Znajdź zawartość

Podczas konferecji Black Hat, która odbywa się właśnie w Los Angeles, David Thiel, specjalista z firmy iSEC pokazał, w jaki sposób można zawrzeć szkodliwy kod w plikach audio i wideo umieszczanych w serwisach takich jak YouTube czy MySpace. Specjaliści przestrzegają, że rośnie niebezpieczeństwo związane z wymianą tego typu plików. Przekaz strumieniowy to wymarzona droga do infekowania komputerów. Jest on bardzo rozpowszechniony i używany przez młodych ludzi – mówi Thiel. Popularność Web 2.0 i witryn oferujących użytkownikom możliwość wstawiania własnych treści jest wyjątkowo niebezpieczna. Web 2.0 opiera się na zaufaniu do innych użytkowników. Tworzone są olbrzymie sieci znajomych. Musisz ufać osobom, których nie znasz i wierzyć że są tymi, za kogo się podają oraz że umieszczane przez nich treści są bezpieczne. Tego zaufania można nadużyć – stwierdził Stephan Chenette z Websense. Programy, które mogą zostać zaatakowane dzięki strumieniowemu przekazowi danych multimedialnych są dosłownie wszędzie. To oprogramowanie do odtwarzania muzyki, oglądania filmów, to komunikatory internetowe, syntezator mowy w usłudze Xbox Live, oprogramowanie smartfonów. Cyberprzestępcy mogą je wykorzystać do uczynienia z zaatakowanego komputera maszyny-zombie i włączenia jej do kontrolowanego przez siebie botnetu. Web 2.0 to coś, na co powinniśmy bardzo uważać – mówi Chenette.

Specjaliści ds. bezpieczeństwa zwracają uwagę, iż cyberprzestępcy stosują coraz bardziej zaawansowane technologie, by przeprowadzić atak na przedsiębiorstwa. Mikko Hypponen z F-Secure zauważa, że szkodliwy kod tworzony jest coraz częściej pod kątem zaatakowania konkretnej firmy. O tyle trudno jest przed nim się bronić, że od złapania szkodnika do wyprodukowania szczepionki musi minąć pewien czas. Jeśli natomiast szkodliwy kod pojawia się po raz pierwszy i od razu atakuje konkretną firmę, to jej system antywirusowy często jest bezbronny. Ponadto nie są przeprowadzane zmasowane ataki. Poczta z zainfekowanymi plikami trafić może tylko i wyłącznie do kilku konkretnym pracowników, a sam list i szkodliwe pliki mogą zostać zatutułowane tak, że nie będą budziły podejrzeń. Cyberprzestępcy starają się bowiem dowiedzieć o firmie jak najwięcej i zbierają informacje o profilu jej działalności czy nazwiskach szefów. Ostrzeżenie nadeszło też ze strony firmy MessageLabs. W raporcie Targeted Attack March 2007 przedsiębiorstwo zauważa, że rośnie liczba ataków przeprowadzanych za pomocą zainfekowanych plików Excela, Worda czy PowerPointa. Po ich otwarciu szkodliwy kod instaluje się na komputerze ofiary i wykrada tajemnice firmowe oraz szpieguje sieć korporacyjną. W raporcie zauważono, że na największe niebezpieczeństwo narażony jest przemysł elektroniczny, obronny, producenci urządzeń do elektrowni atomowych oraz agendy rządowe USA. Najwięcej tego typu ataków przeprowadzanych jest z terytorium Chin i Tajwanu. Jeszcze na początku 2006 roku notowano średnio 2 tego typu ataki w tygodniu. W marcu 2007 przeprowadzono ich 716 i były one skierowane przeciwko 216 różnym firmom. Pochodziły natomiast z 249 źródeł. Najczęściej wykorzystywanymi plikami były dokumenty PowerPointa, z którymi programy antywirusowe mają największe problemy.

W lipcu Microsoft uruchomi swój własny portal dotyczący bezpieczeństwa. Microsoft Malware Protection Center można już obejrzeć w Sieci. Jest to na razie wstępna jego wersja. Portal ma służyć przede wszystkim klientom i partnerom Microsoftu oraz specjalistom ds. bezpieczeństwa. Firma z Redmond będzie za jego pośrednictwem promowała też własne rozwiązania w dziedzinie zabezpieczeń. Firma współpracuje z producentami technologii zabezpieczających i razem z nimi zbiera i udostępnia informacje dotyczące zagrożeń. Niedawno otworzyła w Japonii i Irlandii dodatkowe laboratoria, w których będzie badany szkodliwy kod. Nick McGrath, dyrektor ds. bezpieczeństwa w brytyjskim oddziale Microsoftu poinformował, że koncern szuka osób specjalizujących się w zwalczaniu złośliwego kodu.

Jim Allchin, prezes Microsoftu ds. platform i usług, stwierdził na swoim blogu, że Windows Vista jest odporny na istniejący obecnie szkodliwy kod. Za wszelkie przypadki złamania zabezpieczeń Visty Allchin obwinia źle napisane oprogramowanie firm trzecich. To odpowiedź menedżera koncernu na badania opublikowane w listopadzie przez Sophosa. Firma ta próbowała zarazić system Vista 10 różnymi szkodliwymi programami i okazało się, że 3 z nich są w stanie zagrozić najnowszemu OS-owi Microsoftu. Specjaliści Microsoftu powtórzyli eksperyment pracowników Sophosa i odkryli, że Windows Vista jest całkowicie bezpieczny, jeśli nie zainstalowano na nim innych programów. Użytkownik pozostanie bezpieczny, jeśli korzysta z wbudowanego w Viście klienta poczty Windows Mail. Jeśli jednak zainstaluje inną aplikację pocztową, np. microsoftowego Outlooka, może paść ofiarą ataku. Jeśli użytkownik korzysta z Microsoft Outlooka lub oprogramowania firmy trzeciej, które blokuje uruchamianie plików o znanych rozszerzeniach, wtedy jest zabezpieczony przed ośmioma z dziesięciu części testowanego szkodliwego kodu. W przypadku Bagle-Zip może dojść do zarażenia, gdyż korzysta on z formatu .ZIP, którego niektóre programy pocztowe nie potrafią zablokować. Z kolei MyDoom-O można uruchomić, gdyż losowo wybiera on rozszerzenie, pod którym się rozsyła i czasami trafia na takie, które może być wykonane w ramach pliku .ZIP. W obu jednak przypadkach przyczyna tkwi w funkcji programu pocztowego, nie w Windows Vista. Nawet jeśli użytkownik odbierze list z załącznikiem .ZIP z którymś ze wspomnianych robaków to i tak, by doszło do zarażenia, musi wykonać dwie czynności: celowo otworzyć załącznik i celowo uruchomić znajdujący się tam plik. Jeśli zrobi to pod kontrolą programu pocztowego, który nie potrafi blokować uruchomienia plików znajdujących się w archiwum .ZIP to dojdzie do zarażenia i komputerowi może zagrażać też robak Netsky-D. Windows Mail [klient poczty Visty – red.] blokuje wykonanie plików z archiwów .ZIP – czytamy w blogu Allchina. Nigdy nie mówiłem, że Vista jest idiotoodporna czy perfekcyjna. Żadne oprogramowanie takie nie jest – pisze Allchin. I dodaje, że użytkownicy nie powinni otwierać podejrzanych załączników. Wspomina też o konieczności zainstalowania firewalla oraz programu antywirusowego.

Microsoft potwierdził, że Windows Vista może zostać zaatakowany przez szkodliwy kod, który powstał w 2004 roku, zaprzeczył jednak, że jest to wynik błędów w systemie operacyjnym. Przypomnijmy: z testów firmy Sophos wynika, że 3 z 10 sprawdzonych robaków mogą zaatakować Vistę. Microsoft zauważa, że atak jest niemożliwy, gdy użytkownik korzysta z wbudowanego klienta poczty o nazwie Windows Mail Client – następcy Outlook Expressa. Może do niego dojść, jeśli używany jest inny klient poczty. Ponadto infekcja jest możliwa tylko dzięki działaniom użytkownika. To właśnie posiadacz Visty musi uruchomić zarażony plik, by doszło do ataku. A nie ma nic dziwnego w tym, że system operacyjny wykonuje polecenia użytkownika i otwiera plik, który ten sobie życzy otworzyć. Dlatego właśnie zalecamy, by na wszystkich wersjach Windows, także na Windows Vista, używać oprogramowania antywirusowego – mówi Stephen Toulouse menedżer z Microsoftu. Sophos przyznaje, że w Viście nie ma błędu, który pozwala na uruchomienie szkodliwych plików. Firma ostrzegła jednocześnie, że głównym celem cyberprzestępców będzie z pewnością Internet Explorer. Jej specjaliści uważają, że znacznie łatwiej jest nakłonić użytkownika do uruchomienia szkodliwego pliku przesłanego pocztą, niż znaleźć i wykorzystać błąd w systemie operacyjnym.

Przed tygodniem Google udostępnił specjalistom ds. zabezpieczeń swoje narzędzie, które pozwala na wyszukiwanie szkodliwego kodu w serwisach internetowych. Okazało się, że cyberprzestępcom udało się już złamać kod google'owskiego narzędzia. Mechanizm Google'a wykorzystuje, podobnie jak programy antywirusowe, sygnatury szkodliwego oprogramowania i na tej podstawie, znajdując w Sieci charakterystyczne dla danego wirusa fragmenty kodu, jest w stanie go zidentyfikować. Teraz cyberprzestępcy, po uzyskaniu dostępu do narzędzia Google'a, mają ułatwione zadanie. Po co męczyć się i tworzyć nowego wirusa, robaka czy konia trojańskiego gdy może po prostu odnaleźć go za pomocą Google'a, pobrać i wykorzystać? – mówi Paul Henry, wiceprezes w firmie Secure Computing. Cyberprzestępcy, którzy nie mają odpowiednich umiejętności, mogą dzięki Google'owi odnaleźć szkodliwy kod i wykorzystać go do przeprowadzenia ataku – dodał. Obecnie, po złamaniu kodów Google'a i uzyskaniu dostępu do jego narzędzia, przestępcy rozpowszechniają w Internecie fragmenty szkodliwych kodów, dzięki czemu każdy zainteresowany może, korzystając z wyszukiwarki, odnaleźć interesujące go szkodliwe oprogramowanie.