Komentář: Jak si nenechat vybílit účet "špionským okem"

Robert Šefr , 27. leden 2012 10:19 3 komentářů
Komentář: Jak si nenechat vybílit účet "špionským okem"

Zcizení identity, odepření služby, úniky osobních dat, průmyslová špionáž a sabotáž. I když se jedná o reálné problémy, tak se veřejnosti těžko popisují a ještě hůře se vysvětlují jejich dopady. Veřejnost tyto případy řadí do škatulky sci-fi románů a projevuje žádný nebo minimální zájem. Rozhodně se ale není čemu divit, protože málokdo na ovládání své automatické pračky používá SCADA systémy, a ještě méně lidí ve sklepě o víkendech obohacuje uran.

Obrázek 2 Screenshot instalátoru SpyEye z “oficiálního” manuálu.
Obrázek 2 Screenshot instalátoru SpyEye z “oficiálního” manuálu.
Pochopitelným příkladem toho, jak může běžný uživatel dojít k újmě na Internetu, je sada pro začínající elektronické kriminálníky („malware toolkit“, „crime kit“) - SpyEye. Poskytne modernímu zloději prostředky k vykrádání účtů neznámých lidí, aniž by byly kladeny vysoké nároky na jeho znalosti a zkušenosti. SpyEye kontrolní centrum je naprogramováno v php a jeho zprovoznění je jen o něco málo složitější než instalace vlastního blogu nebo diskusního fóra. Na rozdíl od open source php aplikací SpyEye není k dispozici zdarma, ale jeho vývojář(i) za něho inkasuje(í) peníze výměnou za další podporu a aktualizace. Často však celá sada unikne a začne se lavinovitě šířit po Internetu, takže si ji může stáhnout kdokoliv.

Mapa objevených kontrolních center SpyEye. Geografické umístění kontrolního centra ale nijak neomezuje jeho možnosti ovládat napadené stroje kdekoliv jinde na světě. Zdroj: https://spyeyetracker.abuse.ch/ (leden 2012)
Mapa objevených kontrolních center SpyEye. Geografické umístění kontrolního centra ale nijak neomezuje jeho možnosti ovládat napadené stroje kdekoliv jinde na světě. Zdroj: https://spyeyetracker.abuse.ch/ (leden 2012)

Jakmile je kontrolní centrum funkční, nekalý živel se zaměří na ovládnutí uživatelských počítačů. Důležité pro útočníka je nasměrovat uživatele (resp. jejich prohlížeče) na webové stránky, kde jsou již nachystány exploity na neaktualizovaný software, a to nejenom prohlížeče, ale i Javu, Flash a Adobe Reader. Exploity jsou samozřejmě také součástí celého balíku a čím jsou aktuálnější, tím větší je útočníkova šance na úspěch. Jak dlouho se potom na počítači trojský kůň udrží, záleží také na tom, jak často se dokáže měnit, aby unikl detekci antiviru. Kvůli aktualizacím exploitů a trojského koně jsou útočníci často ochotni za „licenci“ SpyEye platit a neaktuální verze SpyEye dostupné veřejně již neslibují tak velkou vidinu zisku.

Co se děje se zombie počítači

S ovládnutými počítači má útočník v podstatě neomezené možnosti a nejsilnější devizou SpyEye je automatické zachytávání informací o kreditních kartách a bankovních účtech, které jsou shromažďovány v kontrolních centrech plně k dispozici útočníkovi. Novinka, kvůli které proběhla médii vlna zpráv o SpyEye, je skrývání převodů peněz před uživatelem. Funkce vychází z úvahy, že čím déle si uživatel nevšimne podezřelých převodů peněz ze svého účtu, tím déle je možné mu krást peníze.

Skrývání podvodných převodů funguje velmi přímočaře, SpyEye je jednoduše v bankovním výpisu (prostřednictvím internetového bankovnictví) uživateli nezobrazí. Vše samozřejmě funguje jen na nakaženém počítači, kde může trojský kůň manipulovat s tím, co bude uživateli zobrazeno. Jakmile se uživatel připojí z jiného počítače, uvidí všechny peněžní transakce, včetně těch „nechtěných“.

Submenu kontrolního centra SpyEye, které se věnuje nastavení krádeží nejrůznějších údajů.
Submenu kontrolního centra SpyEye, které se věnuje nastavení krádeží nejrůznějších údajů.

SpyEye samozřejmě není zdaleka jediný nástroj svého typu, ale je jeden z nejčastěji probíraných a pozornosti upoutal poté, co v roce 2010 převzal kód podobného nástroje – Zeus. Za spolupráci na vývoji malware toolkitů bývají nabízeny poměrně lukrativní odměny, což ukazuje i na jistotu tvůrců návratností těchto investic. Na dalším obrázku je jeden z inzerátů na vývojáře a podporu. Z obrázku je i zřejmý původ celého projektu.

Jak se efektivně bránit

Obrana proti SpyEye je teoreticky velmi jednoduchá. Je důležité udržovat aktualizované prohlížeče a veškeré jejich addony a pluginy, jako Flash a Java (rozhodně nestačí pouze aktualizovaný operační systém). Dále samozřejmě aktualizovaný antivirus, firewall a ideálně softwarová IPS, která zabrání zneužitím případných zranitelností. Na domácím počítači, pokud má uživatel motivaci se o něj trochu starat, je to relativně jednoduchý úkol. Mnohem větší

výzva je udržet takový stav napříč firemním prostředím, kde mají uživatelé výrazně menší motivaci chovat se obezřetně, hlásit podezřelé chování nebo nefunkční bezpečnostní software, který je vlastně „jen obtěžuje“. Správci na druhou stranu musí hlídat příliš mnoho oblastí zároveň. Řešením může být jedna centrální konzole (McAfee ePolicy Orchestrator) na správu a monitoring zmíněných oblastí – antivirový software, firewall, IPS a kontrola aktualizací software ve společnosti.

Zkoumáním principů použitých ve SpyEye a dalších crime kitech se zabývá mnoho společností i jednotlivců a zájemci mohou dohledat velké množství informací nebo zkoumat přímo samotný kód. Další informace:

Robert Šefr

Autor pracuje na pozici IT Security Consultant ve společnosti COMGUARD a.s.


Komentáře

Kubrt #1
Kubrt 27. leden 2012 14:42

„addoni“ a „paginy“ jsou super.
A pak měli spolu mladé addiny a pagoně?

AsciiWolf #2
AsciiWolf 27. leden 2012 15:07

"Zomebie" zní taky docela zajímavě. :-)

Kubrt #3
Kubrt 27. leden 2012 16:39

To mi uniklo :-)
To je překlep.
Co se děje se zomebie počítači
ve skutečností znamená:
Co se děje, co mě bije? Počítači!

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Red Hat Ansible Engine přináší další automatizaci cloudu

Pavel Houser , 19. červenec 2018 13:52

Nejnovější verze platformy Red Hat Ansible Engine 2.6 rozšiřuje automatizaci cloudů AWS, Google Clou...

Více 0 komentářů

Samsung chystá na příští rok telefon se sklopným displejem

ČTK , 19. červenec 2018 10:00

Displej půjde složit na polovinu jako peněženku. Ve složeném stavu je na přední straně přístroje men...

Více 0 komentářů

Internet Mall snížil ztrátu, tržby mu vzrostly na 7,2 miliardy Kč

ČTK , 18. červenec 2018 17:29

Internet Mall mj. investuje do distribučního centra v Jirnech u Prahy, které by mělo sloužit 7 střed...

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Google dostal kvůli Androidu od EK rekordní pokutu 4,34 mld. eur (aktualizace)

ČTK , 18. červenec 2018 13:26

Google využil Android k upevnění dominantní pozice svého internetového vyhledávače, uvádí EK....

Více 0 komentářů

EK oznámí rozhodnutí o pokutě pro Google

ČTK , 18. červenec 2018 12:10

Google dostal od EK za zneužití dominantního postavení již koncem loňského června pokutu 2,42 miliar...

Více 0 komentářů

Americká Workday koupila českou firmu Stories

ČTK , 18. červenec 2018 09:00

Českou firmu Stories založili tři datoví odborníci, kteří si dali za cíl změnit řízení velkých firem...

Více 0 komentářů

Slovensko zablokovalo přístup k desítkám webů s hazardními hrami

ČTK , 18. červenec 2018 08:00

Na návrh slovenského Finančního ředitelství soudy nařídily telekomunikačním operátorům zamezit příst...

Více 0 komentářů