Transcription

Czy zastanawiałeś się kiedyś, jak złośliwe oprogramowanie dostaje się na komputery? Pewno większość z Was chciałaby tutaj usłyszeć historię o zaawansowanych technikach. Niestety rzeczywistość wygląda inaczej. Najprościej przekonać użytkownika do instalacji złośliwego oprogramowania. Wtedy to on odwala za przestępcę całą brudną robotę. Wykorzystuje się do tego socjotechnikę, czyli próbuje się przekonać użytkownika do wykonania jakiejś czynności. Większość użytkowników nie jest wtedy świadoma, że to co robią może być niebezpieczne. Nie wiedzą, że uruchamiając plik, który został im wysłany mailem, mogą sprawić, że ich komputer zostanie zainfekowany. Jeżeli wydaje Ci się, że Ty nie dałbyś się nabrać na takie techniki, to ten film jest właśnie dla Ciebie. Postaram się w nim opowiedzieć o tych mniej znanych metodach, które są używane przez przestępców, aby zainfekować nasze komputery. Zapraszam do słuchania. Wszyscy wiemy, że reklamy mogą kłamać. Ich celem jest przekonanie nas do zakupu jakiegoś produktu. Większość z nas na co dzień korzysta z wyszukiwarek. Nie wiesz jak kupić chleb? Szukasz w wyszukiwarce przepisu. Ale wynikami wyszukiwania można w pewien sposób manipulować. Wyszukiwarki to nie są organizacje charytatywne. Muszą jakoś zarabiać. Spora część z nich zarabia przy pomocy reklam. Każdy z nas płacąc odpowiednią kwotę może sprawić, że to jego strona wyświetli się na pierwszym miejscu w wynikach wyszukiwania pod danym słowem kluczowym. A to można wykorzystać, aby przekonać użytkownika do instalacji złośliwego programu. Jak? Wyobraź sobie, że właśnie wróciłeś ze sklepu ze swoim nowiutkim laptopem. Chcesz na nim zainstalować swoją ulubioną przeglądarkę. Wchodzisz więc w wyszukiwarkę i szukasz swojego ulubionego programu. Jesteś przekonany, że pierwsza pozycja w wynikach wyszukiwania, która znajduje się na samej górze, należy do producenta tego oprogramowania. Wchodzisz więc na tę stronę, ściągasz program, uruchamiasz. No i właśnie zostałeś zainfekowany. Jak to możliwe? Przestępcy wykupili reklamę pod to słowo, którego użyłeś, aby znaleźć swój ulubiony program. Wtedy ten pierwszy wynik, który wyświetlił ci się w wyszukiwarce, nie należał wcale do producenta programu, ale prowadził do strony przestępców. Takie reklamy są oznaczone. Może to być malutka ikonka czy napis informujący użytkownika, że ktoś zapłacił za to, że jego strona wyświetla się tak wysoko. Ale wydaje mi się, że spora część zwyczajnych użytkowników nie do końca zdaje sobie z tego sprawę. Użytkownicy wchodzą więc na tę stronę i są przekonani, że robią dobrze. Dodatkowo te strony mogą wyglądać identycznie jak te oryginalne. Zastanów się, czy sam znasz adres, z którego można pobrać Google Chrome? Ten oryginalny, bez znajdowania go w Google? Pewno nie i tą niewiedzę wykorzystują przestępcy. Nie zawsze chodzi o to, abyś coś pobrał i uruchomił. Istnieją różne wersje tego przekrętu. Czasami wyświetlany jest specjalny komunikat, który ma przekonać użytkownika, że coś jest nie tak z jego urządzeniem. Wczuj się w rolę starszej osoby, której na ekranie wyświetlił się niebieski ekran z czerwonym napisem, informujący, że komputer jest zagrożony. Jeżeli nie znasz jej na informatyce, to możesz wpaść po płoch. Działa się tutaj na emocjach, oferuje się ofiarze wątpliwej jakości pomoc. Na dole komunikatu znajduje się bowiem numer, pod który można zadzwonić. Niestety, po drugiej stronie czekają przestępcy, którzy będą nakłaniali do zainstalowania jakiegoś złośliwego oprogramowania albo po prostu wysłania przelewu na ich konto w zamian za naprawę sprzętu. Ale pozostając jeszcze w temacie przeglądarek, mogą one wysyłać powiadomienia. Są one podobne do tych, które znamy z telefonów. Jeżeli raz zgodzisz się na wysłanie powiadomień przez konkretną stronę, to ta strona może w dowolnym momencie wysyłać do ciebie takie informacje. Ta informacja wyświetli ci się wprost na ekranie przeglądarki. Stronom zależy więc, abyś pozwolił im na wysyłanie takich powiadomień. Jest wysoce prawdopodobne, że spotkałeś się z tym nie raz. Nie tylko musisz zaakceptować ciasteczka, ale też walczyć z tymi męczącymi komunikatami o wysyłanie powiadomień. Sposobów na przekonanie użytkownika do włączenia notyfikacji jest wiele. Najciekawszy moim zdaniem to wiadomość na robota. Twórcy stron chcą wiedzieć, czy korzystają z nich realni użytkownicy. Czasami więc jesteśmy proszeni o wykonanie jakiejś czynności, która ma udowodnić, że po drugiej stronie siedzi człowiek. Jedną z najpopularniejszych metod jest przepisanie tekstu znajdującego się na zdjęciu. Ale przestępcy wymyślili coś ciekawszego. Aby wyświetlić nam jakiś artykuł chcą sprawdzić, czy nie jesteśmy robotami. Widzimy więc piękne zdjęcie, robota oraz konkretną instrukcję. Wystarczy tylko, że klikniemy guzik zezwól, który wyświetlił się właśnie na stronie. Oczywiście nie ma on nic wspólnego z żadną weryfikacją. Chodzi o możliwość wysyłania powiadomień użytkownikowi, ale dla osób mniej obeznanych w technologiach może to brzmieć wystarczająco przekonywująco. Te powiadomienia to nawiązanie bezpośredniej relacji z użytkownikiem. Od tego momentu atakujący nie musi już czekać, aż użytkownik wejdzie na jego stronę. Może w każdym momencie wysłać mu powiadomienie, które użytkownikowi wyświetli się wprost w przeglądarce. To od właściciela strony zależy, jak to powiadomienie będzie wyglądało. Jeśli użytkownik w nie kliknie, to zostanie przekierowany do strony. Wyobraź sobie, że kilka dni temu uruchomiłeś na jakiejś stronie powiadomienie. Robisz tak zawsze, przecież to nic złego. Przez jakiś czas nic się nie działo, aż tu nagle otrzymujesz komunikat, który informuje cię, że na twoim komputerze wykryto złośliwe oprogramowanie. Nie do końca wiesz, jak wyglądają takie powiadomienia, ale to, co wyskoczyło na komputerze, wydaje się być ważne. Klikasz więc w okienko i zostajesz przekierowany do strony oprogramowania antywirusowego. Jeszcze tego wtedy nie wiesz, ale to nie jest program chroniący przed wirusami. Ktoś, wykorzystując socjotechnikę, próbuje cię przekonać do instalacji złośliwego oprogramowanie. Co więcej, aby uwiarygodnić cały przekręt, proponuje ci nawet darmowy okres próbny. Sprytne, prawda? Jest to kłopotliwe jeszcze z jednego powodu. Wyłączenie powiadomień jest skomplikowane. Musimy bowiem wejść do ustawiem przeglądarki, tam znaleźć opcje powiadomień i usunąć je przy konkretnej stronie. To nie jest takie proste nawet dla osób, które są obeznane z komputerami. To dalej nie wszystko, jeśli chodzi o przeglądarki. Możemy je modyfikować przy pomocy specjalnych rozszerzeń. My, Polacy, najczęściej instalujemy programu typu Adblock. To w pewien sposób zrozumiałe. Sporo stron wyświetla zbyt dużo reklam, przez co korzystanie z nich jest mocno utrudnione. Instalując rozszerzenie możemy pozbyć się większości kłopotliwych reklam. W naszej głowie pojawia się więc skojarzenie, że rozszerzenia to coś dobrego, bo działają na naszą korzyść, pozwalają nam usunąć te niechciane reklamy. I jakoś mnie to nie dziwi, bo mało kto mówi o tym, że rozszerzenia mogą być złośliwe. A trzeba jasno powiedzieć, że instalacja złośliwego rozszerzenia w przeglądarce może być w skutkach zbliżona do instalacji złośliwego programu z rozszerzeniem EGZ. Takie rozszerzenie może mieć dostęp do stron, które właśnie oglądamy. Jeśli nadasz mu odpowiednie uprawnienia, to rozszerzenie widzi zawartość wszystkich stron, na które wchodzisz. Może mieć dostęp do maili, które piszesz i czytasz. Może też ukraść informacje o tym, ile pieniędzy masz na koncie. Same informacje o tym, na jakie strony wchodzisz, mogą być cenne. No bo wyobraź sobie, że poszukujesz danych na temat jakiegoś konkretnego samochodu. Wiadomo to na podstawie witryn, które odwiedzasz. Rozszerzenie też to widzi i w teorii może te informacje przesłać gdzieś dalej. To cenne dla reklamodawców. Jeżeli oglądałeś artykuły na temat nowego modelu pojazdu, to po jakimś czasie można ci wyświetlać jego reklamy. Być może wpłyną na ciebie i w ostatecznym rozrachunku sprawią, że kupisz ten model. Kto wie? Rozszerzenia wcale nie muszą się zachowywać złośliwie od samego początku. Są one aktualizowane w tle przez przeglądarkę. Zazwyczaj użytkownik nie jest tego świadomy, że właśnie zainstalowała się nowa wersja. Na samym początku więc program może się zachowywać prawidłowo. Chodzi o to, aby stał się popularny. A potem wystarczy lekka modyfikacja kodu i wysłanie aktualizacji do wszystkich użytkowników. Oczywiście sklepy z rozszerzeniami robią co mogą, aby zapobiec takim przypadkom, ale każdy system czy procedurę czasami da się oszukać. Poza tym rozszerzenia można sprzedać. Wystarczy napisać do właściciela z odpowiednią ofertą finansową. Rozważmy sobie taką hipotetyczną sytuację. Jesteś programistą, który po godzinach tworzy rozszerzenie. Twój program jest używany przez tysiące użytkowników, jednak ty na nim nie zarabiasz. Nagle przychodzi do ciebie firma, która oferuje ci setki dolarów w zamian za sprzedaż. Po takiej transakcji to już nie ty jesteś odpowiedzialny za kod, ale nowy właściciel. To tak samo jak w przypadku zmiany właściciela sklepu spożywczego. Dla ciebie jako klienta ten proces jest przeźroczysty. Ten sam sklep, te same produkty, podobne ceny. A że na paragonie widnieje inny właściciel, a kto na to zwraca uwagę? Jeżeli program odkupuje legalna firma, to w teorii nic złego się nie dzieje. Ale przecież mogą to być osoby o złych zamiarach. I co wtedy? Logują się normalnie na konto, bo dostają hasło, a przecież za nie zapłacili. Wykrycie takich modyfikacji nie jest wcale proste. Samoznajdowanie rozszerzeń to też nie jest taka prosta sprawa. Bo jak na pierwszy rzut oka zweryfikować, czy ten program jest dobry, a może jednak zły? Sam obrazek niekoniecznie wystarczy. Z podobną sytuacją mamy do czynienia w przypadku aplikacji na Androida. Zobacz przykładowe aplikacje na tym obrazku. Jak myślisz, która z nich jest złośliwa? Czym się kierujesz w swoich wyborach? Wszystkie aplikacje, które widzisz na tym obrazku są złośliwe. Nie można decydować o tym, czy aplikacja jest zła czy dobra tylko i wyłącznie na podstawie obrazka, albo tylko i wyłącznie na podstawie tytułu. Obrazek czy tytuł można skopiować. Liczy się za wartość, a nie to jak coś wygląda, albo jak coś się nazywa. Dlatego pamiętaj. Jeżeli instalujesz jakieś rozszerzenia, to sprawdź jakich uprawnień ono wymaga. Jeśli potrzebujesz dostępu do wszystkich stron, może warto zastanowić się, czy aby takie rozszerzenie jest nam konieczne. Dla przykładu. Jeżeli aplikacja ma pozwolić na pobieranie zdjęć z Instagrama, to po co jej dostęp do innych stron? W teorii nie jest on jej po prostu potrzebny. Ale czasami można mieć po prostu pecha. Ataki na firmy się zdarzają. W dzisiejszych czasach nie jest to nic nadzwyczajnego. Atakujący mogą mieć różne cele, kiedy łamują się do firmy. Czasami mogą chcieć wykraść jakieś tajne dane, albo też je zaszyfrować i zmusić firmę do zapłaty okupu. Ale czasami mogą chcieć zostać w tej firmie na dłużej, pozostając niewykrytym. Po co? Już tłumaczę. Gdy ściągamy jakąś aplikację, to ufamy jej autorom, że robi ona to, do czego została stworzona i nie wyrządzi nam krzywdy. Nie mamy technicznych zdolności, aby to zweryfikować. Opieramy się więc na zaufaniu. Pobieramy program z legalnych stron, płacimy za nie pieniądze, ufamy, że wszystko jest w porządku. Firmie, która zarabia na swoich produktach, również zależy na swojej reputacji. Dobre imię buduje się latami, a stracić je można w jeden dzień. I to wykorzystują atakujący, którzy zdobywają dostęp do infrastruktury takiej firmy. Mogą wtedy, dla przykładu, opublikować na jej stronach zmienione oprogramowanie, które działa nie do końca tak, jak się tego spodziewamy. Brzmi jak scenariusz filmu science fiction? Ale takie sytuacje miały miejsce i niestety mają coraz częściej. Cleaner to popularne narzędzie do oczyszczania komputera z niepotrzebnych plików. Już w 2012 roku pobrano ten program ponad milion razy. I pomimo tej popularności, atakującym w jakiś sposób udało się dostać do infrastruktury firmy i przez jakiś czas serwować użytkownikom plik z dodatkową złośliwą funkcjonalnością. Jeśli jesteś bardziej zaznajomiony z technologiami, to możesz teraz pomyśleć hola hola, przecież pliki pod Windowsem są podpisywane. Wystarczyło tylko sprawdzić podpis, aby zauważyć, że coś jest nie tak. Dla tych, którzy nie rozumieją, co teraz mówię, już śpieszę z wyjaśnieniami. Chcesz sprzedać auto, żeby transakcja doszła do skutku, sporządzamy umowę. Musisz ją podpisać i dzięki temu wiadomo, że wyraziłeś zgodę na to, co znajduje się w dokumencie. Tylko ty możesz się podpisać swoim podpisem, jeśli ja spróbuję się podpisać za ciebie, to najprawdopodobniej będzie to wyglądać śmiesznie, a grafolog od razu zauważy różnicę. Mamy zatem dowód twojego działania. Podobnie z plikami, które uruchamiamy na komputerze. Jeżeli używasz Windowsa, to pliki mogą zostać podpisane. Używa się do tego specjalnego certyfikatu, który można kupić za kilkaset złotych. Wtedy firma sprzedająca taki certyfikat sprawdza, czy rzeczywiście jesteśmy tymi, za których się podajemy. Czyli czy rzeczywiście mamy prawo do reprezentowania danej organizacji. Mając taki certyfikat, możemy podpisywać plik. Wtedy użytkownik może sprawdzić taki podpis i zobaczy w nim, kto jest autorem danego pliku. Tak jak sprawdzając podpis na dokumencie widać, kto go po prostu podpisał. Ale w tym opisywanym wcześniej przypadku sprawdzenie tego certyfikatu nic by nie dało. Dlaczego? Ponieważ plik był prawidłowo podpisany certyfikatem należącym do firmy. Atakujący zdobyli tak duży dostęp do zasobów firmy, że nie tylko byli w stanie podmienić program, ale także podpisać go prawidłowym certyfikatem. Niestety, ochrona przed takimi atakami z punktu widzenia standardowego użytkownika jest bardzo utrudniona. No bo w teorii zrobiłeś wszystko, co mogłeś. Ściągnąłeś znany program z oficjalnej strony, sprawdziłeś jego podpis, no po prostu miałeś pecha. Pewną modyfikacją tego sposobu jest przejęcie infrastruktury umożliwiającej aktualizację programów. Nowoczesne programy zazwyczaj albo same się aktualizują, albo proszą nas o zgodę na aktualizację. W tle działa to tak, że program kontaktuje się z serwerem producenta i sprawdza, czy aby w międzyczasie nie pojawiła się jakaś nowa wersja. Jeśli tak, ściąga ją i weryfikuje, a następnie instaluje. I ponownie, jeśli mamy pecha i ta infrastruktura zostanie przejęta, to bardzo ciężko jest się przed tym obronić. Wyobraź sobie taką sytuację. Uruchamiasz aplikację, która pozwala na wykonywanie transakcji kryptowalutami. Nagle widzisz taki komunikat jak na zdjęciu. Program informuje cię właśnie, że znaleziono poważny błąd i twoje pieniądze są zagrożone. Wystarczy tylko zaktualizować program, aby być bezpiecznym. Całość szybka i prosta. Wystarczy kliknąć w link poniżej i zainstalować aktualizację. W tym realnym ataku dziesiątki osób straciło swoje pieniądze. Tutaj atakujący posiadali tylko dostęp do serwera, który był odpowiedzialny za wyświetlanie takich komunikatów. Nic samo się nie aktualizowało, ale i tak wiele osób dało się nabrać i pobrało złośliwy plik. Sytuacja z programami jest jeszcze bardziej skomplikowana. W dzisiejszych czasach nikt nie tworzy oprogramowania od zera. Używa się różnych gotowych komponentów i łączy się je razem w jedną całość. To tak samo jak w fabryce samochodów. Żadna firma nie tworzy sama wszystkich elementów. Kupuje niektóre podzespoły od innych. Z jednego miejsca bierze oponę, z innego silnik czy zawieszenie. Podobnie na rynku informatycznym. To prowadzi do nietypowych sytuacji. Czasami okazuje się, że kawałek kodu stworzony przez jedną osobę jest używany w setkach innych projektów, a te są znowu używane w kolejnych dziesiątkach innych projektów i ta kula śnieżna się powiększa i nagle może dojść do sytuacji, że coś co stworzył jeden człowiek jest wykorzystywane praktycznie na każdym kroku. A to jest niebezpieczne. Dlaczego? Jeśli ten jeden człowiek zmieni jakiś fragment w swojej bibliotece, to automatycznie po jakimś czasie ten fragment zostanie zmieniony w wielu innych miejscach, które korzystają z tego samego kodu. A to z punktu widzenia przestępców jest świetne. Atakując jedną osobę mogą zdobyć potencjalnie dostęp do dziesiątek różnych miejsc. I to znowu nie jest tylko hipotetyczne rozważanie. Taka sytuacja miała miejsce w przypadku biblioteki u Aparcer. Tutaj udało się włamać na konto programisty, ten szybko się zorientował, że coś jest nie tak, ale mleko już się rozlało. Wypuszczono nową aktualizację, która poszła w świat. No i ponownie, takie ataki są ciężkie do zlokalizowania, a pewno będą coraz częstsze. Ale czasami użytkownik sam prosi się o kłopoty, bo jeśli ściągasz i instalujesz nielegalne kopie gier czy programów, to wiele ryzykujesz. Rzadko kiedy w życiu otrzymujemy coś za darmo. Możesz teraz pomyśleć, robię tak od wielu lat i nic mi się nie stało. Jasne, może po prostu masz sporo szczęścia. Historia zna wiele przypadków łączenia złośliwego oprogramowania z nielegalnymi kopiami gier. Ten przekręt może mieć kilka rodzajów. Pierwszy to od razu ściągasz złe oprogramowanie, ale tutaj użytkownik szybko orientuje się, że coś jest nie tak, bo po prostu nie uruchomiła mu się gra, której oczekiwał, a wtedy może chcieć zainstalować program antywirusowy. Z czasem więc zaczęto dodawać do gier złośliwe programy. Teraz użytkownik uruchamiając grę może w nią pograć, wszystko więc na pozór wydaje się być w porządku. Tylko, że w tle równocześnie działa także inny złośliwy program. Ale jest jeszcze trzecia, mniej znana modyfikacja tego pomysłu. Przestępcy tworzą proste programy, które wyglądają jak instalatory popularnych gier. Nie są to produkcje najwyższego sortu, ale spełniają swoje zadanie. Teraz trzeba je jakoś wypromować. Pomysłów jest wiele. Można komentować filmiki popularnych youtuberów, którzy grają w gry. Można wklejać linki na Discorda. Można tworzyć strony, a następnie promować je w wyszukiwarkach. I tak oto nasz zagubiony internauta trafia na naszą stronę. Pobiera instalator, wybiera gdzie ma zostać zainstalowana gra i czeka. Tak, czeka, bo ten program nic nie robi. Oprócz tego, że wyświetla okienko, w którym spokojnie pasek postępu posuwa się procent za procentem. Gracz już jest podekscytowany. Jeszcze tylko jedna minuta, pliki już są na dysku. Aż tu nagle komunikat nie tak szybko drogi przybyszu. Musisz jeszcze posiadać kod aktywacyjny. Ale nie martw się, zdobycie go nie jest trudne. Wystarczy, że wejdziesz na stronę i podasz na niej swoje dane, czasami numer karty kredytowej, czasami adres e-mail i już. Dostaniesz kod, który po wklejeniu zamknie aplikację i to tyle. Po prostu sprzedałeś swoje dane. Tutaj cały przekręt polega więc na tym, aby przekonać użytkownika do wypełnienia formularzy, które wyświetlają się na samym końcu. Co ciekawe, ten instalator sam w sobie nie jest jakoś strasznie złośliwy. To tylko wydmuszka, proste okno, które wyświetla kilka obrazków, napisów i pasek postępu. Dlaczego marnowana jest taka szansa? Trudno powiedzieć. Przypuszczam jednak, że chodzi o przechytrzenie firm antywirusowych. Taki program na pierwszy rzut oka dla początkującego analityka może wyglądać jak coś dobrego. Nie usuwa przecież plików, nie szyfruje ich, czy też nie ściąga jakiejś zależności. Dopiero dokładniejsza analiza pokazuje, że coś w tym instalatorze jest nie do końca w porządku. Pora na bardziej popularne metody. Załączniki w e-mailu. Czyli otrzymujemy wiadomość, otwieramy załącznik i już? No, ale to nie jest takie proste. Po pierwsze, w obecnych czasach praktycznie żadna szanująca się poczta internetowa nie pozwoli nam na przesłanie pliku z rozszerzeniem egze. Wszyscy wiedzą, że te pliki mogą być niebezpieczne i lepiej ich nie przesyłać. Ale i na to znaleziono rozwiązanie. Pliki można pakować, czyli używa się specjalnych programów, które wykorzystując algorytmy są w stanie zmniejszyć rozmiar pliku. Dodatkowo tak zmniejszony plik można jeszcze zaszyfrować. Taki plik można otworzyć tylko wtedy, kiedy zna się prawidłowe hasło. I tak nastała era zaszyfrowanych plików z rozszerzeniem .zip. Możesz teraz pomyśleć, co z tego? Przecież aby je otworzyć trzeba posiadać specjalne oprogramowanie. Wysyłanie takich plików do użytkowników nie ma więc sensu, bo przecież i tak ich nie otworzą. No i tak i nie, bo Windows posiada wbudowaną obsługę plików .zip. Jeżeli więc klikniesz na taki załącznik dwa razy otworzy się on, tak jakbyś po prostu wszedł do jakiegoś folderu. Dodatkowo zostaniesz poproszony o hasło. Pozostaje więc tylko stworzyć takiego maila, który po pierwsze przekona użytkownika, żeby otworzył załącznik, a dodatkowo żeby podał hasło, które znajduje się w treści wiadomości. To znacząco utrudnia zadanie programów antywirusowych, no bo teraz nie można sprawdzić czy plik jest złośliwy, bo jest zaszyfrowany. Bez hasła nie wiemy co jest w środku. Może coś złego, a może coś dobrego. Teoretycznie można jako hasło próbować wszystkich wyrazów, które występują w mailu, ale przecież nie zawsze mamy dostęp do tego maila. Poza tym hasło można zapisać w jakiejś innej formie, chociażby coś w stylu hasłem do tego pliku jest suma liczb 12 i 65. Ale z czasem i takie pliki zablokowano po stronie niektórych usługodawców poczty. Treść pliku jest zaszyfrowana, ale jego nazwa już nie. Część korporacji stwierdziła więc, że nie pozwoli na wysyłanie archiwów, jeżeli w środku znajduje się plik z rozszerzeniem egze. Nie wiedzą co jest w tym pliku, ale wiedzą, że ten plik tam jest i wolą dmuchać na zimne. Co zrobili przestępcy? Zmienili rozszerzenie, bo praktycznie w każdym języku programowania można stworzyć program, który zrobi coś złego. Zaczęto więc używać plików z rozszerzeniem scr, vbe, sct, vbs i paru innych. Te rozszerzenia nie są takie popularne i nie budzą takiej grozy jak pliki egze. Dalej jednak mogą wyrządzić wiele szkód. Obecnie popularne są jednak pliki z pakietu office, dots, xls, ppt oraz ich nowsze odpowiedniki. Po pierwsze pakiet zazwyczaj jest zainstalowany na sporej liczbie komputerów służbowych. Po drugie możliwość programów, podobnie jak przeglądarek, można rozszerzać. Służy do tego specjalny język programowania i w dokumentach Worda czy Excela można zapisać taki program. Zostanie on uruchomiony. Gdy otworzymy pliki wyrazimy na to zgodę. Dzięki temu mogą się w nim załadować jakieś dane z internetu czy wykonać jakieś inne skomplikowane operacje. Microsoft przewidział jednak, że pliki te mogą być wykorzystywane do złych celów. Aby użytkownik mógł z nich skorzystać, to musi na to wyrazić zgodę. Tzn. musi kliknąć w specjalny przycisk. Oczywiście widnieje te ostrzeżenie, ale umówmy się, nie działo ono tak, jak przewidywali eksperci. Zwłaszcza, że twórcy złośliwego oprogramowania stosują różne metody, aby przekonać użytkownika do kliknięcia w ten guzik. Mój ulubiony to zamazany obrazek. Otwierasz plik i pierwsze co widzisz to dokument, ale taki nieco rozmazany. Powyżej informacja, że jeśli coś jest nie tak z plikiem, to znaczy, że musisz zaktualizować Worda. Nic się nie ma, nie jest to skomplikowana procedura, wystarczy, że klikniesz w ten guzik powyżej. Oczywiście jest to manipulacja. Ten guzik wyżej nie aktualizuje oprogramowania, tylko uruchamia złośliwy kod, który znajduje się w tym pliku. Ale użytkownik może tego po prostu nie wiedzieć. Co więcej, po kliknięciu przycisku, ten zamazany obrazek jest podmieniany na taki nierozmazany. A to tylko dowód dla Kowalskiego, bo kliknął w przycisk i nagle plik wygląda bardzo dobrze. Sprytne, prawda? Inna metoda to przekręt na pomoc techniczną. Czasami możesz po prostu dostać telefon od banku, albo od kogoś, kto podszywa się pod tą instytucję. Musisz bowiem pamiętać, że pod numer telefonu, czy pod numer SMS można się podszyć. Czyli gdy sprawdzisz numer, z którego ktoś dzwoni na stronie banku, to zapewne go tam po prostu znajdziesz. Ale w rzeczywistości może dzwonić ktoś inny i tylko podszywać się pod ten numer. Dlatego najlepiej w takich sytuacjach zawsze się rozłączyć i samemu oddzwonić na numer infolinii banku. No ale co w sytuacji, kiedy jednak ktoś da się nabrać na takie oszustwo? Tutaj możliwości jest wiele. Dla przykładu może usłyszeć, że jest problem z jego kredytem hipotecznym. Ale proszę się nie martwić, pracownik dzwoni, aby pomóc. Wystarczy tylko na komputerze zainstalować specjalny program. I już wtedy powinna ci się zapalić O co chodzi? Wyobraź sobie, że gdzieś daleko mieszka twoja babcia i ma problem z komputerem. Normalnie musiałbyś do niej podjechać, poklikać myszką, ale jesteś leniwy i chcesz to zrobić zdalnie z poziomu swojego fotela. Wystarczy, że babcia uruchomi program do zdalnego pulpitu, podyktuje ci swój identyfikator, a następnie zezwoli na dostęp do komputera. Wtedy możesz wykonywać czynności na jej sprzęcie dokładnie tak samo, jakbyś był u babci w domu. Jest to świetne rozwiązanie nie tylko do użytku domowego. W dużych korporacjach pracownicy mogą mieć różne problemy. Zamiast biegać od jednego do drugiego, można pomagać im bezpośrednio przy pomocy takiego właśnie oprogramowania. Zatem program sam w sobie jest dobry. Wszystko zależy, kto i w jakim celu go używa, dlatego też program niekoniecznie musi być wykrywany przez twoje oprogramowanie antywirusowe. To trochę jak z nożem. Można nim pokroić cebulę, a można też komuś zrobić krzywdę. Ale pomimo tego, każdy może w sklepie kupić nóż, bo ufamy, że będzie go używał do celów kulinarnych. Podobnie tutaj, samo oprogramowanie to jeszcze nic złego, ale gdy ktoś przy jego pomocy próbuje cię przekonać, chociażby do zalogowania się na konto w banku, no cóż, to najprawdopodobniej oszustwo. Czasami złośliwe oprogramowanie może się też dostać przez komputery innych pracowników. Jeżeli w pracy używasz Windowsa, to być może korzystasz też ze współdzielonych folderów. Macie więc gdzieś jakiś jeden wspólny serwer lub dysk sieciowy, do którego dostęp ma każdy z pracowników. Przechowujecie tam ważne dokumenty i pliki? I jako pracownik ufasz, że rzeczy, które się tam znajdują są dobre? No bo przecież dostęp do tego serwera mają tylko pracownicy. Czemu mieliby szkodzić firmie? A co jeśli ktoś łamie się na konto jednego ze współpracowników? Albo jeden z was zostanie przekupiony przez przestępców lub też po prostu zaszantażowany? Mamy wtedy do czynienia z atakiem z wewnątrz. Bo wyobraź sobie, że taki pracownik zmienia kilka plików na dysku sieciowym. Następnie wysyła maile do swoich kolegów prosząc ich o aktualizację oprogramowania. W treści e-maila podaje ścieżkę do wcześniej zbontyfikowanych plików, które znajdują się na serwerze firmowym. Takie rzeczy się zdarzają. W internecie można znaleźć artykuły, w których pracownice dzielą się propozycjami, które otrzymali od przestępców. Czasami są to naprawdę spore kwoty. Złośliwe oprogramowanie może się też dostać na nasz komputer, jeżeli ktoś ma do niego fizyczny dostęp. Obecnie coraz rzadziej pracujemy z biur, jednak dalej trzeba mieć na uwadze, iż odblokowany komputer, pozostawiony bez nadzoru, może nie być już naszym komputerem. Dlaczego? Jeśli jesteś zalogowany na swoje konto, to masz dostęp do wszystkich plików, folderów i programów. Możesz wtedy ściągać nowe programy czy zapisywać nowe pliki. Jeśli więc uruchomisz coś, co jest złe, to komputer ci po prostu uruchomi. Jeśli ty możesz coś uruchomić, to tak samo może to zrobić osoba, która jest przy twoim odblokowanym komputerze. Możesz pomyśleć, że nie odchodzisz na tak długo. Problem w tym, że żaden szanujący się atakujący nie będzie tych komend wpisywał ręcznie przy pomocy klawiatury. Po co się męczyć? Taki sposób jest wolny, podatny na błędy i wzbudza podejrzenia. Istnieją o wiele lepsze metody. Do komputera można podpiąć urządzenie, które wygląda jak pendrive, ale działa jak klawiatura. I to taka bardzo szybka klawiatura. Wpinasz więc taki malutki brelok do portu USB w komputerze, a on w ciągu paru sekund wysyła do komputera informacje o wciśniętych klawiszach. W ten sposób uruchamiają się wcześniej zaprogramowane zadania. Kilka sekund później jest już po wszystkim. Atakujący wypina urządzenie z portu USB i oddala się w sobie tylko w znanym kierunku. Dlatego tak ważne jest, aby za każdym razem blokować dostęp do komputera. Zwłaszcza jeśli pracujemy z miejsca, do którego dostęp ma więcej osób. Jeżeli mieszkasz sam w mieszkaniu, to raczej nikt w międzyczasie nie podgranie się do twojego komputera, ale należy zachować czujność. Istnieje jeszcze inny sposób. Można wysłać pracownikom firmy prezent, niespodziankę. Pewno nikt nie podłączy niepodpisanego pendrive'a do komputera, ale świecąca kula plazmowa to już coś innego. Więcej o takich narzędziach opowiadam w materiale Narzędzia używane podczas red teamingu. Pozostaje jeszcze kwestia eksploit kitów. Oprogramowania posiadają błędy. Jedne są małe i istotne, a inne pozwalają na zainfekowanie komputera. W tym materiale interesują nas błędy głównie powiązane z przeglądarkami. W odpowiednich warunkach, jeżeli nie zaktualizujemy przeglądarki, może dojść do sytuacji, gdzie wystarczy samo wejście w stronę, aby zainfekować nasz komputer. Wykorzystuje się do tego zestawy błędów, które połączone razem ze sobą pozwalają uzyskać taki efekt. Istnieją, nazwijmy to firmy, które specjalizują się w włączeniu tych błędów w jedną aplikację i sprzedaży takiego pakietu zainteresowanym. Za odpowiednią kwotą można otrzymać specjalny panel, który pozwala na generowanie odpowiednich plików i adresów, którymi możemy infekować użytkowników. Dawniej takie exploit kity były bardziej popularne i się już nieco tracą na znaczeniu. Dużo prościej i zapewne dużo taniej jest po prostu używać ataków socjotechnicznych. Tak, skomplikowane błędy są drogie. Istnieją na te dwa rozwiązania. Kupić taki błąd na czarnym rynku i próbować zaatakować jak największą ilość użytkowników w jak najkrótszym czasie, licząc, że zakup się po prostu zwróci. Druga opcja to wykorzystanie nieco starszych błędów, które już zostały załatane przez producentów. W takim wypadku nie trzeba niczego kupować. Czasami na podstawie samych poprawek można stwierdzić, co było nie tak. Wtedy taki kod nie zadziała we wszystkich przypadkach, bo niektórzy zdążyli już zaktualizować przeglądarki do nowszych wersji. Ale to rozwiązanie jest zapewne dużo tańsze. Dlatego jeśli w internecie pojawiają się informacje, że pewne błędy są już wykorzystywane przez przestępców, to trzeba to naprawdę traktować z powagą. I to tyle na dziś. Jeśli coś pominąłem, daj znać w komentarzu. Jeżeli interesujesz się bezpieczeństwem, to zapraszam Cię na moją stronę, którą znajdziesz pod adresem shurek.top. Znajdziesz tam różne materiały powiązane z security. Warto też dopisać się do mojego newslettera. Znajdziesz go pod adresem shurek.tv. Tworzenie tych materiałów zajmuje bardzo wiele czasu. Jeżeli odcinek Ci się spodobał, rozważ pozostawienie subskrypcji. Będzie mi również miło, gdybyś był moim znajomym. Do zobaczenia następnym razem. Trzymajcie się. Cześć.