 Jelikož na můj první článek se snesla veskrze pozitivní kritika, řekli jsme si, že by nebylo na škodu pokračovat pravidelně s novinkami ze světa IT bezpečnosti. Zde máte první várku informací, co se událo. Vynasnažím se každý týden vám něco zajímavého přinést - tedy vzhůru k novinkám a zajímavostem!
I na open-source si viry brousí zuby
Přesněji jde o komunitou vytvářený program OpenOffice, který je široce znám jako skvělá alternativa ke kancelářskému balíku MS Office. OpenOffice je navíc k dispozici zcela zdarma. Bohužel i tento balík je nyní pod terčem útoku, jak to tak bývá u oblíbených a rozšířených programů. Konkrétně se jedná o červa (SB/Badbunny-A) napsaného ve skriptovacím jazyce StarBasic, kterého bezpečnostní firma Sophos označila za „proof-of-concept", což znamená, že aktivita infiltrace (napadení) není destruktivní, ale má spíše informativní charakter typu, že touto cestou lze napadnout PC. Firma Sophos se také zmiňuje o tom, že nákaza se dokáže šířit stejně dobře v operačních systémech Windows jako v Linuxu nebo Mac OS. Žádný operační systém tedy není 100% v bezpečí.
Jak probíhá samotná aktivita „špatného králíčka"? Stačí aby uživatel otevřel infikovaný OpenOffice Draw dokument a patřičně napsané makro udělá, co je třeba. Zde je vidět, že když máte makra implicitně zakázána, tak vám nákaza nehrozí - na druhou stranu vždy zakázaná makra nejsou vždy uživatelsky vítána. Pojďme si trochu rozebrat, jak se tento malware projevuje pod jednotlivými systémy...
- Windows: Zavirovaný skript si vytvoří soubor drop.bad, který následně upraví soubor systém.ini, ukrytý ve složce s mIRC komunikačním klientem (používá klienta jako prostředí ve kterém se dále šíří). A aby toho nebylo málo, králíček si vytvoří ještě javascript badbunny.js, jež se dále množí na další soubory.
- Linux: potvůrka využívá linuxového komunikátoru XChat (neplést s oblíbeným českým chatem) přes který se snaží propašovat skript badbunny.py. Jelikož je vir aktivní, nadělá si ještě v Perlu psaný soubor badbunny.pl, který napadá ostatní .pl soubory.
- Mac OS: Zde využívá Ruby-scriptovacího prostředí a na disku oběti zanechá soubory ve tvaru badbunny.rb nebo badbunnya.rb
Ještě jednou bych rád zopakoval, že činnost viru není destruktivní a podle vyjádření Sophos se vlastně ani nedostal mezi uživatele OpenOffice. Tento koncept byl zaslán firmě přímo jeho tvůrci. A perlička na závěr. Šéf Sophosu pan Mark Harris tvůrcům vzkázal, ať se vykašlou na blbosti a najdou si pořádnou práci, protože u nich jim pšenka nepokvete a nehodlají někoho takového zaměstnávat. Tak ani psaním virů se Antivirovým společnostem nezavděčíte :). Na druhou stranu je dobře pro uživatele, že se takováto podobná díra podařila včas najít, než by ji využil někdo, kdo by neměl tolik slušnosti a neoznámil celý problém, i když tímto podivným způsobem. Snad je tedy tato králíčkovská krize zažehnána a uživatelé OpenOffice mohou v klidu pracovat ...
Norton antivirus řádil v Číně jako „Černá ruka"
Doslova tísíce počítačů „poničil" opěvovaný a uznávaný Symantec (Norton) antivirus. A to tak, když se společnosti podařilo do jedné z aktualizací virové databáze propašovat i falešný poplach. Konkrétně šlo o soubory netapi32.dll a lsasrv.dll, které používá čínská mutace operačního systému Windows XP SP2 a jež antivir označil za Backdoor.Haxdoor a nabídl jejich nekompromisní smazání. Mnozí si řeknete, že odmazání dvou souborů neudělá zase tak velkou „paseku", ale bohužel opak je pravdou. Některé soubory jsou pro operační systém zcela klíčové a Nortonu se tímto způsobem podařilo označit zrovna dva stěžejní. Po jejich odmazání totiž počítače po restartu již nezavedly operační systém.
Díky tomuto nevídanému přehmatu sklízí nebývalé úspěchy antivirové řešení s názvem Rising Antivirus, který okamžitě přetáhl mnoho, nyní již bývalých zastánců Symantec :). Zodpovědní zaměstnanci Symantecu, kteří mají na svědomí tento exces, mají asi nadřízeným, co vysvětlovat. Podobná věc může mít pro podobnou firmu dalekosáhlé důsledky a to hlavně na důvěře ze strany zákazníků. Každá firma (a konec konců i náš server) ví, že důvěra zákazníků (popřípadě čtenářů) je nadevše a velmi křehká věc.
Pozor tedy na to, že i Antivirus se někdy může stát takřka virem. Bohužel nic prostě není stoprocentní.
Už jste si někdy dobrovolně zavirovali PC?
Říkáte si, že otázka je postavená na hlavu? Tak to asi nedošlo 0,16% návštěvníků internetové prezentace Didiera Stevense, který nabízel v kampani Google Adwords zavirování PC snadno a rychle pod heslem: "Is your PC virus-free? Get it infected here!" ("Je Vaše PC bez virů? Tady si ho zavirujte!"). Otázka odkazovala na server drive-by-download.info (stránka naštěstí virus neobsahovala), který byl následně monitorován počtem přístupů přes Google. Toto heslo se nakonec na internetu v prezentaci objevilo celkem 259723-krát a kliklo na inkriminovaný odkaz celkem 409 uživatelů, což vůbec není zanedbatelná hodnota v případě, že vezmeme v potaz, pokud by na uvedeném serveru nějaký nový virus skutečně byl a antiviry ho nedetekovaly... Aspoň víme, že jsou mezi námi tací, co skutečně klikají na každou blbost :).
Nezbývá než cenná rada na závěr. Internet je sice fajn místo, bohužel bezpečné tak úplně není. Všechny antiviry jsou pěkná věc, ale můžete jim ulehčit práci, pokud nebudete klikat na každou ,,kravinu", co uvidíte a to včetně otevírání podezřelých mailů s nahotinkami ;). Tak a tímto tento týden skončíme s novinkami ve světě havěti a už snad příští týden se můžete těšit na test jednoho bezpečnostního řešení.
| AUTOR: Jan "DD" Stach |
|---|
| Radši dělám věci pomaleji a pořádně, než rychle a špatně. |
|
