Aktualizace Mac OS X proti Mac Defender malware je nefunkční

Mac Defender malware se velmi rychle přizpůsobilo nové verzi Mac OS X – ta měla zabránit nekontrolovatelnému šíření malware. Zhruba osm hodin po uvolnění aktualizace se objevila nová verze Mac Defender malware

Apple vstoupilo v květnu do nového světa – světa, který uživatelé Windows důvěrně znají dlouhé roky. A pro řadu uživatelů Mac OS X bude nový svět velmi překvapivý – bez kvalitního antivirového software se neobejdou. Uzavřenost Apple světa se neukázala jako dostatečná ochrana proti malware – Mac Defender našel cestu do operačního systému klasicky bez nutnosti interakce s uživatelem. Apple nejprve celý problém ignorovalo, Apple Store dostalo nařízeno se zákazníky problém vůbec neřešit, ale nakonec Apple rezignovalo.

Nová verze Mac OS X měla problém s Mac Defender malware odstranit – podařilo se jí to na několik hodin. Nový Mac Defender v podobě „mdinstall.pg“ se opět úspěšné šíří. Apple sice pro Mac OS X nabízí „antivirové“ řešení, ale v porovnání s klasickými antiviry na Windows nejde ani tak o antivirus – sleduje pouze stahované soubory, porovnává je s databází nebezpečných souborů a stažení případně zablokuje.

S novou verzí Mac OS X Apple přešlo na denní automatickou aktualizaci databáze škodlivých souborů – chybí ale jakákoliv heuristika a další pokročilé metody detekce virů a malware.

Spammeři používají vlastní zkracovače adres

Symantec upozorňuje na vzrůstající využití zkracovačů adres pro spam a útoky na Internetu. Služby veřejných zkracovačů už nestačí a spammeři začínají používat vlastní.

Zpráva MessageLabs Intelligence: May 2011 (PDF) upozorňuje na růst používají vlastních zkracovačů adres  spammery a útočníky – ti vedle použití klasických zkracovačů (jako je například bit.ly či goo.gl) používají vlastní zkracovače.

Cesta k závadnému obsahu na Internetu tak zpravidla vede odkazem v mailu vedoucím na zkrácenou adresu v bit.ly (či jiném „normálním“ zkracovači) a poté je návštěvník přesměrován na vlastní zkracovač. A až v posledním kroku se ocitne na cílové stránce.

Spammeři si své zkracovače zřizují na doménách, které za tímto účelem zaregistrovali i před řadou měsíců a nikdy je na nic nepoužili – takovéto domény jsou po celou dobu nepoužívání neviditelné a nezjistitelné. A skrz ně zkrácené adresy se objeví až v konkrétním spamu – a mohou se libovolně měnit a přizpůsobovat.

Tvůrci virů a malware se naučili využívat Google Images

V More on Google image poisoning najdete detailní informace o způsobu využití Google Images, tedy vyhledávání obrázků, pro malware a viry. Nejčastější zneužití spočívá v přesměrování příchodů z Google Images na falešné antiviry.

Útočníci přitom využívají ve velké míře kompromitované (hacknuté) weby – na tyto weby umisťují PHP skripty, které generují obsah pro Google indexovací roboty podle toho, jaká klíčová slova zrovna chtějí využívat. Zajímavé je i to, že útok probíhá přímo na Google Images – není ani nutné, aby došlo k návštěvě webu – využívá se přitom toho, že Google zobrazuje „náhled“ na obrázek i web.

A právě web je zobrazen přímo v „pozadí“ – škodlivý skript tak snadno zjistí, že je zobrazen z Google a pokusí se o útok na počítač uživatele.

Útočníci už tímto způsobem využívají Google Docs více jak měsíc – Google bohužel zatím s žádným řešením nepřišel a jediné co občas udělá je odstranění informací z indexu vyhledávače.

Nejčastější využití je v podobě falešných antivirových programů (FakeAV) – uživateli je zobrazeno „varování“ falešného antivirového programu, včetně falešných výsledků o nalezených virech. Následně je mu nabídnut „antivirus“, který je ve skutečnosti malware.

Pokud vás zajímá konkrétní příklad, najdete jej například v Google Image Searches Leading To FakeAV Sites

„Watch the Osama Shoot down video“ spam na Facebooku

Nic překvapujícího, spammeři zaplavili Facebook „odkazy“ na „Watch the Osama Shoot down video“ a uživatelé Facebooku jim ještě pomáhají v šíření. Žádné video se nekoná, jde o klasicky clickjacking, commentjacking a likejacking

Osama is dead, watch this exclusive CNN video which was censored by Obama Administration due to level of violence, a must watch. Leaked by Wikileaks.

Mrtvý Osama stále neexistuje ani na fotografiích (ta jediná Fotka zabitého Osamy bin Laden je … samozřejmě podvrh), natož aby bylo k dispozici video. Tradičně platí, že Facebook nedokázal na další útok spammerů a podvodníků zareagovat. V nebývalé míře jsou využívání i Facebook Events (události).

Sophos: Otevřený dopis Facebooku ohledně bezpečí a soukromí (uživatelů)

facebook-zuckerberg-open-graphSophos vyzývá otevřeným dopisem (An open letter to Facebook about safety and privacy) Facebook k zlepšení péče o bezpečí a soukromí uživatelů. Varuje před každodenními případy zločinů a podvodů na Facebooku. Nabízí tři základní pravidla, která by Facebook měl začít dodržovat.

Soukromí jako standard

Je nutné ukončit praxi sdílení čehokoliv bez jasného souhlasu uživatele (opt-in). Přidávání nové funkčnosti sdílení informací o uživateli nemůže znamenat, že tato funkčnost bude automaticky povolena.

Prověření vývojářů aplikací

Je příliš snadné stát se vývojářem na Facebook – svědčí o tom více jak milion vývojářů aplikacích registrovaných na Facebook platformě. A není žádné překvapení, že Facebook je zaplaven škodlivými aplikace a virálními podvody. Pouze prověření a schválení vývojáři by měli mít svolení publikovat aplikace na platformě.

HTTPS pro všechno

Sophos vítá umožnění přístupu přes HTTPS, které je ale standardně vypnutí. A navíc je nabízeno jenom „tam kde je to možné“. Facebook by měl vynutit bezpečné spojení ve všech případech.

Komentář

Soukromí na Facebooku neexistuje a roky existence Facebooku stále ukazují, že Facebook dělá maximum pouze pro dosažení zisků – a vždy znovu a znovu zkouší, jak daleko může zajít. Uživatelé jsou navíc nepozorní, neuvědomují si možné důsledky svého chování a „bezpečnostní dialogy“ proklikávají tradičně bez čtení – zpravidla jsou stejně nic neříkající a pro technicky nezkušené uživatele jsou nesrozumitelné.

Facebook soukromí uživatelů ignoruje, ale nejenom v otázce sdílení informací – neochota jakkoliv s uživateli komunikovat v případě problémů (chybí jakákoliv uživatelská podpora) znamená i to, že případy zneužívání fotografií, ponižování či šikany nejsou Facebookem řešení buď vůbec, nebo až za týdny a měsíce. A jediná spolehlivá cesta jak přimět Facebook k reakci je dostat tyto případy do amerických médií.

Aplikace jsou rájem tvůrců virů, podvodů a všech dalších aktivit, které využívají volnost Facebooku a nezkušenost (a mnohdy až hloupost) uživatelů. Facebook navíc daleko spíše bude promazávat neškodné malé aplikace (a znepříjemňovat život firmám), než by věnoval pozornost skutečně nebezpečným aktivitám. Viry a podvody na Facebooku mají zpravidla hodiny až dny života. A za tuto dobu dokáží napáchat velké škody.

Škodlivé aplikace velmi dobře umí využívat všechny „výhody“, které jim Facebook dává – rozsáhlý přístup k informacím o uživatelích, možnost spamu, zneužívání Událostí, označování ve fotografiích. Ve většině případů by omezení podobných funkcí znamenalo výrazné omezení celého Facebooku a je velmi málo pravděpodobné, že Facebook bude ochoten jít touto cestou – ohrozil by tím vlastní příjmy. A peníze jsou přeci vždy až na prvním místě.

Otázka zavedení dalších schvalovacích procesů pro aplikace je dvousečná zbraň – s neschopností Facebooku zajistit služby v přijatelném čase a absurdní neochotou jakkoliv komunikovat by něco takového znamenalo efektivní znemožnění vývoje jakýchkoliv aplikací. Aby to bylo možné, bylo by navíc nutné výrazně omezit možnosti Open Graph API a všech souvisejících služeb.

Pravdou je, že přísnější dohled nad aplikacemi (a hlavně zrychlení reakcí na vznikající problémy) by výraznou měrou omezilo spam a podvody.

Bezpečné připojení v prohlížeči sice na Facebooku (už) používat můžete (víte-li kde si tuto volbu zapnout), ale implementace je nedostačující – zejména v okamžiku, kdy vstoupíte do nějaké aplikace – tam HTTPS není možné. Některé části Facebooku na HTTPS připojení navíc nefungují správně a chovají se chaoticky, takže používat toto bezpečnější připojení k Facebooku je spíše problém než něco, co by uživatelům pomáhalo.

HTTPS připojení je navíc nutné jenom tam, kde se uživatel nachází na nezabezpečené síti (viz FireSheep umožní získat přístup k Facebook účtům. Nejenom k nim), tedy tam kde je možné očekávat odchytávání komunikace někým jiným – Facebook na veřejné Wifi je typickým příkladem, kdy je nutné používat HTTPS připojení. Ve firemních či domácích sítích (pokud to není zrovna otevřené WiFi) taková nutnost zpravidla není.

Coreflood botnet odstaven, po zhruba deseti letech působení

Americké Ministerstvo spravedlnosti (DOJ) ve středu oznámilo zničení Coreflood botnet aktivit. Po skoro desetiletí působení soustřeďujícím se na krádeže osobních a  finančních informací od uživatelů.

„Coreflood“ je název řídícího programu, který ovládal rozsáhlou síť počítačů. Zásah DOJ vedl k zabavení pěti řídících serverů, 29 doménových jmen a vznesení obvinění proti 13 osobám. Ty jsou velmi pravděpodobně cizí národnosti. Coreflood aktivity mohly oběti připravit až o vice než 100 milionů dolarů.

Součástí odstavení sítě bylo i převzetí aktivit řídících serverů, zjištění adres všech ovládaných počítačů o odeslání pokynu k zastavení aktivit pro tyto počítače. DOJ tak učinil na základě soudního svolení a mírně paradoxní je, že pokyn k zastavení odeslal pouze do počítačů umístěných v USA. Počítače získané do Coreflood sítě ale zůstávají potenciální hrozbou – při každém novém spuštění takovéhoto počítače se software znovu aktivuje a může začít pracovat, případně může začít být ovládáno odjinud.

Podle Coreflood/AFcore Trojan Analysis jde o jednu z nejdéle a bez přerušení pracujících botnet aktivit s více než 378 tisící infikovanými počítači. Od jednoduchého software používaného k napadání IRC (Internet Relay Chat) serverů se Coreflood stal později nástrojem pro anonymní přístup k internetu. A nakonec se stal nástrojem pro krádež informací. Dařilo se mu, mimo jiné, vynikat i v míře nakažení rozsáhlých firemních sítí (viz obrázek zobrazující míru nakažení sítě velkého hotelového řetězce).