Alice eXploitországban

A korábbi kártékony böngésző-kiegészítős előadásairól is ismert Balázs Zoltán lépett ezután a színpadra "Alice in eXploitland" című bemutatójával. Az exploitok elleni védelmek kijátszása az idő múlásával és a folyamatosan fejlődő védelmi mechanizmusok miatt egyre nehezebb feladat. Ennek illusztrálására elmondta, a korábbi támadásokhoz képest manapság már egy ASLR (Address Space Layout Randomization) + DEP (Data Execution Prevention) kijátszása ugyan nem lehetetlen, de azért mindenképpen haladó csoportos kihívás.

Balázs Zoltán

A védekezésben, a biztonsági rések okozta kockázatok csökkentésében az EMET (Enhanced Mitigation Experience Toolkit) eszközkészlet tehet jó szolgálatot, ennek segítségével ugyanis nem csak a teljes rendszer szintjén, hanem külön-külön bármely alkalmazásra is bekapcsolhatjuk a DEP, SEHOP, Heapspray, ASLR stb. funkciókat. Emellett ugyancsak erősen javasolt eltávolítani a Javát (főként, ha azt egyáltalán nem is használjuk), kikapcsolni a böngészőkliensben a Java plugint, hiszen ha egyedül csak a Metasploit alatt nézünk körül, még mindig számos exploitot találunk hozzá. Persze a biztonsági frissítésekkel naprakész operációs rendszer, illetve legfrissebb verziójú böngészőkliens futtatása is hasonlóképpen fontos.

A továbbiakban az ESET-től érkező Robert Lipovskyt szólították, aki a Facebook alatti kártevőkről tartott előadást. Elsőként a Win32/Delf trójait hozta szóba, amely egyaránt terjedt Facebook és az orosz VKontakte alatt is. Ahogy előzőleg Hypponen is említette, itt is szerepet kapott a megfertőzött gépekkel történő Bitcoin bányászat. A másik esetben egy eredetileg 2012 márciusában leleplezett botnet kapcsán olyan érdekességeket észleltek, hogy a PokerAgent kártevő nem csak a Facebook belépési adatokat lopta el, illetve az esetlegesen itt megadott bankkártya információkat, hanem emellett célzottan igyekezett a Zynga Poker játékosokat is megtámadni. Elsősorban izraeli felhasználók voltak veszélyben, és különféle érdekesnek látszó videós tartalmak ajánlásánál egyrészt egy hamis hasonmás Facebook-oldalra kerültek a naiv kattintók, ahol az adathalász oldal ellopta a nevüket ésjelszavukat, ezzel több, mint 16 ezer felhasználó adata került illetéktelen kezekbe.

Robert Lipovksy

Másrészt a videó megtekintése előtt/helyett egy állítólagos kodek telepítését kérték tőlük, és aki ezt megtette, az magát a kártevőt telepítette fel. Vicces módon arra is volt példa, hogy az állítólagos kodek telepítése előtt vakriasztásra hivatkozva arra kérték a felhasználót, kapcsolja ki időlegesen a vírusvédelmet. A Zynga Poker kapcsán le kell szögezni, egyáltalán nem szokványos, hogy ilyen extrém funkcionalitás kerüljön egy botnetes kártevőbe. A védekezéshez kapcsolódva pedig arra hívta fel a figyelmet a szakember, hogy semmiképpen ne adjuk meg a Facebook rendszerében a bankkártya adatainkat.

A cikk még nem ért véget, kérlek, lapozz!