margin-top: 125px; border: 1px solid gray; } -->

Komentář: Jak si nenechat vybílit účet "špionským okem"

Robert Šefr , 27. leden 2012 10:19 3 komentářů
Komentář: Jak si nenechat vybílit účet "špionským okem"

Zcizení identity, odepření služby, úniky osobních dat, průmyslová špionáž a sabotáž. I když se jedná o reálné problémy, tak se veřejnosti těžko popisují a ještě hůře se vysvětlují jejich dopady. Veřejnost tyto případy řadí do škatulky sci-fi románů a projevuje žádný nebo minimální zájem. Rozhodně se ale není čemu divit, protože málokdo na ovládání své automatické pračky používá SCADA systémy, a ještě méně lidí ve sklepě o víkendech obohacuje uran.

Obrázek 2 Screenshot instalátoru SpyEye z “oficiálního” manuálu.
Obrázek 2 Screenshot instalátoru SpyEye z “oficiálního” manuálu.
Pochopitelným příkladem toho, jak může běžný uživatel dojít k újmě na Internetu, je sada pro začínající elektronické kriminálníky („malware toolkit“, „crime kit“) - SpyEye. Poskytne modernímu zloději prostředky k vykrádání účtů neznámých lidí, aniž by byly kladeny vysoké nároky na jeho znalosti a zkušenosti. SpyEye kontrolní centrum je naprogramováno v php a jeho zprovoznění je jen o něco málo složitější než instalace vlastního blogu nebo diskusního fóra. Na rozdíl od open source php aplikací SpyEye není k dispozici zdarma, ale jeho vývojář(i) za něho inkasuje(í) peníze výměnou za další podporu a aktualizace. Často však celá sada unikne a začne se lavinovitě šířit po Internetu, takže si ji může stáhnout kdokoliv.

Mapa objevených kontrolních center SpyEye. Geografické umístění kontrolního centra ale nijak neomezuje jeho možnosti ovládat napadené stroje kdekoliv jinde na světě. Zdroj: https://spyeyetracker.abuse.ch/ (leden 2012)
Mapa objevených kontrolních center SpyEye. Geografické umístění kontrolního centra ale nijak neomezuje jeho možnosti ovládat napadené stroje kdekoliv jinde na světě. Zdroj: https://spyeyetracker.abuse.ch/ (leden 2012)

Jakmile je kontrolní centrum funkční, nekalý živel se zaměří na ovládnutí uživatelských počítačů. Důležité pro útočníka je nasměrovat uživatele (resp. jejich prohlížeče) na webové stránky, kde jsou již nachystány exploity na neaktualizovaný software, a to nejenom prohlížeče, ale i Javu, Flash a Adobe Reader. Exploity jsou samozřejmě také součástí celého balíku a čím jsou aktuálnější, tím větší je útočníkova šance na úspěch. Jak dlouho se potom na počítači trojský kůň udrží, záleží také na tom, jak často se dokáže měnit, aby unikl detekci antiviru. Kvůli aktualizacím exploitů a trojského koně jsou útočníci často ochotni za „licenci“ SpyEye platit a neaktuální verze SpyEye dostupné veřejně již neslibují tak velkou vidinu zisku.

Co se děje se zombie počítači

S ovládnutými počítači má útočník v podstatě neomezené možnosti a nejsilnější devizou SpyEye je automatické zachytávání informací o kreditních kartách a bankovních účtech, které jsou shromažďovány v kontrolních centrech plně k dispozici útočníkovi. Novinka, kvůli které proběhla médii vlna zpráv o SpyEye, je skrývání převodů peněz před uživatelem. Funkce vychází z úvahy, že čím déle si uživatel nevšimne podezřelých převodů peněz ze svého účtu, tím déle je možné mu krást peníze.

Skrývání podvodných převodů funguje velmi přímočaře, SpyEye je jednoduše v bankovním výpisu (prostřednictvím internetového bankovnictví) uživateli nezobrazí. Vše samozřejmě funguje jen na nakaženém počítači, kde může trojský kůň manipulovat s tím, co bude uživateli zobrazeno. Jakmile se uživatel připojí z jiného počítače, uvidí všechny peněžní transakce, včetně těch „nechtěných“.

Submenu kontrolního centra SpyEye, které se věnuje nastavení krádeží nejrůznějších údajů.
Submenu kontrolního centra SpyEye, které se věnuje nastavení krádeží nejrůznějších údajů.

SpyEye samozřejmě není zdaleka jediný nástroj svého typu, ale je jeden z nejčastěji probíraných a pozornosti upoutal poté, co v roce 2010 převzal kód podobného nástroje – Zeus. Za spolupráci na vývoji malware toolkitů bývají nabízeny poměrně lukrativní odměny, což ukazuje i na jistotu tvůrců návratností těchto investic. Na dalším obrázku je jeden z inzerátů na vývojáře a podporu. Z obrázku je i zřejmý původ celého projektu.

Jak se efektivně bránit

Obrana proti SpyEye je teoreticky velmi jednoduchá. Je důležité udržovat aktualizované prohlížeče a veškeré jejich addony a pluginy, jako Flash a Java (rozhodně nestačí pouze aktualizovaný operační systém). Dále samozřejmě aktualizovaný antivirus, firewall a ideálně softwarová IPS, která zabrání zneužitím případných zranitelností. Na domácím počítači, pokud má uživatel motivaci se o něj trochu starat, je to relativně jednoduchý úkol. Mnohem větší

výzva je udržet takový stav napříč firemním prostředím, kde mají uživatelé výrazně menší motivaci chovat se obezřetně, hlásit podezřelé chování nebo nefunkční bezpečnostní software, který je vlastně „jen obtěžuje“. Správci na druhou stranu musí hlídat příliš mnoho oblastí zároveň. Řešením může být jedna centrální konzole (McAfee ePolicy Orchestrator) na správu a monitoring zmíněných oblastí – antivirový software, firewall, IPS a kontrola aktualizací software ve společnosti.

Zkoumáním principů použitých ve SpyEye a dalších crime kitech se zabývá mnoho společností i jednotlivců a zájemci mohou dohledat velké množství informací nebo zkoumat přímo samotný kód. Další informace:

Robert Šefr

Autor pracuje na pozici IT Security Consultant ve společnosti COMGUARD a.s.


Komentáře

Kubrt #1
Kubrt 27. leden 2012 14:42

„addoni“ a „paginy“ jsou super.
A pak měli spolu mladé addiny a pagoně?

AsciiWolf #2
AsciiWolf 27. leden 2012 15:07

"Zomebie" zní taky docela zajímavě. :-)

Kubrt #3
Kubrt 27. leden 2012 16:39

To mi uniklo :-)
To je překlep.
Co se děje se zomebie počítači
ve skutečností znamená:
Co se děje, co mě bije? Počítači!

RSS 

Komentujeme

Umělá inteligence rozpoznává tvář zločince

Pavel Houser , 27. červen 2017 12:30
Pavel Houser

Když dnes člověk prohlásí, že rysy tváře souvisejí se zločinností, bude za šarlatána, který chce kří...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

Do systému eReceptů zapojena čtvrtina lékařů a většina lékáren

ČTK , 28. červen 2017 09:00

Od 1. ledna příštího roku bude vydávání elektronických receptů pro všechny lékaře povinné. ...

Více 0 komentářů

Nvidia bude spolupracovat s Volvem a VW na samořízených autech

ČTK , 28. červen 2017 08:00

Volvo hodlá uvést autonomní auta na trh do roku 2021, Audi o rok dříve....

Více 0 komentářů

ČR mezi 10 nejpostiženějšími zeměmi ransomwarového útoku

Pavel Houser , 28. červen 2017 07:00

K aktuálním útokům ransomwarem, který byl zaznamenán nejprve na Ukrajině a v Rusku, začaly vydávat s...

Více 0 komentářů

Starší zprávičky

Hackeři napadli ukrajinské banky a podniky, i ruskou Rosněfť

ČTK , 27. červen 2017 18:27

Ukrajinu dnes zasáhla největší vlna hackerských útoků v historii země, informovalo ukrajinské minist...

Více 0 komentářů

Google dostal od Evropské komise rekordní pokutu 2,4 miliardy eur

ČTK , 27. červen 2017 13:06

Google se musí začít ke konkurenčním srovnávačům cen chovat stejně jako k vlastní službě. ...

Více 0 komentářů

Do sporu ruských úřadů se sítí Telegram se vložila i tajná služba

ČTK , 27. červen 2017 09:00

Podle provozovatele majitel sítě žádný "šifrovací klíč" nemá, ty si vytváří zařízení uživatele....

Více 0 komentářů

NSZ zrušilo kvůli vadám stíhání šesti lidí v kauze IT zakázek

ČTK , 27. červen 2017 08:00

Případ se týká tendrů Integrovaného operačního programu ministerstva vnitra. ...

Více 0 komentářů