Hakerskie ataki przyszłości

Współczesne wirusy sprawiają wrażenie dziecięcych figli, gdy porównać je z potencjalnymi scenariuszami ataków hakerskich, które czekają nas w przyszłości. Przeraża fakt, że większość metod działa już teraz!

Hakerskie ataki przyszłości

W komputerze, który steruje nowoczesnym samochodem, tkwi więcej wierszy kodu programistycznego niż w komputerze PC z zainstalowanym Windows 95. I można we własnym zakresie odczytać przynajmniej fragment tych danych. Ilość kodu źródłowego upychana do dzisiejszych samochodów niepokoi przede wszystkim specjalistów od bezpieczeństwa, którzy zajmują się badaniem tzw. systemów osadzonych (ang. embedded systems). Jako osadzony określa się miniaturowy komputer wbudowany w innym urządzeniu, np. nagrywarce audycji telewizyjnych, ruterze DSL do nawiązywania połączeń internetowych, czy właśnie w samochodzie. Wielu hakerów upatrzyło sobie za cel takie urządzenia codziennego użytku z systemem osadzonym, do których chcą się włamywać za pomocą komputera. I tak, pewnej grupie hakerów udało się przejąć zdalnie kontrolę nad centralnym komputerem sterującym samochodem. Wdarli się do niego poprzez sensor umieszczony w oponie, który wysyłał dane za pomocą Bluetooth do głównego komputera. Już taka luka wystarczyła im, aby zmanipulować główny układ sterujący autem. Pięć poniższych przykładów ukazuje, co nas czeka w przyszłości.

1. Wirus otwiera wrota więziennej celi

Ucieczka z więzienia może wyglądać już niedługo zupełnie inaczej niż dziś. Zamiast mozolnie kopać tunel pod murami zakładu penitencjarnego, wystarczy zlecić hakerowi otwarcie drzwi więziennej celi i wymaszerować sobie na zewnątrz.

Jak to możliwe. Stuxnet ujawnił, że w zabezpieczeniach komputerów przemysłowych Siemensa kryją się spore niedociągnięcia. Superwirusowi udało się podłączyć do systemu SCADA (Supervisory Control and Data Acquisition) i przejąć kontrolę nad centryfugami w jednej z fabryk atomowych. Specjaliści ds. bezpieczeństwa Newman, Rad i Strauchs dowiedli, że możliwe jest manipulowanie także systemów SCADA stosowanych w amerykańskich zakładach karnych. Systemy te są odpowiedzialne m.in. za otwieranie i zamykanie więziennych wrot. Niektóre modele otwierają przed hakerami niemalże niewiarygodną lukę w zabezpieczeniach. Nazwa użytkownika, za pomocą której można dostać się do jednostki sterującej, jest taka sama we wszystkich urządzeniach, a hasło jest pochodną adresu MAC karty sieciowej. W tej sytuacji dla wprawnego hakera żaden problem przejąć kontrolę nad takim modułem, przemycając doń szkodliwy kod. A gdy przerzuci swój wirus do systemu, może tak długo podsłuchiwać ruch sieciowy, aż ustali, które polecenie otwiera drzwi więzienne, a który wyłącza alarm. Wówczas cyberprzestępca może wedle uznania otworzyć tylko jedne drzwi lub drzwi wszystkich cel, aby umożliwić masową ucieczkę osadzonych.

Środki zaradcze. Każda instytucja, w której bezpieczeństwo odgrywa ważną rolę, niezależnie od tego czy to zakład karny czy koncern opracowujący nowe technologie, powinna postarać się o dobrego doradcę ds. bezpieczeństwa, który zbada istniejące struktury IT.

Te niewielkie przejściówki wpina się do gniazda podłączenia klawiatury. Rejestrują wszystko, co wpisuje użytkownik. Hakerzy mogą umieścić podobne urządzenie w myszy, kamerze internetowej lub innym sprzęcie USB.

Te niewielkie przejściówki wpina się do gniazda podłączenia klawiatury. Rejestrują wszystko, co wpisuje użytkownik. Hakerzy mogą umieścić podobne urządzenie w myszy, kamerze internetowej lub innym sprzęcie USB.

2. Mysz z wbudowanym wirusem

Tzw. keylogger przechwytuje wszystkie uderzenia klawiszy wykonywane przez użytkownika i przesyła te informacje do hakera. Takie mechanizmy są dostępne nie tylko w postaci (złośliwego) oprogramowania, lecz także w formie sprzętowej. W internecie są dostępne przejściówki wpinane pomiędzy gniazdo i wtyczkę klawiatury, które gromadzą wprowadzane dane na wbudowanym układzie pamięci. Droższe modele dysponują modułem WLAN, który automatycznie wysyła zebrane informacje za pomocą e-maila.

Takie rozwiązania to dla fachowców zeszłoroczny śnieg. Ci potrafią sami skonstruować miniaturowy keylogger i umieścić go w dyskretnym miejscu, np. wewnątrz myszy.

Jak to możliwe. Gdy zawodowcy chcą wykraść informacje z jakiejś firmy, wcale nie muszą pokonywać zapory sieciowej ani osobiście zakradać się do budynku. Kupują mysz, umieszczają w niej keylogger. Następnie nabywają od brokerów adresowych listę pracowników danej firmy. Wybierają z niej potencjalną ofiarę i wysyłają jej oryginalnie zapakowaną mysz jako prezent reklamowy. Gdy ich plan wypali, pracownik podłączy mysz do służbowego komputera. Aby program antywirusowy nie uderzył na alarm, hakerzy ustalili wcześniej, jakie oprogramowanie zabezpieczające jest zainstalowane w atakowanej firmie. Odpowiednio zmodyfikowali kod szpiegujący, aby nie został wykryty.

Keylogger rejestruje wszystkie wpisywane dane, w tym dane dostępu do serwera. To powinno wystarczyć, bo większość przedsiębiorstw oferuje swoim pracownikom możliwość zdalnego dostępu. Uzyskane w ten sposób informacje pozwolą cyberprzestępcom zalogować się w firmowej sieci.

Środki zaradcze. Nowy sprzęt powinien być instalowany tylko przez administratorów IT danej firmy.

Komunikaty na niebieskim tle są rzadkością w Windows 7. Przyczyną zawieszania się systemu bywały wrażliwe pliki systemowe. Wiele z nich jest dostępnych w obecnych systemach i może być wykorzystanych przez cyberprzestępców do zaatakowania komputera.

Komunikaty na niebieskim tle są rzadkością w Windows 7. Przyczyną zawieszania się systemu bywały wrażliwe pliki systemowe. Wiele z nich jest dostępnych w obecnych systemach i może być wykorzystanych przez cyberprzestępców do zaatakowania komputera.

3. Stare pliki systemowe zagrażają Windows 7

Przede wszystkim starsze wersje Windows zapewniały hakerom duże możliwości ataku. Dopiero z biegiem lat system ten stał się coraz bezpieczniejszy. Jednak przynajmniej niektóre z podatnych na zaatakowanie plików systemowych nadal tkwią w większości komputerów. Windows 7 nie korzysta z większości tych plików, lecz bywają konieczne do działania starszych aplikacji, więc nadal są instalowane wraz z systemem operacyjnym.

Jak to możliwe. Za przykład takiego pliki stwarzającego zagrożenie może posłużyć win32k.sys. Firma Norman specjalizująca się w zabezpieczeniach informowała, że ten 15-letni plik, który początkowo wchodził w skład Windows NT, jest bardzo podatny na ataki. Odpowiada za komunikowanie się plików systemowych i prostych programów. Jest więc w stanie przenosić dane z chronionego trybu jądra do mniej zabezpieczonego trybu użytkownika. Wykorzystując luki w zabezpieczeniach pliku specjalistom Normana udało się tak zaatakować potok danych, że doprowadzili do zawieszenia się Windows. Przypuszczają, że luka ta umożliwia także przejęcie kontroli nad systemem.

Środki zaradcze. Microsoft usunął luki z pliku win32k.sys. Przed atakami wycelowanymi w inne stare pliki systemowe powinien bronić program antywirusowy.

Przyszły standard tworzenia stron internetowych nosi nazwę HTML 5. Daje przeglądarce internetowej w połączeniu z witrynami niemalże taką funkcjonalność, jak mają zainstalowane aplikacje. Może to wykorzystać złośliwy kod przemycony przez hakera.

Przyszły standard tworzenia stron internetowych nosi nazwę HTML 5. Daje przeglądarce internetowej w połączeniu z witrynami niemalże taką funkcjonalność, jak mają zainstalowane aplikacje. Może to wykorzystać złośliwy kod przemycony przez hakera.

4. Sieci wirusowe w przeglądarce

Nowoczesne witryny internetowe są nadzwyczaj interaktywne. Efekt ten uzyskuje się poleceniami HTML 5. Tak jak jego poprzednik HTML 5 jest tekstowym językiem opisującym wygląd stron internetowych. Wersja 5 ma być oficjalnie zaprezentowana dopiero w 2014 r., lecz większość nowinek jest znana już teraz, a przeglądarki internetowe obsługują wiele z tych poleceń.

HTML 5 pozwala stronom internetowym przejmować wygląd i działanie złożonych programów, a to można wykorzystać do niecnych celów. Specjalista antywirusowy Trend Micro ostrzega, że HTML 5 zapewnia cyberprzestępcom zupełnie nowe możliwości. Dotychczas agresorzy wykorzystywali tzw. botnety (sieci botów). Bot to zarażony komputer będący pod kontrolą kryminalistów. Należy do grupy wielu innych zainfekowanych pecetów, które razem tworzą wspomniany botnet. Służy opryszkom np. do masowego rozsyłania niepożądanej korespondencji lub do atakowania serwerów przedsiębiorstw. Dysponując przeglądarką z HTML 5, agresorzy mogą tworzyć botnety.

Jak to możliwe. Na stronie internetowej jest umieszczany złośliwy kod. Jednak celem ataku nie jest twardy dysk w komputerze ofiary, lecz pamięć RAM. W ten sposób wyprowadza w pole proste strażniki antywirusowe. Ponowne uruchomienie peceta usuwa szkodnika, jednak dla hakera to żaden problem, bo nowoczesne systemy operacyjne (np. w ultrabookach i smartfonach) i tak bardzo rzadko wymagają restartowania. Po ulokowaniu się w pamięci operacyjnej szkodliwy kod może robić dokładnie to, co dotychczas zwyczajne boty.

Środki zaradcze. Ochronę przeciw takim atakom zapewniają nowoczesne pakiety zabezpieczające, które oferują filtr stron internetowych i potrafią analizować kod z tychże stron.

W układach pamięci RAM stosowanych w komputerach i ruterach od czasu do czasu zdarzają się błędy, podmieniając jeden z bitów. W niektórych wypadkach wynikiem jest inny adres internetowy, co potrafią wykorzystać przestępcy do swoich celów.

W układach pamięci RAM stosowanych w komputerach i ruterach od czasu do czasu zdarzają się błędy, podmieniając jeden z bitów. W niektórych wypadkach wynikiem jest inny adres internetowy, co potrafią wykorzystać przestępcy do swoich celów.

5. Przypadkowe manipulowanie

Cyberprzestępcy rejestrują adresy internetowe brzmią podobnie do popularnych, często odwiedzanych witryn. Gdy popełnisz błąd podczas wpisywania adresu strony internetowej (np. wpisując goolge zamiast google), możesz trafić do witryny spreparowanej przez kryminalistę, w której czyha szkodliwy kod. Ataki tego rodzaju są określane jako typosquatting (porywanie URL). Specjalista ds. bezpieczeństwa, Artem Dinaburg, odkrył podobne zagrożenie, nadając mu nazwę bitsquatting.

Jak to działa. Także w bitsquattingu chodzi o zamianę liter w adresie internetowym. Jednak tu różnica powstaje przez błąd w pamięci RAM przetwarzającego go komputera lub rutera. Co ciekawe, wystarczy przekłamanie zaledwie jednego bitu pamięci, aby adres www.microsoft.com przekształcił się w www.mic2osoft.com. Takie pomyłki mają miejsce, bo większość komputerów i prostych ruterów nie jest wyposażona w drogie moduły pamięci z mechanizmami korygowania błędów (ECC, Error-Correcting Code). Wprawdzie zdarzają się wyjątkowo rzadko, jednak lubiane witryny takie jak microsoftowa cieszą się tak ogromną liczbą odwiedzających, że zbiera się dość pokaźna grupa błędnie pokierowanych internautów. Z korzyścią dla hakerów, bo nie muszą nawet zadawać sobie trudu, aby zwabiać ofiary na sfałszowaną witrynę. Musi tylko zaczekać, aż błąd w pamięci RAM sprowadzi je do jego pułapki.

Środki zaradcze. Sprawdzaj zawsze pasek adresu w przeglądarce. Zawiera prawdziwy adres URL.

Jeśli interesuje cię tematyka nowatorskich ataków i nowych metod stosowanych przez cyberprzestępców, przeczytaj artykuły:

Ciemna strona fantastycznych technologii. Atak może przyjść z każdej strony...

Bezpieczeństwo danych: tak szpiegują cię twoje własne urządzenia


Zobacz również