Chyby v softwaru a malware

Facebookem se šíří nákaza, napadá i české uživatele

Na největší sociální síti se v posledních dnech objevuje úspěšná malwarová kampaň zneužívající osobních informací uživatelů a dat o “přátelích” na Facebooku. Podle analýzy Bitdefenderu se šíří zejména přes Zeď, kde napadený systém publikuje odkazy s označenými přáteli určitého Facebookového účtu. Publikované příspěvky na zdi obsahují personalizovaná data (obrázek a jméno uživatele), což zvyšuje jejich úspěšnost. Odkaz láká na zajímavé video přes zkrácenou URL pomocí služby bit.ly.

Po kliknutí se objeví stránka velmi věrně připomínající YouTube a v některých případech se pustí video svlékající se dívky. Po pár sekundách web prezentuje uživateli oznámení o zastaralém Flash Playeru a žádá aktualizaci. Přes stažený spustitelný soubor se následně do systému dostane nebezpečný doplněk prohlížeče, který ovládne Facebookový účet za účelem dalšího šíření malwaru.

Útočníci podle Bitdefenderu vytvořili přes 20 000 unikátních URL přes 60 API klíčů služby bit.ly, což ztěžuje detekci a obranu. Modul v prohlížeči následně znemožňuje příspěvky z Facebooku smazat, údajně také zavře panel rozšíření, pokud by chtěl uživatel modul z prohlížeče odstranit.

Z našich postřehů se šíří malware také přes Facebook chat, kde využívá službu hidemyass.com. V době psaní článku však již tato služba dokázala zablokovat alespoň část nebezpečných domén.

Pokud se s malwarem setkáte, ihned kontaktujte uživatele, který příspěvky na sociální síť vypustil, a doporučte mu skenování systému antivirem. V současné chvíli detekuje Bitdefender malware jako Trojan.Agent.BDYV.

Microsoft nikdy záměrně neimplementoval backdoor do svého softwaru,...

V souvislosti s kauzou Edward Snowden minulý týden promluvil o spolupráci s NSA jeden z nejvyšších představitelů bezpečnostního oddělení v Microsoftu Scott Charney. Uvedl, že NSA nikdy Microsoft nepožádala o instalaci zadních vrátek do systému Windows ani dalšího softwaru. Kdyby tak prý učinila, Microsoft by přivedl věc před soud.

Dokumenty poskytnuté světu Edwardem Snowdenem naznačují, že by největší IT firmy světa, jako je Google, Microsoft a další, mohly implementovat zadní vrátka do svých služeb a produktů. Konkrétně Microsoft údajně spolupracoval s americkou vládou velmi úzce při získávání obsahu komunikace zákazníků. Oficiální vyjádření Microsoftu sdělovalo, že firma spolupracovala "pouze na základě zákona nebo soudního příkazu, jinak ne".

Co to znamená převedeno na konkrétní příklady, můžeme těžko odhadovat, každopádně Charney použil v odpovědích na dotazy ohledně záměrných zadních vrátek poměrně agresivní angličtinu. Microsoft by byl prý hodně nepřátelský na doporučení, aby implementoval do produktů backdoor, vláda o to prý ani nepožádala. “Zaprvé, nikdy to neudělali, a zadruhé, bojovali bychom zuby nehty u soudu. Podle stanov pro odposlechy a FISA můžete být nuceni k poskytnutí technické pomoci. Kdyby ale řekli, strčte tam zadní vrátka nebo něco takového, hnali bychom to až k nejvyššímu soudu.” Charney dodal, že mimo právní důsledky takových kroků by to byla pro Microsoft finanční sebevražda. “[…] nemohli bychom prodávat nikde po světě, ani v Americe.”

… ale to neznamená, že si jej NSA neopatřila jinde.

Náhoda má někdy smysl pro humor a nezalekne se ani globálních kauz jako je vládní špiclování. Ve stejnou dobu, kdy mluvil Scott Charney o spolupráci Microsoftu a NSA, vyšla najevo informace, že tým profesionálních hledačů chyb VUPEN celé 3 roky držel pod pokličkou nebezpečnou chybu nultého dne v Microsoft Internet Exploreru. VUPEN hledá zranitelnosti v různých široce používaných softwarech a pak je prodá v aukci bezpečnostním agenturám, vládám nebo komukoliv, kdo si (deseti)milionové náklady může dovolit. Zákazníkem VUPENu byla (pravděpodobně stále je) podle Snowdenových dokumentů také NSA. NSA tedy díky VUPENu měla přístup k hodnotným softwarovým chybám (nejen) Microsoftích produktů.

Tato konkrétní chyba umožňuje na zranitelných verzích IE 8, 9, 10 a 11 spustit vzdáleně libovolný kód, útočník tak může například nainstalovat zadní vrátka do systému bez vědomí uživatele. K útoku stačí, aby uživatel navštívil nebezpečnou stránku nebo spustil připravený EXE soubor.

Podle serveru THN VUPEN chybu objevil již 12. února 2011, přičemž Microsoft vydal aktualizaci až letos v červnu. Kdo koupil od VUPENu informace (nebo hotové nástroje), jak chybu zneužít, nikým nedetekován je mohl využít k cíleným útokům na počítačové systémy.

Když to všechno sečteme a přidáme špetku fantazie, NSA žádný backdoor od Microsoftu nepotřebovala. Pohodlně si totiž mohla zařídit svůj (a na více než 3 roky) například na základě informací od VUPENu. Takových chyb klidně může být víc, podobné služby totiž nenabízí jen VUPEN (i když je tato francouzská služba alespoň v Evropě nejznámější) a firma aktuálně fungující kampaně nemusí zveřejňovat.

Pokud přidáme trochu větší porci fantazie, Microsoft o této chybě mohl klidně vědět. Oficiální cestou ji nikdo nezveřejnil, tedy žádný tlak veřejnosti na aktualizaci se nekonal. A nenápadně pozdržet patch už přece není přímá instalace zadních vrátek, ne? :-)

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Technologie a soukromí, jde to dohromady?

• Washington Post: 90 % sledovaných NSA jsou nevinní občané

• Unikátní chatovací program využívá Tor a nezanechá stopy

Díly CDR Security Update SPECIÁL

• Jak jsme přišli o soukromí - IT bezpečnost 2013 - shrnutí a pohled do budoucna

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentizace