Kaspersky Lab: szkodliwe programy II kw. 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy IV 2012

Backdoor ten wykonuje wiele funkcji, głównie jednak umożliwia szkodliwym użytkownikom uzyskiwanie plików z zainfekowanej maszyny. Dane konfiguracyjne z serwerów kontroli są szyfrowane przy pomocy dość prostej metody, która pozwoliła nam stwierdzić, że centrum kontroli jest zlokalizowane w Chinach.

Produkty firmy Apple są dość popularne wśród wielu wpływowych postaci ze świata polityki oraz znanych biznesmenów, a informacje przechowywane na urządzeniach tych osób są interesujące dla określonej kategorii szkodliwych użytkowników. To oznacza, że ataki APT na użytkowników komputerów Mac nadal będą przeprowadzane. Ewolucja ataków ukierunkowanych mogłaby doprowadzić do powstania zagrożeń wieloplatformowych, które będą posiadały podobny kod i będą działały na kilku najpopularniejszych systemach operacyjnych.

Wyciek danych i haseł z portalu LinkedIn

W II kwartale tego roku w mediach pojawiły się informacje dotyczące wycieku baz zawierających hasła z kilku znanych serwisów internetowych. Jedna z największych rewelacji dotyczyła upublicznienia części bazy danych (6,5 miliona zahashowanych haseł) popularnego portalu społecznościowego LinkedIn. 6 czerwca, dzień po opublikowaniu danych, firma potwierdziła wyciek i poinformowała, że w wyniku szybkiej reakcji opublikowane hasła zostały zawieszone i użytkownicy muszą stworzyć nowe.

Niestety, zanim informacje te zostały opublikowane, ponad połowa haseł została już pobrana z bazy danych. W jaki sposób udało się dokonać tego tak szybko? Duże znaczenie ma tu fakt, że LinkedIn, z jakiegoś powodu, przechowywał swoje hashe bez tak zwanego ciągu zaburzającego (ang. salting) – czyli dodawania losowych bitów do źródłowego hasła przed hashowaniem. Ponieważ technologia ta nie została użyta, hash SHA-1 został bardzo szybko odnaleziony poprzez skanowanie z wcześniej obliczonymi hashami z popularnych haseł ze słowników. Innym czynnikiem, który przyczynił się do tak szybkiego uzyskania haseł, jest fakt, że ponad połowa z nich była bardzo prosta, co ułatwiło ich złamanie. Po tym incydencie LinkedIn poinformował, że od tej pory będzie wykorzystywał zarówno hashowanie jak i ciąg zaburzający w celu przechowywania haseł.

Aby nie stać się ofiarą podobnego ataku, użytkownicy powinni przede wszystkim stosować długie, złożone hasła, które są trudniejsze do złamania. Trzeba również pamiętać, że wykorzystywanie tego samego hasła dla różnych serwisów znacząco zwiększa zakres potencjalnych szkód w przypadku włamania się do jednego konta.

Kaspersky Lab zaleca również, aby administratorzy stron internetowych wykorzystywali podczas przechowywania haseł przynajmniej hashowanie oraz ciąg zaburzający. Niezależnie od tego warto pamiętać, że stosowanie bezpiecznych algorytmów hashowania (takich jak SHA-1 czy MD5) oraz soli w przypadku systemów generujących GPU podczas skanowania haseł nie zawsze oznacza pełną ochronę przed atakami hakerskimi. Bardziej niezawodnym rozwiązaniem jest wykorzystywanie algorytmów, takich jak PBKDF2 (Password-Based Key Derivation Function 2) czy bcrypt, które nie tylko domyślnie wykorzystują ciąg zaburzający, ale również pomagają spowolnić proces skanowania haseł.

Flame – ciąg dalszy sagi o oprogramowaniu szpiegującym

Największym incydentem w ostatnim czasie związanym z oprogramowaniem spyware było wykrycie robaka Flame.

International Telecommunication Union poprosił Kaspersky Lab o pomoc w poszukiwaniu nieznanego szkodliwego programu, który usuwał poufne dane z komputerów zlokalizowanych na Bliskim Wschodzie. W czasie tej operacji Kaspersky Lab wykrył nowy szkodliwy program, który otrzymał nazwę Worm.Win32.Flame.

Chociaż główna funkcja Flame’a różni się od znanych cyberbroni, takich jak Duqu czy Stuxnet, wszystkie te szkodliwe programy mają wiele wspólnego: rozkład geograficzny ataków oraz określony cel połączony z wykorzystywaniem konkretnych luk w zabezpieczeniu oprogramowania. To pozwala uplasować Flame’a wśród innych cybernetycznych superbroni stosowanych na Bliskim Wschodzie przez nieznanych szkodliwych użytkowników.