Atacurile “zero-day”

Oricat de vigilenti am dori sa fim in privinta securitatii calculatorului, acesta este inca vulnerabil atacurilor cu virusi de ultima ora.

Va updatati programele la zi, detineti un antivirus bun instalat si nu sunteti neglijenti in privinta navigarii pe Internet sau a aplicatiilor pe care le instalati. Insa anul trecut, pe cei care vizitau un blog gazduit de catre HostGator, un furnizor de servicii de top din Florida, browserul calculatorului ii redirectiona catre un site infectat ce exploata o vulnerabilitate intr-o imagine de format mai vechi Microsoft. In cateva secunde, o pleiada de malware le invada sistemul.

Daca patiti ceva asemanator, va puteti numi victima unei exploatari “zero day”- un atac ce refera o vulnerabilitate a unui software si care are loc la un timp la care nu exista nici un patch care sa corecteze problema existenta. Termenul descria initial o vulnerabilitate care era exploatata “in salbaticie” (in afara laboratorului de cercetare) in aceeasi zi in care un patch devenea disponibil pentru ea, nelasand astfel timp personalului IT pentru a interveni inainte sa apara incercari de atac.

Astazi, valoarea exploatarilor de ultima ora pentru hackeri a crescut destul de mult, deoarece acestia pot penetra PC-uri updatate si bine mentinute. Spre exemplu, in decembrie anul trecut, un hacker dorea sa comercializeze o vulnerabilitate nou descoperita intr-o versiune beta a Windows Vista pentru suma de 50 de mii de dolari.

In luna septembrie a anului trecut, SunbeltSoftware a descoperit atacuri impotriva unei vulnerabilitati in grafica Vector Markup Language din Windows. In mai putin de o saptamana, hackerii au infectat mii de site-uri cu imagini virusate, capabile de a se infiltra atunci cand erau accesate de orice utilizator.

Unele aplicatii va infecteaza calculatorul, fortandu-l sa lanseze spam sau sa participe in atacuri de negare a serviciilor, reusind astfel sa  opreasca disponibilitatea unui site.

Datorita optiunilor precum scanarea imbunatatita ce nu se bazeaza pe semnaturi, unele aplicatii de securitate devin mult mai active in protejarea amenintarilor necunoscute. Pe de alta parte, exista o pleiada de programe gratuite si comerciale care ofera protectie activa impotriva atacurilor de ultima ora, limitand puterea distructiva asociata acestora.

Cele mai periculoase varietati de atacuri permit descarcarile ascunse, prin care simpla parcurgere a unei pagini Web infectate sau citirea unui e-mail infectat HTML poate atrage dupa sine o invazie de spyware, cai troieni sau alte tiupuri de aplicatii malitioase.

In cazul atacului HostGator ce implica o problema in imaginea Windows, exploatarea acesteia profita de o vulnerabilitate mult timp nedescoperita, in felul in care Internet Explorer procesa VML, un standard folosit pentru creare de grafica 3D.

Produsele Microsoft precum Internet Explorer, Office sau sistemul de operare al companiei sunt tinte obisnuite ale atacurilor ce refera vulnerabilitati de ultima ora, in mare parte deoarece domina industria software. Insa faptul ca Microsoft nu a reusit in trecut sa integreze securitate in cadrul produselor in dezvoltare a contribuit la etichetarea acestora din urma drept tinte usoare si populare de exploatat. Pe de alta parte, Vista a primit note bune la capitolul securitate

Numai in 2006, au existat patru atacuri ce exploatau vulnerabilitati nou descoperite in Internet Explorer, direct sau indirect. Anul a inceput cu atacuri sustinute ce profitau de o vulnerabilitate descoperita in decembrie 2005 in cadrul formatului de imagine Windows Metafile. Patch-urile lansate de Microsoft nu au pus capat atacurilor, demonstrand faptul ca atacurile “zero-day” pot avea efecte pe termen lung.

Vulnerabilitatea Metafile pionierase¬† atacurile bazate pe descarcarea automata a unor fisiere, metoda preferata de hackeri deoarece victimele nu mai trebuiau sa deschida fisierele infectate pentru a “beneficia” de atac.

In iulie, un banner publicitar pentru Deckoutyourdeck.com si-a gasit loc in site-uri precum MySpace sau Webshots printr-o retea de distributie a spatiului publicitar ce deservea mii de siteuri. Aplicatia malitioasa din spatele bannerului descarca un troian in calculatoarele victimelor, instaland la randul ei adware si spyware. Cercetatorii estimasera ca numarul persoanelor afectate de acest banner se ridicau la cateva milioane.

Atacurile ce au ca tinta suita Office nu pot implica auto-descarcari asociate. Acestea se bazeaza pe convingerea victimei sa acceseze un atasament malitios primit pe e-mail. Iar cand astfel de atacuri sunt orchestrate impotriva unei anumite companii chiar si utilizatorii avizati le deschid accidental.

Trimitand angajatilor unei companii tinta un e-mail care pare a veni de la un coleg sau din alta sura din cadrul companiei, un hacker are o sansa sporita in a convinge utilizatorii sa deschida un document Word atasat, decat daca mesajul ar fi sosit din partea unei persoane aleatoare.

La mijlocul lunii decembrie, Microsoft a confirmat ca Word continea doua astfel de vulnerabilitati, ce puteau fi exploatate pentru a lansa “atacuri foarte limitate”. Compania avertizeaza acum utilizatorii sa tina cont nu doar de atasamentele e-mail-urilor sosite de la utilizatorii necunoscuti cat si la atasamentele nesolicitate primite de la cunoscuti.

Produsele Microsoft ar putea fi cele mai populare tinte ale atacurilor intreprinse de hackeri, insa nu sunt singurele. In ianuarie, un cercetator anuntase descoperirea unei vulnerabilitati in streamingul video al aplicatiei QuickTime, ce permitea unui hacker sa comande eficient calculatorul unei victime. La sfarsitul lui noiembrie 2006, o vulnerabilitate “zero-day” in cadrul Adobe ActiveX introducea un risc similar.

Sporirea numarului de incidente “zero-day” reflecta o crestere majora a numarului anual de vulnerabilitati raportate. In 2006, producatorii de software si cercetatorii catalogasera aproximativ 7247 vulnerabilitati, cu 39% mai mult decat in 2005, potrivit Internet Security Xforce.

Majoritatea acestor bug-uri nu conduc la o exploatare “zero-day”. Companiile software primesc adesea raporte de bug-uri sau probleme intampinate de utilizatori ce conduc la descoperirea unor probleme de securitate. De multe ori sunt emise, astfel, patch-uri inainte ca problemele carora se adreseaza acestea sa fie exploatate de catre hackeri.
Atunci cand alti cercetatori descopera o amenintare, acestia adera la un set de practici, la o conduita etica special conceputa pentru a evita atacurile “zero day”. Acestia contacteaza confidential compania producatoare a aplicatiei in cauza pentru a raporta descoperirile. Compania nu anunta problema pana cand nu a pregatit un patch, rasplatind bineinteles pe cel ce a raportat vulnerabilitatea.

Insa cateodata, cercetatorii frustrati de ritmul scazut al investigatiilor intreprinse de producatorii software-ului, fac detalii publice despre vulnerabilitate.

Unii experti considera aceasta tactica un rau necesar de a forta companiile mai “lenese” de a lansa patch-uri; altii sunt de parere ca este o masura demna de condamnat, de vreme ce ofera in acelasi timp un start si pentru exploatarile hackerilor. Cel mai adesea, dezvaluirile publice ale unor vulnerabilitati conduc la atacuri “zero-day”.
Utilizati aplicatii care verifica integritatea aplicatiilor instalate. Exista mai multe utilitare gratuite in acest scop, Tripwire fiind unul dintre ele. Rulati software nou sau necunoscut intr-un mediu protejat, oferit de software-ul antivirus, prevenind astfel propagarea virusilor. De asemenea, scanati fisierele autorun ale aplicatiilor, acestea pot ascunde uneori surprize neplacute.

Sursa: Pcworld

Leave a Comment

Your email address will not be published. Required fields are marked *