Podtaknjena koda na spletni strani
Zlonamerna koda (angl. malware) mora najti pot do vašega računalnika. Začelo se je z izmenljivimi mediji (včasih diskete, danes USB ključi), nadaljevalo z elektronsko pošto, potem pa so sledila okužena spletna mesta ali "drive-by download". Pri teh vam napadalec na spletni strani skuša podtakniti kodo, ki bo izkoristila ranljivost v spletnem brskalniku, ali njegovi komponenti (recimo v Adobe Flash Player).
Napadalec sicer lahko sam postavil spletne strežnike in vas poskusi zvabiti na njih z nekakšnim trikom, vendar je to drago, časovno potratno in neučinkovito. Hitreje doseže namen, če povezave na svojo kodo podtakni na tuja spletna mesta. To lahko stori z izrabo varnostne luknje na spletnem strežniku, ali če pridobi geslo za dostop do njega (ga ugane, kadar je to enostavno, lahko pa uporabi phishing trik).
Običajno bo napadalec svojo kodo tudi zakril, da pri pregledu izvorne kode spletne strani ta ne bo povsem očitna. Gre za t.i. "obfuscation", primer vidimo na spodnji sliki.
Razkrita koda je zopet javascript, ki le vstavi uporabniku neviden IFRAME, ta pa vodi na spletno mesto, kjer se naloži še dodatna koda.
Na tem cilju lahko že čaka virus, keylogger ali bot, bolj verjetno pa se bo tam še ena zakrita javascript koda, enako kot v prvem koraku. Po dveh ali treh preusmeritvah skozi strežnike napadalca bo na koncu čakal "exploit", ki bo okužil ranljive obiskovalce spletne strani.
Read MoreNemški državni trojanec
Nekaj nemških zveznih držav je priznalo, da so za namene boja proti kriminalu uporabljale vohunsko programje oz. posebej napisanega trojanca. Notranji ministri Baden Würtemberga, Brandenburga in Spodnje Saške je za lokalne medije že izjavilo, da so uporabili takšne programe v skladu z nemško zakonodajo.
Pred nekaj dnevi je nemški Chaos Computer Club (CCC) objavil, da so z analizo “programa za zakonito prestrezanje” (t.i. “Bundestrojaner”) ugotovili, da gre za trojanca, ki je sicer namenjen prestrezanju internetne telefonije (VoIP), vendar pa omogoča nameščanje poljubnih dodatnih komponent. To pomeni, da se lahko njegova funkcionalnost poljubno spremeni in da lahko upravljalec to opravi na daljavo. Tako bi lahko denimo dodali komponento za brskanje po datotečnem sistemu, ali pa keylogger, s katerim bi lahko beležili vnešena gesla. CCC je z analizo ugotovil tudi, da je trojanec slabo zaščiten in da ga lahko prevzame (in s tem nadzor nad računalnikom, kjer je nameščen) tudi nepooblaščena oseba. V dokaz so sami razvili ustrezni nadzorni program.
Za zakritje sledov trojanec podatke pošilja preko najetega strežnika v ZDA, zaradi česar se takoj lahko postavijo vprašanja o jurisdikciji, iznosu občutljivih podatkov in tako naprej.
Nemško ustavno sodišče je leta 2008 odločilo, da se takšna okužba računalnika ne sme izvesti pri običajnih policijskih preiskavah, ampak le v posebnih primerih, ko gre za konkretno grožnjo življenju ali svobodi oseb. Protivirusno podjetje F-Secure pa je že marca letos na svojem blogu poudarilo, da bo njihov program zaznal tudi tovrstne programe.
Read MoreVabljeni na 1. slovensko konferenco o elektronski demokraciji
Ekipa E-demokracija.si in javni zavod Arnes prirejamo konferenco o elektronski demokraciji E-dem 11, na kateri bodo ugledni slovenski strokovnjaki z različnih področij predavali o različnih temah elektronske demokracije in participacije (kampanje, volitve, dostop do informacij). Konferenca bo potekala 19. oktobra 2011 v Tehnološkem parku Ljubljana.
Konferenca je idealno stičišče in informacijsko središče za zaposlene v javni upravi na področju oblikovanja politik in strokovnjake za odnose z javnostmi. Študenti družboslovja in naravoslovja, ki jih področje zanima, bodo lahko izvedeli, kaj se v Sloveniji na tem področju trenutno dogaja. Na konferenci bodo svoje mesto pri tvornem sodelovanju našli tudi tehnološki navdušenci in podporniki sodobne elektronske države, ki jih zanimajo slovenski primeri dobrih praks.
Med drugim bodo na konferenci predavali Gorazd Božič (SI-CERT), dr. Matej Kovačič iz Komisije za preprečevanje korupcije, mag. Andrej Tomšič iz Urada infomacijskega pooblaščenca, Darijan Košir in Blaž Palir iz Urada vlade za komuniciranje, Vuk Ćosić, Andraž Tori (Zemanta) in drugi.
Več informacij in prijave lahko najdete na spletišču www.e-demokracija.si/kamp
Read More
Bi delali od doma za 10.000 € na mesec?
Ste tudi vi prejeli BBC novico, kako je mati samohranilka iz Ljubljane sprejela ponudbo za delo od doma, preko interneta, in sedaj zasluži vratolomnih 10.000 € na mesec? Seveda gre za lažno spletno mesto.
Spletno mesto se nahaja na domeni bbc11.co.uk in ne bbc.co.uk, v podnaslovu se omenja Ljubljana, čeprav je potem vseskozi govor le o Katherine Baker iz Kalifornije, ker programska koda vstavi mesto glede to, od kod brskate.
Povezava na začetku članka vas usmeri na keyinternetjobs.com, ki vam bo verjetno ponudil mamljive zaslužke, le če boste prej nekaj malega vplačali.
Če želite sami preveriti, ali gre za poskus goljufije, ali ne, boste seveda v Google vpisali recimo “keyinternetjobs.com scam”. Pričaka vas veliko število spletnih mest z lažnimi ocenami, ki vas prepričujejo, da ne gre za prevaro. Tu jasno vidimo, kako goljufi izrabljajo tudi iskalnike za promocijo svojih goljufij. Dokaj prozoren primer je scamx.net, ki po enaki predlogi promovira številne goljufive sheme.
Vedno torej preverite, od kod ponudba prihaja in kam vodijo spletne povezave.
Read MorePosledic črva Morto zaenkrat ni čutiti
Za potrebe analize omrežnega dogajanja smo na SI-CERTu vzpostavili t.i. darknet, s katerim opazujemo anomalije v omrežju. Tako smo v preteklih tednih svojo pozornost posvetili tudi dogajanju v zvezi s širitvijo črva Morto. Na črva in metode, ki jih uporablja za svojo širitev, smo javnost opozorili tudi preko obvestila.
Uporabljen način zaznave, ki beleži povezave v nedodeljen košček interneta, ne kaže izrazitega povečanja pregledovanja po odprtih vratih 3389. Slednjega uporablja protokol RDP, ki je sicer namenjen oddaljenemu dostopu do sistemov Windows. Za uspešno širitev črva Morto bi tako zaznali povečano pregledovanje po protokolu RDP, katerega izkorišča črv Morto za svojo širitev. Sklepamo, da razlog za nezaznavanje širitve tiči tudi v uporabljenem naboru gesel, ki je sorazmerno majhen in hkrati neznačilen za naše geografsko področje.
Na grafu je prikazana zabeležena aktivnost zaznanih povezav na vrata 3389 (TCP SYN paketi) v preteklih tednih (12. avg. do 9. sept. 2011). Tako na primer v predelu, kjer se stolpec povzpne vse do 12, torej ponazarja enako število zabeleženih povezav proti t.i. darknet omrežju.
Lažna spletna trgovina, teden dni kasneje
Kako ste bili seznanjeni s spletno trgovino cameract.com?
Prejšnji petek, 27.5.2011, nas je kontaktiral uporabnik, ki je pred časom kupil nekaj stvari v tej trgovini, in jih v obljubljenem času ni prejel. Iz spletne trgovine so mu po nakupu sporočil DHL sledilno številko, za katero pa so mu na DHL-u sporočili, da ni prava.
Kako ste ugotovili, da gre za lažno spletno trgovino?
Iz javno dostopnih WHOIS podatkov je bilo razvidno, da je bila domena cameract.com registrirana 27.4.2011, čeprav so na spletni strani navajali, da je bila trgovina ustanovljena leta 2008. Prav tako so se na spletni strani hvalili z raznoraznimi nagradami, ki naj bi jih osvojili od leta 2009 dalje. Sum je potrdilo še nekaj podrobnosti, ki niso običajne pri legitimnih spletnih trgovinah:
- Pri registraciji domene je bil uporabljen yahoo.com el. naslov
- Domena je uporabljala zastonjske freedns.ws domenske strežnike
- Spletna stran je bila gostovana na strežniku v Rusiji
- Plačilo je bilo možno opraviti zgolj preko nakazila na bančni račun
Vsi izdelki na spletni strani so bili precej cenejši kot običajno. Spletni iskalnik je našel tudi precej jeznih odzivov drugih uporabnikov, ki niso prejeli kupljenega blaga. Zadeva je zelo spominjala na podobno zlorabo, ki se je vršila preko lažne spletne trgovine firstcameras.net.
Ampak na spletni strani objavljen podatke o podjetju, ki stoji za spletno trgovino. Prav tako je bila objavljana telefonska številka, ker so ti pomagali z nakupom. Celo oglaševali so na fotografskih spletnih portalih. A to potem še ne zagotavlja, da je spletna trgovina legitimna?
Ne. Goljufi si ime podjetja lahko izmislijo, ali pa zlorabijo ime kakšnega legitimnega podjetja. Če gre za podjetje, ki je registrirano v tujini, se ponavadi težko prepričamo, ali je legitimno ali ne (včasih pomaga, da si ogledamo lokacijo podjetja v google street view). Na telefonske klice pa odgovarjajo tudi goljufi, ki so vpleteni v nigerijske prevare.
Vendar pa je spletna stran uporabljala SSL certifikat. Certifikat je bil podpisan s strani kvalificiranega overitelja. Pri povezavi brskalnik ni javil nobene napake. A to potem še ne zagotavlja, da je spletna trgovina legitimna?
Ne. Običajen SSL certifikat lahko za svojo spletno stran kupi vsakdo za nekaj 10 €. Pri izdaji takega certifikata pa se ne ugotavlja, ali se nekdo ukvarja z legalno dejavnostjo, ampak zgolj ali je pravi lastnik spletnega mesta, za katerega se certifikat izdaja. V tem primeru je SSL certifikat zagotavljal zgolj varno povezavo med brskalnikom in strežnikom, ne pa tudi legitimnosti spletne strani.
Kaj ste naredili, ko ste ugotovili, da gre za lažno spletno trgovino?
Še isti dan smo obvestili vse vpletene: ponudnika gostovanja spletne strani, ponudnika domenskih storitev, registrarja domene, ter izdajatelja certifikata.
Zakaj je bila potem spletna stran še vedno dosegljiva?
V nedeljo smo prejeli odgovor ponudnika gostovanja spletne strani, da če v roku 24 ur ne prejmejo ustreznega odgovora njihovega uporabnika, bodo blokirali IP naslov. V sredo je bila spletna stran na istem IP naslovu še vedno dosegljiva.
Žal ponudniki dostikrat ne odreagirajo na taka obvestila, in ostanejo pasivni, dokler ne prejmejo odredbe njihovega lokalnega sodišča. Kar pa vemo, da zna precej dolgo trajati. Sploh če vemo, da lažne spletne trgovine obstajajo kakšen mesec ali dva, potem pa same poniknejo.
Spletna stran www.cameract.com trenutno ni dosegljiva? Ali je ta grožnja sedaj odstranjena?
Včeraj, 2.6.2001, so bili izbrisani nekateri domenski zapisi za to domeno, zaradi česar spletna stran trenutno ni dosegljiva. Kar pa še ne pomeni, da se to ne bo v kratkem spremenilo. Zelo verjetno se bo spletna stran v kratkem zopet pojavila, morda v malce drugačni obliki, pri drugem ponudniku gostovanja, morda z malce spremenjenim imenom. Vsaj dokler bodo goljufi na tak način služili.
Kar predlagate prevaranim uporabnikom?
Goljufijo prijavite na policiji.
Read More