Jak cyberprzestępcy robią z nas pajaców
poniedziałek, 2 marca 2009 09:59:07
Pierwszy, to popularne i darmowe skrypty. Są w sieci miliony for internetowych i blogów, a większość na kilka najbardziej znanych „silnikach”. Zauważcie sami: większość for zbudowanych jest na znanym phpBB, lub jego modyfikacjach. Z kolei większość blogów stawianych przez ludzi to doskonały WordPress. Cóż z tego? A to, że jeśli ktoś znajdzie dziurę w oprogramowaniu phpBB, to może od razu, hurtem, zainstalować malware (wirusy to tylko jedna z odmian szkodliwych programów, zbiorowo wszystkie je określa się jako malware) na dziesiątkach, jeśli nie setkach tysięcy for, sięgając setek milionów użytkowników. A nie ma programu bez usterek. Tak naprawdę, to dziur nawet nie trzeba wyszukiwać: są one powszechnie znane i opisane. Celem ich załatania wychodzą nowe wersje oprogramowania, w tym skryptu phpBB. Ale nową wersję trzeba zainstalować, a wielu właścicielom i administratorom się nie chce. Wiele for wciąż pracuje na starych wersjach oprogramowania, dla których dziury i usterki są znane. Bardzo łatwo można je znaleźć. Jak przewiniecie stronę główną na dół, to w stopce jest standardowa informacja o skrypcie forum i jego wersji. Wystarczy wrzucić taką stopkę w wyszukiwarkę, żeby odszukać fora oparte o dowolną wersję, dla której mamy gotowe szkodliwe oprogramowanie. Takich rzeczy to już cyberprzestępcy nie robią ręcznie: mają do tego odpowiednie programy, pełna automatyka. To samo tyczy się popularnych skryptów blogowych, stron newsowych i innych.
Drugi sposób jest jeszcze bardziej perwersyjny. Gdzie najlepiej uderzyć? Tam, gdzie nikt się nie spodziewa. Dlatego coraz częściej cyberprzestępcy usiłują się włamać na znane i popularne strony, do których mamy zaufanie. Im bardziej szanowana marka, tym lepiej. Mogą być to strony z wiadomościami, strony znanych firm. Kto by spodziewał się, że np. strona znanego producenta samochodów zaraża nam komputery? A, niestety, zdarza się to coraz częściej. Ba, zdarzyło się nawet podobno, że włamano się i zostawiono zarażający kod na stronie… producenta programów antywirusowych! Podobny atak miał właśnie niedawno w Polsce, niestety, w zasadzie go przemilczano, ze szkodą dla użytkowników.
Jak nabić ludzi w butelkę „na pajaca”
Dopiero co, bo 27 lutego serwis Heise Online poinformował, że przez jakiś czas oprogramowanie zarażające komputery znajdowało się na stronie Pajacyk.pl. Wyjątkowo wredny wybór, bo na stronę tę zaglądają tysiące polskich użytkowników internetu. Oddajmy głos Heise:
Polski CERT przeprowadził analizę materiałów pochodzących ze strony pajacyk.pl, ponieważ wielu internautów zaczęło informować o ostrzeżeniach wyświetlanych przez programy antywirusowe przy okazji odwiedzania witryny.
24 lutego w serwisie Alert24 opublikowano wyjaśnienie Polskiej Akcji Humanitarnej, do której należy serwis Pajacyk. Przedstawiciele fundacji uspokajali, że jest to fałszywy alarm, a komputery są bezpieczne. Niestety, okazało się to nieprawdą. Trudno oszacować, jak wiele komputerów zostało zainfekowanych, ale jak podaje CERT, powołując się na statystyki publikowane na stronie Pajacyk, witrynę odwiedziło około 100 tysięcy osób.
Sto tysięcy osób mogło, brzydko mówiąc, dostać syfa po wejściu na stronę Pajacyka. Szczęście w nieszczęściu, że programy antywirusowe wykrywały zagrożenie, choć nie jestem pewien, czy wszystkie, chyba nie — w komentarzach pod tą informacją na technologie.gazeta.pl ludzie alarmowali, że niektóre antywirusy (w tym znany Norton) ich nie ostrzegały. Pytanie jednak, ile osób zignorowało ostrzeżenie, uznając je za fałszywy alarm, bo przecież „Pajacyk to nie strona z pornografią”. Fałszywe alarmy się przecież zdarzają, nieraz nawet często. Ano właśnie, a dziś nikomu nie można ufać. Ale nie to przeraża mnie najbardziej, a to, co można przeczytać w dalszej części artykułu:
Zagrożenie usunięto 23 lutego (poniedziałek) w godzinach rannych. Internautom odwiedzającym stronę Pajacyka zaleca się wykonanie skanowania systemu jednym z programów antywirusowych, które rozpoznają "szkodnika".
Momencik, usunięto je 23 lutego? Dlaczego zatem, skoro już wtedy było wiadomo o infekcji, Polska Akcja Humanitarna jeszcze 24 lutego (patrz poprzedni cytat) informowała, że nie było żadnego zagrożenia?! Czytając artykuł na początku założyłem, że po prostu się nie zorientowali. Niestety, z dalszej części artykułu wynika jasno, że Polska Akcja Humanitarna celowo i świadomie kłamała i wprowadzała użytkowników w błąd, narażając ich bezpieczeństwo. Na dodatek wszystko wydało się dopiero 27 lutego. Czyli: tysiące ludzi jeszcze przez wiele dni nie zdawało sobie sprawy z tego, że ich system jest zarażony. I nie dość, że byli narażeni na utratę np. haseł do banku i straty finansowe, to jeszcze rozprzestrzeniali tę zarazę dalej. A jestem pewien, że niektórzy nie zorientowali się do dziś. To jest taki skandal, że gdyby nie moje wysokie zdanie o heise online, to bym może nie uwierzył. Tak się nie robi, państwo z PAH! Ludzi, którzy okazują dobrą wolę i chcą pomagać dzieciom nie można traktować jak… głupich pajaców. Elementarna, ludzka przyzwoitość nakazuje natychmiast ostrzec wszystkie osoby, które mogły zostać narażone, aby mogły podjąć odpowiednie kroki i sprawdzić swoje komputery. Widzicie jakiś komunikat na stronie Pajacyka? Sprawdziłem: nic nie ma, na oficjalnej stronie PAH: też; nadal udają, że wszystko jest w porządku. To jest postępowanie iście sowieckie. Rząd ZSRR ukrywał z powodów propagandowych wszystkie katastrofy, jak tę w Czarnobylu, nie bacząc na ludzkie bezpieczeństwo. I to samo jest w tym przypadku. W moich oczach wiarygodność Polskiej Akcji Humanitarnej legła w gruzach. Wielka szkoda, akurat zamierzałem coś napisać o podobnych akcja i polecić Pajacyka, ale w tej sytuacji… rozumiecie… zalecam przynajmniej ostrożność.
Jeśli mimo wszystko ktoś chce na stronę Pajacyk.pl wchodzić, to zalecam ostrożność, korzystanie z antywirusa i przekonfigurowanie przeglądarki. Dla posiadaczy Opery: kliknijcie prawym klawiszem na pustym miejscu strony i wybierzcie opcję „Preferencje dla witryny…” — pokaże się okienko. Na zakładce zawartość wyłączcie opcje „Włącz obsługę Javy” i „Włącz obsługę wtyczek”. Na zakładce „Wyświetlanie” wyłączcie obsługę ramek i ramek pływających (ta metodą właśnie umieszczono złośliwy kod na stronie pajacyka). Na zakładce skrypty wyłączcie obsługę JavaScript. Potwierdźcie OK i gotowe. Nie zapewnia to bezpieczeństwa na 100%, ale myślę, że na 99%. To samo możecie powtórzyć dla innych stron, albo dla wszystkich stron w ogóle (w preferencjach przeglądarki), ale może to spowodować, że wiele stron korzystających z tych funkcji nie będzie działać poprawnie. To trzeba sobie ustalić metodą prób i błędów.
Użytkownicy Firefoksa nie mają wprawdzie tych opcji, ale mogą poszukać odpowiednich rozszerzeń. Użytkownikom IE w ogóle odradzam… cokolwiek. Jakiekolwiek zmiany w jej konfiguracji są dość niewygodne, a poza tym posiada ona najwięcej luk i niedoróbek bezpieczeństwa, na które nie ma rady. Ponadto z racji popularności stanowi główny cel ataków. Najlepiej zmienić tę przeglądarkę na jedną z powyższych.
Komentarze
Niezarejestrowany użytkownik # poniedziałek, 2 marca 2009 18:18:52
Radek a.k.a. Majlomajlo # wtorek, 3 marca 2009 15:26:38
Artur „Jurgi” JurgawkaJurgi # wtorek, 21 kwietnia 2009 19:41:13
Originally posted by Chip.pl:
Ponadto doskonały przykład, że im na stronie napchanych więcej technologii, tym więcej potencjalnych dziur. I przykład, że warto domyślnie blokować Flasha.