Παρασκευή 26 Φεβρουαρίου 2010

Πλησιάζει το τέλος αρκετών εκδόσεων των Windows...


Πλησιάζει το τέλος αρκετών εκδόσεων των Windows
Η Microsoft προειδοποιεί για μία ακόμη φορά ότι σύντομα πρόκειται να διακόψει την υποστήριξη παλιών εκδόσεων του λειτουργικού της συστήματος Windows μέσα στο πρώτο εξάμηνο του έτους.

Η υποστήριξη για την πρώτη έκδοση των Vista χωρίς service packs τερματίζεται στις 13 Απριλίου, ενώ εκείνη για τα Windows XP SP2 και όλες τις εκδόσεις των Windows 2000, στις 13 Ιουλίου. Την ίδια ημέρα σταματά και η υποστήριξη για τα Windows Server 2000 ενώ τα Windows Server 2003 μεταφέρονται από την κεντρική διαδικασία υποστήριξης (mainstream support) στην παρατεταμένη υποστήριξη (extended support).

Για τα προϊόντα που τερματίζεται η επίσημη υποστήριξη δε θα υπάρχουν πλέον ενημερώσεις ασφαλείας, ενώ η παρατεταμένη υποστήριξη σημαίνει ότι η Microsoft δε θα παρέχει πλέον δωρεάν επίλυση προβλημάτων, εγγύηση και αλλαγές στο σχεδιασμό.

Η εταιρεία προειδοποιεί ήδη από τον Οκτώβριο για τη διακοπή της υποστήριξης για συγκεκριμένα λειτουργικά της.

Τρίτη 9 Φεβρουαρίου 2010

Botnets in action ...


Η εξάπλωση των δικτύων botnet και των οικονομικών συνεπειών που επιφέρουν μέσω του οικονομικού εγκλήματος αποτελεί μία από τις μεγαλύτερες σύγχρονες απειλές του Διαδικτύου. Botnet είναι ένα δίκτυο από υπολογιστές-θύματα (“bots”, από το “robots”) που βρίσκονται υπό τον έλεγχο ενός ή περισσότερων κακόβουλων χρηστών, των BotMasters. Η ανάπτυξή τους είναι συνεχής (αύξηση 165% το 2008, σύμφωνα με τη Symantec) και η διαχείρισή τους όλο και πιο απλή, ακόμα και για απλούς χρήστες. Ο συνολικός αριθμός των υπονομευμένων υπολογιστών σήμερα υπολογίζεται σε αρκετά εκατομμύρια (http://www.shadowserver.org).

Η μόλυνση του υπολογιστή-θύμα γίνεται μέσω εκτέλεσης κακόβουλου λογισμικού εκμετάλλευσης ευπαθειών (exploit code) που λαμβάνεται σε e-mail ή μέσω BitTorrent κ.ά., από επίσκεψη σε κακόβουλη ιστοσελίδα που εκμεταλλεύεται ευαισθησίες του browser ή μέσω επιθέσεων των botnets. Τα botnets πραγματοποιούν επιθέσεις για τη διάδοσή τους σαρώνοντας ένα σύνολο από διευθύνσεις IP για γνωστές υπηρεσίες TCP και UDP και κάνοντας χρήση κώδικα εκμετάλλευσης ευπαθειών. Οι κυριότερες αποστολές ενός botnet περιλαμβάνουν τη διεξαγωγή κατανεμημένων επιθέσεων άρνησης υπηρεσιών (DDoS), την αποστολή ανεπιθύμητων μηνυμάτων (spam) για διαφήμιση ή για ηλεκτρονικό “ψάρεμα” προσωπικών δεδομένων (phishing) ή για διάδοση κακόβουλου λογισμικού (ακόμη και των ίδιων των botnets), την κλοπή ιδιωτικών δεδομένων μέσω keylogging και sniffing και διάφορες άλλες παράνομες ενέργειες.

Η ταυτότητα της έρευνας
Στο πλαίσιο της παρούσας μελέτης χρησιμοποιείται η τεχνολογία των honeypots (υπολογιστών, δηλαδή, που προσελκύουν και καταγράφουν επιθέσεις) για τον εντοπισμό botnets στον ελληνικό χώρο και την εξαγωγή συμπερασμάτων σχετικά με τον τρόπο λειτουργίας τους. Για την υλοποίηση της αρχιτεκτονικής honeynet (τέσσερεις honeypots και ένας δρομολογητής honeywall που καταγράφει συνολικά τα στοιχεία) έγινε χρήση του VMware σε έναν μόνο υπολογιστή (Intel Core2 Duo 2,13GHz, 3GB). Η σύνδεση του honeynet με το Διαδίκτυο πραγματοποιείται μέσα από σύνδεση ADSL που προσφέρει ένας από τους μεγάλους παρόχους υπηρεσιών Διαδικτύου (ISP) στην Ελλάδα. Η ανάθεση της διεύθυνσης IP είναι δυναμική, ενώ απενεργοποιήθηκε το firewall του modem/router ADSL.

Για τη μελέτη των εξερχόμενων επιθέσεων χρησιμοποιήθηκαν honeypots που μπορούν εύκολα να μολυνθούν από κακόβουλο λογισμικό, όπως αποδείχτηκε (μολύνθηκαν σε λιγότερη από μία ώρα), συγκεκριμένα υπολογιστές με τα Windows XP SP1 και Windows XP SP3 χωρίς Windows firewall και χωρίς αυτόματες ενημερώσεις. Οι κύριες υπηρεσίες που εκτελούνται στο σύστημα Windows XP SP1 είναι Microsoft RPC, NETBIOS και Microsoft Directory Services. Στο Windows XP, SP3, εκτός των προηγουμένων υπηρεσιών, εκτελούνται Web server IIS v5.1, Microsoft SQL Server 2005 και SMTP.

Για τη μελέτη των εισερχόμενων επιθέσεων χρησιμοποιήθηκαν honeypots πιο ανθεκτικά σε αυτές, συγκεκριμένα υπολογιστές με τα Windows XP Up-To-Date (για 22 μέρες) και το Ubuntu Server 7.10 (για 15 μέρες). Στο Windows XP Up-To-Date με αυτόματες ενημερώσεις και χωρίς Windows firewall εκτελούνται Microsoft RPC, NETBIOS και Microsoft Directory Services. Στο Ubuntu Server 7.10 χρησιμοποιούνται προφανή username/password και εκτελούνται OpenSSH server για υπηρεσίες απομακρυσμένης σύνδεσης και VSFTPD server για υπηρεσίες ftp.


Ενδιαφέροντα αποτελέσματα
Οι εξερχόμενες επιθέσεις που παρατηρήθηκαν από το honeynet αφορούν κυρίως σε υπηρεσίες των Windows, συγκεκριμένα τις υπηρεσίες epmap και Microsoft-DS, που τρέχουν στις θύρες 135 και 445. Ο πιο συχνά παρατηρούμενος τύπος εξερχόμενης επίθεσης είναι η διαδοχική σάρωση διευθύνσεων IP (port sweep) στις θύρες που προαναφέρθηκαν και, εφόσον βρεθεί μηχάνημα στο οποίο τρέχει η αντίστοιχη υπηρεσία, γίνεται εκτέλεση κάποιου κώδικα εκμετάλλευσης ευπαθειών. Το εύρος των διευθύνσεων IP στο οποίο γίνεται η σάρωση είναι κατά κύριο λόγο τα δύο υποδίκτυα στα οποία ανήκει το honeypot, δηλαδή το δίκτυο NAT του ADSL router 192.168.0.0/16 και το δίκτυο public του ISP.

Με τη μελέτη των εισερχόμενων επιθέσεις παρατηρείται ότι πραγματοποιούνται προς τις θύρες 445, 135, 138 και 139 -με πολύ μεγάλη διαφορά από τις υπόλοιπες- αποκλειστικά σχεδόν από το δίκτυο του ISP. Επίσης, οι επιθέσεις αυτές γίνονται συνήθως από το ίδιο υποδίκτυο του ISP. Αντίθετα, οι επιθέσεις στη θύρα 22 προέρχονται σχεδόν όλες από εξωτερικά δίκτυα.


Χρηστικά συμπεράσματα
Από την ανάλυση των δεδομένων κίνησης προκύπτει ότι πολλά από τα botnets στα οποία συμμετείχαν τα honeypots είναι IRC και HTTP botnets που δεν κρυπτογραφούν την επικοινωνία τους, κάνοντας την ανίχνευσή τους αρκετά εύκολη. Όπως βρέθηκε, οι επιθέσεις προς τις θύρες 445, 135, 137-139 γίνονται σχεδόν αποκλειστικά μέσα από το δίκτυο του ISP (από προσωπικούς υπολογιστές απλών χρηστών). Η θύρα TCP/UDP 135 (epmap - Microsoft RPC) παρέχει πληροφορίες σχετικά με ένα πρωτόκολλο ή μία εφαρμογή και χρησιμοποιείται από κάποιες βασικές υπηρεσίες, όπως το MS Exchange. Σε αυτή την περίπτωση οι διευθύνσεις IP που μπορούν να αποστείλουν πακέτα σε αυτή τη θύρα πρέπει να ελέγχονται από το firewall του χρήστη. Επίσης, η θύρα 445 που αντικαθιστά τις θύρες 137-139 του NetBIOS (δικτύωση πόρων και υπολογιστών σε τοπικό επίπεδο) των Windows για όλες τις εκδόσεις μετά τα NT χρησιμοποιείται συχνά για την ανάθεση δυναμικής διεύθυνσης IP από τον DHCP server, που είναι μια κοινή τακτική για οργανισμούς και ISPs.


Μια λύση είναι οι ISPs να μπλοκάρουν αυτοβούλως αυτές τις θύρες για τους χρήστες, κάτι που συμβαίνει ήδη, αφού -όπως διαπιστώθηκε- δεν υπάρχουν επιθέσεις σε αυτές τις θύρες από εξωτερικά δίκτυα. Επίσης, εάν χρησιμοποιείται ADSL router/firewall από τους χρήστες, οι θύρες 445, 135 και 137-139 πρέπει να είναι κλειστές. Πρέπει να τονιστεί ότι, λόγω του ότι οι θύρες 135 και 445 χρησιμοποιούνται από πολλές υπηρεσίες των Windows, το μπλοκάρισμά τους με firewall λογισμικού δεν είναι αποτελεσματική λύση.

Όπως πρόεκυψε από την έρευνα, η χρήση μηχανήματος firewall μειώνει σημαντικά τον κίνδυνο μόλυνσης από botnets που διενεργούν επιθέσεις. Ωστόσο, πολλές φορές οι χρήστες εγκαθιστούν οι ίδιοι το bot στον υπολογιστή τους. Για το λόγο αυτόν, και δεδομένου ότι -όπως διαπιστώθηκε πειραματικά- τα περισσότερα ενεργά botnets υπάρχουν στις υπογραφές των αντι-ιικών προγραμμάτων (antivirus), συστήνεται και η χρήση ενημερωμένου antivirus. Επίσης, η εγκατάσταση των πιο πρόσφατων ενημερώσεων όλων των προγραμμάτων (ιδιαίτερα αυτών που αλληλεπιδρούν με το Διαδίκτυο) είναι αναγκαία, προκειμένου να προφυλαχθούν οι χρήστες από γνωστά κενά ασφάλειας, τα οποία τα εκμεταλλεύονται τα νέα botnets.

Οι συνεχείς, λοιπόν, έρευνα και μελέτη των δικτύων botnet είναι απαραίτητες, ώστε να προτείνονται νέα αντίμετρα. Η τεχνολογία των honeypots είναι ένα σημαντικό εργαλείο για την καταγραφή και τη μελέτη των botnets και της κίνησης που δημιουργούν, η οποία σε καμία περίπτωση δεν μπορεί να αποκρυφτεί, παρά μόνο να κρυπτογραφηθεί και να καμουφλαριστεί μέσα σε άλλα πρωτόκολλα επικοινωνίας. Προτείνονται η εγκατάσταση ενός κατάλληλου δικτύου από honeypots (ιδεατά, ένα honeynet ανά υποδίκτυο του παρόχου), η καταγραφή διευθύνσεων IP μολυσμένων μηχανημάτων και η ενημέρωση των χρηστών τους.

Επίσης, πρέπει να οριστεί ένα πρωτόκολλο ανταλλαγής πληροφοριών μεταξύ των ISPs για διευθύνσεις IP που ανήκουν σε άλλον πάροχο, με ενσωμάτωση της έννοιας της εμπιστοσύνης μεταξύ τους. Τέλος, έπειτα από καταγραφή επιθέσεων από εξωτερικά δίκτυα, ο πάροχος πρέπει να ενημερώνει κατάλληλα τους κανόνες του firewall και του συστήματος ανίχνευσης εισβολών (π.χ. snort) που διαθέτει.

Add-ons με Trojan στον Firefox !


Η Mozilla επιβεβαίωσε ότι βρέθηκε κρυφό malware σε δύο extensions του browser, το οποίο αποτελεί απειλή για τους χρήστες των Windows

Η Mozilla επιβεβαίωσε ότι απέτυχε στην ανίχνευση malware σε δύο add-ons του Firefox, το οποίο ενδέχεται να έχει προσβάλει πάνω από 4.600 συστήματα.

Τα add-ons αφαιρέθηκαν από το επίσημο add-on download site του Firefox, ενώ σύμφωνα με μια καταχώριση στο Add-ons blog της Mozilla, το Sothink Web Video Downloader 4.0 και όλες οι εκδόσεις του Master Filer έχουν προσβληθεί από Trojan horses, τα οποία είναι σχεδιασμένα να καταλαμβάνουν Windows PCs. Και τα δύο add-ons υπήρχαν στο "δοκιμαστικό" τμήμα του add-on download site του Firefox, όπου τα νέα extensions παραμένουν έως ότου περάσουν τη διαδικασία δημόσιας αναβαθμολόγησης. Οι χρήστες προκειμένου να εγκαταστήσουν τα δοκιμαστικά add-ons, πρέπει πρώτα να διαβάσουν και να αποδεχτούν το προειδοποιητικό μήνυμα.

Το Master Filer κατέβασαν περίπου 600 χρήστες τους τελευταίους 5 μήνες, μέχρι τη στιγμή που αφαιρέθηκε από το site στις 25 Ιανουαρίου. Από την άλλη, το Sothink Web Video Downloader 4.0 κατέβασαν πάνω από 4.000 χρήστες, στο διάστημα μεταξύ Φεβρουαρίου και Μαΐου 2008. Η πιο πρόσφατη έκδοση του τελευταίου, με την οποία ο χρήστης μπορεί να κατεβάσει streaming videos σε ποικίλα formats, είναι η 5.7.

Όσοι χρήστες έχουν εγκαταστήσει κάποιο από τα δύο add-ons, θα έχουν επίσης εκτελέσει εν αγνοία τους το Trojan, το οποίο στη συνέχεια προσβάλει και το σύστημά τους. Οι χρήστες των Linux και Mac που δουλεύουν πάνω στον Firefox και έχουν εγκαταστήσει τα add-ons δεν διατρέχουν κανένα κίνδυνο.

Η Mozilla παραδέχτηκε ότι η διαδικασία ασφαλείας απέτυχε. "Το site πραγματοποιεί ένα έλεγχο για malware σε όλα τα add-ons τα οποία ανεβαίνουν στο site και αποκλείει όσα θεωρούνται επικίνδυνα", γράφτηκε στο blog της Mozilla. "Αυτό το εργαλείο ελέγχου απέτυχε να ανιχνεύσει το Trojan που ήταν κρυμμένο στο Master Filer". Αφού προστέθηκαν περισσότερα εργαλεία ελέγχου στη διαδικασία, μια εκ νέου επιθεώρηση αποκάλυψε τον κώδικα επίθεσης που ήταν ενσωματωμένος στο Sothink Web Video Downloader 4.0, το οποίο αποσύρθηκε την περασμένη Τετάρτη από το site.

Παρόλα αυτά, ενώ η Mozilla αφαίρεσε τα εν λόγω add-ons από το site της, εκδόσεις του Sothink Web Video Downloader παραμένουν διαθέσιμες σε άλλες ιστοσελίδες. Άγνωστος είναι ο αριθμός των χρηστών που κατέβασαν και εγκατέστησαν την έκδοση 4.0 του add-on, από sites εκτός της Mozilla, όπως το Download.com του Cnet.
Η Mozilla προτρέπει όλους τους χρήστες που έχουν κατεβάσει τα συγκεκριμένα add-ons να πραγματοποιήσουν απεγκατάσταση και έπειτα, επειδή αυτό δεν πρόκειται να αφαιρέσει το Trojan, να κάνουν ένα anti-virus scan, ώστε να ανιχνεύσουν και να διαγράψουν το malware.