Bekövetkezett az amitől számos biztonsági szakértő tartott: az Zeus botnettel kapcsolatba hozható egyik kártékony program elkezdte kihasználni az elmúlt hetekben nagy port kavart, és az Adobe alkalmazásainak esetében továbbra is javítatlan PDF-sebezhetőséget.

Az elmúlt hetek legjelentősebb biztonsági nehézsége kétségtelenül a PDF-kezelő alkalmazásokkal hozható összefüggésbe. Ennek oka, hogy egy belga kutató nemrégen egy olyan sebezhetőségről számolt be, amely a PDF-formátumot érinti, és különösebb nehézségek nélkül segítheti elő kártékony kódok jogosulatlan futtatását. Mivel a rendellenesség a PDF-formátumra vezethető vissza, ezért nemcsak az Adobe alkalmazásai esetében merültek fel kockázatok, hanem például a Foxit szoftvereinek kapcsán is. A Foxit Reader fejlesztői azonban már kiadtak egy frissítést, így a probléma által jelentett veszélyeket jelentősen csökkentették. Az Adobe azonban még mindig dolgozik a rendellenesség felszámolásán, így az Acrobat valamint a Reader felhasználóinak különös óvatosságra van szükségük a PDF-állományok megtekintésekor.

A biztonsági rendellenesség kihasználásával a támadók a felhasználók megtévesztését követően tetszőleges kódokat futtathatnak le az érintett számítógépeken. Ehhez mindössze azt kell elérniük, hogy a felhasználó megnyisson egy speciálisan összeállított PDF-dokumentumot. A támadók a PDF-állományban elhelyezhetnek olyan bejegyzéseket, amelyek a PDF-olvasót kódok lefuttatására utasítják. Amennyiben az Adobe érintett szoftverei egy ilyen fájlt töltenek be, akkor normális esetben figyelmeztetik a felhasználót, hogy a PDF-állomány futtatható kódot is tartalmaz. A biztonsági hiba kihasználásával azonban pont ennek a figyelmeztető üzenetnek a szövege változtatható meg anélkül, hogy ehhez bármilyen szoftveres sérülékenységet ki kellene használni, vagy speciális kódot kellene beépíteni a dokumentumokba.

A múlt héten már több biztonsági szakember jelezte, hogy az Adobe-nak sürgősen tennie kellene valamit a hiba megszüntetése érdekében, ugyanis az interneten megjelent információk alapján a támadók könnyedén tudják a saját céljaikra fordatani a sebezhetőséget. Az aggodalmak beigazolódtak, ugyanis kiderült, hogy a világ egyik legveszélyesebb botnet hálózatának, a Zeus-nak az üzemeltetői már el is kezdték kiaknázni a PDF-rendellenességben rejlő lehetőségeket. Mindez egyben azt is jelenti, hogy az online alvilág megint egy lépéssel előrébb jár.

A Zeus PDF-állományokkal való ügyeskedésére elsőként a Websense hívta fel a figyelmet. A cég szerint a Zeus trójai egyik variánsa olyan kártékony, PDF-állományok révén terjed, amelyekkel képes kihasználni a PDF-formátummal kapcsolatos rendellenességet. Dan Hubbard, a cég műszaki igazgatója szerint a kártékony PDF-fájlok "Royal_Mail_Delivery_Notice.pdf" néven terjednek, de természetesen a fájlnév bármikor módosulhat. Amennyiben a felhasználó megnyit egy ilyen állományt, akkor egy dialógusablak jelenik meg, amelyben az Adobe szoftverei afelől érdeklődnek, hogy mentésre kerüljön-e a dokumentum. Ha a felhasználó ezt jóváhagyja, akkor tulajdonképpen tudtán kívül engedélyezi a trójai telepítését.

Hubbard is megerősítette, hogy önmagában az nem elegendő, hogy az Adobe alkalmazásai figyelmeztetnek a dokumentum megnyitásakor esetlegesen betöltődő kódokra. Az igazi problémát az jelenti, hogy a vállalati hálózatok esetében az átjárókon nem lehet hatékonyan blokkolni ezeket a PDF-állományokat, hiszen ha mind kiszűrésre kerülne, akkor az komolyabb fennakadásokat okozhatna. A szakember szerint további nehézséget jelent, hogy a felhasználók a PDF-állományokban sokkal jobban megbíznak, mint az egyéb formátumú (például Word) dokumentumokban, így azokat kellő óvatosság nélkül nyitják meg.

Miként csökkenthetők a PDF-rendellenesség kockázatai az Adobe szofvereknél (Reader, Acrobat)

A cég egyelőre azt javasolja a felhasználóknak, hogy az érintett szoftverek beállításaiban tiltsák le a nem PDF formátumú állományok megnyitását. Ez a beállítás alapértelmezetten engedélyezett a Reader és az Acrobat alkalmazásokban. A fájlfuttatás a következők szerint elérhető jelölőnégyzet segítségével tiltható le:

Magyar verzió esetében:
Szerkesztés->Beállítások -> Megbízhatóságkezelő -> "Nem PDF fájlcsatolmányok külső alkalmazással történő megnyitásának engedélyezése"

Angol verzió esetében:
Edit -> Preferences...->Trust Manager->"Allow opening of non-PDF file attachments with external applications"

Valamiért, talán a konkurencia eltüntetése okán a Zeus trójai gyártói bekeményítettek. Vajon miért veszélyes a vírusprogram?

Mai hír:

Bekövetkezett az amitől számos biztonsági szakértő tartott: az Zeus botnettel kapcsolatba hozható egyik kártékony program elkezdte kihasználni az elmúlt hetekben nagy port kavart, és az Adobe alkalmazásainak esetében továbbra is javítatlan PDF-sebezhetőséget.

... és egy régebbi hír (2009.05.13.):

Különös kártevő-incidensre hívta fel a figyelmet egy svájci informatikus.

Áprilisban több mint 100 ezer Windows számítógéppel végeztek a hackerek, állítja Roman Hüssy infobiztonsági kutató.

A svájci fiatalember hosszabb ideje vizsgálja egy Zeus elnevezésű, adat- és jelszólopó trójai kártevőket előállító készlet működését. Ez az illegális webhelyeken 700 dollárért megvásárolható szoftvercsomag igen népszerű a hackerek körében, mert fejlett funkciókkal rendelkezik, miközben kezdők is képesek használni.

Mivel a Zeus trójai üzemeltetése és vezérlése központi webhelyeken keresztül történik, a 21 éves Hüssy létrehozott egy ZeusTracker elnevezésű weblapot, ahol közzéteszi, hogy éppen mely szerverek szolgálják a botnet működését.

Tapasztalatai szerint az ilyen kiszolgálók három fő csoportra oszthatók:

• tisztességes webhelyek, amelyeket feltörtek és saját céljaikra használnak ki a hackerek
• kártevők üzemeltetésére felhasznált ingyenes webtárhely fiókok
• kifejezetten kiberbűnözési céllal létesített webszerverek, amelyeket "bombabiztos" netszolgáltatóknál helyeztek el (ezek a cégek anyagi érdekből segítik a hackereket és a szerzői jogsértések elkövetőit, akadályozzák a hatóságok tevékenységét)

Bár a Zeus vezérlő csomópontok kétharmada az utóbbi kategóriába tartozik, a netszolgáltatók és a hoszting cégek mégis sokat tehetnének a net egészségéért, ha letiltanák a feltört vagy ingyenes, de rossz célra használt webhelyeket. Ez esetben talán megelőzhetők lennének az olyan drámai esetek, mint az áprilisban tapasztalt, főleg lengyel és spanyol gépeket sújtó "kivégzéshullám".

Magával rántja a gépet a pusztulásba

Roman Hüssy egy Zeus szerverről kapott 155GB-os adatcsomag átvizsgálása során figyelt fel arra, hogy a százezres fertőzött zombi gépsereg felett rendelkező csomópont mind az öt vezérlő-csatornáján kiadta a Kill OS parancsot, amely az operációs rendszer "meggyilkolására" utasítja a Zeus trójai programot.

Ez a képesség néhány más banki kártevőben (Ambler, Infostealer, Zbot) is megtalálható, a gyakorlatban azonban ritkán használják a hackerek, mert ezzel a lépéssel maguk alatt vágják a fát: a rendszerleíró adatbázis (registry) HKLM és HKCU ágainak törlése után nem csak a gép válik használhatatlanná, de az ott futó fertőzéseket sem tudják többé kihasználni a támadók.

Egyelőre nem tudni, hogy a Zeus üzemeltetői miért nyomták meg az "atomgombot" - Hüssy úgy sejti, hogy a botnet vezérlését rivális vírusterjesztők kaparinthatták meg, akik ilyen módon szabotálják a versenytársaik tevékenységét. Az is lehetséges, hogy a Zeus felületet kezelő személy egyszerűen nem tudta, hogy mit csinál - ezt a pénzért készen megvehető keretprogramot sok képzetlen hacker használja.

Jozsef Gegeny a spanyol bankok informatikai védelmével foglalkozó S21 cég képviseletében egy alternatív elmélettel állt elő: szerinte adathalászok szándékosan utasították tömeges öngyilkosságra a fertőzött gépeket, hogy időt nyerjenek a lopott személyes azonosítókkal és belépési kódokkal végrehajtott visszaélésekre.

Amíg a felhasználó az újratelepítés nélkül alig kiküszöbölhető, indítás közben jelentkező Windows kékhalál képernyőkkel bajlódik, áldozattá válhat - a kiberbűnözők elemelhetik a pénzét vagy csalárd tranzakciókat hajthatnak végre a nevében.

Nehéz helyzetbe kerülhetnek a felhasználók

A problémát súlyosbítja, hogy sok márkás géphez ma már nem jár a rendszerszoftvert is tartalmazó lemez. Az előtelepített (OEM) Windows változatot szállító gyártók a vásárlóra bízzák, hogy létrehozza ezt a DVD-t a gép üzembe helyezése során - sok felhasználó azonban felkészületlensége miatt kihagyja ezt a lépést, így rendszer-összeomlás esetén nincs eszköze a helyreállításhoz.

A kiberbűnözők maguk is akadályozzák az áldozatok tájékozódását, segítségkérését: a ZeusTracker portált tavaly többször érte hálózati elárasztásos, ún. DDoS-támadás, idén május elején pedig Brian Krebs szakújságírónak adott interjúja nyomán kezdték újra csomagokkal bombázni Roman Hüssy weblapját a botmesterek.

A 21 éves infobiztonsági kutatót a való életben is érte már komolyabb fenyegetés a munkája miatt: 2008. augusztusában rendőrök ébresztették a lakásán, hogy az állapotáról érdeklődjenek - a nevével visszaélő hackerek ugyanis hamis búcsúlevelet juttattak el több százezer svájci címre.

Tudatlanság és érdekellentétek akadályozzák a fellépést

Az ilyen elvetemült kiberbűnözői csoportokkal szemben nagyobb összefogásra lenne szükség, sokszor azonban a feltört webhelyek üzemeltetői saját üzleti érdekeik miatt nem állítják le a szervereiket, hanem működés közben igyekeznek úgy-ahogy megtisztítani a gépet a Zeusz trójai hálózatot irányító ártó kódoktól és a lemezen felhalmozott lopott adatoktól.

Ez nem egyszerű feladat, mert az RSA Lab elemzése szerint az orosz Rock Phish banda által terjesztett Zeus trójai szinte minden telepítéskor változtatja a formáját, hogy megnehezítse a felismerést. A kártevőhöz tartozó fájlok titkosított formában találhatók a lemezen, így a tartalmuk értelmetlennek tűnik mindazok számára, akik nem rendelkeznek a kicsomagolást engedélyező jelszóval.

Egy szerencsés példa

John Natoli, egy New Jersey-i webgrafikus például nem is tudott arról, hogy kisvállalkozásának szervere Zeus botnetet irányít - a merevlemezen megjelenő furcsa fájlokra már egy hónapja felfigyelt, de hiába törölte le azokat, a helyükön mindig újabb állományok keletkeztek.

A művészt végül a Zeus cikk kapcsán érdeklődő Brian Krebs újságíró tájékoztatta arról, hogy milyen fertőzés van a szerverén és a netszolgáltató segítségével sikerült is megtisztítani a gépet. Az ilyen szerencsés kimenetelű esetek azonban inkább kivételnek tekinthetők - a mintegy 400 aktív Zeus-vezérlő géppel, illetve a más módon fertőzött webszerverek tízezreivel és az otthoni PC-k millióival gyakran hosszú ideig senki sem foglalkozik.

- Abuse.CH, Washington Post nyomán -

A banki szolgáltatásokra specializálódott Trusteer biztonsági szolgáltató cég figyelmeztetése:

A Zeus névre hallgató trójai - mely kifejezetten bizalmas banki adatokat gyűjt össze - minden eddiginél alattomosabb változata jelent meg a piacon.

A cég jelentése szerint minden háromezredik gépen - az általa ellenőrzött 5,5 millió számítógépből az USA-ban, illetve Nagy-Britanniában - megtalálták a Zeus 1.6-os trójait, amely bármely gépet képes megfertőzni, melyen Firefox-ot, vagy Internet Explorert használnak.

A titkos banki adatok megszerzéséhez elegendő egy megfelelő kémprogrammal megfertőzni a számítógépet, ahonnan a kiszemelt áldozat bejelentkezik az internetes banki felületre. A kártevő ezt követően valós időben él vissza áldozata adataival.

A vírus terjesztéséhez olyan cégek, illetve szervezetek nevében küldözgettek már spameket, mint például a Microsoft, a MySpace, a Facebook, de egyes állami intézmények, köztük például az amerikai adóhatóság nevét is felhasználták, mondván egy ilyen szervezettől érkező levélre biztosan kevesen gyanakodnak.

A levelekben megtalálható linkre való kattintást követően egy látszólag teljesen üres weboldal jelenik meg, azonban a háttérben a trójai letöltődik a számítógépre. Ezt követően különösebb felhasználói közreműködés nélkül feltelepül a gépre.

A trójai legújabb változata ráadásul arra is képes, hogy azonnali üzenetküldő funkciók segítségével értesítse a támadót az értékes adatok megszerzéséről, így az akár másodperceken belül felhasználhatja a megszerzett adatokat, magyarul miközben megbízásokat adunk bankunk számára, a Zeus segítségével távolról kitakarítják a számlánkat.

A Trusteer tavaly nyáron felmérte az antivírus programok hatékonyságát a kártevővel szemben. Annak a valószínűségét, hogy a Zeus egy gépet megfertőzzön, egy naprakész adatbázisú vírusvédelmi szoftver csupán 23%-kal csökkenti.

A cég arra számít, hogy a "Zeus legújabb verziója jelentősen megnöveli majd a csalások számát, miután egyre többen bankolnak interneten, ráadásul 30 százalékuk Firefox-ot használva" - adja hírül a BBC.

Elgondolkodtató

Az Av-Test.org egyik, 2009 végén készített felmérése szerint a felhasználók 78 százaléka nem rendelkezik megfelelően frissített vírusvédelemmel, aktív tűzfallal valamint kémprogram-védelemmel. 48 százalékuk pedig lejárt antivírus szoftvert futtat a számítógépén.

(forrás: biztonsagportal.hu, protokoll-etikett.hu, penzcentrum.hu)