Kriptovírusok: új módszerek, új veszélyek

Korábbi cikkeinkben sokat foglalkoztunk már a vírusokkal és legfőképpen a sokakat érintő, és a modern informatika legnagyobb problémájának tekinthető kriptovírusokkal vagy eredeti angol nevén ransomware-ekkel. Aki esetleg nem tudja miről van szó egy gyors ismétlés. A kriptovírus egy olyan újfajta vírus törzs, amely a mai modern kriptográfiai módszerekre, matematikai algoritmusok alapján történő adattitkosításra épül. Lényegében minden nekünk fontos adatot visszaállíthatatlanul (pontosabban csak a visszaállító kulcs birtokában helyreállítható módon) titkosít a gépünkön. Miután végzett egy üzenet jelenik meg a képernyőn és közli velünk adataink visszaszerzésének módját és azt is hogyan és mennyit kell nekünk ezért fizetnünk. Innen ered az angol ransomware kifejezés, tehát váltságdíjat kér az adatainkért. Sokan azt kérdezik ilyenkor, hogy miért nem kapják el a rendőrök a gonosztevőket, hiszen ez azért mégis csak bűncselekmény. Ez így igaz, de ezeknek a speciális vírusoknak az előzménye volt egy Tor nevű böngésző, amit eredetileg az amerikai hadseregnek fejlesztettek, hogy névtelenséget biztosítson az interneten, illetve megjelentek az ún. kriptovaluták, amikről szintén lehetne egy terjedelmes cikket írni, talán fogunk is. A vírusokkal kapcsolatban azért fontosak csak, mert szintén olyan online fizetési megoldást kínálnak, ami névtelenséget biztosít. Nem tudni a rendszerben, hogy kitől és kinek megy el a virtuális pénz, a gépünkön lévő programból elutaljuk és a címzettnél megjelenik. Rendszerint Bitcoinban szokás váltságdíjat kérni, az a legelterjedtebb és a legmagasabb valódi pénzt érő virtuális valuta.

Kriptovírus

Aztán ezeknél a vírusoknál megfigyelhető egyfajta evolúció is, folyamatosan fejlődnek és amikor az ember úgy érzi már nem tudják semmivel meglepni, újra és újra sikerül nekik. Okos ember viszont más kárából tanul, ezért érdemes lehet elolvasni ezt a cikket.

Minden ilyen cikkben elmondjuk, de sosem elég hangsúlyozni. A megelőzés három legjobb módszere : mentés, mentés, és mentés! Amikor már beütött a baj nem marad más, mint a mentésből visszaállítás. Nagyon ritkák már azok a vírusok, amikben van olyan jellegű szoftver hiba, ami valamilyen kiskaput biztosít, esetleg visszafejtést tesz lehetővé speciális programokkal. Nem árt egy ilyen katasztrófa esetén szakértőhöz fordulni, mert ritka esetben előfordul, hogy van még mit megmenteni. Ez is az evolúciós fejlődés része, hogy ma már ritkák a rosszul megírt vírusok. Általában sebészi pontossággal végzik a dolgukat. Időközben találkoztunk már olyannal is, amelyik lappang a gépen néhány napot mielőtt a legváratlanabb időpontban akcióba lép.

Eleinte a vírusok terjesztése kizárólag e-mail-ben történt, egy spam kampány során sorra küldték a megtévesztő leveleket, benne a vírusos csatolmánnyal. Sok ilyen vírus már abban is továbbfejlődött, hogy miután megfertőzött egy gépet az azon lévő levelezőprogramot felhasználva a talált címlistára terjesztette tovább magát a megtámadott nevében. Aztán legutóbb írtunk a Wannacry őrületről, ami szintén egy újfajta módja volt a terjesztésnek és az eddig talán legkritikusabb támadássorozatot generálta. Ekkor egy Windows-okban használt hálózati kommunikációs protokoll hibáját kihasználva olyan gépekre is vírust tudtak juttatni, amelyeken egyébként senki nem indított el semmit. Védekezni a naprakész vírusvédelem mellett csak a Windows-ok megfelelő frissítésével lehetett. Aztán maradt a hagyományos e-mail-es módszer és a támadások kicsit alábbhagytak, nem találtak ki újat, egészen mostanáig…

Egy ügyfelünk szervere nemrég egy újfajta terjesztési módszerrel kapott el egy veszélyes vírust. Ez esetben a távoli asztal protokollját támadták (RDP), ami ugyan nem újkeletű dolog, de mégis egy picit más volt. Az interneten minden egyes nyilvános IP címet (minden embernek van egy ilyen, aki kapcsolódik a netre) folyamatosan bombáznak robotok (ez alatt jelen esetben egy szoftvert kell érteni) kérésekkel, amiben a gyári alapértelmezett portszámokat (kommunikációs csatornákat) vizsgálják, hogy hol milyen elérhető szolgáltatást találnak. Amikor egy szolgáltatást az internet felől elérhetővé kell tenni, akkor annak portját (csatornáját) meg kell nyitni egy tűzfalon az internet irányába. Ezt a pásztázó robotok észreveszik, majd a szolgáltatás kommunikációs formájának megfelelő üzenetekkel kezdik bombázni. Bejelentkezni próbálnak egészen konkrétan, jelen esetben egy Windows-os távoli asztal szolgáltatáson. Az ilyen, ún. brute force (minden lehetséges jelszót rápróbálnak) módszerekkel szemben szokták azt mondani, hogy bonyolult, kellően összetett (legalább 8 karakteres, kisbetű, nagybetű, szám vagy egyéb karakter) jelszavakat kell használni. Így idő előtt fel fogják adni az ilyen típusú támadásokat és a rendszerünk védve marad. Ezzel ez esetben sem volt gond. A probléma ott kezdődött, hogy az ilyen robotok is tanulnak és elkezdtek szótár alapon, vagyis egy név/jelszó gyűjteményből dolgozni. Ez a módszer sem újkeletű, az viszont mindenképpen az, hogy jól láthatóan begyűjtötték a nyilvánosan hozzáférhető felhasználónév/jelszavakat és annak adatbázisából próbálkoztak, nyilván jóval nagyobb sikerrel.

RDP zsarolóvírus
RDP zsarolóvírus által támadott szerverek, és a támadáshoz használt név/jelszavak

A mellékelt képen is jól látható, hogy a szöveges tartalmak nyilvános és névtelen megosztására szakosodott pastebin.com oldalon közzé is tettek jókora listát azokról az IP címekről és az azokon működő név/jelszó párosokról, amit már feltörtek. Ezen a példán több, mint 8000 feltört rendszer szerepel. Mind olyan IP cím, amit valamely szoftver tárolt jelszavával vagy egy másik gépből kinyert jelszóval törtek fel. Ügyfelünk szerverén ugyanis egy újabb jelenségre lettünk figyelmesek a vírustámadást követően, a vírus saját naplóinak tanúsága szerint egy külön vírus modult szenteltek annak a készítők, hogy a gépen szétnézzen tárolt jelszavak után. Elsőként kiolvasta a Windows-ból a titkosított, tárolt jelszavakat és vélhetően titkosított formában ki is küldte a gépről. Vannak viszont olyan alkalmazások, amikből könnyedén tudnak ilyenkor adatot kinyerni, ilyen például a böngésző, gondoljunk például bele, hogy a Firefox amikor egy kattintással meg tudja nekünk jeleníteni a tárolt jelszavakat, akkor azok mennyire titkosított formában vannak tárolva. A jelszavak betárolása tehát nagyon kényelmes, viszont nagyon veszélyes is lehet. Aztán következő lépésben vírusunk elintézte a fájlrendszerben jelen lévő árnyékmásolatokat, amik egyfajta mentés szerepét is betöltik. Ez sem újdonság, szinte a kezdetektől minden ilyen vírus megteszi ezt még az elején. Aztán jött az adatok titkosítása. Sajnos mivel jelen esetben közvetlenül egy szervert sikerült megfertőznie, így a kétféle mentés ellenére is komoly veszélynek voltak kitéve az adatok. Szerencsénkre, ahogy a korábbi esetekben sem, úgy ezúttal sem történt a legminimálisabb adatvesztés sem, de ehhez egy adag szerencse mellett a gyors reakcióidő is fontos volt.
Amikor azt érzékelték, hogy a rendszerük drasztikusan lelassult egyből jelezték felénk és mivel szerződéses ügyfélről volt szó, így soron kívül meg is kezdtük a probléma vizsgálatát. Amikor kiderült, hogy egy kriptovírus dolgozik éppen a szerveren lévő adatokon, addigra sok mindent el is intézett, a mentéseket tartalmazó különálló HDD viszont teljesen ép volt még, abból tudtunk csinálni végül egy teljes rendszer visszaállítást. A vizsgálathoz használt vírusirtó aznap még tisztának, másnap reggel már vírusosnak azonosította a szemmel láthatóan kártékony elemeket, tehát egy nagyon friss kártevővel álltunk szemben.

Kriptovírus

Az eset több tanulsággal is szolgál. Először is lehet bármennyire jól konfigurált vagy gondozott egy rendszer, bármelyik szoftver elem a tudtunk nélkül üthet hatalmas rést a pajzson. Jelen esetben egy olyan, amúgy nemzetközi nagy multi cég által gyártott szoftver tette ezt meg, amire az ember nem is számítana. Vélhetően a telepítő egy korábbi verziója egy fejlesztő oda nem figyeléséből vagy kényelméből rendszergazdai jogot adott annak a felhasználói profilnak, amit a szoftver telepítője hoz létre a legelején és aminek (nyilvánosan is hozzáférhető) fix név/jelszavával az adatbázist el tudja érni. A rendszergazdai joggal pedig alapértelmezésben együtt jár a távoli asztalhoz való hozzáférés is és máris biztonsági résünk keletkezett. Ezen kívül ha az ember komoly vállalati szintű rendszert üzemeltet (ebben az esetben a szóban forgó program akadályozta ezt meg például, mert összeférhetetlen volt a Windows-os címtárral), ott érdemes fiókzárolást beállítani a végtelen számú jelszópróbálkozás ellen. Vannak a távoli asztal port védelmére szolgáló alkalmazások is, amik szintén csökkenthetik a kockázatot, de mindkét intézkedés akkor ér valamit hogyha amúgy rövid idő alatt generált sok próbálkozásból találnának be. Ezen kívül érdemes csak a szükséges portokat kiengedni a tűzfalon a net irányába, ami olyan azt pedig komoly titkosítással rendelkező VPN kapcsolaton keresztül érni el. Ehhez sajnos célhardver is kell, emiatt a kisebb cégek, otthoni rendszerek esetében nem elterjedt a módszer, de kisvállalati környezetben is tudunk már olyan megoldásokat ajánlani, ami ha kellően jól van beállítva sokat javíthat a védelmen. Itt megjegyezném azt is, hogy az elhanyagolt, hozzáértés nélkül üzemeltetett vagy éppen nem üzemeltetett rendszerek vannak a legnagyobb veszélynek kitéve. Sok esetben pedig akkor fordulnak hozzánk ügyfelek, amikor már mindennek vége. Márpedig egy ilyen támadás egy cég életébe is kerülhet, ha például az összes nélkülözhetetlen adat elveszik. Az otthoni felhasználóknak sem esik jól, ha számukra pótolhatatlan fényképek kerülnek örökre titkosítás alá, de egy cég életében ez sokkal nagyobb tragédia. Ehhez képest elenyésző az a költség, amibe egy adott esetben sokkal tudatosabban üzemeltetett rendszer, a megfelelő biztonsági mentés, tűzfal és vírusvédelem kerül. Ezek mindegyike ha jelen van lényegesen kevesebb az esélyünk az adatvesztésre. Nekünk üzemeltetőknek pedig az a tanulság, hogy nagyon résen kell lenni. Jön egy új program és a tudtunk nélkül olyan jogosultságokat hoz létre, amit nem is gondolnánk. Sajnos időről-időre meg kell vizsgáljuk a rendszerünkben ezeket az elemeket is, illetve ha kell és lehet a gyári alapértelmezéseken is változtatnunk kell. A kriptovírusok úgy néz ki nem csak hogy továbbra is a mindennapjaink részei maradnak, de időről-időre újra próbára tesznek minket és rendszereink védelmét.

Meltdown és Spectre sérülékenység, ami a hírekből kimaradt

Ahogyan a rendszeres olvasók már megszokhatták, nem szoktunk fajsúlyos informatikai témák mellett elmenni szó nélkül. Január elején egy olyan súlyos, processzorokat érintő sérülékenységre derült fény, ami teljes joggal járta be a világsajtót és nagyon sokan foglalkoztak akkor a témával. Éppen a nagy médiavisszhangnak köszönhetően nem éreztük akkor fajsúlyosnak foglalkozni a dologgal, mivel számtalan nagyon jó cikk volt elérhető a neten a témával kapcsolatban. Akik esetleg akkor lemaradtak volna, azoknak ajánlom az alábbi linkeket:
https://index.hu/tech/2018/01/04/ujabb_sulyos_processzorhibat_talaltak_minden_gepet_telefont_tabletet_erint/
http://hvg.hu/tudomany/20180111_microsoft_windows_szoftverfrissites_meltdown_spectre_miert_lassu_a_gepem_2018_benchmark_lassulas_merteke
http://hvg.hu/tudomany/20180108_mit_csinal_a_meltdown_video_intel_botrany

Meltdown

Spectre

A probléma megoldásán persze vélhetően az összes csúcsmérnök megkezdte a munkát az Intelnél, ennek ellenére a megoldás kulcsát a mai napig nem igazán találták meg. Erről szeretnénk most néhány tapasztalatot megosztani az olvasókkal, illetve a cikk első felében összeszedném azokat az információkat, amiket a két hónap alatt eddig megtudtunk a két hibáról.

Először is fontos leszögezni, hogy rengeteg médiában megjelent cikk általánosságban említi a processzorokat, hogy mind sérülékeny, de ez nem teljesen így van. Ugyanakkor az említett két sebezhetőség valamelyike szinte minden felhasználót érint a világban. A Meltdown hibában az Intel által az elmúlt 20 évben gyártott szinte minden (csak néhány korábbi Atom processzor és a rég elfeledett, jellemzően szerverekben használt Itanium kivétel) processzor érintett. Más gyártók a Meltdown problémában nem érintettek. A Spectre sérülékenységnek viszont két különböző fajtája is ismert, ezek közül jelenlegi ismeretek szerint a kevésbé érzékeny 1-es típusban érintett az AMD is, a súlyosabb 2-es típust szintén csak az Intel chipjeiben azonosították. Rossz hír viszont a mobilos felhasználóknak, hogy a jellemzően mobileszközökben jelen lévő ARM processzorok is érintettek a Spectre problémában, ahogyan az NVidia is jelezte, hogy egyes grafikus chipjeivel szintén baj van. A probléma tehát igen súlyos és mindenkit érint a világban, bár nem egyformán, a továbbiakban megnézzük melyik sebezhetőség milyen problémákat vet fel és annak mi a megoldása.

A Meltdown sebezhetőség
Először is kezdeném ezzel a problémával, mivel az Intel által a világ nagy része érintett és ez a hiba ráadásul a súlyosabb. Egyrészt könnyebben kihasználható, mint a Spectre, másrészt a hardveres hiba jellegéből adódóan bármilyen operációs rendszeren fennáll. A nagyobb szoftver gyártók (Microsoft, Apple) már mind adtak ki javításokat rá, hogy a rést befoltozzák, illetve a legújabb Linux kernelek is nyújtanak már védelmet, ezek alkalmazásával is adódnak gondok, de erről bővebben majd a folytatásban. Jelen cikknek nem témája részletesen kitárgyalni a processzorok belső működését, arra rengeteg írás született már a neten magyar nyelven is. Amit esetleg egy átlag felhasználónak tudnia érdemes, hogy a processzorok munkájuk során adatokat töltenek be különböző átmeneti memóriákba (cache), hogy ott dolgozzanak velük. A különböző programok által kezelt minden adat átfut itt, amire most biztonsági kutatók olyan kiskaput találtak, amin keresztül ezek az átmeneti tárolók megcsapolhatóak. Ezért (teljes joggal) a világméretű pánik, mivel az Intel processzorai szinte mindenhol jelen vannak és így a rés is velük együtt. Az AMD tulajdonosok örülhetnek, ők nem érintettek.

A Spectre sebezhetőség
Egy kicsit más jellegű, de szintén a processzorok működési mechanizmusán alapuló biztonsági probléma a Spectre. Egyedül ebben hasonlítanak a Meltdownnal, illetve közös pont még, hogy az Intel processzorai ugyanúgy érintettek benne, ráadásul ők egyedül akik mindkét típusú Spectre támadással szemben védtelenek. A jó hír ezzel szemben, hogy a Spectre sokkal nehezebben kihasználható biztonsági rés és kevésbé kritikus is, illetve szűkebbek a lehetőségek is egy Spectre alapú támadás során. A rossz hír viszont, hogy szoftveresen nem javítható. Tehát ez a probléma egyedül a processzorok cseréjével lesz csak teljes mértékben kiküszöbölhető. Az AMD tulajdonosok ismét örülhetnek, jelenlegi ismereteink szerint ugyanis csak az 1-es számú Spectre támadással szemben védtelenek és azzal szemben is csak egyes Linux változatok gyáritól eltérő kernel beállításai esetén, a 2-es számú egyáltalán nem fut le rajtuk. Ezzel szemben az Intel processzorok minden operációs rendszer alatt érintettek mindkét Spectre támadással szemben. Itt lényegében a felhasználói fiókok és a jogosultságok közötti falat törik át, jellemzően böngészőn keresztül. A processzor egy tervezési hibáját kihasználva úgy fér hozzá egy program kód egy másik adatához, hogy közben a rendszer szintjén nem lehetne ahhoz hozzáférése. A jelenlegi állás szerint erre nem tudnak biztos szoftveres megoldást adni, ugyanakkor a szoftver gyártók és a legelterjedtebb böngészők fejlesztői már adtak ki frissítéseket a szoftvereikhez, amelyek a Spectre ellen hivatottak védeni.

A megoldás: szoftverfrissítés?
A Meltdown problémában a legjobb hír, hogy van rá biztos szoftveres megoldás, sőt már szinte minden rendszerre adtak is ki frissítést. A rossz hír az Intel processzorok tulajdonosainak, hogy az alkalmazása 5-50% közötti lassulást fog jelenteni programtól függően (egyes források szerint 5-30%), ami az olyan rendszereknél, ahol egyébként is nagyon ki van hegyezve a hardver komoly problémákat fog okozni. Ezzel szemben egyes források szerint a problémát a kezdetben kiadott frissítések nem oldották meg, sőt egyéb problémákhoz is vezettek. Egy dolog biztos, hogy több általunk felügyelt rendszeren a naprakész Windows és a konkrét Windows Update csomag telepítése után is sebezhetőnek jelzik a gépeket a tesztprogramok, ami egybevág több szakmai portál információival is, miszerint a hibát azóta sem oldották meg. Csak bízni tudunk benne, hogy az IT történelem legnagyobb biztonsági incidense nem marad hosszú ideig megoldatlan…

Kapcsolódó cikkek:
https://index.hu/tech/2018/01/23/linus_torvalds_az_intelnek_a_hibajavitasotok_szemetre_valo/
http://hvg.hu/tudomany/20180123_intel_processzor_hiba_javitas_frissites_spectre_szoftverfrissites_telepitese
https://en.wikipedia.org/wiki/Meltdown_(security_vulnerability)
https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)

Svédül tanul az Outlook

Sokan tapasztalhatták, és a következő napokban még fogják is, hogy a Microsoft egy félresikerült frissítésének köszönhetően most fél Európa svédül tanul alapfokon. Nem mindenki, mert az olaszok portugál nyelvre panaszkodnak, ahogy a távolabbi keleten is egyeseknek portugálul jelentkezett be az Outlook-ja.


A problémát két keddi frissítés okozza, melyekben az Outlook 2007 és 2010-es verziója érintett. Az online fórumokon sokan keresték rá a megoldást, ami a KB4011086 (Outlook 2007) és a KB4011089 számú frissítés eltávolítása, majd letiltása a Windows Update beállításai alatt. Ez ugyanakkor nem javasolt a Microsoft szerint, mivel egy nagyobb biztonsági frissítés részeként érkezett. Sokan erre legyintenének, mivel nagyon kevesen vesznek tudomást idő előtt a kihasználható hibákról, ugyanakkor itt egy picit más a helyzet, a frissítés publikálásával ugyanis a rosszindulatú hozzáértők vissza tudják fejteni, hogy mely problémára akart megoldást nyújtani az adott frissítés, így egy ilyen csomag publikálásával nyilvánossá válik a biztonsági rés is. A másik probléma, ami miatt érdemes lehet picit várni, hogy sok esetben a mappák is átnevezésre kerültek, melyek a frissítés eltávolításával nem állnak vissza maguktól. Remélhetőleg a kiadásra kerülő javítás megoldja majd ezt a problémát is, akinél viszont már nincs fent a hibás csomag ott korántsem biztos, hogy ez működni fog.
A vállalkozó kedvűek a vezérlőpultban a telepített frissítések alatt eltávolíthatják a fentebb megadott csomago(ka)t, ezzel helyreáll a nyelv egy újraindítás után. Ha ez megtörtént a Windows Update alatt egy jobb kattintással el kell rejteni az adott csomagot, így a Windows nem próbálja többet telepíteni.
Aki úgy érzi együtt tud élni néhány napot, esetleg 1-2 hetet a problémával (egyelőre nincs ígéret az MS részéről mikor lesz javítás), annak érdemes lehet kivárni, amíg egy újabb patch javítja majd a nyelvet.
Addig sajnos nincs mit tenni, esetleg meg lehet tanulni pár szót svédül:
från – tól
till – küldő
kopia – másolat
hemlig kopia – titkos másolat
meddelande -üzenet
skicka – küldés
ämne -tárgy

Egy témával kapcsolatos angol nyelvű fórum: https://social.technet.microsoft.com/Forums/office/en-US/72037dce-f8bb-475f-8f2d-4af6b3a9ea88/latest-outlook-2007-security-patch-kb4011086-is-wrong-patch-is-change-app-language-to-swedish?forum=officeitprolegacy

A fórum nyitó posztjában található egy olyan parancssor is, amit egy .bat fájlba kimásolva kicsit automatizálhatjuk is a folyamatot. Ez már egy kicsit komolyabb szakértelmet kíván, de nagyobb mennyiségű problémás géppel rendelkező ügyfeleknél sokat segíthet a tömeges eltávolításban.

Bár sokan mulatságosnak találhatják a problémát, sajnos nem mindenkinek az. Azért a végére két pozitívumot is mondhatunk. Egyrészt sosem lehet tudni mikor ment életet pár svéd szó, amit most megtanulunk, a másik pedig, hogy még egy svéd sem panaszkodott. 🙂

Trevlig dag för alla dina läsare och lycka till att ta bort uppdateringen!