Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Hírek





Az Aurora ellen hatástalan a legtöbb védelem

(2010. március 02.)

- The Register, iSec Report nyomán -

Védekezésre képtelen céges áldozatok százai jelzik a hackerek útját.
Nyomtatható verzió Nyomtatható verzió  | Küldje el ezt a cikket ismerősének Küldje el ezt a cikket ismerősének

Az iSec Partners IT-biztonsági cég nemrég részletes értékelést bocsátott ki az év végi - év eleji nagy amerikai hackertámadásról. A szövegből kiderül, hogy ma már a százat is meghaladja a bizonyított Aurora incidensek száma.

Az eredeti 34 áldozatot ugyanis egyetlen bot-vezérlő, ún. C&C csatorna visszafejtésével azonosították, míg az iSec kutatása további 60 (hatvan!) csatornát és azokon található feltört gépet azonosított. Ez a jelentős minta lehetővé tette a szakértőknk, hogy lépésről lépésre felismerjék az egyébként nagymértékben testre szabott, kínai eredetű netes támadások mögött rejlő általános eljárást:

  • Az Aurora-hackerek kiválasztják célpontjukat és alaposan tanulmányozzák azt: utánanéznek milyen és mennyire sebezhető alkalmazói programokat futtatnak a cégnél, mely gyártó(k) vírusvédelmét alkalmazzák, hogy azok megkerülésére kézzel tuningolt, "láthatatlan" támadó-kódot (ún. exploit-ot) és kártevőt készítsenek. Azt is előre kiderítik, milyen távoli hozzáférést (VPN) és címtár-rendszert üzemeltet az áldozat - így a teljes hálózathoz gyorsan hozzáférhetnek, ha egy helyen már sikerült bejutniuk.

    A felderítő munka kritikus jelentőségű a hackertámadás sikere szempontjából, így az előkészületek akár hónapokig is eltarthatnak és sok emberi erőforrást igényelnek - ami arra utal, hogy a "rosszfiúk" bőven el annak látva erőforrásokkal, programozói tehetséggel és olyan lexikális tudással, ami a támadható vállalati rendszerek sebezhetőségeire vonatkozik.

  • A terv végrehajtásának első lépése, hogy a hackereknek megtévesztés alapú trükkel rá kell venniük a kiszemelt felhasználót - általában a megtámadott cég egyik tengerentúli fiókirodájában dolgozó kollégát - hogy ellátogasson az egyedileg testreszabott kártevőt tartalmazó hamis weboldalra. A félrevezető közlés általában személyre szabott témájú levélbe vagy azonnali IM üzenetbe rejtett webhivatkozással érkezik az áldozathoz.

  • A webböngésző (általában Internet Explorer) sebezhetőségen keresztül a gépbe jutott trójai program aktivizálódásakor "hazatelefonál" - felveszi a kapcsolatot a botnet távoli vezérlőszerverével, amelyet a felderítés, a nyomozás megnehezítése érdekében általában dinamikusan változó (ún. fast-flux) DNS bejegyzés azonosít.

  • A támadó bejelentkezik a feltört gépre és illetéktelenül megnöveli saját jogosultságait az ott tárolt jelszavak vagy rendszergazdai azonosítók kihasználásával.

  • Az immár magasabb hozzáférési jogú hacker megpróbálja a célba vett hálózat szerveréről megszerezni az Active Directory adatbázis jelszókészlet-fájlját. Ezt helyben, vagy pedig a nagyobb sebesség érdekében kimásolva, a támadók által üzemeltetett számítógép-farmon elosztva is fel lehet törni (illetve a tárolt hash ellenőrző összegekhez megfelelő jelszó-szöveget találni).

    [ A fenti két hacker-húzás ellen bizonyos védelmet nyújthat, ha a felhasználók és különösen a rendszergazdák erős, bonyolult jelszót választanak maguknak és azt gyakran változtatják. Ez a két követelmény ellentmond egymásnak, de a Microsoft szakértői megengedhetőnek tartják a jelszavak lejegyzését, feltéve, hogy azt a tárcánkban és nem a monitorra ragasztva tároljuk... - Szerk. ]

  • A visszafejtett azonosítókkal a támadók virtuális magánhálózati (VPN) kapcsolatot nyitnak, esetleg hamis VPN-felhasználót is létrehoznak a távoli hozzáférést biztosító szerveren a "szabályos" bejelentkezéshez - kis szerencsével ez egy világméretű, nagy távmunka-forgalmú multinacionális cégnél akár hosszú hetekig is észrevétlen maradhat.

  • Innentől a hacker azt visz, amit akar, hiszen a VPN kapcsolat az célba vett cég helyi hálózatára mutat. A támadók megszerezhetik az előzetes nyomozás során kiszemelt, vagy a betörés során kereséssel felismert ügyfél- és partner-adatbázisokat, a termelési célú rendszerek rendszergazdai jelszavait, a forráskódot az áldozat fejlesztői szerveréről vagy a féltett üzleti titkokat, fejlett technológiai recepteket.

A most felismert támadási mintázat rossz hírrel szolgál még a komoly IT-költségvetéssel rendelkező és védekezésre elszánt cégek számára is: a biztonság eléréséhez többé nem elég csak a védelmi szoftverek futtatása. A hackerek képesek egyetlen feltört laptoptól indulva eljutni a hálózat legféltettebb titkaihoz, ezért hangsúlyos megelőző jellegű, elhárító védelmi tevékenységre van szükség - amelyhez speciálisan képzett szakemberek kellenek, sőt a felhasználókat is oktatni kell a támadásra utaló jelek, a puhatolózás felismerésére!

Természetesen informatikai oldalon is megfelelő és esetleg költséges szigorító intézkedések szükségesek a védelemben: ki kell terjeszteni a teljeskörű naplózást az olyan eseményekre is, mint pl. a belső DNS névfeloldó szerverekre irányuló összes lekérdezések és a gyűjtött naplókat rendszeresen át is kell nézni, hogy felfedezhetők és még idejében leállíthatók legyenek az adatlopási kísérletek (ezt ma már speciális célszoftverekkel is meg lehet oldani).

Le kell tiltani az olyan elavult, alaptermészetüknél fogva veszélyes szolgáltatások futtatását, mint a LAN Manager Hash, a Windows gépeket pedig szinte minden esetben csak az adott feladathoz szükséges legalacsonyabb jogosultságokkal bejelentkezve szabad használni. Ez sajnos kényelmetlenséget okoz a felhasználóknak, másrészt a szigorításból eredő, régebbi szoftvereknél jelentkező kompatibilitási gondok megoldása is költségesnek ígérkezik.

A nagy szorgalmat igénylő, keménykezű fellépést mégsem szabad elhanyagolni a vállalati rendszergazdáknak. Az iSec Partners felmérése ugyanis azt bizonyítja, hogy az Aurora típusú támadással szemben csak hagyományos módszereket használva szinte esélytelen a védekezés: a kínai hackereknek még az egyébként igen jól felkészült Google kereső-óriás rendszerébe is sikerült behatolniuk!


Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2010 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.