Sophos Naked Security
Securelist
Ars Technica
cyber-secret futurist
bardóczi Tumblarity
I'm, the bookworm
ákos*Blogspotting
bardóczi on
Wordpress
My Quora blog
ákos
Journal
my BestOfAllWorlds profile
Avagy létezik-e biztonságos letöltés? Főleg, ha nehezen beszerezhető anyagokról van szó.
Napjainkban a torrent szolgáltatásokban alap szinten jártas felhasználó csak annyit lát, hogy ha kell neki egy film, egyszerűen felmegy egy nagyobb torrentoldalra, majd rákeres a film címére, ezt követően pedig letölti a filmet kedvenc torrent kliensével.
A némileg tájékozottabb felhasználó már tisztában van vele, hogy vannak olyan peer-to-peer oldalak, amik valamilyen saját torrentkliens telepítését teszik annak feltételévé, hogy tőlük lehessen letölteni, ami persze felveti annak a lehetőségét is, hogy a torrentkliens nem csak letölteni illetve visszatölteni fog, hanem csinál valami teljesen mást is a gépen, mint mondjuk tolja a felhasználó arcába a reklámot. Ráadásul nagyon sok fertőző oldalra mutató hivatkozás a Google TOP 10-jében van.
Inkább a leggyakoribb tüneteket írom le, amit a torrent klienssel együtt települő malware csinálhat
- folyamatosan tolja a reklámod az arcodba, ha tetszik, ha nem
- a böngészők kezdőoldalát átállítja valami számodra érdektelen oldallá, amit nem tudsz visszaállítani
- a te géped szabad erőforrásait fogja a tudtod nélkül bitcoin bányászatra használni akkor is, ha nem is tudsz róla, a géped nincs üresjáratban, te pedig nem érted, hogy miért lassult be a gép
- mindenféle hülye eszköztárakat helyez el a böngészőben, amik szintén leirthatatlanok
- gyakorlatilag bármi más, ami az előzőekből kimaradt, de legalább ennyire idegesítő
Persze ezeket a malware vagy malware-szerű aktivitásokat vagy kiszúrja az antivírus szoftver vagy sem, ha ki is szúrja, könnyen lehet, hogy ha a kártékony programot sikerül eltávolítani, maga a torrent kliens sem lesz működőképes. Ráadásul akármilyen überszuper a vírusirtó, az intelligens malware gondoskodik róla, hogy szépen újratelepítse magát, méghozzá, hogy ne legyen feltűnő, nem is azonnal, hanem egy kis lappangási idő után.
Valóban vannak helyzetek, amikor már annyira romos egy gép, hogy újratelepíteni 
az egészet időtakarékosság szempontjából praktikusabb, mint kigyomlálni mindent, ami nem oda való, abban az esetben, ha a baj nem akkora - vagy nem tűnik olyan nagynak - nincs mese, riasztani kell valami harceddzettebb ismerőst, aki aztán alighanem állhat neki fúrni-faragni a Windows rendszerleíró adatbázisát, könyékig túrni a böngésző, menüből nem elérhető finombeállításai közt, na meg guglizni, hogy egy-egy azonosított kártevőt hogyan lehet leggyorsabban leirtani kézileg - az egyetlen szerencse, hogy ez utóbbi már eléggé gyorsan elérhető. Azért írtam, hogy kézileg, mert olyan malware sem ritka, amelyik malware-eltávolítónak álcázza magát, azaz vírusgyilkolásra nem biztos, hogy a legjobb ötlet telepíteni még valamit, amit a kereső előkelő helyen dob és azt ígéri magáról, hogy eltávolítja, valójában pedig önmaga is vírus. OSX-es esetben pedig még cifrábbak lehetnek a protokollok és bizony ott is vannak nagyon komoly sebezhetőségek, ahogy az a The Register mai cikkéből is kiderül.
A windowsosos után pedig a legnagyobb kockázatnak pedig az elterjedtebb linux-disztrók használók közül az egyszerűbb lelkek vannak kitéve, akik még mindig úgy gondolják, hogy "jinyukszra nyinycsen víjus", ami igazából sosem volt igaz, de bízzunk benne, hogy majd felnőnek egyszer. A vírus és malware fogalmakat ugye rokonértelműként használom, ezek közül az egyik csoportba tartoznak a rootkitek, amik olyan rosszindulatú, kifinomult malware-ek, amik észrevétlenül és sokszor szinte észrevehetetlenül az operációs rendszer - akár legelemibb - működését változtatják meg, gyakorlatilag bárhogy. Linuxos rendszereken aztán végképp nincs semmiféle általános forgatókönyv rootkitek azonosítására, egy ősrégi módszer lényege, hogy a különösen fontos fájlok integritását, változásait folyamatosan figyelve van rá esély, hogy a rootkitet sikerül időben megfogni, kísérleti szinten sincsenek olyan módszerek, amik már a windowsos rendszereknél általánosan elterjedt ún. viselkedés-alapú heurisztikákat használnak, azaz azt szúrják ki, ha valami nagyon szokatlan történik, a témával kapcsolatban bővebben a poszt alján megjelölt könyvekből lehet tájékozódni.
Könnyen előfordulhat, hogy olyan tartalomra lenne szükségünk, ami eléggé specifikus ahhoz, hogy ne legyen fenn még a nagyobb torrent oldalakon sem, így jobban alá kell merülni a netnek.
Ha könyvet keresünk, ami nem teljesen újonnan jelent meg, lehet, hogy elegendő, ha a Google keresőjébe egyszerűen beírjuk a könyv címét a filetype:pdf operátorral, ami arra utasítja a keresőt, hogy csak a PDF-típusú fájlokat adja ki találatként és szerencsés esetben ott is lesz a teljes letölthető könyv, kevésbé szerencsés esetben pedig csak egy olyan oldalra jutunk PDF-csali miatt, ahol valójában a könyvnek csupán néhány oldala szerepel, a teljes könyv letöltéséhez már meg kellene adni a bankkártyaszámunkat, amivel kapcsolatban amúgy az adott webhely esküdözik, hogy nem von le róla egy garast sem, csak a felhasználó azonosítása vagy a free trial regisztráció megkezdése miatt kell :) És végig ne felejtsük el, hogy ha nem lennének olyan felhasználók tömegesen, akik még ezt is beszopják, nyilván nem érné meg üzemeltetni az ilyen oldalakat.
Nos, mi van akkor, ha kellene egy bizonyos könyv például, de az sehogy se sikerül normálisan lecibálni a netről, így az elszánt felhasználó nyel egy nagyot, kockáztat és megpróbálja minden áron lecibálni a tartalmat, a kockázatok minimalizálásával?
Kézenfekvőnek tűnik egy olyan gépet használni, amit akkor sem sajnálunk, ha rommá megy a rendszer rajta a nap végére, nemde? Végülis igen, de már igen korán felmerült rá az igény, hogy ehhez ne kelljen egy tényleges számítógépet és éles operációs rendszert használni, többek közt ez volt az egyik, aminek kielégítésére kifejlesztették az ún. virtuális gépeket. Ezek olyan szoftverek, amik a valódi operációs rendszer hátán alkalmazásként futva képesek más operációs rendszereket futtatni, amik gyakorlatilag teljesen izolált környezetben vannak, így a VM-ben futó operációs rendszer és annak alkalmazásai számára úgy tűnik, mintha valódi számítógépen futnának. Azaz ha valaki elkezd számítógépes vírusokkal foglalkozni, akkor egyszerűen ezekre az izoláltan, sandboxban futó operációs rendszerekre felteszi a vírusboncoláshoz szükséges eszközöket, na meg leferzőzi a vizsgálni kívánt vírussal. Hogy víruskutatókra nem kis szükség lesz, nem kérdés és a Duqu 2-be még bele se mentem.
Nos, a virtuális gépben futó operációs rendszereken szinte minden futtatható, amit az adott operációs rendszer támogat, persze érthetően jóval lassabban, így például tele lehet őket szórni kismillió ilyen-olyan letöltést segítő szarral és bízni benne, hogy azokkal már csak-csak sikerül letölteni azt a ritka könyvet vagy más, nehezen beszerezhető tartalmat, amire szükségünk lenne. Ha sikerült, a letöltött tartalmat még a virtuális gépen futtatott böngészőben feltolhatjuk a https://www.virustotal.com/ -ra, ami szignatúra alapon ismeri fel a kártevőket, vagy a Checkpoint Threat Cloudjába, ami pedig emulál egy Windows XP-s környezetet, ott megfigyeli a fájl viselkedését és megítéli, hogy biztonságos-e.
Ha egyik sem talált semmit, de még mindig igencsak paranoidok vagyunk és hallottunk már róla, hogy céges környezetben a vírusfertőzések közel fele úgy történik, hogy az emailben érkező, legitim PDF-nek tűnő csatolmány fertőzött, azaz a dokumentum szöveges tartalmán kívül rosszindulatú kódot is tartalmaz, az eleve PDF fájlt nyomtassuk ki például a PDF995 progival szintén PDF-fájllá. Ezt követően pedig a virtuális gépen például egy eldobható postafiókon keresztül a fájlt elküldhetjük önmagunknak.
Ha már PDF-ekről van szó, itt jegyzem meg érdekességként, hogy a helyzet már annyira súlyos, hogy a Checkpoint tömeges PDF-tisztító megoldást kínál szinte bármekkora cég számára, ami annyit csinál, hogy a beérkező emailekben lévő PDF-eket újra PDF-fé "nyomtatja" és csak ezt követően engedi a felhasználó postafiókjába.
Tehát elvileg virtuális gépet használva sokkal biztonságosabban lehet torrenezni a legelborultabb helyekről is. Hozzáteszem, számomra ez mondjuk azért nagyon fontos, mert ha meglátok egy jó könyvet a neten, annak sokszor pusztán a tartalomjegyzékéből vagy néhány megjeleníthető oldalából nem derül ki, hogy tényleg olyan könyv-e, amire szükségem van. Ugyanis míg régen többen megvettek egy könyvet printbe, amit aztán olvasgathatták ebook formában is a könyvhöz kapott hozzáféréssel, mára pont fordítva van, azaz olvasunk, azaz először megnézem a könyvet ebook formában, aztán ha azt látom, hogy tényleg nagyon jó, a több száz oldalt nem képernyőről fogom elolvasni, hanem inkább megrendelem printbe.
Megjegyzem, hogy az alkalmazott magatartástudomány engem érdeklő tájain, a social engineering és az open source intelligence területén persze, számomra nagyon sok átfedés van könyv és könyv közt, viszont azért sokszor van bennük valami egészen új is vagy a szemléletmódja más. Például nemrég egy barátomnak beboltoltam szülire Chris Hadnagy Social Engineering: The Art of Human Hacking című alapművét, ugyanakkor ugyanettől a szerzőtől a nemrég megjelent Unmasking the Social Engineer: The Human Element of Security könyvet, ami csak minimálisan fed át az előzővel és - most tessenek figyelni! - ahogy azt valahogy megsejtettem pár évvel ezelőtt, az látszik, hogy a legszofisztikáltabb social engineering és azt megelőző technikák döntően a nonverbális kommunikációra és többször a nyelvtudományból átvett kutatásokra alapoznak.
Egyébként meggyőződésem, hogy a nyelvtudományi kutatások közül nagyon sokminden annyira átcsorog majd az információbiztonság területére, hogy azt korábban aligha hitte volna valaki.
//ami kimaradt
0x100. Ha még nem tudod, hogy mozdonyvezető legyél, tűzoltó, katona, vadakat terelő juhász, esetleg víruskutató, két könyvet emelnék ki amolyan iránymutatásként:
A vírusvédelem művészete - Szőr Péter
Hacking Exposed: Malware & Rootkits Secrets & Solutions Paperback - Michael Davis, Sean Bodmer, Aaron LeMasters
0x200. Ami a posztból kimaradt, hogy természetesen a virtuális géppel történő trükközés sem bombabiztos megoldás, hiszen elvben előfordulhat, hogy a virtualizált környezetet biztosító alkalmazás egy hibáját egy intelligens malware úgy használja ki, hogy kitör onnan és eléri az éles operációs rendszert. Ismétcsak lehetnek olyan malware-ek, amik egyrészt jóideig lappanganak, másrészt több trükköt próbálnak bevetni annak megállapítására, hogy amin futnak, éles operációs rendszer vagy virtuális gép.
0x300. Remekül mutatja, hogy mennyire nem szabad elhinni semmit kapásból, amit a neten olvasunk, az az eset, amikor az uTorrent kliensre fogták rá, hogy a felhasználók tudta nélkül bányássza a bitcoit, amit komolyabbnál komolyabb lapok közöltek le, aztán persze egy tényleg komoly lap utána is nézett és kiderült, hogy erről ebben a formában szó sincs.
képek: bluecoat.com, pcmag.com, github.io
