7 attacchi furtivi utilizzati dagli hacker più subdoli di oggi

Milioni di malware e migliaia di bande di hacker maligni vagano nel mondo online di oggi depredando facili imbrogli. Riutilizzando le stesse tattiche che hanno funzionato per anni, se non decenni, non fanno nulla di nuovo o interessante per sfruttare la nostra pigrizia, errori di giudizio o pura idiozia.

Ma ogni anno i ricercatori antimalware incontrano alcune tecniche che fanno alzare le sopracciglia. Utilizzate da malware o hacker, queste tecniche ispirate ampliano i confini dell'hacking dannoso. Pensa a loro come innovazioni nella devianza. Come qualsiasi cosa innovativa, molti sono una misura della semplicità.

[Parla con te stesso in 14 sporchi trucchi da consulente per la sicurezza IT, 9 comuni pratiche di sicurezza IT che semplicemente non funzionano e 10 folli trucchi per la sicurezza che funzionano. | Scopri come proteggere i tuoi sistemi con il rapporto speciale Web Browser Deep Dive PDF e la newsletter Security Central, entrambi di. ]

Prendiamo il macro virus Microsoft Excel degli anni '90 che sostituì silenziosamente e casualmente gli zeri con la O maiuscola nei fogli di calcolo, trasformando immediatamente i numeri in etichette di testo con un valore zero: modifiche che, per la maggior parte, non furono rilevate fino a molto tempo dopo che i sistemi di backup non contenevano nient'altro che cattivi dati.

I malware e gli hacker più ingegnosi di oggi sono altrettanto furtivi e conniventi. Ecco alcune delle ultime tecniche degne di nota che hanno suscitato il mio interesse come ricercatore di sicurezza e le lezioni apprese. Alcuni stanno sulle spalle di innovatori maligni del passato, ma tutti sono molto in voga oggi come modi per fregare anche gli utenti più esperti.

Attacco invisibile n. 1: punti di accesso wireless falsi

Nessun hack è più facile da realizzare di un falso WAP (punto di accesso wireless). Chiunque utilizzi un po 'di software e una scheda di rete wireless può pubblicizzare il proprio computer come un WAP disponibile che viene quindi connesso al vero e legittimo WAP in un luogo pubblico.

Pensa a tutte le volte che tu, oi tuoi utenti, siete andati al bar, all'aeroporto o al luogo di ritrovo pubblico e vi siete collegati alla rete "wireless gratuita". Gli hacker di Starbucks che chiamano il loro falso WAP "Starbucks Wireless Network" o all'aeroporto di Atlanta lo chiamano "Atlanta Airport Free Wireless" hanno tutti i tipi di persone che si connettono al loro computer in pochi minuti. Gli hacker possono quindi rilevare i dati non protetti dai flussi di dati inviati tra le vittime inconsapevoli e gli host remoti previsti. Saresti sorpreso di quanti dati, anche password, vengono ancora inviati in chiaro.

Gli hacker più malvagi chiederanno alle loro vittime di creare un nuovo account di accesso per utilizzare il loro WAP. Questi utenti useranno molto probabilmente un nome di accesso comune o uno dei loro indirizzi e-mail, insieme a una password che utilizzano altrove. L'hacker WAP può quindi provare a utilizzare le stesse credenziali di accesso su siti Web popolari - Facebook, Twitter, Amazon, iTunes e così via - e le vittime non sapranno mai come è successo.

Lezione: non puoi fidarti dei punti di accesso wireless pubblici. Proteggi sempre le informazioni riservate inviate tramite una rete wireless. Prendi in considerazione l'utilizzo di una connessione VPN, che protegge tutte le tue comunicazioni e non riciclare le password tra siti pubblici e privati.

Attacco furtivo n. 2: furto di cookie

I cookie del browser sono una meravigliosa invenzione che preserva lo "stato" quando un utente naviga in un sito web. Questi piccoli file di testo, inviati alle nostre macchine da un sito Web, aiutano il sito Web o il servizio a rintracciarci durante la nostra visita o più visite, consentendoci, ad esempio, di acquistare più facilmente i jeans. Cosa non va?

Risposta: Quando un hacker ruba i nostri cookie, e in virtù di ciò, diventa noi - un evento sempre più frequente in questi giorni. Piuttosto, vengono autenticati sui nostri siti Web come se fossero noi e avessero fornito un nome di accesso e una password validi.

Certo, il furto di cookie esiste dall'invenzione del Web, ma oggigiorno gli strumenti rendono il processo facile come clic, clic, clic. Firesheep, ad esempio, è un componente aggiuntivo del browser Firefox che consente alle persone di rubare cookie non protetti da altri. Quando viene utilizzato con un WAP falso o su una rete pubblica condivisa, il dirottamento dei cookie può avere successo. Firesheep mostrerà tutti i nomi e le posizioni dei cookie che sta trovando, e con un semplice clic del mouse, l'hacker può assumere il controllo della sessione (vedi il blog di Codebutler per un esempio di quanto sia facile usare Firesheep).

Peggio ancora, gli hacker possono ora rubare anche i cookie protetti da SSL / TLS e annusarli dal nulla. Nel settembre 2011, un attacco denominato "BEAST" dai suoi creatori ha dimostrato che è possibile ottenere anche cookie protetti da SSL / TLS. Ulteriori miglioramenti e perfezionamenti quest'anno, incluso il noto CRIME, hanno reso ancora più semplice il furto e il riutilizzo dei cookie crittografati.

Con ogni attacco cookie rilasciato, ai siti Web e agli sviluppatori di applicazioni viene spiegato come proteggere i propri utenti. A volte la risposta è usare l'ultima crittografia crittografica; altre volte è per disabilitare alcune funzioni oscure che la maggior parte delle persone non usa. La chiave è che tutti gli sviluppatori Web devono utilizzare tecniche di sviluppo sicure per ridurre il furto di cookie. Se il tuo sito web non ha aggiornato la sua protezione crittografica in alcuni anni, probabilmente sei a rischio.

Lezioni: anche i cookie crittografati possono essere rubati. Connettiti a siti Web che utilizzano tecniche di sviluppo sicure e le ultime criptovalute. I tuoi siti web HTTPS dovrebbero utilizzare l'ultima crittografia, inclusa la versione 1.2 di TLS.

Attacco invisibile n. 3: trucchi per il nome del file

Gli hacker hanno utilizzato trucchi per i nomi dei file per indurci a eseguire codice dannoso dall'inizio del malware. I primi esempi includevano la denominazione del file in modo da incoraggiare le vittime ignare a fare clic su di esso (come AnnaKournikovaNudePics) e l'utilizzo di più estensioni di file (come AnnaKournikovaNudePics.Zip.exe). Fino ad oggi, Microsoft Windows e altri sistemi operativi nascondono prontamente estensioni di file "ben note", che faranno sembrare AnnaKournikovaNudePics.Gif.Exe come AnnaKournikovaNudePics.Gif.

Anni fa, i programmi antivirus noti come "gemelli", "spawner" o "virus associati" facevano affidamento su una funzionalità poco conosciuta di Microsoft Windows / DOS, dove anche se si digitava il nome del file Start.exe, Windows avrebbe per e, se trovato, eseguire invece Start.com. I virus associati cercheranno tutti i file .exe sul disco rigido e creeranno un virus con lo stesso nome dell'EXE, ma con estensione .com. Questo problema è stato risolto da tempo da Microsoft, ma la sua scoperta e sfruttamento da parte dei primi hacker ha gettato le basi per modi inventivi per nascondere i virus che continuano ad evolversi oggi.

Tra i trucchi più sofisticati per la ridenominazione dei file attualmente impiegati c'è l'uso di caratteri Unicode che influenzano l'output del nome file presentato dagli utenti. Ad esempio, il carattere Unicode (U + 202E), chiamato Override da destra a sinistra, può indurre molti sistemi a visualizzare un file effettivamente denominato AnnaKournikovaNudeavi.exe come AnnaKournikovaNudexe.avi.

Lezione: Quando possibile, assicurati di conoscere il nome reale e completo di qualsiasi file prima di eseguirlo.

Attacco furtivo n. 4: posizione, posizione, posizione

Un altro trucco nascosto interessante che utilizza un sistema operativo contro se stesso è un trucco di localizzazione dei file noto come "relativo contro assoluto". Nelle versioni precedenti di Windows (Windows XP, 2003 e precedenti) e altri primi sistemi operativi, se digitavi un nome file e premi Invio, o se il sistema operativo cercava un file per tuo conto, inizierebbe sempre con la cartella o la posizione della directory corrente prima, prima di cercare altrove. Questo comportamento potrebbe sembrare abbastanza efficiente e innocuo, ma hacker e malware lo hanno utilizzato a proprio vantaggio.

Ad esempio, si supponga di voler eseguire l'innocuo calcolatore di Windows integrato (calc.exe). È abbastanza facile (e spesso più veloce rispetto all'utilizzo di diversi clic del mouse) aprire un prompt dei comandi, digitare calc.exee premere Invio. Ma il malware potrebbe creare un file dannoso chiamato calc.exe e nasconderlo nella directory corrente o nella cartella principale; quando si tenta di eseguire calc.exe, viene eseguita invece la copia fasulla.

Ho adorato questo difetto come penetration tester. Spesso, dopo essere entrato in un computer e aver dovuto elevare i miei privilegi ad amministratore, prendevo una versione priva di patch di un software noto e precedentemente vulnerabile e la mettevo in una cartella temporanea. Il più delle volte tutto ciò che dovevo fare era posizionare un singolo eseguibile o DLL vulnerabile, lasciando da solo l'intero programma con patch precedentemente installato. Digitavo il nome del file dell'eseguibile del programma nella mia cartella temporanea e Windows caricava il mio eseguibile Trojan vulnerabile dalla mia cartella temporanea invece della versione con patch più recente. L'ho adorato: potevo sfruttare un sistema completamente patchato con un singolo file danneggiato.

I sistemi Linux, Unix e BSD hanno risolto questo problema per più di un decennio. Microsoft ha risolto il problema nel 2006 con le versioni di Windows Vista / 2008, sebbene il problema rimanga nelle versioni precedenti a causa di problemi di compatibilità con le versioni precedenti. Microsoft ha anche avvertito e insegnato agli sviluppatori a utilizzare nomi di file / percorsi assoluti (anziché relativi) all'interno dei propri programmi per molti anni. Tuttavia, decine di migliaia di programmi legacy sono vulnerabili ai trucchi di localizzazione. Gli hacker lo sanno meglio di chiunque altro.

Lezione: utilizzare i sistemi operativi che applicano directory assolute e percorsi delle cartelle e cercare prima i file nelle aree di sistema predefinite.

Attacco invisibile n. 5: reindirizzamento dei file host

All'insaputa della maggior parte degli utenti di computer odierni è l'esistenza di un file relativo a DNS denominato Hosts. Situato in C: \ Windows \ System32 \ Drivers \ Etc in Windows, il file Hosts può contenere voci che collegano i nomi di dominio digitati ai rispettivi indirizzi IP. Il file Hosts è stato originariamente utilizzato dal DNS per consentire agli host di risolvere localmente le ricerche di indirizzi da nome a IP senza dover contattare i server DNS ed eseguire la risoluzione dei nomi ricorsiva. Per la maggior parte, il DNS funziona bene e la maggior parte delle persone non interagisce mai con il proprio file Hosts, sebbene sia lì.

Gli hacker e il malware adorano scrivere le proprie voci dannose sugli host, in modo che quando qualcuno digita un nome di dominio popolare, ad esempio bing.com, viene reindirizzato a un altro luogo più dannoso. Il reindirizzamento dannoso spesso contiene una copia quasi perfetta del sito Web desiderato originale, in modo che l'utente interessato non sia a conoscenza del passaggio.

Questo exploit è ancora ampiamente utilizzato oggi.

Lezione: se non riesci a capire perché sei stato reindirizzato in modo dannoso, controlla il tuo file Hosts.

Attacco furtivo n. 6: attacchi Waterhole

Gli attacchi alle pozze d'acqua hanno ricevuto il loro nome dalla loro metodologia ingegnosa. In questi attacchi, gli hacker traggono vantaggio dal fatto che le loro vittime mirate spesso si incontrano o lavorano in un particolare luogo fisico o virtuale. Quindi "avvelenano" quella posizione per raggiungere obiettivi dannosi.

Ad esempio, la maggior parte delle grandi aziende ha una caffetteria, un bar o un ristorante locale frequentato dai dipendenti dell'azienda. Gli aggressori creeranno WAP falsi nel tentativo di ottenere il maggior numero possibile di credenziali aziendali. Oppure gli aggressori modificheranno in modo dannoso un sito Web visitato di frequente per fare lo stesso. Le vittime sono spesso più rilassate e ignare perché il luogo mirato è un portale pubblico o sociale.

Gli attacchi Waterhole sono diventati una grande novità quest'anno quando diverse società tecnologiche di alto profilo, tra cui Apple, Facebook e Microsoft, tra le altre, sono state compromesse a causa dei popolari siti Web di sviluppo di applicazioni visitati dai loro sviluppatori. I siti Web erano stati avvelenati da reindirizzamenti JavaScript dannosi che installavano malware (a volte zero giorni) sui computer degli sviluppatori. Le workstation degli sviluppatori compromesse sono state quindi utilizzate per accedere alle reti interne delle aziende vittime.

Lezione: assicurati che i tuoi dipendenti si rendano conto che i popolari "pozzi d'acqua" sono obiettivi comuni degli hacker.

Attacco furtivo n. 7: esca e scambio

Una delle tecniche di hacker in corso più interessanti è chiamata bait and switch. Alle vittime viene detto che stanno scaricando o eseguendo una cosa, e temporaneamente lo sono, ma viene poi disattivata con un oggetto dannoso. Gli esempi abbondano.

È normale che gli spargitori di malware acquistino spazi pubblicitari su siti Web popolari. Ai siti web, al momento della conferma dell'ordine, viene mostrato un link o contenuto non dannoso. Il sito web approva l'annuncio e prende i soldi. Il cattivo quindi cambia il collegamento o il contenuto con qualcosa di più dannoso. Spesso codificheranno il nuovo sito Web dannoso per reindirizzare gli spettatori al collegamento o al contenuto originale se visualizzati da qualcuno da un indirizzo IP appartenente all'approvatore originale. Ciò complica il rilevamento e lo smontaggio rapidi.

The most interesting bait-and-switch attacks I've seen as of late involve bad guys who create "free" content that can be downloaded and used by anyone. (Think administrative console or a visitor counter for the bottom of a Web page.) Often these free applets and elements contain a licensing clause that says to the effect, "May be freely reused as long as original link remains." Unsuspecting users employ the content in good faith, leaving the original link untouched. Usually the original link will contain nothing but a graphics file emblem or something else trivial and small. Later, after the bogus element has been included in thousands of websites, the original malicious developer changes the harmless content for something more malicious (like a harmful JavaScript redirect).

Lezione: fai attenzione a qualsiasi collegamento a qualsiasi contenuto non sotto il tuo controllo diretto perché può essere disattivato con un preavviso di un momento senza il tuo consenso.