25.11.2011 - Компания Фродекс приняла участие в конференции ZeroNights 2011

День и ночь российских хакеров

Не успели мы забыть первый день российских хакеров (проходивший в мае 2011 года под флагом Positive Hack Days), как следом наступила ночь - ZeroNights, которая состоялась 25 ноября 2011 г. в Санкт-Петербурге. Естественно, компания Фродекс не смогла пропустить такое событие, и поэтому предлагаем вашему вниманию наиболее интересные факты, относящиеся к интересующей нас тематике - а именно, мошенничеству в системах ДБО.

Не верь глазам своим

Задумывались ли вы, что щелкая мышкой на нужной вам кнопке сайта, вы на самом деле щелкаете по другой? Или увидев на экране обычный экран с текстом "Все в порядке. Нажмите Ok" WWW-сервер на самом деле хотел сообщить вам о серьезной ошибке? Маркус Ньемец (Германия) расставит все на свои места. Посмотрите, как легко и изящно, не прибегая к необходимости установки какого-либо вредоносного программного обеспечения, можно перехватить ввод (и отображение) любого текста на экране.

Для демонстрации мы выбрали сайт системы ДБО одного из крупных российских банков - можете посмотреть, как это работает (логин и пароль можно вбивать любые, они все равно не будут отправлены на сайт ДБО). В процессе демонстрации на ваш компьютер не будет установлено какое-либо вредоносное программное обеспечение. Мы также не создавали фишинговый сайт системы ДБО - ваш браузер действительно будет соединяться с рабочим сайтом системы ДБО.

Интересен тот факт, что наличие этого обмана принципиально не может быть обнаружено (а следовательно, заблокировано) антивирусными системами, т.к. понятия "вредоносный код" здесь нет. Стоит отметить, что проблемы, обнаруженные с данным сайтом, характерны многим системам ДБО банков.

Примечание: вполне возможно, что на вашем компьютере эта демонстрация может работать не вполне корректно - нашей целью было не создать страницу, которая 100% работает на всех браузерах, а просто продемонстрировать сам принцип визуального обмана интерфейса пользователя.

Кое-что об APT, или Advanced Persistent Threat

Всего каких-то 5-6 лет назад вредоносная деятельность хакеров заключалась в одноразовом взломе конкретного сайта, небольшой DDoS-атаке, либо аналогичным кратковременным (по отношению к одной компании) действиям. В настоящее время характер вредоносной активности хакеров кардинально изменился - сейчас необходимо говорить о постоянном, хорошо подготовленном воздействии на любой компьютер, подключенный к сети Интернет - вне зависимости от того, является ли этот компьютер сервером либо обычной пользовательской персоналкой. Если этот компьютер - сервер, то сетевые вирусы непрерывно сканируют его на предмет уязвимостей. Если же в поле зрения хакера попадает компьютер пользователя, то осуществляется, во-первых, передача на сервера хакера информации о версиях установленного программного обеспечения (для проверки - содержат ли они известные уязвимости), а затем установка вредоносного программного обеспечения, позволяющего получить полное управление над компьютером жертвы. Возможно также, что злоумышленники пропускают первый шаг, и пытаются выполнить на компьютере клиента все возможные эксплоиты, руководствуясь принципом "какой-нибудь, да сработает".

Такое положение дел заставляет говорить о необходимости непрерывного, целостного и комплексного решения по защите как сервера, так и компьютера клиента.

Подписано, но не тем

Как вы думаете, стоит ли доверять сайту, если работа с ним осуществляется через HTTPS, а браузер не вывел сообщения об ошибке? Федор Ярочкин (Тайланд) сделал акцент на одной особенности всех (ВСЕХ!) современных браузерах - браузер ошибочно считает, что если сертификат сайта подписан доверенным центром сертификации, то этому сайту можно полноценно доверять. Где же ошибка, спросите вы - ведь на принципе доверенной цепочки сертификатов основана современная модель безопасности?

Представьте себе, что некий банк (назовем его bank.ru) для своей системы ДБО https://dbo.bank.ru купил SSL-сертификат, подписанный одним из уважаемых удостоверяющих центров, например, Thawte. Браузер, заходя на этот сайт, доверяет SSL сертификату системы ДБО, т.к. сертификат УЦ Thawte установлен на компьютере клиента как доверенный. Вроде бы все нормально.

А теперь представьте себе, что на компьютере клиента стоит еще один сертификат УЦ (а их, как правило, у пользователя стоит действительно много), и этот УЦ выпустил SSL-сертификат на то же доменное имя dbo.bank.ru, но запрос при этом на сертификат был сформирован злоумышленником. Получается, что клиент, заходя на фишинговый сайт злоумышленника https://dbo.bank.ru, не получит от браузера уведомления о недоверенном сайте, а следовательно, будет считать, что он работает на настоящем сервере ДБО банка.

Насколько вероятна эта ситуация?

Конечно, если пользователь будет работать на «чистой» операционной системе, не устанавливая какое-либо программное обеспечение, в списке доверенных УЦ у него скорее всего будет только список из всеми уважаемых УЦ, где перед выпуском нового сертификата обязательно проверят, что dbo.bank.ru принадлежит банку, а не злоумышленнику. Но какой пользователь не ставит программное обеспечение? А это программное обеспечение может "по-тихому" установить сертификат своего УЦ в список доверенных, даже если это доверие будет распространяться только на текущего пользователя. А в результате на этом "собственном" УЦ злоумышленником будет выпущен сертификат на фишинговый сайт https://dbo.bank.ru, и браузер эту подмену не заметит.

Из нашего практического опыта ситуаций, когда "для того чтобы работало и не ругалось" пользователю необходимо добавить какой-либо сертификат как доверенный УЦ, действительно много - это может быть прописано в инструкции пользователя перед началом работы в системе ДБО либо аналогичной системы. Нам приходилось сталкиваться с необходимостью установки (конечно же, согласно инструкции пользователя к очень важной и нужной системе, предоставленной сторонней фирмой) такими сертификатами УЦ, которые в поле "Понятное имя (Friendly name)" красноречиво содержали localhost.localdomain...

Результат - возможность классического Man-In-the-Middle при работе с сервером ДБО без необходимости установки вредоносного кода на стороне клиента (т.е. и в этом случае антивирусные системы будут бессильны).

Красный октябрь

Приведем несколько фактов, озвученных на конференции ZeroNights.

Факт 1. В процессе проведения исследований, каким образом на компьютер пользователя был установлен интернет-троян, Владимир Кропотов (компания ТБинформ) отметил, что источником распространения трояна являлись широко известные бухгалтерские сайты, имеющие более 200 тыс. уникальных пользователей в день (по этическим соображениям названия этих сайтов не упоминаем). Заражение осуществлялось посредством добавления кода IFRAME на сайт, при открытии которого на компьютер автоматически скачивался PDF-файл с вредоносным кодом (данный механизм распространения вредоносного кода более известен как Drive-by-download). Была зафиксирована интересная особенность - код с вредоносным IFRAME отображался не круглосуточно, а только в рабочие часы, снижая тем самым вероятность обнаружения факта взлома сайта. Примечательно, что наибольшее число таких зараженных сайтов было замечено в середине октября 2011 г.

Была названа наиболее предположительная причина взлома WWW-серверов - утечка административного пароля.

Небольшой наш комментарий. Совсем недавно (примерно в это же время: сентябрь - октябрь 2011 года), при попытке нами открыть страницу очень популярного банковского форума (опять же, по этическим соображениям не будем уточнять, какого именно), браузер автоматически открывал страницу "левого" сайта. Благодаря встроенной в браузер Chrome функции Safe Browsing и наличию этого сайта в черном списке Google, его отображение было заблокировано.

Факт 2. На конференции ZeroNights Александр Матросов (аналитическая лаборатория компании ESET - разработчика одноименного антивируса) сделал акцент на то, что начиная с октября 2011 г. был зафиксирован значительный (в несколько раз по сравнению с предыдущими месяцами) рост случаев обнаружения специализированного банковского трояна Win32/Carberp, посредством которого мошенники воруют средства в системах ДБО.

Как вы думаете, имеется ли какая - либо связь между этими фактами? Является ли второй факт следствием первого? Или же все эти события - просто случайное совпадение? И самый главный вопрос - что является их следствием?

Заслуживает внимание и то, что злоумышленники, взломав сервер популярного сайта, не поместили на первой странице злобную надпись на черном фоне вида "Сайт взломан", как это было популярно несколько лет назад, а то, что посредством взлома злоумышленники хотели распространить вредоносный код на компьютеры пользователей - т.е. получить от этого коммерческую прибыль. Более того, специфическая направленность взломанных сайтов символизирует то, что злоумышленники стараются установить банковский троян на компьютерах тех пользователей, которые непосредственно работают с финансами. Соответственно, если будет аналогично взломан сайт системы ДБО банка, то на компьютерах клиентов этого банка может быть установлен специализированный банковский троян, заточенный под особенности ДБО данного банка.

Из последних новостей. Уже после того, как была подготовлена эта статья, появилась информация, что 1 декабря 2011г. сайт издательского дома "Коммерсант" был успешно атакован хакерами. Злоумышленникам удалось подменить записи на DNS-серверах, тем самым трафик всех посетителей сайта перенаправлялся на сервер злоумышленников. Также злоумышленники могли перехватить содержимое всех почтовых сообщений, направляемых в момент атаки на домен @kommersant.ru. Для справки: среднее число уникальных посетителей сайта www.kommersant.ru составляет свыше 200 тыс. в день. Основная аудитория сайта - представители финансовой сферы России.

О бедном пользователе замолвите слово

Ознакомившись с докладами конференции, нас одолели смутные чувства. Если ранее считалось, что подхватить трояна можно в основном на сайтах специфического содержания (читай: порносайтах), а браузинг на финансовых и проверенных сайтах не несет какой-либо угрозы, то сейчас любая (еще раз делаем акцент - ЛЮБАЯ) активность в сети интернет может привести к тому, что ваш компьютер будет заражен. При этом заражение возможно даже если на компьютер пользователя установлены все последние патчи на Windows, Acrobat Reader, Flash и т.д., а антивирусные базы обновлены 5 минут назад. В этом и заключается смысл Advanced Persistent Threat, характерный для современного Интернета.

Возникает вопрос - что делать?

Все больше и больше мы склоняемся к тому, что необходимо полностью изолировать сегмент с важными данными и сегмент, где осуществляется работа с интернет, интернет почтой и т.д. «Полностью» означает действительно полностью, без возможности неконтролированного обмена файлами. Самое простое решение - работать в интернет только на виртуальной машине, даже с домашнего компьютера, и откатываться на «чистый» snapshot при каждом новом сеансе. Но насколько это возможно реализовать практически - это большой вопрос.

Еще небольшой комментарий. В нашей практике был клиент, у которого пытались украсть средства через систему ДБО (естественно, похитив предварительно секретные ключи). Особенностью этого клиента было то, что для работы с ДБО банка он пользовался только виртуальной машиной, которую включал только по необходимости. Ключи клиента хранились только на этой виртуальной машине. С виртуальной машины клиент заходил только на сайт ДБО банка, и импортировал платежки из бухгалтерской программы. Тем не менее, злоумышленникам удалось установить трояна на эту виртуальную машину и похитить пароли и ключи к ДБО. Предположительно установка трояна произошла в процессе сканирования сети организации вирусом, установленным на другом компьютере пользователя организации.

Напоследок

Наполнение форума ZeroNights было действительно интересным и познавательным - за что хочется сказать большое спасибо его организаторам. Кроме озвученных в этой статье проблем информационной безопасности систем ДБО, на форуме обсуждалось множество других интересных докладов, которые были бы интересны специлистам соответствующего профиля.

Но есть один неприятный осадок - в качестве посетителей форума были в основном технические специалисты IT-компаний и студенты. Несмотря на то, что тематика форума была весьма интересна сотрудникам служб информационной безопасности банков, представителей банковской сферы на форуме было очень мало.

Мы надеемся, что банки все же заинтересованы в создании безопасных решений для своих клиентов, и в следующем году на таком форуме от банков будут присутствовать множество технических специалистов.