Uwaga, ryzyko infekcji

W ostatnich latach świadomość zagrożeń związanych z aktywnością hakerów znacznie wzrosła i wielu użytkowników komputerów dobrze zabezpiecza swoje maszyny, dlatego hakerzy szukają coraz to nowych, nietypowych sposobów, żeby ominąć stawiane im przeszkody – wykorzystują do ataku na przykład kabel łączący smartfon z ładowarką czy firmware pendrive'a. Chociaż ich główną bronią wciąż pozostają klasyczne metody, takie jak phishing, zostały one doprowadzone do perfekcji. W tym artykule przyglądamy się najbardziej zdradliwym technikom hakerów, typowym zagrożeniom w Sieci, sposobom na przejęcie kontroli nad smartfonem oraz metodom, za pomocą których cyberprzestępcy mogą wedrzeć się do systemu operacyjnego za pośrednictwem urządzeń peryferyjnych.

Desktop

Dwa spośród słabych ogniw najchętniej wykorzystywanych przez sieciowych agresorów stanowią Windows oraz oprogramowanie niezależnych producentów. Konieczność ich regularnego aktualizowania nie budzi już niczyjego zdziwienia, ale czasem nie jest to takie łatwe. Zdarza się, że program fabrycznie zainstalowany w notebooku całkowicie blokuje uaktualnienia systemu, a niekiedy po prostu nie mamy możliwości zmiany starej wersji aplikacji na nową od razu, kiedy ta zostaje udostępniona. Mimo to nie jesteśmy bezbronni.
Luki w zabezpieczeniach Windows
Za informacje o lukach typu zero-day – czyli takich, które nie zostały jeszcze zamknięte przez producenta – w zabezpieczeniach Windows na czarnym rynku można dostać setki tysięcy dolarów. Nie bez powodu: stanowią one dla atakujących niezawodne furtki do systemu. Na szczęście luki tego rodzaju są odkrywane stosunkowo rzadko. Jeżeli jednak system naszego komputera nie jest regularnie aktualizowany, hakerzy są w stanie uzyskać do niego dostęp również przez luki, które są znane od dawna i nie powinny już stanowić zagrożenia. Upewnijmy się, że usługa Windows Update jest aktywna: otwórzmy Panel sterowania, przejdźmy do »System i zabezpieczenia | Windows Update | Włącz lub wyłącz automatyczne aktualizowanie« i sprawdźmy czy w polu »Aktualizacje ważne« jest wybrana opcja »Zainstaluj aktualizacje automatycznie (zalecane)«. Jeśli nie, być może funkcję aktualizacji blokuje jakiś program. Przykładowo Samsung uniemożliwiał aktualizowanie systemu niektórych notebooków, żeby zapobiec nadpisaniu sterowników. Później firma wycofała się z tego ryzykownego rozwiązania.
Niezależne programy
Obok komponentów systemowych na celowniku hakerów znajdują się przede wszystkim popularne aplikacje niezależnych producentów, na przykład odtwarzacz multimedialny VLC. Powód jest prosty: wiele niezależnych programów nie ma funkcji automatycznej aktualizacji, dlatego na wielu urządzeniach działają ich przestarzałe wersje. Wyszukiwanie i instalowanie aktualizacji oprogramowania ułatwiają narzędzia takie jak Secunia PSI (secunia.com/vulnerability_scanning/personal/), analizujące wszystkie zainstalowane programy.
Luki w Mac OS-ie

Użytkowników Mac OS-u – desktopowego systemu Apple’a – ma chronić przed atakami hakerów prosty mechanizm: z założenia mają oni pobierać oprogramowanie wyłącznie z repozytorium Mac App Store, w którym wszystkie dostępne aplikacje są uprzednio testowane i sprawdzane pod kątem bezpieczeństwa. Sześciu badaczy z Indiana University, Uniwersytetu w Pekinie oraz Georgia Institute of Technology wykazało jednak, że nawet w kontrolowanym sklepie z appami można znaleźć szkodliwe programy. Udało się umieścić w nim na przykład testowe narzędzie TrackMix2, które odczytywało hasła zapisane w komputerze ofiary. W tym celu program śledził komunikację między innymi aplikacjami, na przykład przeglądarką Chrome a sejfem gromadzącym hasła. W rezultacie, kiedy użytkownik logował się na Facebooku za pomocą Chrome’a, podawał tam swoje dane dostępowe i zapisywał je w systemie, szkodnik był w stanie je odczytać i przesłać do serwera swojego twórcy. W takim przypadku jedynym sposobem obrony jest instalacja najnowszej wersji Mac OS-u z poprawionymi zabezpieczeniami.

Przeglądarki Internetowe

Producenci najpopularniejszych przeglądarek publikują ich nowe wersje już niemal co tydzień. Ich celem nie jest tylko dodawanie nowych funkcji, ale również wprowadzanie ważnych poprawek dotyczących zabezpieczeń. Mimo podobnych cykli wydawniczych między przeglądarkami istnieją jednak duże różnice w kwestii bezpieczeństwa.
Java/Flash
W ostatnim czasie zostało opublikowanych kilka ważnych aktualizacji zabezpieczeń Flasha. Zainstalujmy je, jeśli faktycznie używamy tego rozszerzenia. W praktyce ani Flash, ani wtyczka Java nie są już wykorzystywane tak często jak dawniej, gdyż większość nowoczesnych stron internetowych używa zamiast tego komponentów HTML5, które aktualne wersje przeglądarek obsługują bez żadnych dodatków. Z tego względu można odinstalować Javę i Flash, a później ewentualnie ponownie zainstalować ich najnowsze wersje, jeśli faktycznie okażą się nam niezbędne. W przypadku Javy trzeba w tym celu otworzyć Panel sterowania i wywołać »Programy i funkcje | Odinstaluj program«. Później znajdźmy na liście wpis »Java«. Usuwanie odtwarzacza Flash nie jest już tak łatwe – najprościej jest wykorzystać do tego narzędzie Flash Player Uninstaller (tinyurl.com/p7wsv42).
Rozszerzenia przeglądarek

Korzystając z dodatkowych narzędzi zwiększających funkcjonalność przeglądarki, regularnie sprawdzajmy dostępność aktualizacji – nieaktualne wersje mogą mieć luki w zabezpieczeniach. Popularne przeglądarki, takie jak Firefox, wyszukują aktualizacje rozszerzeń automatycznie – w przypadku innych trzeba robić to samodzielnie. Warto pamiętać o wyłączaniu bądź usuwaniu nieużywanych rozszerzeń.

Spreparowane witryny

Wirusy nie tylko zagnieżdżają się na podejrzanych stronach, również w wynikach wyszukiwania związanego z codziennym tematem mogą pojawiać się odnośniki do witryn spreparowanych przez hakerów. Często próbują oni namówić użytkownika do pobrania rzekomego programu antywirusowego, strasząc go komunikatami ostrzegawczymi – nigdy nie instalujmy nieznanych narzędzi tego typu. Zdarza się, że szkodliwe aplikacje są pobierane na lokalny dysk niepostrzeżenie metodą drive-by download – wystarczy tylko otworzyć trefną witrynę, żeby szkodnik przeniknął przez lukę w zabezpieczeniach przeglądarki. Aby tego uniknąć, zawsze korzystajmy z aktualnych wersji przeglądarek. Poza tym zwracajmy uwagę, gdzie podajemy swoje dane – przeprowadzając atak typu Cross Site Scripting, haker może przechwycić login i hasło wprowadzone w spreparowanych polach tekstowych.

Bankowość online

Europejscy internauci wciąż nie przykładają dostatecznie dużej wagi do zagrożeń związanych z korzystaniem z e-bankowości. Powód jest prosty: zbyt mało jest osób, które straciły duże pieniądze w wyniku aktywności hakerów. To jednak szybko może się zmienić. Eksperci od zabezpieczeń informatycznych ostrzegają przed falą nowych wirusów wykorzystujących luki w Windows do wykradania danych bankowych – a to jeszcze nie koniec problemów.

Phishing

W Europie pojawił się nowy, groźny szkodnik o nazwie Dyre. Liczba infekcji szybko rośnie, a niemal 40 proc. ofiar pochodzi z naszego kontynentu. Dyre wykrada dane logowania do usług e-bankowości oraz inne informacje o charakterze osobistym. Dysponując nimi, haker może na przykład sprawdzić, jakich kart płatniczych używa ofiara. Infekcja zazwyczaj następuje wskutek ataku z wykorzystaniem phishingu – choć ta metoda jest stara jak świat, wciąż okazuje się skuteczna. Atakujący rozsyłają do internautów wiadomości przypominające te pochodzące od banków. Kiedy internauta otwiera 40-kilobajtowy załącznik, w systemie instaluje się narzędzie Upatre. To szkodnik, który identyfikuje zainstalowane oprogramowanie antywirusowe i próbuje je wyłączyć. W przypadku powodzenia program pobiera z hakerskiego serwera pakiet danych zawierający właściwego wirusa i zaszywa go w systemie.

W podobny sposób działają inne wirusy finansowe, na przykład trojan Dridex – tu zatruty załącznik ma postać dokumentu Worda rzekomo zawierającego rachunek do zapłaty. Ochronę przed szkodnikami tego rodzaju zapewniają tylko porządne programy antywirusowe, pod warunkiem że pamięta się o regularnych aktualizacjach i pobieraniu najnowszych definicji wirusów. Generalnie nigdy nie otwierajmy załączników do wiadomości pochodzących od nadawców, których tożsamość budzi jakiekolwiek wątpliwości.

Kradzież poprzez przelew grupowy

Zazwyczaj metoda autoryzacji przelewów jednorazowymi kodami mTAN skutecznie chroni przed cyberprzestępcami, gdyż kod niezbędny do zatwierdzenia transakcji jest przesyłany inną drogą niż zlecenie przelewu: SMS-em. Pomysłowi hakerzy znaleźli jednak sposób na oszukanie tego systemu. W tym celu muszą jedynie zainstalować w komputerze ofiary wirusa – do zakażenia dochodzi wskutek phishingu bądź ataku drive-by download. Kiedy użytkownik zleca przelew za pośrednictwem strony internetowej banku, wirus niepostrzeżenie przechwytuje i modyfikuje zlecenie, działając w tle. Zmiana polega na zastąpieniu pojedynczego przelewu grupowym, przy czym łączna kwota pozostaje bez zmian: do właściwego odbiorcy przelewany jest na przykład jeden grosz, a cała reszta trafi a na konto hakera. Ponieważ łączna kwota przelewów w SMS-ie z kodem nie budzi zastrzeżeń, ofiara nie nabiera podejrzeń – zwłaszcza że niektóre banki podają w wiadomości jedynie numer konta pierwszego odbiorcy. Klienci innych banków mogą przeczytać, że wysłane zostaną dwa przelewy zamiast jednego, jednak przestępcy liczą na to, że większość z nich szybko przewinie wiadomość do kodu mTAN, nie zwracając uwagi na pozostałe informacje. Przed atakami tego typu uchronimy się w bardzo prosty sposób: dokładnie czytajmy SMS-y z kodami mTAN i zachowajmy czujność, widząc, że chodzi o przelew grupowy.

Odczytywanie kodów mTAN przez kabel do ładowania

Inna droga pozwalająca obejść autoryzację przelewu kodem mTAN wiedzie przez kabel do ładowania łączący telefon z komputerem. Choć brzmi to zaskakująco, atak tego typu jest przerażająco łatwy do przeprowadzenia. Również w tym przypadku haker musi najpierw zainfekować komputer wirusem, który przechwytuje dane logowania do systemów e-bankowości. Później do wykonania przelewu potrzeba jeszcze tylko kodu mTAN przesyłanego w SMS-ie. Kiedy smartfon jest podpięty do komputera z działającym systemem Windows za pomocą kabla USB, wirus może połączyć się z nim i uzyskać dostęp do wiadomości przychodzących. Aby zapobiec atakowi tą metodą, unikajmy ładowania telefonu bezpośrednio z komputera – dotyczy to smartfonów z Androidem, bo na razie tylko one umożliwiają przechwycenie kodu mTAN w opisany sposób. Oprócz tego, kiedy zamierzamy jedynie naładować smartfon, nie zgadzajmy się na transmisję danych między nim a komputerem – stosowny komunikat z pytaniem zwykle pojawia się w Windows bezpośrednio po połączeniu urządzeń ze sobą.

Smartfony

Telefonowanie to tylko jedna z wielu funkcji nowoczesnych smartfonów – używamy ich też do e-zakupów, obsługiwania bankowości online czy prowadzenia korespondencji elektronicznej. Dla hakerów to gratka, gdyż w ich pamięci przechowujemy wiele cennych danych, a w kwestii zabezpieczeń najczęściej zdajemy się na systemowe mechanizmy, w których często istnieją luki

Kradzież haseł w Androidzie

W niektórych appach do Androida wciąż jest zaimplementowane jedynie słabe szyfrowanie, co może

mieć opłakane skutki. Te powiązane z usługami internetowymi wymagają wprowadzenia nazwy użytkownika i hasła. Kiedy takie dane są przesyłane do odpowiedniego serwera bez szyfrowania HTTPS bądź jedynie z użyciem jego przestarzałej wersji, działający w tle wirus może je przechwycić i przekazać hakerowi. Żadna wersja Androida nie ostrzega przed niewystarczająco zabezpieczonymi appami, tymczasem skala problemu nie jest mała. Programy, w których znaleziono luki tego rodzaju – na przykład app sieci pizzerii Pizza Hut – zostały pobrane ze sklepu Play już ponad 200 milionów razy. Problem zdoła rozwiązać jedynie twórca danej aplikacji, a na aktualizacje trzeba niekiedy czekać bardzo długo.

Kradzież haseł w iOS-ie

Wbrew obiegowej opinii iOS również nie jest w pełni zabezpieczony przed przechwyceniem haseł. Udowodnił to niedawno Jan Soucek, wykorzystując lukę w appie Poczta. Odpowiednio spreparowany email otwiera okno z prośbą o podanie nazwy użytkownika i hasła do usługi iCloud. Takie komunikaty nie budzą podejrzeń i są wyświetlane dość często podczas normalnej eksploatacji smartfonu czy tabletu, dlatego nieświadomi użytkownicy bez wahania podają hakerom swoje dane logowania. Zabezpieczenie przed atakami tą metodą pojawiło się dopiero w iOS-ie 8.4.

Peryferia

Chcąc wedrzeć się do sieci odciętej od Internetu, hakerzy wykorzystują do ataku urządzenia peryferyjne. Zdarzało się, że wirusy instalowano w klawiaturach, które niczego nieświadomi pracownicy podłączali później do swoich służbowych komputerów, umożliwiając wykradzenie poufnych danych firmy. Aby przechwycić wszystkie dane przesyłane przez sieć lokalną, hakerowi wystarczy jeden spreparowany pendrive.

Urządzenia podłączane przez USB

W ubiegłym roku wykryto niezamkniętą do dziś lukę w zabezpieczeniach interfejsu USB, która umożliwia rozprzestrzenianie wirusów za pośrednictwem zwykłych pendrive’ów. Pendrive jest wyposażony w pamięć flash, do której dostęp zapewnia firmware oraz kontroler z własnym procesorem. Eksperci od zabezpieczeń znaleźli sposób, żeby rozszerzyć niezabezpieczony firmware o kod własnego autorstwa. Po podłączeniu tak zmodyfikowanego pendrive’a do komputera wspomniany kod jest wykonywany automatycznie, a jeśli służy on niecnym celom, nie ochroni nas przed nim żaden antywirus– narzędzia ochronne mają dostęp jedynie do ogólnej pamięci nośnika, nie zaś do obszaru, w którym jest zapisany firmware. Jakby tego było mało, pendrive może przedstawić się systemowi ofiary jako dowolne urządzenie peryferyjne, jeśli haker w odpowiedni sposób zmodyfikuje tzw. USB ID. Nic nie stoi na przeszkodzie, żeby na przykład podając się za zewnętrzną kartę sieciową, zmienił ustawienia sieci i przekierował wszystkie pakiety przez serwer napastnika. Możliwości obrony przed atakami tego rodzaju są bardzo ograniczone – na rynku są przeznaczone dla firm narzędzia, które na poziomie systemowym blokują podłączanie wybranych rodzajów urządzeń peryferyjnych. Kiedy pendrive zgłasza się jako karta sieciowa, program po prostu go blokuje. Zdaniem ekspertów z firmy Sophos nawet takie zabezpieczenia nie są jednak stuprocentowo pewne.

Oprogramowanie ruterów

W niektórych ruterach, na przykład firm Linksys i TP-Link, da się zainstalować alternatywne oprogramowanie wewnętrzne tworzone nie przez producenta, lecz przez grono niezależnych deweloperów. Taki nieseryjny firmware, np. DD-WRT, pozwala precyzyjnie modyfikować parametry urządzenia, np. moc nadajnika, oraz korzystać z dodatkowych funkcji, których brak w fabrycznym oprogramowaniu. Niestety, w Sieci pojawiają się również trefne wersje alternatywnego firmware’u, w których zaszyto furtki dla hakerów – przestępcy wykorzystują to, że narzędzia tego rodzaju są rozwijane w formule Open Source, i dodają do nich szkodliwy kod. Tym sposobem napastnik może przejąć pełną kontrolę nad ruterem. Często hakerzy zmieniają wówczas ustawienia serwerów DNS. W rezultacie, kiedy próbujemy wywołać znaną i wielokrotnie odwiedzaną witrynę banku, zostajemy przekierowani na stronę phishingową – komputer nie musi nawet zostać zainfekowany wirusem. Aby uniknąć zagrożenia, ufajmy tylko oprogramowaniu dostarczanemu przez producenta rutera, pobranemu bezpośrednio z jego strony. Wiele ruterów ma na stronie konfiguracyjnej opcję aktualizacji, w trakcie której urządzenie automatycznie łączy się z właściwym serwerem.

Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.