Miljoniem ļaunprātīgas programmatūras gabalu un tūkstošiem ļaunprātīgu hakeru bandu klīst mūsdienu tiešsaistes pasaulē, laupot vieglus krāpšanos. Atkārtoti izmantojot to pašu taktiku, kas ir darbojusies gadiem, ja ne gadu desmitiem ilgi, viņi nedara neko jaunu vai interesantu, lai izmantotu mūsu slinkumu, sprieduma zaudēšanu vai vienkāršu idiotismu.
Bet katru gadu antimalware pētnieki sastopas ar dažām metodēm, kas paceļ uzacis. Ļaunprātīgas programmatūras vai hakeri izmanto šīs iedvesmotās metodes, lai izstieptu ļaunprātīgas uzlaušanas robežas. Padomājiet par tiem kā novirzes novatorismu. Tāpat kā kaut kas novatorisks, daudzi ir vienkāršības mērs.
[Ievērojiet sevi 14 netīros IT drošības konsultantu trikos, 9 populārās IT drošības praksēs, kas vienkārši nedarbojas, un 10 trakiem drošības trikiem, kas darbojas. | Uzziniet, kā aizsargāt savas sistēmas, izmantojot Web Browser Deep Dive PDF īpašo ziņojumu un Security Central jaunumus. ]
Ņemiet 1990. gadu Microsoft Excel makro vīrusu, kas klusi, nejauši nejauši aizstāja nulles ar lielajiem burtiem O izklājlapās, nekavējoties pārveidojot skaitļus par teksta etiķetēm ar nulles vērtību - izmaiņas, kas lielākoties netika atklātas līdz brīdim, kad dublēšanas sistēmās nebija nekas cits kā tikai slikti dati.
Mūsdienu ģeniālākās ļaunprogrammatūras un hakeri ir tikpat zaglīgi un pievilcīgi. Šeit ir daži no jaunākajiem piezīmju paņēmieniem, kas ir izraisījuši manu kā drošības pētnieka interesi un gūtās mācības. Daži stāv uz bijušo ļaunprātīgo novatoru pleciem, taču visi mūsdienās ir ļoti modē kā veidi, kā noplēst pat visdrošākos lietotājus.
Maskēšanās uzbrukums Nr. 1: viltoti bezvadu piekļuves punkti
Nevienu uzlaušanu nav vieglāk izpildīt nekā viltotu WAP (bezvadu piekļuves punktu). Ikviens, kurš izmanto nedaudz programmatūras un bezvadu tīkla karti, var reklamēt savu datoru kā pieejamu WAP, kas pēc tam tiek savienots ar reālo, likumīgo WAP publiskā vietā.
Padomājiet par visām reizēm, kad jūs - vai jūsu lietotāji - esat devušies uz vietējo kafejnīcu, lidostu vai publisku pulcēšanās vietu un izveidojuši savienojumu ar "bezmaksas bezvadu" tīklu. Starbucks hakeriem, kuri savu viltoto WAP sauc par "Starbucks Wireless Network" vai Atlantas lidostā sauc par "Atlanta Airport Free Wireless", dažāda veida cilvēki dažu minūšu laikā pieslēdzas savam datoram. Pēc tam hakeri var izsmelt neaizsargātus datus no datu plūsmām, kas nosūtītas starp nevēlamiem upuriem un viņu paredzētajiem attālajiem saimniekiem. Jūs būtu pārsteigts, cik daudz datu, pat paroles, joprojām tiek nosūtītas skaidrā tekstā.
Nekaunāki hakeri lūgs upuriem izveidot jaunu piekļuves kontu, lai izmantotu viņu WAP. Šie lietotāji, visticamāk, izmantos kopēju pieteikšanās vārdu vai kādu no savām e-pasta adresēm, kā arī paroli, kuru viņi izmanto citur. Pēc tam WAP hakeris var mēģināt izmantot tos pašus pieteikšanās akreditācijas datus populārajās vietnēs - Facebook, Twitter, Amazon, iTunes un tā tālāk -, un upuri nekad nezinās, kā tas notika.
Nodarbība: Jūs nevarat uzticēties publiskiem bezvadu piekļuves punktiem. Vienmēr aizsargājiet konfidenciālu informāciju, kas nosūtīta pa bezvadu tīklu. Apsveriet iespēju izmantot VPN savienojumu, kas aizsargā visus jūsu sakarus, un nepārstrādājiet paroles starp publiskām un privātām vietnēm.
Maskēšanās uzbrukums Nr. 2: Sīkdatņu zādzība
Pārlūka sīkdatnes ir brīnišķīgs izgudrojums, kas saglabā "stāvokli", kad lietotājs pārvietojas vietnē. Šie mazie teksta faili, kurus vietne ir nosūtījusi uz mūsu mašīnām, palīdz vietnei vai pakalpojumam izsekot mums visa apmeklējuma laikā vai vairāku apmeklējumu laikā, ļaujot mums, piemēram, vieglāk iegādāties džinsus. Kas nepatīk?
Atbilde: Kad hakeris nozog mūsu sīkfailus un, to darot, kļūst par mums, mūsdienās tas notiek arvien biežāk. Drīzāk viņi tiek autentificēti mūsu vietnēs, it kā viņi būtu mēs un būtu norādījuši derīgu pieteikšanās vārdu un paroli.
Protams, sīkfailu zādzība ir bijusi kopš tīmekļa izgudrošanas, taču mūsdienās rīki procesu padara tikpat vienkāršu kā klikšķi, klikšķi, klikšķi. Piemēram, Firesheep ir Firefox pārlūka papildinājums, kas ļauj cilvēkiem zagt citiem neaizsargātus sīkfailus. Lietojot kopā ar viltotu WAP vai koplietojamā publiskajā tīklā, sīkfailu nolaupīšana var būt diezgan veiksmīga. Firesheep parādīs visus atrasto sīkfailu nosaukumus un atrašanās vietas, un ar vienkāršu peles klikšķi hakeris var pārņemt sesiju (piemēru, cik viegli ir izmantot Firesheep, skatiet emuārā Codebutler).
Vēl trakāk, hakeri tagad var nozagt pat ar SSL / TLS aizsargātus sīkfailus un nošņaukt tos no zila gaisa. 2011. gada septembrī uzbrukums, kura autori apzīmēja ar nosaukumu “BEAST”, pierādīja, ka var iegūt pat ar SSL / TLS aizsargātus sīkfailus. Šā gada turpmākie uzlabojumi, tostarp labi nosauktais CRIME, ir padarījuši šifrētu sīkdatņu nozagšanu un atkārtotu izmantošanu vēl vienkāršāku.
Ar katru izlaisto sīkfailu uzbrukumu vietnēm un lietojumprogrammu izstrādātājiem tiek paskaidrots, kā aizsargāt savus lietotājus. Dažreiz atbilde ir izmantot jaunāko kriptogrāfijas šifru; citreiz tas ir jāatspējo kāda neskaidra funkcija, kuru lielākā daļa cilvēku neizmanto. Galvenais ir tas, ka visiem tīmekļa izstrādātājiem jāizmanto drošas izstrādes metodes, lai samazinātu sīkdatņu zādzības. Ja jūsu vietne dažus gadus nav atjauninājusi šifrēšanas aizsardzību, jūs, iespējams, esat pakļauts riskam.
Nodarbības: var nozagt pat šifrētus sīkfailus. Izveidojiet savienojumu ar vietnēm, kurās tiek izmantotas drošas izstrādes metodes un jaunākā kriptogrāfija. Jūsu HTTPS vietnēm vajadzētu izmantot jaunāko kriptogrāfiju, ieskaitot TLS versiju 1.2.
Maskēšanās uzbrukums Nr. 3: faila nosaukuma triki
Hakeri jau kopš ļaunprogrammatūras sākuma ir izmantojuši faila nosaukuma trikus, lai liktu mums izpildīt kaitīgo kodu. Pirmie piemēri ietvēra faila nosaukšanu kaut kam, kas mudinātu nenojaušošos upurus uz tā noklikšķināt (piemēram, AnnaKournikovaNudePics), kā arī izmantoja vairākus failu paplašinājumus (piemēram, AnnaKournikovaNudePics.Zip.exe). Līdz šai dienai Microsoft Windows un citas operētājsistēmas viegli slēpj "labi zināmus" failu paplašinājumus, kas padarīs AnnaKournikovaNudePics.Gif.Exe izskatu kā AnnaKournikovaNudePics.Gif.
Pirms gadiem ļaunprātīgas programmatūras vīrusu programmas, kas pazīstamas kā "dvīņi", "nārstotāji" vai "pavadošie vīrusi", paļāvās uz maz zināmu Microsoft Windows / DOS funkciju, kur pat tad, ja jūs ierakstījāt faila nosaukumu Start.exe, Windows izskatīsies un, ja tiek atrasts, izpildiet Start.com. Pavadošie vīrusi meklētu visus .exe failus cietajā diskā un izveidotu vīrusu ar tādu pašu nosaukumu kā EXE, bet ar faila paplašinājumu .com. Microsoft to jau sen ir novērsis, taču agrīno hakeru atklāšana un izmantošana ir pamats izgudrojuma veidiem, kā slēpt vīrusus, kas turpina attīstīties arī šodien.
Starp mūsdienīgākajiem sarežģītākajiem failu pārdēvēšanas trikiem ir Unicode rakstzīmju izmantošana, kas ietekmē failu nosaukuma izvadi. Piemēram, rakstzīme Unicode (U + 202E), ko sauc par labo un kreiso ignorēšanu, var maldināt daudzas sistēmas, parādot failu, kura nosaukums faktiski ir AnnaKournikovaNudeavi.exe kā AnnaKournikovaNudexe.avi.
Nodarbība: Kad vien iespējams, pirms izpildīšanas pārliecinieties, ka zināt jebkura faila patieso, pilnīgo nosaukumu.
Maskēšanās uzbrukums Nr. 4: atrašanās vieta, atrašanās vieta, atrašanās vieta
Vēl viens interesants slepens triks, kas izmanto operētājsistēmu pret sevi, ir faila atrašanās vietas triks, kas pazīstams kā "relatīvais pret absolūto". Mantotajās Windows (Windows XP, 2003 un vecākās) versijās un citās agrīnās operētājsistēmās, ja jūs ierakstījāt faila nosaukumu un nospiedāt Enter vai operētājsistēma meklēja failu jūsu vārdā, tas vienmēr sāktos ar vispirms meklējiet pašreizējo mapi vai direktoriju, pirms meklējat citur. Šī rīcība varētu šķist pietiekami efektīva un nekaitīga, taču hakeri un ļaunprātīga programmatūra to izmantoja savā labā.
Piemēram, pieņemsim, ka vēlaties palaist iebūvēto, nekaitīgo Windows kalkulatoru (calc.exe). Tas ir pietiekami viegli (un bieži vien ātrāk nekā izmantojot vairākus peles klikšķus), lai atvērtu komandu uzvedni, ierakstiet calc.exe un nospiediet Enter. Bet ļaunprātīga programmatūra var izveidot ļaunprātīgu failu ar nosaukumu calc.exe un paslēpt to pašreizējā direktorijā vai mājas mapē; mēģinot izpildīt calc.exe, tā vietā palaistu viltus kopiju.
Man patika šī kļūda kā iespiešanās testeris. Bieži vien pēc tam, kad es biju ielauzies datorā un man bija jāpaaugstina savas privilēģijas administratoram, es paņēmu zināmas, iepriekš neaizsargātas programmatūras neizpildītu versiju un ievietoju to pagaidu mapē. Lielāko daļu laika man atlika tikai ievietot vienu neaizsargātu izpildāmo failu vai DLL, vienlaikus atstājot visu iepriekš instalēto ielāpīto programmu vienu. Es savā pagaidu mapē ierakstītu programmas izpildāmā faila nosaukumu, un Windows ielādētu manu neaizsargāto Trojas zirgu izpildāmo failu no manas pagaidu mapes, nevis nesen ielāpītās versijas vietā. Man tas patika - es varētu izmantot pilnībā aizlāpītu sistēmu ar vienu sliktu failu.
Linux, Unix un BSD sistēmām šī problēma ir novērsta vairāk nekā desmit gadus. Microsoft 2006. gadā novērsa problēmu ar Windows Vista / 2008 izlaidumiem, lai gan problēma joprojām pastāv mantotās versijās, jo pastāv savietojamības problēmas. Microsoft jau daudzus gadus brīdina un māca izstrādātājiem izmantot absolūtos (nevis relatīvos) failu / ceļu nosaukumus savās programmās. Tomēr desmitiem tūkstošu mantoto programmu ir neaizsargāti pret atrašanās vietas trikiem. Hakeri to zina labāk nekā jebkurš cits.
Nodarbība: izmantojiet operētājsistēmas, kas nodrošina absolūtos direktoriju un mapju ceļus, un vispirms meklējiet failus noklusējuma sistēmas apgabalos.
Maskēšanās uzbrukums Nr. 5: Saimnieku failu novirzīšana
Lielākajai daļai mūsdienu datoru lietotāju nav zināms, ka pastāv ar DNS saistīts fails ar nosaukumu Hosts. Hosts failā, kas atrodas Windows sadaļā C: \ Windows \ System32 \ Drivers \ Etc, var būt ieraksti, kas saista ievadītos domēna vārdus ar atbilstošajām IP adresēm. Sākotnēji DNS failu Hosts izmantoja kā veidu, kā saimniekiem lokāli atrisināt uzmeklēšanu no IP uz IP, bez nepieciešamības sazināties ar DNS serveriem un veikt rekursīvu nosaukuma izšķiršanu. Lielākoties DNS funkcijas ir lieliski, un lielākā daļa cilvēku nekad nesadarbojas ar savu Hosts failu, lai gan tas tur ir.
Hakeriem un ļaunprātīgai programmatūrai patīk rakstīt savus saimniekdatoriem savus ļaunprātīgos ierakstus, lai, kad kāds ierakstītu populāru domēna vārdu - teiksim, bing.com -, viņš tiek novirzīts uz citu ļaunprātīgāku vietni. Ļaunprātīgā novirzīšana bieži satur gandrīz ideālu sākotnējās vēlamās vietnes kopiju, lai ietekmētais lietotājs nezinātu par pārslēgšanos.
Šis izmantojums joprojām tiek plaši izmantots.
Nodarbība: ja jūs nevarat saprast, kāpēc jūs tiekat ļaunprātīgi novirzīts, pārbaudiet savu Hosts failu.
Stealth uzbrukums Nr. 6: Waterhole uzbrukumi
Waterhole uzbrukumi saņēma savu vārdu no viņu ģeniālās metodikas. Šajos uzbrukumos hakeri izmanto to, ka viņu mērķa upuri bieži tiekas vai strādā noteiktā fiziskā vai virtuālā vietā. Tad viņi "saindē" šo vietu, lai sasniegtu ļaunprātīgus mērķus.
Piemēram, lielākajai daļai lielo uzņēmumu ir vietējais kafejnīca, bārs vai restorāns, kuru iecienījuši uzņēmuma darbinieki. Uzbrucēji izveidos viltus WAP, mēģinot iegūt pēc iespējas vairāk uzņēmuma akreditācijas datu. Vai arī uzbrucēji ļaunprātīgi pārveidos bieži apmeklēto vietni, lai rīkotos tāpat. Upuri bieži ir mierīgāki un nenojauš, jo mērķa vieta ir publisks vai sociālais portāls.
Ūdens caurumu uzbrukumi šogad kļuva par lielu ziņu, kad vairāki augsta līmeņa tehnoloģiju uzņēmumi, tostarp Apple, Facebook un Microsoft, cita starpā, tika apdraudēti populāru lietojumprogrammu izstrādes vietņu dēļ, ko apmeklēja viņu izstrādātāji. Vietnes bija saindētas ar ļaunprātīgu JavaScript novirzīšanu, kas izstrādātāju datoros instalēja ļaunprātīgu programmatūru (dažreiz nulle dienu). Pēc tam tika izmantotas kompromitētās izstrādātāju darbstacijas, lai piekļūtu cietušo uzņēmumu iekšējiem tīkliem.
Nodarbība: Pārliecinieties, ka jūsu darbinieki saprot, ka populāri "dzirdināšanas caurumi" ir izplatīti hakeru mērķi.
Maskēšanās uzbrukums Nr. 7: ēsma un pārslēgšanās
Vienu no interesantākajām hakeru paņēmieniem sauc par ēsmu un maiņu. Upuriem tiek teikts, ka viņi lejupielādē vai palaiž vienu lietu, un īslaicīgi viņi to dara, bet pēc tam to izslēdz ar ļaunprātīgu priekšmetu. Piemēri ir daudz.
Ļaunprātīgas programmatūras izplatītāji parasti iegādājas reklāmas vietu populārās vietnēs. Apstiprinot pasūtījumu, vietnēm tiek parādīta nelabvēlīga saite vai saturs. Vietne apstiprina sludinājumu un paņem naudu. Pēc tam ļaundaris pārslēdz saiti vai saturu ar kaut ko ļaunāku. Bieži vien viņi kodēs jauno ļaunprātīgo vietni, lai novirzītu skatītājus atpakaļ uz sākotnējo saiti vai saturu, ja to skatītu kāds no sākotnējā apstiprinātāja IP adreses. Tas sarežģī ātru noteikšanu un noņemšanu.
Visinteresantākie ēsmas un maiņas uzbrukumi, ko esmu redzējis vēlu, ir saistīti ar sliktiem puišiem, kuri rada "bezmaksas" saturu, kuru var lejupielādēt un izmantot ikviens. (Padomājiet par tīmekļa lapas apakšdaļas administratīvo konsoli vai apmeklētāju skaitītāju.) Bieži vien šajās bezmaksas sīklietotnēs un elementos ir licencēšanas klauzula, kurā teikts: "Drīkst brīvi atkārtoti izmantot, kamēr paliek oriģināla saite." Nenojaušot lietotāji saturu izmanto labticīgi, atstājot sākotnējo saiti neskartu. Sākotnējā saite parasti satur tikai grafikas faila emblēmu vai kaut ko citu niecīgu un mazu. Vēlāk, pēc viltus elementa iekļaušanas tūkstošos vietņu, sākotnējais ļaunprātīgais izstrādātājs nekaitīgo saturu maina pret kaut ko ļaunāku (piemēram, kaitīgu JavaScript novirzīšanu).
Nodarbība: Sargieties no jebkuras saites uz jebkuru saturu, kas nav jūsu tiešā kontrolē, jo to bez brīdinājuma var īslaicīgi izslēgt.
