Vrând-nevrând continui seria articolelor despre securitatea pe web, subiect care spuneam că ne va preocupa în 2008 ceva mai mult decât în anii trecuți. La finele lui 2007 a început să se propage pe Internet (cam 10.000 de site-uri au estimat experții, și asta numai în US, la nivel mondial cifra fiind substanțial mai mare) un progrămel interesant. Cum se manifestă acesta la nivel de utilizator ? Ei bine, un fișier Javascript încearcă descărcarea unui software executabil de Windows – dacă internautul dă click “ok” din reflex sau “din principiu” atunci când i se propune execuția, acesta se va instala frumușel pe sistem. Remarcabil este că softul cu pricina nu este un malware propriu-zis, fiind doar un soi de “avantgardă”. Proaspăt instalatul program va căuta atent sistemul gazdă, uitându-se după breșe care pot fi exploatate pentru a-l lua în stăpânire după care downloadează strict “uneltele” de care are nevoie pentru a se încrusta solid pe gazdă. Softurile sunt scrise după toate regulile artei și se actualizează periodic de pe o rețea relativ masivă de servere aflate toate în Statele Unite în diferite locații. Procesul de “actualizare” asigură că vei avea întotdeauna pe sistemul infectat cea mai nouă versiune de malware, cât mai greu de detectat de softurile antivirus. Remarcați că aidoma cercetătorilor de securitate care studiază troienii, și autorii acestor troieni studiază (într-o “reciprocitate” oarecum hazlie) softurile antivirus de pe piață. Astfel, ei “oferă” continuu upgrade-uri pentru a scăpa nedetectați. Autorii au lucrat ca la carte și se vede că nu discutăm despre un student plictisit din Regie, ci de oameni care fac din această activitate meseria lor de bază.

js_infection_2008.jpg

Mai departe, este clar ce se întâmplă. Parole, numere de card, documente, emailuri, contacte sunt trimise pe o rețea de servere, altele decât cele de suport ale infecției dar situate tot în Statele Unite în multiple locații (Dalas, Chicago, San Diego, etc). Tot spre aceste servere se trimit informări periodice, rapoarte de execuție, statusuri într-un mod foarte metodic și profesionist. Încă o dată se vede nivelul ridicat de tehnicitate și de organizare al autorilor.

Lucru destul de inedit, speciali?tii de la SANS (SysAdmin, Audit, Network, Security) Institute se văd puși în situația de a cere ajutorul publicului pentru a clarifica modul în care softul se propagă si funcționează pe serverele web. La ora actuală, se știe doar că atât Javascript-ul cât și executabilul “avantgardă” sunt generate și obfuscate pe loc (pentru a deruta antivirușii care scanează traficul web), aceste fișiere (aparentă) nefiind stocate undeva pe serverul infectat. Teoria este că mecanismul de răspândire este destul de sofisticat și implică exploatarea uneia dintre vulnerabilitățile (cunoscute au ba) la nivel de server Linux+Apache. Practic asistăm la o premieră, un malware care nu se mulțumește să modifice site-ul penetrat și să adauge câteva fișiere, ci se instalează ca modul de server web, făcând detecția și dezinfecția aproape imposibile pentru un novice. Repet, este doar o teorie, la ora actuală nu se știe precis cum se propagă această infecție pe servere. și nu orice servere, până și unul din subdomeniile site-ului Universității din Berkeley (bgess.berkeley.edu) a fost detectat ca găzduind un astfel de monstrișor. Cine are habar câte din site-urile mai obscure românești (multe găzduite pe hostinguri ieftine de pe servere din US) oferă ca supliment o mică infectare ?

Mai multe detalii la Finjan Software, cei care au descoperit întâmplător toată tărășenia.

Tot o premieră din domeniul infracțiunii pe Internet, nu este vorba de site-uri de această dată ci de ceva mult mai grav. Zilele trecute CIA au confirmat oficial apariția unui nou trend infracțional care mizează pe securizarea în general slabă a sistemelor informatice de la firmele de utilități (distribuție de apă, curent electric, gaze). După penetrare, atacatorii solicită de la firmele administratoare ale utilităților sume de bani consistente pentru a preda controlul serverelor. Pentru a fi mai convingători, ei fac mici demonstrații concrete – CIA a confirmat că mai multe pene de curent au fost semnalate ca fiind parte a unor astfel de acțiuni de șantaj.

La final, să reamintim că se apropie Valentine’s Day și că “producătorii” de malware și viruși vor profita pentru a lansa un val de infectări via spam și site-uri false de felicitări, inimioare, floricele și alte cântecele. Veți primi destul de multe emailuri de iubire și nu numai – în limba engleză au ba – cu linkuri, atașamente, pozulețe frumușele numai bune de clickuit. Să fiți iubiți, dar atenție pe ce dați click și ce instalați de Valentine’s !