Számos népszerű alkalmazásából hiányoznak olyan fontos védelmi eljárások, amelyek meggátolhatnák a hálózati támadásokat, olvashattuk a Secunia cikkében.

A dán sebezhetőségeket vizsgáló cég arra derített fényt, vajon a legnépszerűbb harmadik fél által (vagyis a Microsofttól függetlenül) fejlesztett alkalmazások használják-e a két alapvető Windows biztonsági szolgáltatást, a Data Execution Prevention (DEP) és az Address Space Layout Randomisation (ASLR) technológiákat.

A DEP a memória adatokat tartlmazó részét nem futtathatóvá jelöli meg, így időigényesebbé és komplexebbé tesz egy sebezhetőség kihasználására irányuló támadást. A DEP 2004 . augusztus 2-a óta a Windows rendszerek része.

Az ASLR a Windows Vista operációs rendszerben jelent meg 2007-ben. Használatával egy program kódja a memóriában véletlenszerűen elhelyezhető, így a tipikus rögzített memóriacímre utaló támadások működésképtelenek lesznek. Persze sem a DEP, sem az ASLR nem teszi lehetetlenné a sebezhetőségek kihasználását, de a támadásokat annyira megnehezíti, hogy sokkal több időt és erőforrást vesz igénybe egy új exploit elkészítése.

A cikk szerint számos fejlesztőcég figyelmét elkerüli a Microsoft két védelmi technológiája, pedig alklamazásuk egyszerűen történhet minden program fejlesztése során.

„Ezek a technológiák nem váltják ki a patchelést, nem is védenek meg az összes támadástól, de bizonyos esetekben meggátolhatják a sebezhetőségek kihasználását, más esetekben pedig csökkenthetik a sikeres exploitok számát.” – mondta Thomas Kristensen, a Secunia biztonsági igazgatója.

„A Microsoft rengeteget hirdeti a két védelmi eljárás szükségességét Windows 7 és Vista esetében. Minden szoftver fejlesztőnek tisztában kellene lenni ezzel, ezért nem értjük, miért nem alkalmazzák őket.” – tette hozzá Kristensen.

A vizsgált alkalmazások közé tartozik a Sun Java JRE, az Apple Quicktime, a VLC Media Player, az OpenOffice.org, a Google Picasa, a Foxit Reader, a Winamp és a RealPlayer. A cikk szerint közülük egyik sem használja  a DEP-et vagy az ASLR-t.

„Főként azoknak a fejlesztőknek kellene alkalmaznia a szolgáltatásokat, akik rendszeresen kapnak jelentéseket a sebezhetőségekről. Az általunk nem vizsgált cégeknél valószínűleg még szomorúbb képet fest a védelmi technológiák alkalmazása.”- emelte ki Kristensen.

Pozitívum, hogy a DEP néhány népszerű alkalmazásban már elérhető, pl. a Mozilla Firefox, az Apple iTunes és a Safari böngésző már alkalmazza. Azonban a kivitelezés folyamata lassú és következetlen volt a  rendszerek verziói között, állítja a jelentés. Sőt, az ASLR-t szinte az összes fejlesztő helytelenül használja.

„A két védelmi rendszert együtt kell alkalmazni a legjobb hatás elérése érdekében.” – mondta Kristensen.

A 16 elemzett alakalmazás közül egyedül a Google Chrome használta a DEP és ASLR technológiákat egyszerre. A Google szóvívője csütörtökön elmodta  az SC Magazine-nak, hogy a Picasa követketző kiadásában már tervezik alkalmazni a védelmi eljárásokat.

„Remélem, a jövőben egyre több fejlesztő fogja használni a védelmi eljárásokat. Ezekkel ugyanis jelentősen megnehezíthetők az exploitok, így a végfelhasználók is nagyobb biztonságban lennének.” – emelte ki Kristensen.

Ironikus módon a fertőzések 15%-át adják a (hamis) biztonsági szoftverek – áll a Google jelentésében.

A Google 2009 januárja és 2010 februárja között 240 millió weboldalt vizsgált meg, s arra az eredményre jutott, hogy a káros alkalmazások 15%-a vírusirtó álruhába bújik, míg kb. 11.000 weboldal terjeszti a hamis biztonsági szoftvereket.  A felmérés eredményét a kaliforniai San Joséban tartott Usenix konferencián jelentették be.

A Sunbelt ThreatNet fertőzési toplistáin is mindig előkelő helyeket töltenek be a hamis vírusirtók, ez hónapról hónapra érdemben nem változik. A VIPRE és CounterSpy detekciói között már tízezres nagyságrendben találhatók a hamis vírusirtók, amelyek sorát a SunbeltLabs megállás nélkül dolgozó kutatócsapata óránként bővít.

A Google szerint az a legaggasztóbb, hogy a káros szoftvereket programozók egyre ügyesebben csapják be a felhasználókat, olyan jól csengő nevek mögé bújnak, mint például a MalwareAlarm, WinAntivirus, WinFixer, XP Internet Security vagy az Antivirus XP 2010.

A helyzetet tovább nehezíti, hogy több valódi vírusirtót fejlesztő cég jogi fenyegetések miatti kifogásokkal hátat fordít az ilyen fertőzéseknek, így aktív és frissített vírusvédelem mellett is komoly veszélynek teszik ki gyanútlan felhasználóikat.

via: Google

Fehéroroszorság, avagy a Belarusz Köztársaság lakói minden bizonnyal szeretik a hollywoodi sorozatokat, olyannyira, hogy képesek lemásolni és sajátjuként leforgatni őket. Történt ez például a The Big Bang Theory kockasorozattal is, amely valentin napi részét Chuck Lorre, a sorozat egyik megalkotója egy Fehéroroszágnak szóló üzenettel zárja. Ebből kiderül, hogy angolul The Theorists, kb. Teoristák, elméleti tudósok néven az állami TV adó forgat egy sorozatot, ami hajszálra megegyezik az eredetivel, persze mindez a jogtulajdonos Warner Bros. engedélye nélkül történik. Mivel a fehérorosz kormány által finanszírozott adót gyakorlatilag lehetetlen a jogsértésért beperelni, ezért Chuck tehetetlenségében legalább megemlékezett az esetről.

Aki kiváncsi, sokszor pórul jár, ezért rögtön rákerestem a “The Theorists Belarus” szavakra, hátha valahol sikerül megpillanatani a fehérorosz másolat pár képkockáját.

Meglepetésemre az első két találat teljesen új kártevőkhöz vezetett, ráadásul nem is akármilyenhez. A téma a szokásos hamis biztonsági szoftverrel történő átverés, de ezúttal a hamis vírusirtót még csak fel se kell telepíteni: rögtön elindul (egy animáció) és elvégzi a keresést a böngészőablakban!

Először egy Windows Intézőhöz hasonló oldal jelenik meg, amin rögtön elindul a víruskeresés:

Majd egy Windows Biztonsági Központra hasonlító figyelmeztetés összegzi a “találatokat”:

A megoldás persze már egyértelmű, a folytatáshoz ugyanis le kell futtatni egy immár igazi károkozót, de ezt senkinek sem javasolnám.

Az igényes kivitelezéssel készült átverés 3-4 féle kinézetben is elérhető, van XP-s és Windows Vista/7-re emlékeztető skin is. Sőt, még egy hamis UAC ablak is megjelenik, ami elsötétíti a korábban automatikusan teljes képernyőre kirakott böngészőablakot:

Meglepő, de az egész átverés teljes mértékben nélkülözi az animációkhoz és videókhoz használt Flasht, minden profi DHTML és CSS alapon működik.

Az egész átverés rendkívül igényesen néz ki és nagyon jól szemlélteti, hogy nincs lehetetlen dolog, ha új számítógépek megfertőzéséről és a felhasználók újabb átveréséről van szó. A profizmus is kézzel fogható: tökéletesen lemásolt Windows ablakok, látványos, esztétikus animációk, tökéletes illúzió.

Az átverések videón:

• Vista-szerű megjelenés UAC ablakkal
• Másik Vista-szerű kinézet
• XP-s kinézet
• Másik XP-s skin

Jogos kérdés, hogy a VIPRE Antivirus + Antispyware védelmi rendszerben alkalmazott MX-V virtualizáció csak egy újabb marketing szöveg, egy megfoghatatlan és nehezen elmagyarázható része a vírusirtónak, de a való világban számít valamit?

Nem kevesebb, mint az IT biztonsági képzések területén a világ vezető intézete, a több mint 165.000 biztonsági szakértővel kapcsolatban álló SANS példája ad a kérdésre választ: a SANS Internet Storm Center cikkében számol be arról, hogy milyen veszélyeket rejthet a Google tárolt honlapjainak (cache) látogatása.

Greg, az SANS/ISC olvasója rákeresett valamire, viszont a keresett információt tartalmazó oldal már nem volt elérhető, ezért a Google által tárolt változatra kattintott.

Ugyanakkor a keresett honlap szándékosan nem volt online: éppen eltávolítottak róla egy fertőzést, amelyet természetesen a Google már korábban lemásolt, így a tárolt változat látogatóit egy iframe segítségével hamis biztonsági szoftver letöltéséhez vezette.

Működéséből adódóan a Google minden oldalt ideiglenesen tárol, minden jót és rosszat egyformán lemásol, így az ilyen fertőzések is automatikuan belekerülnek a Google “internetről készített tükör-másolatába”. Egyúttal a keresőkben sokan megbíznak, így a látogatók még óvatlanabbak, ha a Google tárolt változatát böngészik, tévesen bízva abban, hogy ez biztosan nem lehet egy fertőzött oldal. Így könnyen elképzelhető, hogy a Google tükrözéséből még hatékonyabbak az ilyen fertőzések, mint az eredeti helyükön.

Visszatérve a fertőzésre, a fertőzött honlap által terjesztett károkozó a SANS szerint óránként kb. kétszer változik, és mindössze két vírusirtó ismeri fel megbízhatóan, adatbázis frissítés nélkül az új variánsokat: a Microsoft és a Sunbelt MX-V technológiája azonosítja a gyorsan mutálódó kártevőt, míg a többi gyártó csak a rendszeres adatbázis frissítésekre hagyatkozhat, bízva abban, hogy néhány napon belül minden variáns elér a laborokba. Az MX-V virtualizáció viselkedés alapú elemzése nélkül a Sunbelt kutatóinak esélye sem lenne az óránként (ha nem percenként) változó vírusminták millióival való eredményes harcra.

A VIPRE keresőmotor és az MX-V virtualizáció működéséről részletes cikkünket is elolvashatja.

A Sunbelt Software a Google mellé adatszolgáltatóként csatlakozott a StopBadware.org malware elleni összefogáshoz. A Harvard Egyetem kezdeményezésének célja a különféle vírusok, kémprogramok és egyéb károkozók terjesztése elleni fellépés a kártevőket terjesztő honlapok címeinek összegyűjtésével. A BadwareBusters.org fórumot is üzemeltetik, amely elsősorban a különféle támadások áldozatainak igyekszik szakszerű segítséget nyújtani.

Eric Howes, a Sunbelt Software anti-malware kutatólaborjának igazgatója a StopBadware.org indulása óta szakértőként segíti a kezdeményezés munkáját, a mostani adatközlésben történő együttműködés immár hivatalos szintre emeli a két szervezet közötti kapcsolatot. A Sunbelt a Sunbelt Labs, a ThreatNet és a VIPRE vírusirtó felhasználó közösségének visszajelzéseivel és kutatási eredményeivel egyaránt segíti ezentúl a StopBadware.org munkáját.

“A Sunbelt Software mindig is hangsúlyozta a közösségi összefogás jelentőségét a károkozók elleni harcban. Örömmel tesszük hivatalossá korábbi együttműködésünket a StopBadware.org csapatával, és szívesen támogatjuk a szakma és a nyilvánosság számára végzett fontos munkáját.” – mondta Howes.

“Rendkívüli módon örülünk neki, hogy egy ilyen neves anti-malware cég, mint a Sunbelt Software, vált adatközlő partnerünkké. Az általuk biztosított új kutatási adatok új szemszögbe helyezik a károkozók világát, segítségükkel kibővíthetjük jelenlegi tudásunkat és átfogóbb elemzéseket tudunk majd készíteni.“ – nyilatkozta Maxim Weinstein, a StopBadware.org vezetője.

A Virtumonde és kilenc másik kémprogram okozza a fertőzések 25%-át
Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2009 februárjában is megjelentette toplistáját a 2009 januárjában legfertőzőbb kémprogramokról és számítógépes vírusokról. A listát a Sunbelt szakemberei a VIPRE Antivirus+Antispysware vírusirtót használó és a Sunbelt ThreatNet™ káros alkalmazásokat regisztráló hálózatában résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki használja a VIPRE antivírust, vagy a plusz védelmi rétegként is alkalmazható CounterSpy kémprogram-eltávolítót.

A fertőzések negyedét tíz kártevő okozza
Az újévben tovább folytatódott a tavalyi év második felében elkezdődött fertőzés-koncentráció: a januári fertőzések immár közel 25%-át csupán tíz kémprogram okozza. Közülük is kiemelkedik a Virtumonde, amely tavaly év végén került a toplista élére, letaszítva a sokáig egyeduralkodó Zlob.MediaCodecet. Ez a kémprogram egymaga a fertőzések közel 5%-áért felelős. Korábban egy-egy listavezető trójai mindössze a fertőzések 1%-áért volt okolható.

A Sunbelt toplistája egyébként őrzi az év végén kialakult képet: eltűntek róla a trójai letöltők és a komplex károkozók uralják. A toplista második helyén a böngésző keresési eredményét megváltozató Explorer32.Hijacker található, míg a harmadik helyre a többfunkciós Zango reklámprogram került fel, a negyedik helyen pedig a reklámablakokat megjelenítő Hyperlinks Rotator helyezkedik el. Az ötödik helyet az Adware.Agent reklámprogram család, míg az hatodikat egy újdonság foglalta el: a Plus18Point reklámokat jelenít meg és eltéríti a böngészőt – például átírja a kezdőoldalt, illetve manipulálja a keresési eredményeket.

A hetedik és nyolcadik helyen a meglátogatott honlappal konkurens hirdetéseket megjelenítő Hotbar.ShopperReports reklámprogram, illetve a programcsalád többi tagja együttesen található. A kilencedik helyre a C2.Lop böngésző eszköztár csúszott le, míg a tízedik helyre a WhenU.Save kémprogram került, amely folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket.
A bejegyzés tovább tart! Folytatás… »

- Angelina Jolie képei mögé bújnak a legújabb kémprogramok, és már a Google reklámhálózatában is hirdetnek károkozókat -

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Malware Research Labs 2008 szeptemberében is megjelentette toplistáját az augusztusban legfertőzőbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet™ káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik. A kutatásban bárki részt vehet, aki letölti a CounterSpy kémprogram eltávolítót.

A trójaiak visszavágnak
A nyár során a toplistát főleg a reklámprogramok uralták, egyes elemzők szerint ez részben az olimpiának is köszönhető, hiszen az ötkarikás játékok során megnövekedett internet forgalmat sokan szerették volna kihasználni oldaluk, termékeik népszerűsítésére. Ennek azonban ellentmondani látszik, hogy a pekingi játékok alatt a reklámprogramok szinte eltűntek a legtöbb fertőzést okozók toplistájáról, ugyanakkor számos trójai küzdötte fel magát újra a top 10-be.

A bejegyzés tovább tart! Folytatás… »

Az ICANN jelentős lépésre szánta el magát: végre vége az ingyenes, 5 napos domain regisztrációknak.

Az internet alapvető működéséért felelős non-profit szervezet, a domain nevek kiosztását felügyelő ICANN végre bezárta azt a kiskaput, amivel 5 napig ingyenesen lehetett egy domain nevet használni – úgymond “kipróbálni”.

Ez a lépés azért jelentős, mert a bűnözők minden nap tízezerszám regisztrálták az új domaineket, hogy újabb és újabb címeket használhassanak a károkozók terjesztésére, vagy éppen spamek küldésére. Egy új domain ingyenes regisztrációjával létrehozható egy új, adathalász támadásokhoz vagy károkozók letöltéséhez ideális hamisított honlap, illetve több ezer új email cím, amelyekről a kiküldött spamek hitelesebbnek tűnhetnek (hiszen a feladó címe nem teljesen véletlenszerű, mert a domain visszaellenőrizhető és már létezik).

Az 5 napos domain-kipróbálási lehetőség kihasználására több biztonsági cég is figyelmeztetett; olyan statisztikák is készültek, amikből látható volt, hogy az internetről letöltött károkozók több, mint 90%-a 5 napnál nem régebbi honlapokról tölthető le. A Google pár héttel ezelőtt vélgülis a hirdetési rendszeréből kitiltotta az olyan reklámokat, amelyek 5 napnál nem régebbi oldalra mutattak, ezzel is próbálva elejét venni a bűnözők tevékenységének készpénzre váltását.

Úgy tűnik, erre most már nem lesz szükség, mert az ICANN döntése alapján minden egyes beregisztrált domain után évente 20 centet kell leszurkolni – ezzel minden bizonnyal megszűnik az ipari méretű visszaélés az 5 napos regisztrációkkal.

Sajnos nekünk, a felhasználók számára ez nem jelenti azt, hogy megtizedelődik az interneten leselkedő károkozók száma, vagy hogy végre mérséklődik a spam és az adathalászat problémája. Viszont egy eszközzel biztosan kevesebb van már a bűnözők kezében, és így teljesen új értelmet nyernek az olyan szűrőmotorok, mint a Ninja és MPP részét is képező SURBL, ami a spameket a bennük található weblapcím alapján azonosítja. Mivel sokkal kevesebb címre kell ezentúl odafigyelni, így reméljük egy fokkal egyszerűbb lesz a spamszűrés is.

- a pakisztáni politikus elleni merényletről készült videók mögé rejtőztek a legújabb vírusok és kémprogramok -

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2008 januárjában is megjelentette toplistáját a 2007 decemberében legfertőzőbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a díjnyertes CounterSpy kémprogram-eltávolítót használó és a Sunbelt ThreatNet™ káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik.

Megmerevedett frontok
Az elmúlt év utolsó hónapjában nem történt nagyobb változás a legtöbb fertőzést okozó kémprogramok között: lassan megszokhattuk, hogy a lista éllovasa a Trojan.FakeAlert, ami biztonsági programnak álcázott kémprogramok telepítésére buzdít. A karácsonykor megemelkedő kereskedelmi forgalom indokolhatja, hogy lényegesen nagyobb lett a kéretlen reklámleveleket pop-up ablakban megjelenítő programok által okozott fertőzések száma, így például a novemberben még csak a lista utolsó helyén kullogó MyGeek/CPVFeed reklámprogram immár az „előkelő” hatodik helyen található. Hasonlóan sok fertőzést okozott a többi hirdetőprogram, a Virtumonde, a ClickSpring.PuritySCAN és a Command Service is, amelyek összesen a fertőzések közel 2.5%-át adták.

A bejegyzés tovább tart! Folytatás… »

Mivel én ilyenekre nem vállalkozok, ezért kollégám, Stu Sjouwerman a Wservernews hírlevelében közzétett előrejelzéseit szeretném közreadni magyarul is. Kérlek szóljatok hozzá nyugodtan, kiváncsiak vagyunk, hogy ti mit vártok!

MICROSOFT: A Windows XP él és virul! Redmond 2009 januárjáig bejelent egy új kiegészítő csomagot ahelyett, hogy június 30-án befejezné az XP értékesítését. 2008-ban büszkén hangoztatják a több, mint 200 millió Vista eladását, de arról nem lesz hír, hogy hányan váltottak vissza XP-re.

A bejegyzés tovább tart! Folytatás… »

Az elmúlt napokban a keresőmanipulálással foglalkozó bűnözői csoportok ismét óriási mennyiségű hamis találattal árasztották el a Googlet.

A kémprogramokat és vírusokat tartalmazó weboldalakra mutató találatok széles körben, több száz keresett kifejezésre megjelennek; például egy Oracle adatbázis kezelővel kapcsolatos programozói kérdésre és egy rabszolgasággal kapcsolatos keresésre is szinte csak káros weboldalt találhattunk (piros kerettel a káros weboldalak):

A  káros weboldalra történő navigálás után az oldal megpróbál egy kémprogramot feltelepíteni a sebezhető számítógépekre, és egy hamis videó kodek telepítésére próbálja rávenni a felhasználót:

A Google a StopBadware.org segítségével már régóta kiszűri a károkozókat tartalmazó weboldalakat a keresési találatok közül, ezzel sokszor rengeteg fejfájástól megóvva a felhasználókat – viszont a frissen feldezett fertőzött oldalak egyáltalán nem szerepelnek a káros weboldalak listáján, ezért a gyanútlan felhasználók figyelmeztetés nélkül navigálhatnak rá.

Szerencsére a káros weboldalakat ránézésre is könnyű észrevenni a találatok között, mert valamilyen oknál fogva szinte csak kisbetűket tartalmaznak, a domainnevek pedig semmitmondó, véletlen karaktersorozatokból kerülnek ki. (Viszont sok más esetben a gyanakvó felhasználónak sem egyértelmű, hogy milyen oldalra kerülhet, ezért mindig használjunk friss antivírust és kémprogram védelmet!)

A felfedezésért köszönet Adam Thomas (SunbeltBLOG) kollégánknak!