» »

Flame izkoriščal Microsoftove certifikate

Flame izkoriščal Microsoftove certifikate

Podpisan Flame

vir: Ars Technica
Ars Technica - Pred tednom dni smo pisali o novo odkritem kosu zlobne programske opreme z imenom Flame, ki vohuni še bolj zvito kakor Stuxnet. O obsežnosti in sofisticiranosti Flama pričajo njegova velikost, izrazita modularnost in taktike za izmikanje odkritju. Vodja razvoja v F-Securu Mikko Hypponen - ki je imel že lani julija še pred odkritjem Flama izjemno zanimivo predavanje o računalniški varnosti v okviru TED Talks - je nad dogodki zaskrbljen.

Kot pravi, so njegovo in ostala varnostna podjetja imela primerke kode, okužene s Flamom že najpozneje leta 2010 in verjetno že prej, a jih nihče ni analiziral. Sistemi za avtomatično javljanje so to kodo zaznali, a je niso označili kot varnostno tveganje, zato se je nihče ni lotil pregledovati. Podobno tudi Stuxneta več kot leto dni po izpustitvi v divjino interneta ni nihče opazil, ali pa manj znanega, a nič manj uničujočega DuQuja. Kar te programe ločuje od klasične zlobne kode, je njihova sofisticiranost, ki daje slutiti, da za njimi stojijo vplivni in bržkone državni naročniki. Očitno je, da gre povsem drugo ligo od tiste, v kateri so pisci protivirusnih rešitev. Te zmorejo zaznati običajne viruse, črve, keyloggerje, a odpovedo pri Stuxnetu podobnih okužbah. In pošteno se bodo morali potruditi, da se prebijejo nazaj v isto ligo.

Medtem je Microsoft razvozlal košček uganke, kako se je Flame tako uspešno skrival. Namesto klasičnih pristopov zakrivanja in brisanja kode, so ga avtorji podpisali kot zaupanja vredno Microsoftovo aplikacijo. Microsoft je odkril ranljivost v starejšem kriptografskem algoritmu, ki se je uporabljal za podpisovanje certifikatov s strani Microsoftovega Terminal Services. Ti so načeloma namenjeni le za potrjevanje statusov licenc, a jih je mogoče zlorabiti tudi za podpis kode. Ni še znano, ali jih je zlorabil kakšen Microsoftov zaposleni ali gre za zunanji napad. Kakorkoli, sistemi so potem kodo prepoznali kot Microsoftov program oziroma še več, Flame sam se je zamaskiral kot Windows Update.

Zato je Microsoft izdal izredni popravek in ni čakal na Patch Tuesday, ki bo šele naslednji teden. Omenjen certifikate so uvrstili na listo zaupanja nevrednih certifikatov in popravili algoritem za podpisovanje, tako da ranljivosti ni mogoče več izkoriščati. Obremenjeni so bili vsi sistemi od Windows XP SP3 dalje.

17 komentarjev

dexterboy ::

Neumestno vprašanje;
čas za prehod na odprto kodo?
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

RejZoR ::

Sistemi za avtomatično javljanje so to kodo zaznali, a je niso označili kot varnostno tveganje, zato se je nihče ni lotil pregledovati.


Kdor misli, da antivirusna pdojetja še danes vse analizirajo na roke se krepko motite. Praktično vsi imajo avtomatične sisteme v katere dobesedno stresajo datoteke, slednji pa jih sortirajo, analizirajo in celo avtomatično ustvarjajo definicije. Edino kar se preverja ročno so "false positives" ter stvari, ki jih ti analizatorji izločijo iz različnih razlogov. Ali zato ker se je datoteka obnašala izven predvidenih okvirov in to zahteva pregled iz strani strokovne osebe, ki datoteko ročno razmontira ali pa zato ker je bil rezultat "inconclusive", torej, da ima mogoče sumljive lastnosti ampak nič očitno izstopajočega.

Community funkcije načeloma tle ne igrajo neke velike vloge, ker načeloma zgolj dostavljajo te datoteke tem sortirnim sistemom, zadnje čase pa se slednje čedalje več uporablja za reputation sisteme (cloud), ki pomagajo firmam pri statističnih analizah in pa pospešeno dostavljanje definicij oz pomoč lokalni heuristiki (low reputation->sandbox kot to npr počne avast!, Comodo, Kaspersky in še drugi).
Angry Sheep Blog @ www.rejzor.com

7982884e ::

dexterboy je izjavil:

Neumestno vprašanje;
čas za prehod na odprto kodo?
a odprte kode pa ne morejo s čim zaobiti? dokler predstavlja zgolj par procentov trga, je pač ne bodo kej dost upoštevali.

če se bojite svojih kriminalnih dejanj na računalniku, vam predlagam edinole, da se odklopite od interneta.

pegasus ::

Odprta koda v smislu da veš, kaj ti teče na mašini, zakaj in s kakšnim namenom. Tega na winsih pač ne veš ...

stegy ::

Res je, da pri odprti kodi imaš kodo, vendar pa to ni garancija, da ni kakšne napače v njej ali pa zlobne kode. Je bilo že nekaj primerov v odprti kodi, da so napako opazili šele čez leta ...

MrStein ::

Pri odprti kodi dobiš malware že na samem izvoru zapakiran... ;)

Glede (pegasus) "veš, kaj ti teče na mašini" pa je za 99% uporabnikov izvorna koda isto kot če bi binarno kodo disasembliral ali dekompajlal.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

jype ::

MrStein> pa je za 99% uporabnikov

Bolje kot 100%.

zmaugy ::

7982884e je izjavil:

dexterboy je izjavil:

Neumestno vprašanje;
čas za prehod na odprto kodo?
a odprte kode pa ne morejo s čim zaobiti? dokler predstavlja zgolj par procentov trga, je pač ne bodo kej dost upoštevali.

če se bojite svojih kriminalnih dejanj na računalniku, vam predlagam edinole, da se odklopite od interneta.


A bi ti tole malo pojasnil?

7982884e ::

zmaugy je izjavil:

A bi ti tole malo pojasnil?
ja če poseduješ cp, navodila za bombe in antraks ter podatke o svojih umorih, pol je bolje da izklopiš internet ali pa greš na tor

zmaugy ::

7982884e je izjavil:

zmaugy je izjavil:

A bi ti tole malo pojasnil?
ja če poseduješ cp, navodila za bombe in antraks ter podatke o svojih umorih, pol je bolje da izklopiš internet ali pa greš na tor


Nič od tega me ne tangira, kljub temu pa ne odobravam nediskriminatornega vohunjenja za vsemi povprek. Tvoja argumentacija je zgolj poceni izgovor za pot v totalitarno družbo, kjer so tvoji argumenti zgolj orodje popolnega nadzora nad posamezniki. Seveda v korist posameznikom na vrhu piramide.

Zgodovina sprememb…

  • spremenilo: zmaugy ()

Gregor Spagn ::

A resno mislite da je to za spy namenjeno?

Dvomim da ima kak večji gov like USA kakšne prste tukaj vmes oni bi k večjemu dobili original certifikat.

Ales ::

Saj so dobili original certifikat, zdaj pa se vsi delajo, da je ukraden. Normalen del obvečevalne operacije, po kateri imaš možnost zanikati, da si vpleten.

Da ti nihče ne verjame itak ni pomembno. >:D

Bananovec ::

7982884e je izjavil:

zmaugy je izjavil:

A bi ti tole malo pojasnil?
ja če poseduješ cp, navodila za bombe in antraks ter podatke o svojih umorih, pol je bolje da izklopiš internet ali pa greš na tor

Tor ni ravno najbolj ravna zadeva. Za take zadeve se uporablja enkripcija v stilu TrueCrypt.
Its only copying if samsung does it. And unless we patent this in 5 years,
this is the shittest tech ever ... and we'll sue you.
Regards, Apple

Mr.B ::

Full dobro, samo potem ne smeš windowsov uporabljati, ker tvoja gesla ergo pine pošilja nekam...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Jst ::

Zanimivo je, da Microsoft bolj ko najema varnostne strokovnjake, več in vedno pogosteje se pojavljajo bugi, ki pa so vedno kasneje (razen nekaj izjem) zakrpane. To je trend MSja zadnjih 5 let. To sem prebral v enemu intervjuju.

Fakt: MS ima na kupu največ strokovnjakov za varnost kot katera druga firma.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Zgodovina sprememb…

  • spremenil: Jst ()

Bor H ::

Fakt: buge v MS programju isče več zlobcev kot v katerem drugem (pa še winsi so mal bolj kompleksni kot recimo flash player)

MrStein ::

http://www.bbc.com/news/technology-1836...

Avtorji Flame poslali "suicide" ukaz (brisanje Flame-a z okuženih PC-jev)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Stranska vrata v Microsoftov Secure Boot so se odprla

Oddelek: Novice / Varnost
116549 (4797) johnnyyy
»

Microsoft bo upokojil SHA-1 in RC4

Oddelek: Novice / Varnost
75931 (4712) alexa-lol
»

Po Stuxnetu in Flamu še MiniDuke, ki je napadal tudi v Sloveniji

Oddelek: Novice / Varnost
125690 (3945) GBX
»

Preverjanje digitalnega podpisa

Oddelek: Informacijska varnost
338170 (6322) neki4

Več podobnih tem