Komentář: Jak si nenechat vybílit účet "špionským okem"

Robert Šefr , 27. leden 2012 10:19 3 komentářů
Komentář: Jak si nenechat vybílit účet "špionským okem"

Zcizení identity, odepření služby, úniky osobních dat, průmyslová špionáž a sabotáž. I když se jedná o reálné problémy, tak se veřejnosti těžko popisují a ještě hůře se vysvětlují jejich dopady. Veřejnost tyto případy řadí do škatulky sci-fi románů a projevuje žádný nebo minimální zájem. Rozhodně se ale není čemu divit, protože málokdo na ovládání své automatické pračky používá SCADA systémy, a ještě méně lidí ve sklepě o víkendech obohacuje uran.

Obrázek 2 Screenshot instalátoru SpyEye z “oficiálního” manuálu.
Obrázek 2 Screenshot instalátoru SpyEye z “oficiálního” manuálu.
Pochopitelným příkladem toho, jak může běžný uživatel dojít k újmě na Internetu, je sada pro začínající elektronické kriminálníky („malware toolkit“, „crime kit“) - SpyEye. Poskytne modernímu zloději prostředky k vykrádání účtů neznámých lidí, aniž by byly kladeny vysoké nároky na jeho znalosti a zkušenosti. SpyEye kontrolní centrum je naprogramováno v php a jeho zprovoznění je jen o něco málo složitější než instalace vlastního blogu nebo diskusního fóra. Na rozdíl od open source php aplikací SpyEye není k dispozici zdarma, ale jeho vývojář(i) za něho inkasuje(í) peníze výměnou za další podporu a aktualizace. Často však celá sada unikne a začne se lavinovitě šířit po Internetu, takže si ji může stáhnout kdokoliv.

Mapa objevených kontrolních center SpyEye. Geografické umístění kontrolního centra ale nijak neomezuje jeho možnosti ovládat napadené stroje kdekoliv jinde na světě. Zdroj: https://spyeyetracker.abuse.ch/ (leden 2012)
Mapa objevených kontrolních center SpyEye. Geografické umístění kontrolního centra ale nijak neomezuje jeho možnosti ovládat napadené stroje kdekoliv jinde na světě. Zdroj: https://spyeyetracker.abuse.ch/ (leden 2012)

Jakmile je kontrolní centrum funkční, nekalý živel se zaměří na ovládnutí uživatelských počítačů. Důležité pro útočníka je nasměrovat uživatele (resp. jejich prohlížeče) na webové stránky, kde jsou již nachystány exploity na neaktualizovaný software, a to nejenom prohlížeče, ale i Javu, Flash a Adobe Reader. Exploity jsou samozřejmě také součástí celého balíku a čím jsou aktuálnější, tím větší je útočníkova šance na úspěch. Jak dlouho se potom na počítači trojský kůň udrží, záleží také na tom, jak často se dokáže měnit, aby unikl detekci antiviru. Kvůli aktualizacím exploitů a trojského koně jsou útočníci často ochotni za „licenci“ SpyEye platit a neaktuální verze SpyEye dostupné veřejně již neslibují tak velkou vidinu zisku.

Co se děje se zombie počítači

S ovládnutými počítači má útočník v podstatě neomezené možnosti a nejsilnější devizou SpyEye je automatické zachytávání informací o kreditních kartách a bankovních účtech, které jsou shromažďovány v kontrolních centrech plně k dispozici útočníkovi. Novinka, kvůli které proběhla médii vlna zpráv o SpyEye, je skrývání převodů peněz před uživatelem. Funkce vychází z úvahy, že čím déle si uživatel nevšimne podezřelých převodů peněz ze svého účtu, tím déle je možné mu krást peníze.

Skrývání podvodných převodů funguje velmi přímočaře, SpyEye je jednoduše v bankovním výpisu (prostřednictvím internetového bankovnictví) uživateli nezobrazí. Vše samozřejmě funguje jen na nakaženém počítači, kde může trojský kůň manipulovat s tím, co bude uživateli zobrazeno. Jakmile se uživatel připojí z jiného počítače, uvidí všechny peněžní transakce, včetně těch „nechtěných“.

Submenu kontrolního centra SpyEye, které se věnuje nastavení krádeží nejrůznějších údajů.
Submenu kontrolního centra SpyEye, které se věnuje nastavení krádeží nejrůznějších údajů.

SpyEye samozřejmě není zdaleka jediný nástroj svého typu, ale je jeden z nejčastěji probíraných a pozornosti upoutal poté, co v roce 2010 převzal kód podobného nástroje – Zeus. Za spolupráci na vývoji malware toolkitů bývají nabízeny poměrně lukrativní odměny, což ukazuje i na jistotu tvůrců návratností těchto investic. Na dalším obrázku je jeden z inzerátů na vývojáře a podporu. Z obrázku je i zřejmý původ celého projektu.

Jak se efektivně bránit

Obrana proti SpyEye je teoreticky velmi jednoduchá. Je důležité udržovat aktualizované prohlížeče a veškeré jejich addony a pluginy, jako Flash a Java (rozhodně nestačí pouze aktualizovaný operační systém). Dále samozřejmě aktualizovaný antivirus, firewall a ideálně softwarová IPS, která zabrání zneužitím případných zranitelností. Na domácím počítači, pokud má uživatel motivaci se o něj trochu starat, je to relativně jednoduchý úkol. Mnohem větší

výzva je udržet takový stav napříč firemním prostředím, kde mají uživatelé výrazně menší motivaci chovat se obezřetně, hlásit podezřelé chování nebo nefunkční bezpečnostní software, který je vlastně „jen obtěžuje“. Správci na druhou stranu musí hlídat příliš mnoho oblastí zároveň. Řešením může být jedna centrální konzole (McAfee ePolicy Orchestrator) na správu a monitoring zmíněných oblastí – antivirový software, firewall, IPS a kontrola aktualizací software ve společnosti.

Zkoumáním principů použitých ve SpyEye a dalších crime kitech se zabývá mnoho společností i jednotlivců a zájemci mohou dohledat velké množství informací nebo zkoumat přímo samotný kód. Další informace:

Robert Šefr

Autor pracuje na pozici IT Security Consultant ve společnosti COMGUARD a.s.


Komentáře

Kubrt #1
Kubrt 27. leden 2012 14:42

„addoni“ a „paginy“ jsou super.
A pak měli spolu mladé addiny a pagoně?

AsciiWolf #2
AsciiWolf 27. leden 2012 15:07

"Zomebie" zní taky docela zajímavě. :-)

Kubrt #3
Kubrt 27. leden 2012 16:39

To mi uniklo :-)
To je překlep.
Co se děje se zomebie počítači
ve skutečností znamená:
Co se děje, co mě bije? Počítači!

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd

RSS 

Zprávičky

Rozhodnutí ÚS o odložení EET může vést k žalobám na stát

ČTK , 16. prosinec 2017 09:00

Tisíce a možná desítky tisíc podnikatelů a zástupců různých profesí se na třetí a čtvrtou vlnu EET u...

Více 1 komentářů

E-shopy vyjmutí plateb kartou z EET vítají, přišlo prý ale pozdě

ČTK , 16. prosinec 2017 08:00

Podle ministerstva financí ze zrušení povinnosti evidovat platby kartou pro poplatníky nevyplývá nut...

Více 0 komentářů

Nové Embarcadero RAD Studio obsahuje i licenci pro aplikační server

Pavel Houser , 15. prosinec 2017 10:00

Vývojové prostředí nabízí i nové prvky knihovny vizuálních komponent a nové možnosti grafického uživ...

Více 0 komentářů

Starší zprávičky

Botnet Necurs se vrátil a šíří nový ransomware

Pavel Houser , 15. prosinec 2017 09:00

V listopadu došlo k oživení botnetu Necurs v souvislosti s distribucí nového ransomwaru Scarab. ...

Více 0 komentářů

Jižní Korea zvažuje, že zdaní obchody s bitcoinem

ČTK , 15. prosinec 2017 08:00

Vláda se obává dopadů, které s sebou může přinést náhlý cenový propad kryptoměn....

Více 0 komentářů

O2 v dalších dvou letech vykoupí až 1,25 % vlastních akcií

ČTK , 14. prosinec 2017 10:00

Cílem nového programu je optimalizace kapitálové struktury, uvedla firma....

Více 0 komentářů

10 spotřebitelských trendů pro rok 2018

Pavel Houser , 14. prosinec 2017 09:00

Sluchátka budeme nosit 24 hodin denně, i během spánku. Umělá inteligence bude vytvářet reklamy. Koli...

Více 0 komentářů