04.08.2009, 19:17
1. Atak na kompa za pomocą aktualizacji
Specjaliści z izraelskiej firmy Radware przygotowali narzędzie, które umożliwia podsunięcie użytkownikowi fałszywych aktualizacji ponad 100 popularnych programów. Narzędzie o nazwie Ippon zostało z powodzeniem przetestowane np. na komunikatorze Skype.
Ippon skanuje sieci Wi-Fi w poszukiwaniu komputerów, które za pomocą protokołu HTTP poprosiły o aktualizację oprogramowania. Jeśli taka maszyna zostanie znaleziona, Ippon błyskawicznie wysyła do niej odpowiedź, wyprzedzając odpowiedź prawdziwego serwera aktualizacji.
Narzędzie potrafi dostosować odpowiedź do żądań aplikacji, która poprosiła o aktualizację i informuje, że jest ona dostępna. Następnie komputerowi ofiary podsuwany jest szkodliwy plik do pobrania.
Itzik Kotler z Radware mówi, że jego zespół nie testował skuteczności ataku na systemy aktualizacyjne przeglądarek internetowych. Dodał, że oprogramowanie Microsoftu nie jest zagrożone, gdyż firmowy system aktualizacji używa podpisów cyfrowych.
Tak samo powinni postępować, zdaniem Kotlera, wszyscy producenci oprogramowania. Przedstawiciele Radware radzą, by nie aktualizować oprogramowania za pomocą sieci Wi-Fi.
2. Robak z rapida
RapidShare to kolejny kanał rozpowszechniania złośliwego oprogramowania. Pobierając plik ZIP zawierający zdjęcia pornograficzne, można nieopatrznie ściągnąć trojana, który umożliwi cyberprzestępcy dotarcie do prywatnych danych.
Analizy przeprowadzone przez ekspertów z laboratorium G Data wskazują na kolejną formę ataku. W serwisie RapidShare pod adresem 03f13b-fuckedandbound.zip kryje się niebezpieczny plik video clip - fucked powiązany z Com.exe. Oprócz pornograficznych treści zawiera on trojana, który umożliwia cyberprzestępcy gromadzenie poufnych danych.
Statystyki są zatrważające - 21 tys. kliknięć w ciągu 24 godzin. Groźny plik ze względu na rozszerzenie pokazywany jest jako ikona wideo. Systemy operacyjne Windows z domyślnymi ustawieniami wyświetlania znanych typów plików w pierwszym momencie nie rozpoznają, że jest to plik wykonywalny EXE.
Zawarty w nim backdoor wprowadza zmiany w rejestrze umożliwiające automatyczne uruchomienie szkodnika podczas startu systemu. Ponadto trojan udostępnia atakującemu zdalny serwer, na który mogą być wysyłane dane z zakażonego systemu.
Łukasz Nowatkowski, szef działu technicznego G Data Software, ostrzega przed korzystaniem z linków na portalach One-Click-Hoster, zalecając jednocześnie stosowanie skanerów antywirusowych z opcją filtrowania HTTP.
3. Rootkity w biosie
Podczas tegorocznej konferencji Black Hat Alfredo Ortega i Anibal Sacco z firmy Core Security Technologies w swojej prezentacji podjęli temat programu Computrace LoJack for Laptops firmy Absolute Software. Oprogramowanie, które jest już fabrycznie zainstalowane na blisko 60% wszystkich nowych notebooków, wykorzystuje mechanizmy stosowane przez rootkity. Jednak nie to zdziwiło ekspertów ani też nie stanowiło dla nich powodu do krytyki, bo ostatecznie przecież takie oprogramowanie musi przechytrzyć złodziei i właśnie z tego powodu posługuje się takimi sposobami.
Reklama
Specjaliści mieli jednak zastrzeżenia do tego, że oprogramowanie praktycznie w ogóle nie chroni przed manipulacjami. Adresy IP i łańcuchy URL, których używa, są na stałe zakodowane w BIOS-ie, a w momencie instalacji zostają umieszczone we wszystkich miejscach, które można sobie tylko wyobrazić. Słabym punktem jest to, że można używać przekierowań i kazać oprogramowaniu łączyć się z innymi adresami. Ponieważ programy antywirusowe rozpoznają takie programy jako bezpieczne, stanowią one idealny rozsadnik dla różnego rodzaju manipulacji. Eksperci proponują, aby przynajmniej komunikacja z bazą producenta została zabezpieczona za pomocą podpisów cyfrowych. Firma Absolute Software została już poinformowana o tym problemie.
4. AES-256 w tarapatach
Coraz bliżej ataków na AES-256
Zespół kryptologów w składzie: Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovatovich i Adi Shamir opracował ulepszoną metodę ataków przeciw algorytmowi szyfrującemu AES. Według informacji eksperta z dziedziny kryptologii, Bruce''a Schneiera zdołali oni złamać w rozsądnym czasie zredukowane warianty szyfru AES-256. Atak przeciw AES-256 z dziewięcioma rundami wykazuje złożoność czasową na poziomie 239, z którą może sobie poradzić nawet zwykły pecet. Z kolei złożoność ataku z dziesięcioma rundami wynosi już 245. W przypadku jedenastu rund wzrasta ona do 270, przekraczając nieznacznie granice wykonalności. Wykorzystany słaby punkt znajduje się w funkcji Key Schedule, za pomocą której AES-256 wyprowadza klucze danej rundy z klucza głównego.
Reklama
Nowe ataki oznaczają znaczny postęp w kryptoanalizie AES, jednak są one wciąż nieistotne z punktu widzenia szyfrowania AES stosowanego w praktyce, i to nie tylko ze względu na zredukowaną liczbę rund (standardowo AES-256 wykorzystuje 14 rund szyfrowania). Opracowane metody ataków zaliczają się do ataków z użyciem kluczy pokrewnych (related key attacks), co oznacza, że atakujący musi znać tekst jawny wielu zaszyfrowanych jednostek, których klucze są ze sobą powiązane w określony sposób. Tego typu scenariusze można spotkać teoretycznie tylko przy mechanizmach szyfrowania dysków twardych lub protokołów sieciowych, gdzie poszczególne klucze bloków są generowane tak słabą metodą.
Fakt, że AES-128 nawet z najkrótszymi kluczami praktycznie nie daje się złamać za pomocą nowych metod, jest tylko pozornie sprzeczny z logiką. Dłuższe klucze oferują kryptologom więcej przestrzeni do ataku, to znaczy więcej bitów, między którymi mogą zaistnieć matematyczne powiązania. Schneier proponuje, aby zwiększyć liczbę rund, zanim pierwsze dające praktyczne rezultaty metody ataków osiągną zdolność łamania algorytmów z ich standardową liczbą. W przypadku AES-128 należałoby zwiększyć liczbę rund z 10 do 16, w AES-192 z 12 do 20, a w AES-256 z 14 do 28. Jednak tego rodzaju operacja znacznie zmniejszyłaby wydajność szyfrowania.
Specjaliści z izraelskiej firmy Radware przygotowali narzędzie, które umożliwia podsunięcie użytkownikowi fałszywych aktualizacji ponad 100 popularnych programów. Narzędzie o nazwie Ippon zostało z powodzeniem przetestowane np. na komunikatorze Skype.
Ippon skanuje sieci Wi-Fi w poszukiwaniu komputerów, które za pomocą protokołu HTTP poprosiły o aktualizację oprogramowania. Jeśli taka maszyna zostanie znaleziona, Ippon błyskawicznie wysyła do niej odpowiedź, wyprzedzając odpowiedź prawdziwego serwera aktualizacji.
Narzędzie potrafi dostosować odpowiedź do żądań aplikacji, która poprosiła o aktualizację i informuje, że jest ona dostępna. Następnie komputerowi ofiary podsuwany jest szkodliwy plik do pobrania.
Itzik Kotler z Radware mówi, że jego zespół nie testował skuteczności ataku na systemy aktualizacyjne przeglądarek internetowych. Dodał, że oprogramowanie Microsoftu nie jest zagrożone, gdyż firmowy system aktualizacji używa podpisów cyfrowych.
Tak samo powinni postępować, zdaniem Kotlera, wszyscy producenci oprogramowania. Przedstawiciele Radware radzą, by nie aktualizować oprogramowania za pomocą sieci Wi-Fi.
2. Robak z rapida
RapidShare to kolejny kanał rozpowszechniania złośliwego oprogramowania. Pobierając plik ZIP zawierający zdjęcia pornograficzne, można nieopatrznie ściągnąć trojana, który umożliwi cyberprzestępcy dotarcie do prywatnych danych.
Analizy przeprowadzone przez ekspertów z laboratorium G Data wskazują na kolejną formę ataku. W serwisie RapidShare pod adresem 03f13b-fuckedandbound.zip kryje się niebezpieczny plik video clip - fucked powiązany z Com.exe. Oprócz pornograficznych treści zawiera on trojana, który umożliwia cyberprzestępcy gromadzenie poufnych danych.
Statystyki są zatrważające - 21 tys. kliknięć w ciągu 24 godzin. Groźny plik ze względu na rozszerzenie pokazywany jest jako ikona wideo. Systemy operacyjne Windows z domyślnymi ustawieniami wyświetlania znanych typów plików w pierwszym momencie nie rozpoznają, że jest to plik wykonywalny EXE.
Zawarty w nim backdoor wprowadza zmiany w rejestrze umożliwiające automatyczne uruchomienie szkodnika podczas startu systemu. Ponadto trojan udostępnia atakującemu zdalny serwer, na który mogą być wysyłane dane z zakażonego systemu.
Łukasz Nowatkowski, szef działu technicznego G Data Software, ostrzega przed korzystaniem z linków na portalach One-Click-Hoster, zalecając jednocześnie stosowanie skanerów antywirusowych z opcją filtrowania HTTP.
3. Rootkity w biosie
Podczas tegorocznej konferencji Black Hat Alfredo Ortega i Anibal Sacco z firmy Core Security Technologies w swojej prezentacji podjęli temat programu Computrace LoJack for Laptops firmy Absolute Software. Oprogramowanie, które jest już fabrycznie zainstalowane na blisko 60% wszystkich nowych notebooków, wykorzystuje mechanizmy stosowane przez rootkity. Jednak nie to zdziwiło ekspertów ani też nie stanowiło dla nich powodu do krytyki, bo ostatecznie przecież takie oprogramowanie musi przechytrzyć złodziei i właśnie z tego powodu posługuje się takimi sposobami.
Reklama
Specjaliści mieli jednak zastrzeżenia do tego, że oprogramowanie praktycznie w ogóle nie chroni przed manipulacjami. Adresy IP i łańcuchy URL, których używa, są na stałe zakodowane w BIOS-ie, a w momencie instalacji zostają umieszczone we wszystkich miejscach, które można sobie tylko wyobrazić. Słabym punktem jest to, że można używać przekierowań i kazać oprogramowaniu łączyć się z innymi adresami. Ponieważ programy antywirusowe rozpoznają takie programy jako bezpieczne, stanowią one idealny rozsadnik dla różnego rodzaju manipulacji. Eksperci proponują, aby przynajmniej komunikacja z bazą producenta została zabezpieczona za pomocą podpisów cyfrowych. Firma Absolute Software została już poinformowana o tym problemie.
4. AES-256 w tarapatach
Coraz bliżej ataków na AES-256
Zespół kryptologów w składzie: Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovatovich i Adi Shamir opracował ulepszoną metodę ataków przeciw algorytmowi szyfrującemu AES. Według informacji eksperta z dziedziny kryptologii, Bruce''a Schneiera zdołali oni złamać w rozsądnym czasie zredukowane warianty szyfru AES-256. Atak przeciw AES-256 z dziewięcioma rundami wykazuje złożoność czasową na poziomie 239, z którą może sobie poradzić nawet zwykły pecet. Z kolei złożoność ataku z dziesięcioma rundami wynosi już 245. W przypadku jedenastu rund wzrasta ona do 270, przekraczając nieznacznie granice wykonalności. Wykorzystany słaby punkt znajduje się w funkcji Key Schedule, za pomocą której AES-256 wyprowadza klucze danej rundy z klucza głównego.
Reklama
Nowe ataki oznaczają znaczny postęp w kryptoanalizie AES, jednak są one wciąż nieistotne z punktu widzenia szyfrowania AES stosowanego w praktyce, i to nie tylko ze względu na zredukowaną liczbę rund (standardowo AES-256 wykorzystuje 14 rund szyfrowania). Opracowane metody ataków zaliczają się do ataków z użyciem kluczy pokrewnych (related key attacks), co oznacza, że atakujący musi znać tekst jawny wielu zaszyfrowanych jednostek, których klucze są ze sobą powiązane w określony sposób. Tego typu scenariusze można spotkać teoretycznie tylko przy mechanizmach szyfrowania dysków twardych lub protokołów sieciowych, gdzie poszczególne klucze bloków są generowane tak słabą metodą.
Fakt, że AES-128 nawet z najkrótszymi kluczami praktycznie nie daje się złamać za pomocą nowych metod, jest tylko pozornie sprzeczny z logiką. Dłuższe klucze oferują kryptologom więcej przestrzeni do ataku, to znaczy więcej bitów, między którymi mogą zaistnieć matematyczne powiązania. Schneier proponuje, aby zwiększyć liczbę rund, zanim pierwsze dające praktyczne rezultaty metody ataków osiągną zdolność łamania algorytmów z ich standardową liczbą. W przypadku AES-128 należałoby zwiększyć liczbę rund z 10 do 16, w AES-192 z 12 do 20, a w AES-256 z 14 do 28. Jednak tego rodzaju operacja znacznie zmniejszyłaby wydajność szyfrowania.
WIN11
Ventura
Ventura
