Az elmúlt héten elég nagy felhajtás volt a WannaCry zsarolóvírus nyomán. Mindenki hirtelen azon kezdett el gondolkozni, hogy vajon hol van nagyobb biztonságban minden adata: a felhőben, vagy egy külső merevlemezen? Én mondjuk felhőpárti vagyok, de ha egy dropbox fiók „fel van csatolva” mint meghajtó, amikor beesik a vírus, akkor bizony ott is végig fog söpörni.
Magam részéről megvan a véleményem a zsarolóvírussal kapcsolatban. Gyors volt, intézményeket érintett, telekom cégeket érintett, mindenki maga alá csinált. Pedig hát miről beszélünk igazából? A Microsoft már márciusban adott ki egy biztonsági javítócsomagot, csak hát az ugyebár fel is kell telepíteni.
Ki hibázott?
Én elhiszem azt, hogy mondjuk egy kórházi rendszernél az infrormatikusok ötször is meggondolják, hogy mit frissítsenek és mikor, de kéne lennie egy frissítési tervnek házon belül, amit szépen végre is kéne hajtani. Erre volt két hónap, biztonsági frissítések esetében baromira hosszú idő.
De persze nem csak az informatikusok hibázhatnak, ott vannak a végfelhasználók is, akik mindenféle – szokatlan és indokolatlan – jogosultságokat adnak valamilyen futtatható fájlnak, mert kíváncsiak, hogy mi lehet benne. (Lásd megosztott Google Docs-os támadás két hete…)
Mi köze a weboldalakhoz?
A zsarolóvírus nem újkeletű találmány. Az első ilyen jellegű vírus 1989-ben jött világra, AIDS néven. Viszont a titkosításhoz tartozó kulcsot is tartalmazta, és szimmetrikus titkosítást használt, így viszonylag egyszerű volt visszafejteni a fájlokat. A kétezres években már fejlett titkosítást alkalmaztak, így nem volt ilyen egyszerű dolga annak, aki vissza akarta kapni az adatait.
Mivel ezek a vírusok ilyen régóta köztünk vannak, várható (volt), hogy előbb-utóbb a webre is felköltöznek majd. 2016-ban meg is jelentek az első webes verziók, amelyek WP oldalakat titkosítottak nagy hatásfokkal. Az érintett WordPress siteok adataiból nem lehetett egyértelműen megállapítani, hogy hol volt a rés a pajzson. Valószínűleg egy 0-day sérülékenységet (amiről még a fejlesztő sem tud) használtak ki.
Mivel nem volt frissítés, ami védett volna, és a támadási minta sem volt ismert, ezért a biztonsági bővítmények jelenléte sem tudott 100%-os biztonságot nyújtani. Egyetlen jó megoldás volt: ha volt a teljes weboldalról mentés olyan helyen, amit egyébként a weboldal nem ér el. Persze ha biztonsági mentésből visszaállítod ilyenkor az oldalt, akkor nagy valószínűséggel elég gyorsan újra fog fertőződni – hiszen a biztonsági rés ugyanúgy ott lesz.
Amikor terjeszti a vírust
Szintén tavaly történt, hogy a TeslaCrypt zsarolóvírus terjesztéséhez feltört WordPress oldalakat használtak. A feltört oldal átirányította egy olyan oldalra a látogatót, ahol a Java / Flash / Quicktime / Acrobat reader gyengeségeit kihasználva fertőzték meg a látogató gépét a TeslaCrypt-tel.
Ha belegondolsz, logikus döntés. A világon a legtöbb oldal alapját a WP adja, és ezek jelentős része elhanyagolt, törhető állapotban van. Ha lehet spameket küldeni ezekről a rendszerekről, vagy más oldalakat támadni, akkor miért ne pont zsarolóvírus terjesztésére használná valaki?
Érdemes elemezni
Többek között ezért is szeretem a gyűjtött vírusmintáimat nézni, elemezni. Hogy rájöjjek, mi a cél a vírus mögött, mi a mechanika, amit használ
Jövő héten csütörtökön az előadásom miatt valószínűleg nem lesz blogposzt. De mit szólnál hozzá, ha találkoznánk élőben?