CDR.cz - Vybráno z IT

CDR SecUpdate za 25. týden – CAPTCHA – jak se spamuje na diskuzních fórech? Flame a Stuxnet jsou z USA a Izraele

Made in China
Týdenní bezpečnostní bulletin internetového magazínu CDR. Hlídací pes nově objevených kritických chyb ve vašem softwaru a moderní trendy počítačové bezpečnosti na jednom místě.

Další CDR SecUpdate je zde, nese označení Týden 25, pojďme se podívat na nejdůležitější události minulého týdne. Doporučujeme aktualizaci Microsoft XML Core Services, zranitelnost je zneužívána útočníky. Čtěte Chyby v softwaru níže.

Událostech níže rekapituluji informace o Flame a Stuxnet, oba pramení ze spolupráce USA a Izraele. Podíváme se také pod kůži "ověřování lidskosti" na webech typu CAPTCHA.

Chyby v softwaru

Microsoft XML Core services zranitelnost

Týká se verzí: MS XML Core Services 3.0, 4.0, 6.0 na Windows XP, Win Vista a Win 7

Existuje exploit, který je součástí aktivních útoků využívajících zranitelnost v XML Core Services od firmy Microsoft. Zranitelnost umožňuje vzdálené spuštění kódu. Microsoft však aktualizaci nevydal jako součást minulého Úterý aktualizací, ani nepublikoval další samostatnou aktualizaci pro Windows update, a proto jsou uživatelé nuceni k manuálnímu řešení, které je popsáno na webu Microsoft Technet. Doporučujeme aktualizaci.

Události

Červ Flame sbíral data pro Stuxnet

Podle Washington Post byl Flame produktem spolupráce Spojených států amerických a Izraele proti Íránskému nukleárnímu programu. Červ měl zjišťovat informace o kybernetických cílech a připravovat tak půdu pro další fázi útoku. Tou byl další červ Stuxnet, který napadl téměř 1000 nukleárních centrifug v Natanz a nekontrolovaně je roztočil.

Kolaborace USA a Izraele měla zpomalit Íránský nukleární program a tím rozšířit časový úsek pro diplomatické diskuze a sankce. Firma Kaspersky tvrdí, že Flame a Stuxnet jednoznačně napsala tatáž skupina vývojářů. Můžeme mluvit o účasti americké National Security Agency (NSA) a CIA na celé operaci, protože jsou tyto agentury známé svými bezpečnostními experty. Potvrdil to ve svém článku také Washington Post.

tehran-natanz-ahmadinejad-stuxnet

Navzdory velké mediální pozornosti jsme na začátku června konstatovali, že nebezpečí by uživatelům hrozit nemělo. Potvrzuje se, že Flame skutečně sloužil jako sběratel informací o konkrétních cílech útoku, na širokou veřejnost se nezaměřoval. Do této skládačky mi neseděl fakt, že analýzu provedla maďarská laboratoř CrySyS (která pojmenovala malware sKyWIper), ale evidentně ji o analýzu požádal přímo Írán, stejně jako firmu Kaspersky (ta už psala o červu jako o Flame).

Zdá se, že state-sponsored útoky budou častější a vlády využijí sofistikovaný malware jako nástroj politické moci. Jaký je váš názor na války v kyberprostoru? Představují větší nebezpečí, než boje v reálném světě?

CAPTCHA – jak se spamuje v diskuzních fórech

Kvůli útočnosti automatických počítačových botů musí webové stránky rozlišit interakci s člověkem a s automatickým nástrojem. Tyto nástroje dokáží automaticky spamovat webová fóra a blogy reklamou, stahovat e-mailové adresy z tisíců stránek najednou (Web scraping) a také odepírat webovým aplikacím služby (DoS).

Proto byla vynalezena CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart). Zabraňuje automatickým nástrojům v útocích a rozlišuje člověka a počítačového robota. Ideální CAPTCHA vyzve lidského uživatele k jednoduchému testu (opsat text z obrázku), který je pro automatický nástroj neřešitelný. Pro počítač je těžké získat deformovaný text z obrázku, který má ještě barevné pozadí s šumem, lidské oko rozpozná text často na první pohled.

Captcha-priklad

Existují však metody, jak CAPTCHA obejít. Imperva je ve svém reportu dělí do dvou skupin.

Počítačové nástroje pro rozpoznávání

Nástroje pro optické rozpoznávání (OCR) simulují funkci lidského zraku a odhadují daný text. Captcha Sniper dokáže za $97 číst CAPTCHA a spolupracovat s nástroji, jako je Submitter, které rozposílají komentáře na zadané webové adresy.

Využití člověka pro rozpoznávání

Není lepšího nástroje, než člověka. Vždyť právě pro něj jsou CAPTCHA navrhovány. Na internetu si lze pronajmout celou skupinu pracovníků (většinou z Indie), kteří dostávají $1-$3 za 1000 CAPTCHA a jsou ochotní pracovat pro kohokoliv. Třeba poskytovatel "Deatch by CAPTCHA" chce za 1000 CAPTCHA pouze $1,39. Pracovníci dostanou obrázky CAPTCHA v automatizovaném systému a řešení odesílají spammerům.

Pokud spammer přesvědčí uživatele k práci zadarmo, tím lépe pro něj. Může využít poptávky po pornografii a ukazovat lechtivé obrázky za řešené CAPTCHA.

Captcha-human-ocr

Proti nástrojům na rozpoznávání textu se lze bránit způsoby, jako je tento:

captcha-example

CAPTCHA je prostě a jednoduše neustálý boj vývojářů s útočníky. Problémy nejsou ojedinělé, kupříkladu web Data.gov.uk čelil nedávno útoku spammerů.

Řešení

Jednou z možností je vytvořit si vlastní unikátní CAPTCHA, které nebude pro útočníky ve spojení s obsahem webu dost zajímavé pro to, aby se jej snažili prolomit. Je tu ale nebezpečí, že do CAPTCHA investujete peníze a výsledek bude nedostačující.

Nebo můžete využít internetových služeb, které CAPTCHA generují, aktualizují a distribuují mezi zákazníky. Tady je zas nebezpečí, že útočníci prolomí aktuální verzi CAPTCHA a do vydání nové verze budou všechny weby zranitelné.

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate za 25. týden – CAPTCHA – jak se spamuje na diskuzních fórech? Flame a Stuxnet jsou z USA a Izraele

Středa, 27 Červen 2012 - 08:46 | kubajar | Mě osobně se místo captcha nejvíce osvědčila...
Úterý, 26 Červen 2012 - 15:09 | MH UB | Viz. google, bylo zneužito zranitelnosti v...
Pondělí, 25 Červen 2012 - 19:29 | Jiří Moos | @CAPTCHA: Často to je těžké rozeznat, proto mi...
Pondělí, 25 Červen 2012 - 19:23 | Jiří Moos | Článek rozhodně neinformuje pouze o Stuxnetu, ale...
Pondělí, 25 Červen 2012 - 17:06 | Anonym | napriklad tato prednaska http://www.ted.com/talks...
Pondělí, 25 Červen 2012 - 17:02 | Anonym | informacia o stuxnet je dost stara. podozrenie na...
Pondělí, 25 Červen 2012 - 15:08 | HKMaly | Tam je dulezite to "prislo se na to kdo...
Pondělí, 25 Červen 2012 - 12:53 | lemplik | No myslim, ze kdyby tohle nekdo udelal americanum...
Pondělí, 25 Červen 2012 - 11:43 | Gery Emreis | Ono jim to ty centrifugy jednak nekontrolovaně...
Pondělí, 25 Červen 2012 - 11:37 | Archvile | Niektoré CAPTCHA obrázky má problém rozlúštiť aj...

Zobrazit diskusi