Komentář: Jak si nenechat vybílit účet "špionským okem"

Robert Šefr , 27. leden 2012 10:19 3 komentářů
Komentář: Jak si nenechat vybílit účet "špionským okem"

Zcizení identity, odepření služby, úniky osobních dat, průmyslová špionáž a sabotáž. I když se jedná o reálné problémy, tak se veřejnosti těžko popisují a ještě hůře se vysvětlují jejich dopady. Veřejnost tyto případy řadí do škatulky sci-fi románů a projevuje žádný nebo minimální zájem. Rozhodně se ale není čemu divit, protože málokdo na ovládání své automatické pračky používá SCADA systémy, a ještě méně lidí ve sklepě o víkendech obohacuje uran.

Obrázek 2 Screenshot instalátoru SpyEye z “oficiálního” manuálu.
Obrázek 2 Screenshot instalátoru SpyEye z “oficiálního” manuálu.
Pochopitelným příkladem toho, jak může běžný uživatel dojít k újmě na Internetu, je sada pro začínající elektronické kriminálníky („malware toolkit“, „crime kit“) - SpyEye. Poskytne modernímu zloději prostředky k vykrádání účtů neznámých lidí, aniž by byly kladeny vysoké nároky na jeho znalosti a zkušenosti. SpyEye kontrolní centrum je naprogramováno v php a jeho zprovoznění je jen o něco málo složitější než instalace vlastního blogu nebo diskusního fóra. Na rozdíl od open source php aplikací SpyEye není k dispozici zdarma, ale jeho vývojář(i) za něho inkasuje(í) peníze výměnou za další podporu a aktualizace. Často však celá sada unikne a začne se lavinovitě šířit po Internetu, takže si ji může stáhnout kdokoliv.

Mapa objevených kontrolních center SpyEye. Geografické umístění kontrolního centra ale nijak neomezuje jeho možnosti ovládat napadené stroje kdekoliv jinde na světě. Zdroj: https://spyeyetracker.abuse.ch/ (leden 2012)
Mapa objevených kontrolních center SpyEye. Geografické umístění kontrolního centra ale nijak neomezuje jeho možnosti ovládat napadené stroje kdekoliv jinde na světě. Zdroj: https://spyeyetracker.abuse.ch/ (leden 2012)

Jakmile je kontrolní centrum funkční, nekalý živel se zaměří na ovládnutí uživatelských počítačů. Důležité pro útočníka je nasměrovat uživatele (resp. jejich prohlížeče) na webové stránky, kde jsou již nachystány exploity na neaktualizovaný software, a to nejenom prohlížeče, ale i Javu, Flash a Adobe Reader. Exploity jsou samozřejmě také součástí celého balíku a čím jsou aktuálnější, tím větší je útočníkova šance na úspěch. Jak dlouho se potom na počítači trojský kůň udrží, záleží také na tom, jak často se dokáže měnit, aby unikl detekci antiviru. Kvůli aktualizacím exploitů a trojského koně jsou útočníci často ochotni za „licenci“ SpyEye platit a neaktuální verze SpyEye dostupné veřejně již neslibují tak velkou vidinu zisku.

Co se děje se zombie počítači

S ovládnutými počítači má útočník v podstatě neomezené možnosti a nejsilnější devizou SpyEye je automatické zachytávání informací o kreditních kartách a bankovních účtech, které jsou shromažďovány v kontrolních centrech plně k dispozici útočníkovi. Novinka, kvůli které proběhla médii vlna zpráv o SpyEye, je skrývání převodů peněz před uživatelem. Funkce vychází z úvahy, že čím déle si uživatel nevšimne podezřelých převodů peněz ze svého účtu, tím déle je možné mu krást peníze.

Skrývání podvodných převodů funguje velmi přímočaře, SpyEye je jednoduše v bankovním výpisu (prostřednictvím internetového bankovnictví) uživateli nezobrazí. Vše samozřejmě funguje jen na nakaženém počítači, kde může trojský kůň manipulovat s tím, co bude uživateli zobrazeno. Jakmile se uživatel připojí z jiného počítače, uvidí všechny peněžní transakce, včetně těch „nechtěných“.

Submenu kontrolního centra SpyEye, které se věnuje nastavení krádeží nejrůznějších údajů.
Submenu kontrolního centra SpyEye, které se věnuje nastavení krádeží nejrůznějších údajů.

SpyEye samozřejmě není zdaleka jediný nástroj svého typu, ale je jeden z nejčastěji probíraných a pozornosti upoutal poté, co v roce 2010 převzal kód podobného nástroje – Zeus. Za spolupráci na vývoji malware toolkitů bývají nabízeny poměrně lukrativní odměny, což ukazuje i na jistotu tvůrců návratností těchto investic. Na dalším obrázku je jeden z inzerátů na vývojáře a podporu. Z obrázku je i zřejmý původ celého projektu.

Jak se efektivně bránit

Obrana proti SpyEye je teoreticky velmi jednoduchá. Je důležité udržovat aktualizované prohlížeče a veškeré jejich addony a pluginy, jako Flash a Java (rozhodně nestačí pouze aktualizovaný operační systém). Dále samozřejmě aktualizovaný antivirus, firewall a ideálně softwarová IPS, která zabrání zneužitím případných zranitelností. Na domácím počítači, pokud má uživatel motivaci se o něj trochu starat, je to relativně jednoduchý úkol. Mnohem větší

výzva je udržet takový stav napříč firemním prostředím, kde mají uživatelé výrazně menší motivaci chovat se obezřetně, hlásit podezřelé chování nebo nefunkční bezpečnostní software, který je vlastně „jen obtěžuje“. Správci na druhou stranu musí hlídat příliš mnoho oblastí zároveň. Řešením může být jedna centrální konzole (McAfee ePolicy Orchestrator) na správu a monitoring zmíněných oblastí – antivirový software, firewall, IPS a kontrola aktualizací software ve společnosti.

Zkoumáním principů použitých ve SpyEye a dalších crime kitech se zabývá mnoho společností i jednotlivců a zájemci mohou dohledat velké množství informací nebo zkoumat přímo samotný kód. Další informace:

Robert Šefr

Autor pracuje na pozici IT Security Consultant ve společnosti COMGUARD a.s.


Komentáře

Kubrt #1
Kubrt 27. leden 2012 14:42

„addoni“ a „paginy“ jsou super.
A pak měli spolu mladé addiny a pagoně?

AsciiWolf #2
AsciiWolf 27. leden 2012 15:07

"Zomebie" zní taky docela zajímavě. :-)

Kubrt #3
Kubrt 27. leden 2012 16:39

To mi uniklo :-)
To je překlep.
Co se děje se zomebie počítači
ve skutečností znamená:
Co se děje, co mě bije? Počítači!

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

19. 10.

22. 10.
For Games 2017
24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
RSS 

Zprávičky

Úřad pro ochranu osobních údajů vyšetřuje e-shop Mall.cz kvůli úniku hesel

ČTK , 22. říjen 2017 08:00

Obchodu Mall.cz odcizili hackeři údaje až ke 750 000 starších uživatelských účtů....

Více 0 komentářů

Firma vypsala odměnu za odhalení digitálního podpisu slovenského ministra

ČTK , 21. říjen 2017 08:00

Problém se týká čipů německého výrobce Infineon Technologies, které Slovensko používá v občanských p...

Více 0 komentářů

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů

Starší zprávičky

Dohoda o ochraně dat mezi EU a USA prošla první kontrolou

ČTK , 20. říjen 2017 08:00

Cílem dohody je chránit osobní údaje osob v EU předávané společnostem v USA. ...

Více 0 komentářů

Operátoři: Metro by mohlo být signálem pokryté do konce roku 2018

ČTK , 20. říjen 2017 08:00

Operátoři mají enormní zájem na pokrytí pražského metra, a to na vlastní náklady....

Více 0 komentářů

Firmu Moravia IT koupil britský konkurent RWS Holding

ČTK , 19. říjen 2017 21:26

Mezi zákazníky firmy specializující se na lokalizaci a testování softwaru patří např. Microsoft, IBM...

Více 0 komentářů

Státní ústav pro kontrolu léčiv hájí elektronické recepty

ČTK , 19. říjen 2017 10:00

V ČR se vydá 60-70 milionů papírových receptů ročně. Podle ministerstva je elektronizace zdravotnict...

Více 0 komentářů