Szkodnik infekuje komputer, odczytuje zapisane hasła a następnie logując się za pośrednictwem FTP, modyfikuje serwis, wstrzykując złośliwy kod. Taki kod może przekierowywać na strony z innym  wirusem, jak to miało miejsce w przypadku serwisu pajacyk.pl. Jedynym zabezpieczeniem, przed takim zagrożeniem, jest unikanie zapisywania haseł w klientach FTP.

Zachęcamy do wyczyszczenia wszystkich przechowywanych haseł i wpisywania ich za każdym razem z klawiatury, dobrym pomysłem jest także program antywirusowy z aktualną bazą sygnatur. Sprzymierzeńcem w walce z tym procederem jest wyszukiwarka Google, która po wykryciu niebezpiecznej zawartości serwisu, ostrzega odwiedzających. Niestety wyszukiwarka nie zareaguje natychmiast, musi upłynąć trochę czasu zanim ponownie na stronie zagości pająk indeksujący.

FTPS to nic innego jak szyfrowany protokół FTP, posiadając klienta z obsługą TLS, połączenia automatycznie będą szyfrowane. Jeszcze lepszą informacją jest uruchomienie protokołu SFTP, który jest oparty o SSH. Dzięki temu, że nie ma nic wspólnego z FTP, znikają problemy, które były zawsze z nim związane: ze  ścianami ogniowymi i translacją adresów (SNAT). Dodatkowo, SFTP zapewnia prawidłową obsługę uprawnień uniksowych i kompresję danych.

• klienty dla MS Windows:  FTPS jest dostępne w wielu komercyjnych klientach FTP, dostępne jest także w popularnych programie Total Commander po dodaniu bibliotek OpenSSL.  FTPS jest dostępny w programie WinSCP.

• klienty dla rodziny Uniksa: FTPS obsługuje program lftp, zaś SFTP: sftp, gFTP i ważniejsze menadżery plików.

• znajomość zagadnień bezpieczeństwa danych jest zatrważająco niski
• istnieje spory popyt na tego rodzaju towar

Jeśli jest popyt, to pojawia się podaż, ułatwiana przez samych użytkowników Sieci. Nic zatem nie wskazuje na poprawę sytuacji w najbliższym czasie.

Do analizy konieczny będzie program typu sniffer, tu dochodzimy jednak do sytuacji kuriozalnej. Dla MS Windows jest dostępnych cała gama programów tego typu, ciężko jednak znaleźć aplikację małą, prostą, mimo plagi jaką stanowią robaki rozsyłające spam. Z tego powodu zdecydowałem się na zastosowanie w przykładach programu tcpdump (doskonale znanego w środowisku UNIX) w wersji dla Windows. Aby nie męczyć Was instalacją biblioteki PCAP, postanowiłem skorzystać z demonstracyjnej wersji programu MicroOLAP TCPDUMP for Windows, zamiast darmowego WinDump.

• pobieramy program jako archiwum i rozpakowujemy np. do katalogu td na dysku C:
• otwieramy Tryb MSDOS z menu dostępnego po kliknięciu przycisku Start, po tym pojawi nam się czarny ekran do wpisywania poleceń.
• wpisujemy polecenie za pomocą którego wchodzimy do utworzonego katalogu katalogu: C:> cd c:\td

Zanim rozpoczniemy analizę pakietów musimy wyłączyć wszystkie programy związane pocztą elektroniczną, by nie wprowadzały zamieszania. Możemy teraz zacząć analizę, w tym celu wpisujemy polecenie nakazujące śledzenie ruchu kierowanego na port 25 (używanego do wysyłania poczty):

C:\td> tcpdump.exe -q dst port 25

Teraz pozostaje nam czekać, możemy w spokoju zostawić komputer na godzinę lub dłużej i obserwować. W przypadku zainfekowanych maszyn od razu widać efekt: każdy pakiet wysłany na port 25 będzie sygnalizowane wypisaniem na ekran jednego wiersza komunikatu. Na poniższym wydruku widać przykładowe komunikaty (o trzech wysłanych pakietach):

18:33:00.054277 IP 10.1.168.1.15498 > foo.bar.pl.25: tcp 0
18:33:00.054947 IP 10.1.168.1.15498 > foo.bar.pl.25: tcp 45
18:33:00.052441 IP 10.1.168.1.15498 > foo.bar.pl.25: tcp 0

W przypadku maszyn spamerskich możemy otrzymywać takie wiersze wiele razy w ciągu sekundy. Za maszynę niezainfekowaną można uznać taką, na której przez powiedzmy godzinę nie pojawi się ani jeden wpis.

Wasi spamowi sktytożercy z Internet Center Polska

Udostępniony został także formularz do zgłaszania witryn, które padły ofiarą działań crackerów.

O ile waszemu życiu nie zagraża niebezpieczeństwo z tego powodu, o tyle możecie trafić na czarne listy listy RBL-i i skutecznie odciąć się od serwerów poczty. Zapewne bagatelizujecie problem, sądząc że wasz komputer jest “czysty” – nic bardziej naiwnego, szacuje się, że co piąty komputer jest zainfekowany jakimś złośliwym programem.

Kilka tygodni temu jeden z naszych klientów zgłosił problem z wysyłaniem poczty, okazało się, że adres IP ich firmy trafił na naszą automatyczną czarną listę. Analiza dzienników serwera wykazała, że jeden z komputerów w ich sieci próbował wykonać 35 tysięcy wysyłek w przeciągu pięciu dni roboczych. Zakładając, że komputer działał bez przerwy to statystycznie próbował wysłać jedną wiadomość co ok. 12 sekund. Klient poinformował nas, że komputer nie był włączony całą dobę, więc na pewno tempo wysyłania było większe. Doświadczenie pokazuje, że zainfekowany komputer może próbować wysłać spam nawet co 1-2 sekundy.

Jeśli czujesz, że sieć nie jest tak szybka jak kiedyś, twój komputer ostatnio działa wolniej, to możliwe że jest zawirusowany. O tym jak diagnozować, czy wasz komputer wysyła spam, opowiemy w kolejnym odcinku.

Wasi spamowi sktytożercy z Internet Center Polska

Sklep nie jest ani piękny, ani funkcjonalny ale działa i przynosi dochód. Czy można nazwać to udaną inwestycją? Mam zamiar udowodnić, że nie zawsze.

• Projekt graficzny takiej aplikacji bywa do zaakceptowania, często jednak bardziej odstrasza klientów. Dzisiejsza notka dotyczy bezpieczeństwa, dlatego darujemy sobie rozwijanie tego punktu.
• Projekt zostaje oparty o produkt nie do końca zweryfikowany jako bezpieczny. Za 1000zł żaden student nie będzie zawracał sobie głowy wyborem naprawdę dobrego produktu.
• Zleceniodawca nie zdaje sobie sprawy z tego, że jego aplikacja internetowa wymaga aktualizacji przynajmniej raz do roku. Jeśli nastąpi naruszenie bezpieczeństwa po dwóch latach, to szansa że nasz biznesmen odnajdzie owego studenta są niewielkie.

Zagrożenia

• wykradanie danych personalnych
• złośliwe modyfikowanie baz danych i kompromitowanie podmiotów
• rozsyłka spamu
• ataki DoS/DDoS

Śledzenie błędów

Większość ludzi nie nie zdaje sobie sprawy, że od dawna prężnie działają jednostki służące śledzeniu i rejestrowaniu błędów bezpieczeństwa w aplikacjach (zwane potocznie jako bugtraq). Są to miejsca gdzie publikowane są ostrzeżenia o lukach w bezpieczeństwie i porady dotyczące ich usuwania. Do najbardziej znanych serwisów tego typu można zaliczyć serwisy securityfocus.com czy secunia.com, codziennie publikuje się tam od kilkunastu do kilkudziesięciu zgłoszeń dotyczących najróżniejszych programów.

Sprawdzenie konkretnej aplikacji nie jest skomplikowane, pokażę to na przykładzie serwisu secunia.com i aplikacji phpMyAdmin. W wyszukiwarce po prawej wpisujemy nazwę programu i naszym oczom ukazuje się lista znalezionych “dziur”, jak widzimy znaleziono ponad 40 luk na przestrzeni kilku lat. Trudno powiedzieć czy dana liczna to dużo czy mało, jednak nie jest to najistotniejsze. Jak zwykle diabeł tkwi w szczegółach, wystarczy że wybierzemy dowolną z luk i przyjrzymy kilku informacjom:

• Critical – wskazuje nam jak groźna jest luka w pięciostopniowej skali
• Solution Status – wskazuje jak problem jest rozwiązywany, wartość Vendor Patch oznacza poprawkę stworzoną przez twórców programu jeszcze przed publikacją luki, co bardzo dobrze o nich świadczy. Dużo gorzej jest w przypadku wartości Unpatched (niezałatane).
• Solution – tu znajdziemy wskazówki konieczne do “załatania dziury”, w przypadku statusu Vendor Patch będzie tu wskazówka aktualizacji do wskazanej wersji np. Update to version 2.8.1. W przypadku statusu Unpatched możemy liczyć się ze wskazówką Edit the source code to ensure that input is properly sanitised – czyli napraw sobie sam (tylko aplikacje o otwartych źródłach).

Przeglądając kolejne luki możemy dowiedzieć się czegoś o aplikacji i wkładanego wysiłku w jej rozwój. Chciałbym podkreślić, że nie ma programów bez błędów, to że jakaś aplikacja ma bardzo mało zgłoszeń lub nie ma ich wcale, nie oznacza że programiści mają jakieś nadzwyczajne umiejętności. Oznacza to, że błędy nie zostały znalezione lub aplikacja jest bardzo rzadko używana. Najistotniejsze są statusy zgłoszeń, im mniej znaleziono błędów ze statusem Unpatched tym lepiej, aplikacje które mają ich dużo, należy omijać szerokim łukiem.

Gotowa aplikacja czy dedykowana?

Decydując się na gotowe rozwiązanie, oprócz dużej oszczędności pieniędzy i czasu musimy się pogodzić z niebezpieczeństwem ataku, dlatego warto skonsultować ze zleceniodawcą jaki projekt będzie podstawą do stworzenia waszej aplikacji biznesowej. Śledzenie serwisów typu bugtraq pozwala na szybką reakcję w razie odkrycia luki ale czasami jednak możemy nie zdążyć z aktualizacją na czas. W sieci działają roboty, masowo przeszukujące strony internetowe w poszukiwaniu dziurawych serwisów i wykorzystania ich do celów niezbyt zgodnych z prawem.

Jeśli wybierzemy aplikację dedykowaną mamy ten komfort psychiczny, że nasz serwis raczej nie stanie się ofiarą działania automatu. Tak stworzony serwis jest też bardziej odporny na próby włamania przez człowieka, gdyż luki musi sam odnaleźć – istnieje bardzo małe prawdopodobieństwo że znajdą się w sieci. Z drugiej strony z dedykowanymi aplikacjami jest tego rodzaju problem, że w zasadzie tylko autor może sprawnie dokonać większej przeróbki w aplikacji.

Podsumowanie

Jak widać nie ma idealnego sposobu na zapewnienie bezpieczeństwa serwisu, ale jedno jest pewne, wybrane rozwiązanie musi pozwolić załatać lukę na czas. Aplikację, która przynosi dochody, należy objąć szczególną troską, inaczej najbardziej przysłużycie twórcom botnetów.

Zastanówcie się co by było gdyby z waszego sklepu zniknęły wszystkie artykuły, produkty miały losowo zmienione ceny, gdyby zapukała do was Policja w sprawie wycieku danych osobowych, czy też was serwer znalazł się na czarnych listach RBL za wysyłanie spamu? Nikogo nie dziwią okresowe przeglądy stanu technicznego samochodów, kserokopiarek, klimatyzacji, może czas się zastanowić co z bezpieczeństwem aplikacji internetowych?

Wasi niezmordowani orędownicy bezpieczeństwa z Internet Center Polska

Kilka lat temu dostałem od kolegi e-mail, wysłany ze skrzynki służbowej, do którego serwer dołączył stopkę z tajemniczym komunikatem. W jego treści było o “poufności korespondencji”, “tajemnicy firmowej” i prośba o nie udostępnianie dalej treści wiadomości. Co więcej, zamieszczono prośbę zgłoszenia otrzymania takiego e-maila firmie. Jak się okazało kolega nic nie wiedział o “doklejaniu” jakiejkolwiek treści co każe sugerować, że otrzymują ja tylko e-maile opuszczające serwer firmy.

Z czasem zapomniałem o opisanym zjawisku, jednak całkiem niedawno otrzymałem e-mail z bardzo podobną stopką od zupełnie innej firmy. Można więc założyć, że nie jest to rzadkie zjawisko, zastanawia tylko co chcieli uzyskać pomysłodawcy.

Podsumujmy – jest firma, która nie chce by jej tajemnice wpadły w niepowołane ręce: konkurencji lub speców od szpiegostwa gospodarczego. Zdumiewająca jest ich koncepcja zapewnienia poufności korespondencji, dlatego poniżej przedstawiłem dwa możliwe scenariusze otrzymania poufnej wiadomości, wysłanej przez pomyłkę w adresie odbiorcy:

• zwykła, postronna osoba: po przeczytaniu kilku linijek wiadomość trafia do śmietnika, od razu widać że to pomyłka.
• zły chłopiec: z rosnącym entuzjazmem czyta całą wiadomość, a następnie dociera do groźnie brzmiącej stopki. Cały pomysł sprzedania tajnych informacji na czarnym rynku spalił na panewce. Nasz czarny charakter ze łzami w oczach kasuje wiadomość i skruszony dzwoni do nadawcy.

Musicie przyznać, że taka stopka jest świetnym zabezpieczeniem komunikacji w firmie. Można łatwo i tanio zastosować takie rozwiązanie i nie trzeba się męczyć z szyfrowaniem SSL/TLS, wirtualnymi sieciami prywatnymi (VPN), czy tym przereklamowanym PGP.

Ci niepełnosprytni, którzy wpadają na takie pomysły nie zdają sobie sprawy, że mogą uzyskać efekt odwrotny do zamierzanego. Wyobraźmy sobie, że przypadkowy odbiorca dochodzi do wniosku, że firma X ma cenne informacje, ale jednocześnie nie stosuje żadnych poważnych sposobów ich ochrony. To może zachęcić do zdobycia większych ich ilości i sprzedania konkurencji, może się bowiem okazać że będzie to łatwe jak zabranie dziecku lizaka.

Wasi ironiczni administratorzy z Internet Center Polska