Skomentuj:
Aby ocenić zaloguj się lub zarejestrujX
Chińscy włamywacze skorzystali z luk nazywanych "zero-day" - tym mianem określa się błędy, które zostają publicznie ujawnione, zanim producent aplikacji przygotuje uaktualnienie rozwiązujące problem. W tym konkretnym przypadku wykorzystano błędy w Readerze, które hakerzy wykryli już pod koniec listopada 2009 r. (Adobe oficjalnie potwierdził je kilka tygodni później). W skrócie rzecz ujmując: luki w Readerze pozwalały na stworzenie "złośliwych" plików PDF - tzn. takich, których otwarcie powoduje automatyczne uruchomienie i zainstalowanie w systemie szkodliwego programu.
Doskonale zaplanowana operacja
Z pierwszych ustaleń ekspertów ds. bezpieczeństwa wynika, że ataki były doskonale zaplanowane. Ich celem stało się kilkadziesiąt amerykańskich firm - do wybranych pracowników od połowy grudnia ktoś zaczął wysyłać e-maile z załączonymi plikami PDF. Tytuł i treść wiadomości były za każdym razem odpowiednio dobrane - tak, by jej odbiorca był pewien, że e-mail wysłany był tylko do niego i że jest to jakaś standardowa korespondencja biznesowa. Dlatego też większość adresatów bez namysłu otwierała wiadomości - instalując tym samym w swoim systemie złośliwe oprogramowanie. Najprawdopodobniej był to jakiś wyspecjalizowany koń trojański, który po zagnieżdżeniu się w komputerze oczekiwał na polecenia od swojego operatora i mógł posłużyć np. do wykradania danych czy przechwytywania haseł.
Poufne dane na celowniku włamywaczy
Dodajmy, że włamywacze starannie wybrali nie tylko firmy, ale również adresatów - złośliwe wiadomości wysyłano tylko do osób, które mogły mieć dostęp do poufnych firmowych zasobów (np. dokumentów, kodu źródłowego aplikacji itp.). Przedstawiciele Google twierdzą, że w ich przypadku celem włamywaczy były m.in. hasła dostępu do skrzynek pocztowych chińskich działaczy opozycyjnych.
Tezę o tym, że atak przeprowadzono za pośrednictwem luk w Readerze potwierdzili w rozmowie z serwisem CNet.com eksperci z działającego w ramach firmy Verisign zespołu ds. bezpieczeństwa iDefense. Warto dodać, że włamywacze zdołali przeprowadzić atak zanim Adobe oficjalnie potwierdził informację o luce i zasugerował użytkownikom tymczasową metodę zabezpieczenia się (tzn. wyłączenie w aplikacji obsługi skryptów JavaScript).
Błąd był znany od dawna
Na koniec warto dodać, że Adobe wyjątkowo długo zwlekał z załataniem błędu, który wykorzystano podczas ataków - lukę wykryto pod koniec listopada, zaś poprawka pojawiła się dopiero wczoraj. Firma tłumaczy, że zwłoka była efektem wprowadzonej niedawno nowej polityki bezpieczeństwa, która przewiduje, że poprawki są udostępniane cyklicznie, w regularnych odstępach czasu - przedstawiciele Adobe zwracają uwagę, że tak robi m.in. Microsoft. Tyle, że Microsoft już kilkakrotnie publikował łaty poza swoim sztywnym cyklem (gdy okazywało się, że są one wykorzystywane do atakowana internautów) - a Adobe się na to nie zdecydował.
Więcej informacji można znaleźć w oficjalnym blogu Google oraz serwisie CNet.com. Polecamy też tekst: Google grozi wycofaniem się z Chin. Nie chce już cenzury w sieci.
Komentarz Michała Jarskiego, dyrektora regionalnego Check Point Software Technologies w Polsce
Mamy tu do czynienia z sytuacją w pewnym sensie typową dla zagrożeń typu "zero day" - oto nieznana luka, dla której nie ma poprawki, zostaje wykorzystana do zaatakowania nie spodziewającej się tego organizacji. Tyle, że skala ataku jest w tym przypadku znaczna, zaś efekt "marketingowy" wynikający z obnażenia słabości takich firm jak Google - bardzo poważny.
Firmy w zasadzie mają szansę obronić się przed tego typu atakami wyłącznie za pomocą zewnętrznych narzędzi stanowiących swego rodzaju "siatkę ochronną" (jak w cyrku). Mają one wyłapywać niestandardowe zachowania lub struktury danych wykraczające poza zdefiniowane formaty. Systemy klasy IPS zintegrowane z firewallami sieciowymi są w stanie rozpoznać takie sztucznie wykreowane twory i sklasyfikować je jako potencjalny atak (jednocześnie stosownie go blokując). Znakomitym uzupełnieniem będą tutaj systemy wykrywania anomalii bazujących na analizie statystycznej, które działając u operatorów telekomunikacyjnych są w stanie powstrzymać masowe ataki i zdusić wrogą aktywność. Z drugiej strony warto przyjrzeć się również zabezpieczeniom działającym na poziomie systemu operacyjnego, które są w stanie przechwycić wrogi kod próbujący wykonać operacje wykraczające poza uprawnienia użytkownika.
Oczywiście mówimy tutaj o dużej szansie na wykrycie i neutralizację ataku, a nie o 100% bezpieczeństwie, bo takowe nie istnieje.
Co do Readera i Adobe - jakieś 2-3 lata temu "wróżyłem", że luki w tego typu oprogramowaniu niechybnie staną się ulubioną zabawką włamywaczy. Jak to zwykle z wróżbami bywa, trochę rozminęło się to w czasie, ale mamy oto przykład jak niebezpieczne może okazać się tak powszechnie wykorzystywane oprogramowanie. Niebezpieczeństwo wynika z powszechności Readera, trudności w masowej aktualizacji oprogramowania w dużych firmach oraz faktu, że firma Adobe koncentruje się przede wszystkim na nowych funkcjach swojego software'u, a nie na naprawianiu luk w ich zabezpieczeniach. Niedawno doszło nawet do kuriozalnej sytuacji, kiedy Adobe stwierdził, że luka we Flashu (inny produkt, ale problem tej samej kategorii) jest zwyczajnie niemożliwa do naprawienia i zwrócił się do autorów stron WWW o nieco inne (podobno bezpieczniejsze) projektowanie zawartości webowej...
Przesiadka na alternatywne czytniki PDF niewiele tutaj pomoże - może tylko oddalić w czasie sam problem. Użytkownicy np. Foxita mogą tylko liczyć na to, że włamywaczom nie będzie się "opłacało" pracować nad atakami na ten czytnik. Ale przecież nie oznacza to, że luka się nie znajdzie...
Ściągnij Adobe Reader
Czytaj więcej na technologie.gazeta.pl
Doskonale zaplanowana operacja
Z pierwszych ustaleń ekspertów ds. bezpieczeństwa wynika, że ataki były doskonale zaplanowane. Ich celem stało się kilkadziesiąt amerykańskich firm - do wybranych pracowników od połowy grudnia ktoś zaczął wysyłać e-maile z załączonymi plikami PDF. Tytuł i treść wiadomości były za każdym razem odpowiednio dobrane - tak, by jej odbiorca był pewien, że e-mail wysłany był tylko do niego i że jest to jakaś standardowa korespondencja biznesowa. Dlatego też większość adresatów bez namysłu otwierała wiadomości - instalując tym samym w swoim systemie złośliwe oprogramowanie. Najprawdopodobniej był to jakiś wyspecjalizowany koń trojański, który po zagnieżdżeniu się w komputerze oczekiwał na polecenia od swojego operatora i mógł posłużyć np. do wykradania danych czy przechwytywania haseł.
Poufne dane na celowniku włamywaczy
Dodajmy, że włamywacze starannie wybrali nie tylko firmy, ale również adresatów - złośliwe wiadomości wysyłano tylko do osób, które mogły mieć dostęp do poufnych firmowych zasobów (np. dokumentów, kodu źródłowego aplikacji itp.). Przedstawiciele Google twierdzą, że w ich przypadku celem włamywaczy były m.in. hasła dostępu do skrzynek pocztowych chińskich działaczy opozycyjnych.
Tezę o tym, że atak przeprowadzono za pośrednictwem luk w Readerze potwierdzili w rozmowie z serwisem CNet.com eksperci z działającego w ramach firmy Verisign zespołu ds. bezpieczeństwa iDefense. Warto dodać, że włamywacze zdołali przeprowadzić atak zanim Adobe oficjalnie potwierdził informację o luce i zasugerował użytkownikom tymczasową metodę zabezpieczenia się (tzn. wyłączenie w aplikacji obsługi skryptów JavaScript).
Błąd był znany od dawna
Na koniec warto dodać, że Adobe wyjątkowo długo zwlekał z załataniem błędu, który wykorzystano podczas ataków - lukę wykryto pod koniec listopada, zaś poprawka pojawiła się dopiero wczoraj. Firma tłumaczy, że zwłoka była efektem wprowadzonej niedawno nowej polityki bezpieczeństwa, która przewiduje, że poprawki są udostępniane cyklicznie, w regularnych odstępach czasu - przedstawiciele Adobe zwracają uwagę, że tak robi m.in. Microsoft. Tyle, że Microsoft już kilkakrotnie publikował łaty poza swoim sztywnym cyklem (gdy okazywało się, że są one wykorzystywane do atakowana internautów) - a Adobe się na to nie zdecydował.
Więcej informacji można znaleźć w oficjalnym blogu Google oraz serwisie CNet.com. Polecamy też tekst: Google grozi wycofaniem się z Chin. Nie chce już cenzury w sieci.
Komentarz Michała Jarskiego, dyrektora regionalnego Check Point Software Technologies w Polsce
Mamy tu do czynienia z sytuacją w pewnym sensie typową dla zagrożeń typu "zero day" - oto nieznana luka, dla której nie ma poprawki, zostaje wykorzystana do zaatakowania nie spodziewającej się tego organizacji. Tyle, że skala ataku jest w tym przypadku znaczna, zaś efekt "marketingowy" wynikający z obnażenia słabości takich firm jak Google - bardzo poważny.
Firmy w zasadzie mają szansę obronić się przed tego typu atakami wyłącznie za pomocą zewnętrznych narzędzi stanowiących swego rodzaju "siatkę ochronną" (jak w cyrku). Mają one wyłapywać niestandardowe zachowania lub struktury danych wykraczające poza zdefiniowane formaty. Systemy klasy IPS zintegrowane z firewallami sieciowymi są w stanie rozpoznać takie sztucznie wykreowane twory i sklasyfikować je jako potencjalny atak (jednocześnie stosownie go blokując). Znakomitym uzupełnieniem będą tutaj systemy wykrywania anomalii bazujących na analizie statystycznej, które działając u operatorów telekomunikacyjnych są w stanie powstrzymać masowe ataki i zdusić wrogą aktywność. Z drugiej strony warto przyjrzeć się również zabezpieczeniom działającym na poziomie systemu operacyjnego, które są w stanie przechwycić wrogi kod próbujący wykonać operacje wykraczające poza uprawnienia użytkownika.
Oczywiście mówimy tutaj o dużej szansie na wykrycie i neutralizację ataku, a nie o 100% bezpieczeństwie, bo takowe nie istnieje.
Co do Readera i Adobe - jakieś 2-3 lata temu "wróżyłem", że luki w tego typu oprogramowaniu niechybnie staną się ulubioną zabawką włamywaczy. Jak to zwykle z wróżbami bywa, trochę rozminęło się to w czasie, ale mamy oto przykład jak niebezpieczne może okazać się tak powszechnie wykorzystywane oprogramowanie. Niebezpieczeństwo wynika z powszechności Readera, trudności w masowej aktualizacji oprogramowania w dużych firmach oraz faktu, że firma Adobe koncentruje się przede wszystkim na nowych funkcjach swojego software'u, a nie na naprawianiu luk w ich zabezpieczeniach. Niedawno doszło nawet do kuriozalnej sytuacji, kiedy Adobe stwierdził, że luka we Flashu (inny produkt, ale problem tej samej kategorii) jest zwyczajnie niemożliwa do naprawienia i zwrócił się do autorów stron WWW o nieco inne (podobno bezpieczniejsze) projektowanie zawartości webowej...
Przesiadka na alternatywne czytniki PDF niewiele tutaj pomoże - może tylko oddalić w czasie sam problem. Użytkownicy np. Foxita mogą tylko liczyć na to, że włamywaczom nie będzie się "opłacało" pracować nad atakami na ten czytnik. Ale przecież nie oznacza to, że luka się nie znajdzie...
Ściągnij Adobe Reader
Czytaj więcej na technologie.gazeta.pl
