukce automaticky provedeny a data sesbírána. A pokud se náhodou takový USB flash disk vrátí i na počítač s připojením, budou nakradená data odeslána útočníkovi do internetu. Představme si scénář s nějakým znudělým operátorem jaderné elektrárny v izolované síti, jehož domácí počítač byl cíleně infikován havětí Fanny: „Co kdybych si takhle z domova občas přinesl nějakou tu hru?“ 🙂
No a pak je zajímavé, že známe jednu konkrétní cestu, jak se dostala tato havěť na svět. Bylo tomu v roce 2009 v rámci vědecké konference v Houstonu. Účastníkům bylo po akci zasláno cédéčko s foto. Kromě prohlížeče obrázků byla součástí i havěť z rodiny Equation. Havěť už tehdy využívala chyby ve Windows, které Microsoft opravil až v letech 2012 a 2013! Tj. 0-day exploit jako hrom!
Havěť domácí
Tady platí to, co platilo vždycky a patrně vždycky platit bude:
- uživatel je nejslabším článkem (proč vymýšlet něco složitého, když stačí poslat správně napsaný e-mail s zavirovanou přílohou a přesvědčit ho o důležitosti „sponky“)
- probíhá nekonečný boj vývojářů havěti a vývojářů antivirů (nové varianty havěti vyžadují nové aktualizace antiviru, …)
- soustředění „výrobců“ na aplikace / platformy s větším podílem na trhu (Windows, Mac OS X na vzestupu, Microsoft Office, Adobe *, Oracle Java, …
Ale o této havěti více až v pokračování tohoto článku!
A není už opravdu čas obrátit detekci naruby a blokovat všechno co není v databázi (soubory legálních aplikací)?
Je tu řeč o bezpečnosti tak nechápu proč do toho taháš legalitu. I nelegální použití aplikací může být bezpečné a takové použití nemá vliv na bezpečnost pc.
Pokud myslíš obracení detekce naruby v antivirech tak nechápu proč to řešíš, vysvětlím dále. Jak psal igi, co se týče bezpečnosti tak uživatel je nejslabším článkem. Jenže to platí pokud uživatel kašle na bezpečnost (chová se z hlediska bezpečnosti na pc nezodpovědně, nepřemýšlí nad svými kliky, tahá si do pc všechno možné atd.) nebo je na tom intelektuálně hodně mizerně. Pokud na bezpečnost nekašle a má určité intelektuální schopnosti na to, aby posoudil své chování na pc a z hlediska bezpečnosti na pc ovládal své chování, např. když používá mail tak aby věděl, že mail může mít přílohu a že je důležité myslet nad tím, co v té příloze je a jak se k té příloze chovat. A těch základních činností není tolik, aby je i podprůměrně inteligentní člověk nezvládl. Takže když si dá uživatel pozor na maily a na těch pár dalších činností a zásad, tak antivir nepotřebuje, protože ohledně bezpečnosti je nejsilnějším článkem v bezpečnosti svého pc. A pak ten uživatel nic nebezpečného na svůj pc nestahuje případně nic nebezpečného nespouští. Jak sama vidíš, v prvním případě jsou antiviry k ničemu, protože je nejslabší článek uživatel, takže tak jak tak mu tam bude časem řádit cryptolocker a podobné havěti, a v druhém případě jsou k ničemu, protože nemají co dělat.
Co se týče blokování aplikací v ne domacím prostředí, tak za zmíňku stojí, že lze využít nastavení Windows, které omezí možnost spuštění aplikací, třeba na určité a krom těch člověk nic nespustí.
Kdy bude pokračování článku … Píšete velmi pěkně, já vím je to zadara, ale spoustu lidí se určitě také těší …
This ineocdurts a pleasingly rational point of view.