Léteznek az informatika világában is legendák, például hogy a vírusok csak a Windows-rendszereket fertőzik meg. Keleti Arthur, a Netidők biztonsági szakija, az ITBN főszervezője most egy olyan esetet mutat be, ami az elmúlt öt évben elképzelhetetlen volt. Felfedezték ugyanis az első rosszindulatú programot az Apple mobilboltjában, az AppStore-ban. Aztán kiderült, hogy a GooglePlay-ben szintén jelen volt ez a program.
Keleti Arthur: Az volt a program neve, hogy Find & Call, vagyis keresd meg és hívd fel. Felkínálta a felhasználónak, hogy a telepítés után az összes barátjával tud ingyen beszélni. Kiderült, hogy telepítés után a felhasználónak az összes kontaktját az összes adatával együtt feltöltötte egy távoli szerverre anélkül, hogy erre különösebb engedélyt kért volna. Ezután a szerveren az adott névlistára kiküldött egy SMS-spam-szerűséget, azzal a felhívással, hogy mindenki telepítse fel ezt a programot, aki csak tudja, és az SMS feladójaként azt az embert tüntette fel, akinek a telefonjáról ezeket az információkat leszedte.
Nagyistók Tibor: Azért eddig ilyet csak e-mailben láttunk…
Keleti Arthur: Igen, ez egy klasszikus spam-jelenség. Másrészt pedig a szerver nem csak ilyen információkat gyűjtött, hanem egyebeket is: Facebook jelszavakat, Google jelszavakat, amit a biztonsági szakértők feltételezése szerint másra is felhasználtak a készítői. Az írója azt mondta, hogy ez egy béta állapotban lévő program és hát ő igazából nem is gondolta, hogy ebből ekkora balhé lesz. Ezt azért kicsit nehéz elhinni. Nagyon agresszívnek tűnt egyébként az alkalmazás ilyen szempontból és az, hogy nem adott semmiféle információt arról, hogy mit fog csinálni, az nem volt egy okos húzás. Szintén problémás, hogy ezt az információcserét nem titkosítottan hajtották végre, amire minden lehetőség megvan, ez szintén nem egy elegáns húzás. Tehát ebből is sejthető az, hogy aki itt az adatokat összegyűjtötte, az nagyon felelőtlen volt az adatkezeléskor. Tehát például a Kaspersky – aki felfedezte ezt a kórokozót - ma azt mondja, hogy ez egy trójai és bele is tette a legtöbb vírusírtó cég az antivírus motorjába mindkét platformon.
Nagyistók Tibor: Szűrjük le a tanulságot, hogy mire kell odafigyelni az online boltokban?
Keleti Arthur: Arra mindenképpen oda kell figyelni, hogy melyek azok az alkalmazások, amelyek feltételezhetően hozzá fognak férni egyéb adatokhoz is, az adott készüléken. Tehát a kontaktcímekhez, addressbookhoz, melyek azok az alkalmazások, amelyek lokációs (tehát helymeghatározási) információt fognak továbbadni… és hogyha azt látjuk, hogy erre nem kérnek tőlünk engedélyt, vagy mondjuk feltelepítjük az alkalmazást és anélkül, hogy mi bármit mondtunk volna, látjuk, hogy az alkalmazás elkezd nagy mennyiségű adatot forgalmazni, akkor mindenképpen kezdjünk el gyanakodni.
Keleti Arthur: Egyrészt a legtöbb ilyen eszközön vannak statisztikakészítő programok, amiket ha bekapcsolva hagyunk, akkor látjuk, hogy mennyit forgalmaztunk. Ez egyébként azért sem butaság, mert nagyon sok szolgáltatónál mérik az adatforgalmat, tehát fontos az, hogy mennyit forgalmazott a készülék, ezért is érdemes ilyen programokat a háttérben futtatni. Kettő: több modellnél is látható, hogy éppen forgalmaz adatot a készülék. Ha rápillantunk és azt látjuk, hogy már régóta zajlik, akkor ott valami nem stimmel. Erre érdemes odafigyelni. Mondjuk ha én ezt az alkalmazást feltelepítettem volna, biztos, hogy abban a percben, amikor elkezd motoszkálni a címjegyzékem környékén vagy elkezd az én engedélyem nélkül ilyen forgalmat bonyolítani, biztosan azonnal letöröltem volna! Arról nem is beszélve, hogy így hirtelen azt sem értettem meg, hogy egyáltalán miért telepítenének fel az emberek egy ilyen alkalmazást. De mint tudjuk, ehhez nem kell különösebb indok, mert annyi butaság van ezekben az online áruházakban és annyi marhaságot feltesznek az emberek. Hogyha egyszerűn csak azt mondjuk nekik, hogy „ez nagyon jó lesz, mert majd tudsz beszélni a barátaiddal!”, akkor azonnal feltelepítik…
Vírus az AppStore-ban
A pornóoldalakon kevesebb a vírus, mint a vallási portálokon
A vallási témájú weblapok látogatói nagyobb valószínűséggel szednek össze valamilyen számítógépes vírust, mint a pornóoldalakra kattintó felhasználók - derült ki egy új tanulmányból.
Az információs adatvédelemre és vírusirtásra specializálódott amerikai Symantec vállalat Internet-biztonsági fenyegetés (Internet Security Threat Report) című jelentése szerint a vallási, illetve világnézeti témájú oldalak esetében háromszor magasabb a virtuális fenyegetések átlagos száma, mint a felnőtt tartalmakat kínáló weboldalaknál.
Mint arra a jelentés rámutatott: a pornográf tartalmaknak otthont adó oldalak mindössze a tizedik helyen állnak a vírusok szempontjából legkockázatosabb weblapok sorában. "Az elméletünk szerint ennek az az oka, hogy a pornóoldalak tulajdonosai jelentős bevételre tesznek szert az internet révén, és ebből kifolyólag fokozottan érdekükben áll, hogy vírusmentesen tartsák az oldalaikat" - olvasható a tanulmányban, amely a Symantec Global Intelligence Network nevű hálózat által tavaly gyűjtött információk alapján készült.
A hálózat több mint kétszáz országban kíséri figyelemmel a kibertámadásokat a szolgáltatásai és érzékelői révén. A Symantec szerint 2011-ben összesen 5,5 milliárd - a korábbi évhez képest 81 százalékos emelkedést jelentő - virtuális támadást sikerült blokkolnia.
Az internetes biztonsággal foglalkozó többi céghez hasonlóan a Symantec is jelentős növekedést tapasztalt az okostelefonok, illetve táblagépek elleni, valamint a vállalatoknál és kormányhivataloknál dolgozó alkalmazottakat célzó kibertámadások tekintetében.
(MTI/HVG)
Kiberfegyver a szupervírus?
Régen beszéltünk már a számítógépes vírusokról, de most itt egy igazi újdonság! Egy olyan óriási, 20 megabájtos és megdöbbentően fejlett vírusról van szó, amely képernyőképeket ment le és a számítógép mikrofonját és billentyűzetét is lehallgatja. A Netidők „biztonsági őre” Keleti Arthur beszélt a műsorban arról, hogy mekkora a baj? Hiszen a hagyományos vírusírtók nem fogják meg a kórokozót…
Keleti Arthur: Igazából nem teljesen vírus ez, mert amit most találtak a biztonsági szakértők, az leginkább egy kiberfegyverre hasonlít. A Stuxnet vagy a Dooku ehhez hasonló volt, ami hasonló jellegű alkalmazás volt. Ez az alkalmazás, amit úgy hívnak, hogy Flame vagy SkyViper (mindkét elnevezés létezik), nagyon komplex alkalmazás.
Ahogy említettük a bevezetőben, 20 megabájtos, ami szokatlan. Általában az ilyen méretű alkalmazások nem azzal foglalkoznak, hogy elrejtsék magukat azáltal, hogy nagyon kicsik, hanem annyira jól vannak elkészítve, olyan jó az architektúrájuk, hogy ez meg tudja őket védeni.
Annyira komplex az egész felépítése, különböző modulokat lehet betölteni, ráadásul távolról. Ezeknek a moduloknak a teljes feltöltésével képes elérni ezt a nagy méretet. A modulok feltöltését ráadásul védett kapcsolaton keresztül lehet végrehajtani, tehát https-en, illetve SSH-t is használ a rendszer, sőt az általa megfigyelt elemeket titkosított SQL adatbázisban tárolja, tehát még az sem fér hozzá, akinek a gépén tenyészik.
Állítólag már régóta velünk van. A legtöbb jelentés azt állítja, hogy 2010 óta létezik ez a valami, és már többször felfedezték a nyomait máshol is. Ahogy boncolják ezt az alkalmazást, az látták rajta, hogy a komplexitása alapján kizárt dolog, hogy ezt mondjuk hacktivisták készítették volna, akik sokkal egyszerűbb eszközökkel dolgoznak. Sőt, még valószínűleg a kiberbűnözőket is ki lehet zárni ebből a körből. Nagy valószínűséggel valamilyen nemzet által szponzorált kiberfegyverről van szó.
Önmagát fejleszteni nem tudja, viszont el tudja kerülni a különböző vírusírtókat, az olyan eszközöket, amelyek megpróbálják „őt” felfedezni és módosítja a saját kódját, ezért nagyon nehéz megtalálni. Emellett pedig olyan extra dolgokat fejlesztettek bele, ami szintén a nagy hálózatokban kémkedésre fejlesztett célt támasztják alá. Be tudja kapcsolni a számítógép mikrofonját, le tudja hallgatni a szobában zajló tevékenységeket, ezeket szintén rögzíti, titkosítva eltárolja, felküldi a szerverre, hogy ha szükséges. Be tudja kapcsolni a Bluetooth kapcsolatot is a számítógépen, sőt aktívan keres más Bluetooth eszközöket, illetve ha talál, akkor megpróbálja megfejteni, hogy azok micsodák és azon a módon is megpróbál terjedni.
Az már most látszik, hogy körülbelül hússzor akkora a kód mérete és komplexitása, mint amilyen az előzőeké volt és azokat is fél évig tartott megfejteni. Tehát most rávetette magát a közösség: folyamatosan boncolgatják, percenként látnak napvilágot az új feature-ök, az új érdekességek az eszközről.
Azért meg kell nyugtatni a hallgatókat, hogy valószínűleg otthon a saját számítógépükön nem fognak ilyesmit találni – nem lehetetlen, de valószínűleg nem fognak találni -, mert láthatóan ez az eszköz jóval nagyobb méretű hálózatokra tervezett és jóval nagyobb feladatokat végrehajtó valami, sőt, ugyan képes terjedni (megvannak az ehhez szükséges képességei), de az látszik, hogy a belépési pontja, ami egyelőre kicsit homályos a kutatók számára, az valószínűleg egy fizikai adathordozón, USB-n, vagy valamilyen más fizikai terjesztési módszerrel összefüggő technika, ami szintén azt mutatja, hogy mondjuk szabotázshoz, kémkedéshez, katonai kiberhadviseléshez használják.
Kórházi malware malőr
Úgy tűnik, hogy valami igen gonosz dolog történt, bár szerencsére nem Magyarországon. Ez persze nem vigasztalja az Atlanta közelében található Gwinnett Medical Center kórház munkatársait és pácienseit, mert a hír szerint egy nem valami jószándékú malware program túlterhelte a kórház számítógépes rendszerét. Biztonsági szakértőnk, Keleti Arthur mesélt az esetről a műsorban.
Nagyistók Tibor: Történt-e valami a betegekkel?
Keleti Arthur: Gyógyulgattak. Bár annyi mégis történt a betegekkel, hogy akiknek nem sürgősségi ellátásra volt szükségük, azokat a kórház kénytelen volt máshova irányítani. Tehát effektíve nem tudott úgy működni a kórház, ahogy kellett volna. A komputervírus megfertőzte a számítógépeket a kórházban, majd az informatikai rendszer tulajdonképpen leállt, mivel túlterhelte a rendszert a vírus által okozott nagymennyiségű adat. Volt egy ehhez hasonló eset egyébként körülbelül két hónappal ezelőtt: akkor Új-Zélandon egy mentőhálózatot üzemeltető szervezetet támadott meg egy vírus…
Nagyistók Tibor: Szándékosan idézik elő ezt a támadást?
Keleti Arthur: Nagy valószínűséggel ez nem hackerek műve, ugyanis ha az lett volna, akkor sokkal nagyobb kárt okoznak. Valószínűleg egy „kósza vírus” volt – furcsa, hogy pont egy kósza vírusról beszélünk egy kórházban, de hát a számítógépekkel nem foglalkoznak annyian, mint ahányan a betegekkel. Ez az esetből is tisztán látszik. És az látszik egy kimutatásban, amit az USA-ban végeztek pár héttel ezelőtt, hogy két éven belül minden egészségügyi intézmény tapasztalt informatikai biztonsági problémát… Azért itt én felvonnám a szemöldökömet. Ugyebár ma az átlagos vállalatok és intézmények tekintetében is igen jellemző az, hogy meg vannak győződve, hogy ha az irodai rendszerek relatíve jól működnek (most ebben az esetben azok se működtek jól!), akkor „biztos nem lesz baj az ipari rendszerrel!”, vagy ahogy szépen magyarul mondjuk, a core business-szel (a fő tevékenységgel) – márpedig azzal is gond lehet! Itt is lehet ezzel gond. Tehát amikor egy komputervírus bekerül egy kórházi informatikai rendszerbe, olyankor két dologtól félek. Az egyik az, hogy elvesznek adatok, vagy egészségügyi adatok kiszivárognak, amire nagyon sok példa volt. A másik pedig, hogy ezekben a modern kórházi eszközökben már informatikai elemek működnek. Ahogy most már otthon a kenyérpirítónkban is számítógép működik lassan, így már ezekben az eszközökben is, elég régóta. És hiába jóminőségű gyártmányok ezek, hiába tesztelik az eszközöket, a biztonsági problémákra, sérülékenységekre azért gyakran érzékenyek. Tehát én jobban félek attól, hogy megáll egy művese-eszköz, rosszul működik az anesztéziának valamilyen gépe, kialszik a lámpa a műtőben, mert elektronika irányítja, és nem úgy működik, ahogy az kellene. Tehát ez egy komoly veszély. Magyarországot én abból a szempontból féltem, mert a kórházi informatikán az egészségügyben soha nem volt igazán nagy hangsúly.
Egy évvel ezelőtt készítettem interjút hackerekkel: órákon keresztül beszéltek arról, hogy hogyan futtatnak torrent szervereket kórházi tűzfalakon és így tovább… Tehát egy eléggé szegényes képet látunk itt kibontakozni.
Bódi Zoltán: De ha korábban azt említetted, hogy valószínűleg ebben a konkrét esetben egy kósza vírus volt – nem egy megszervezett hacker-támadás – egy ilyen kórházi informatikai rendszerbe hogy kerülhet be egy kósza vírus?
Keleti Arthur: Pont úgy, ahogy a te otthoni rendszeredbe. Tehát például a titkárnő jön be, hozza magával a pendrive-ot – mellesleg nem lehetetlen, hogy hazavitte a kórházi adatokat, a betegek Excel-táblájával együtt és otthon mondjuk javítgatott és aztán visszavitte…
Nagyistók Tibor: Jó, de hát az „hermetikusan” le van zárva az ipari rendszertől
Keleti Arthur: Mi van lezárva?
Nagyistók Tibor: A titkárnő gépe és a nagy adatbázis.
Keleti Arthur: Dehogy van lezárva! Ez ugyanaz a rendszer. Ne legyenek illúzióink, itt nincsenek ilyen „hermetikus” lezárások. És sajnos, mivel a magyar egészségügyben eleve igen kevés pénz van, nyilván ezekre a rendszerekre, amelyek úgy ahogy működnek, általában utoljára jut pénz. Tehát az, hogy ezek biztonságosak legyenek, hogy az adatvédelemre odafigyeljenek, az nyilván egy olyan faktor, hogy „hát így is megy, nem? Akkor mi itt a probléma?”…Hát ez itt a probléma! Ha bekeveredik oda egy vírus, taccsra vágja az adatbázist, esetleg módosít adatokat és rossz esetben kiszivárogtat, elküldi valahova, mindig így kerülnek ki az adatok…
25 éves a számítógépes vírus
Az túlzás, hogy ünnepeljük, de éppen 25 évvel ezelőtt, 1986 januárjában látott napvilágot a Brain névre keresztelt vírus, mely az MS-DOS operációs rendszer boot szektorát fertőzte meg. A készítők, Basit és Amjad Farooq Alvi pakisztáni programozók voltak és azt kívánták megakadályozni, hogy az általuk készített egészségügyi szoftvert illegálisan lemásolják. Maga program egyébként csak a lemezműveleteket lassította le, és tudtára adta a felhasználónak, hogy vírusos lett a gépe, majd megadott egy telefonszámot, amin keresztül lehet kérni a vakcinát a digitális nyavalya ellen. Ezt a technológiát és terminológiát egy másik ismeretlen programozó felhasználva készítette el azt a vírust ami Brain néven vonult be számítástechnika hallhatatlanjainak a csarnokába. A történeti hűség kedvéért meg kell jegyezni, hogy a Brain vírusnak volt egy korábbi verziója melyet Ashar-nak neveztek. A Brain vírust mindennek lehetett nevezni, de károkozónak a mai értelembe véve egyáltalán nem. Ma 25 év múlva, olyan károkozó programok terjednek, melyekhez képest a legelső mindennek hívató, csak nem károkozónak.
Manapság a vírusok, férgek és egyéb veszélyes programok, már nem csak a különlegesen jól képzett programozók kezei közül kerülnek ki, hanem gyakorlatilag bárki létrehozhat vírusokat ha megfelelő helyről beszerzi hozzá az alkarészeket. A rossz fiúk a hozzávalókat különféle csomagokban árulják, melyek árai a néhány tíz dollártól egészen a 4-5000 dolláros terjedhetnek. Aki ekkora összeget hajlandó kifizetni egy ilyen eszközért, az nagy valószínűséggel ennek a befektetett összegnek e többszörösét szeretné viszontlátni. A drága csomagok némelyikéhez már "terméktámogatás" is jár, ami egészen megdöbbentő egy gyakorlatilag illegális termék használata esetén.
Nem csak a rosszfiúk készítenek olyen-olyan kémprogramokat és vírusokat, de napjainkra már természetesnek vesszük, hogy két konfliktusos ország katonái, először a virtuális térben próbálják egymást meghátrálásra bírni. Ha ez nem sikerül akkor jöhetnek csak a hagyományos értelembe vett csapatmozgással járó hadműveletnek. Ezekben a kiber-háborúkban jól felkészült katonák vesznek részt, akik hosszú évekig tanulják ezt a "mesterséget". Mi egyszerű felhasználók pedig csak reménykedhetünk abban, hogy nem csöppenünk bele egy ilyen háborús helyzetbe, mert ott már valószínű, hogy a vírusirtó programjaink is csődöt mondanak.
Utolsó kommentek