CDR.cz - Vybráno z IT

CDR SecUpdate za 22. týden – Červ Flamer, Tvvitter, Facebook Timeline a iOS bezpečnostní průvodce

Týdenní bezpečnostní bulletin internetového magazínu CDR. Hlídací pes nově objevených kritických chyb ve vašem softwaru a moderní trendy počítačové bezpečnosti na jednom místě.
Stop or tweet

Týden 22 přinesl další informace o počítačovém červu Flamer. Na úvod zmiňujeme jednu ze zranitelností, pomocí které se šíří, čtěte Chyby v softwaru (níže). V Novinkách se věnujeme jeho vlastnostem.

Počty webů, které se snaží ohrozit účty uživatelů sociálních sítí, se rozrostly o další zástupce. Apple vydává průvodce bezpečností na iOS. Čtěte Novinky.

CDR Tým Bezpečnostní Připravenosti
Setkali jste se v poslední době s novou metodou/webem pro zisk citlivých informací (třeba phishing)?
Zakoušíte nestandardní bezpečnostní incident?
Máte zajímavý nápad na aktuální bezpečnostní téma, o kterém byste rádi věděli něco víc?
Ohrožuje něco vaší počítačovou bezpečnost?
Podělte se o zkušenosti s ostatními čtenáři CDR SecUpdate!
Pište do komentářů nebo přímo na mail mozek(at)cdr.cz.

Chyby v softwaru, které zneužívá červ Flamer

Microsoft Windows – zranitelnost zástupce souborů "LNK/PIF"

Týká se NEAKTUALIZOVANÝCH verzí: Windows XP, Windows Vista, Windows 7, Windows Server 2003/2008

Pomocí upraveného zástupce *.LNK nebo *.PIF může lokální uživatel nebo vzdálený útočník spustit na systému libovolný kód. Windows Explorer špatně zachází se zobrazováním ikon, což demonstroval také vir Stuxnet. Flamer tuto chybu v neaktualizovaných produktech Microsoftu zneužívá k šíření svého kódu dále.

Aktualizované produkty Microsoftu tuto chybu neobsahují.

Novinky

Červ Flame(r) – komplexnější DuQu?

Poslední dobou se na internetu objevily detaily analýz počítačového červa, který se na síti pohybuje již minimálně dva roky. Malware si svým chováním vysloužil přezdívku Wiper/sKyWIper – původně vymazával citlivé informace na Středním východě. Jednu z prvních analýz vydala maďarská laboratoř CrySyS, jejíž systémy hrozbu zachytily a vyhodnotily jako hodnou hlubší analýzy.

Jakmile se díky médiím zvýšil zájem o toto téma, do té doby netečné antivirové společnosti začaly vydávat do virových databází signatury. Podle názvu modulu, který útočí a infikuje další systémy, se začal označovat tento komplexní nástroj jako Flame nebo Flamer (W32.Flamer).

Nestandardní je již jeho velikost – s moduly dosahuje doslova obřích 20 MB. Obsahuje totiž vlastní databázový server, webový server, proxy, bluetooth moduly a další. Takovou velikost může mít na svědomí použití programovacího jazyka LUA jakožto "lepidla", které moduly spojuje. Často se v takových případech používá Perl. Pro srovnání server bota SpyEye má kolem 70 kB. Servery trojana DarkComet jsou větší – kolem 750kB, ale disponují obrovskými možnostmi (ovšem nešíří se jako červ).

Flamer_Blog_Figure1_General_Components

LUA interpreter dokáže přijímat příkazy "z vesmíru" a instalovat další moduly z úložišť, které Symantec celkem trefně označuje jako "AppStore". :-)

Flamer - máme se bát?

I když je Flamer nepochybně velkým nebezpečím, soustřeďuje se nyní podle Securelist (Kaspersky Lab) na Írán, Israel, Súdán, Sýrii a další země v regionu. Je pravda, že krade téměř jakékoliv informace (dokumenty, e-maily…) a dokáže snímat zvuk a obraz a odesílat komprimované mediální soubory na C&C server.

Flamer on map

Na druhou stranu pro šíření využívá již známých děr a fakt, že jste dočetli článek až sem, značí, že se o bezpečnost poměrně aktivně zajímáte. Antiviry signaturu obsahují, takže by při zvýšené pozornosti (kterou máte jistě pod kůží) nebezpečí zatím hrozit nemělo.

Události

Twitter nebo Tvvitter?

Vizuální napodobeniny Facebooku typu "tacebook" už jsme viděli. Neznámí "rhybáři" v poslední době připravili sítě pro uživatele konkurenčního Twitteru na základě podobnosti dvojitého "w" a dvou "v". Změnili totiž...

Twitter

na…

Tvvitter

Zajímavé na útoku bylo, že při zobrazení Whois záznamu se stal uživatel obětí XSS útoku. To poukazuje mimo jiné na nedostatečné zabezpečení serverů Whois.

Uživatelé se mohou "zbavit" Facebook Timeline

Další malware využívá změny Facebook účtů na rozložení Timeline. Uživatelům útočníci nabízejí změnu a mohou se po instalaci malwaru "zbavit" tohoto nového rozložení.

How to remove timeline

Blíže zkoumal tento pokus Sophos zde.

Apple iOS Security Guide

Společnost Apple vydala bezpečnostního průvodce pro iOS 5.1. Obsahuje zajímavé informace o systémové architektuře, šifrování a síťové bezpečnosti. Celý průvodce je k dispozici online zde

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate za 22. týden – Červ Flamer, Tvvitter, Facebook Timeline a iOS bezpečnostní průvodce

Pondělí, 4 Červen 2012 - 14:20 | HKMaly | Je videt, ze nove Facebook Timeline rozlozeni je...

Zobrazit diskusi