Na webu prodejce se může nacházet škodlivý kód, který se postará o infikování počítače během pár kliknutí. Při nákupu tak nevědomě můžete "obohatit" svůj systém o nebezpečný spyware, který na pozadí odesílá informace uložené ve vašem počítači, nebo třeba již méně nebezpečný adware, který zase bude otravovat neustálým zobrazováním reklamních bannerů.
Pro tvůrce je rozšiřování těchto nástrah dobrý byznys, neboť díky němu mohou přijít například k heslům a certifikátům vašich bankovních kont. Základním pravidlem se proto stala věta "když nevíš co to je, tak na to neklikej." Ta však přestává pomalu ztrácet na významu, škodlivý kód je totiž čím dál tím častěji umisťován i na seriózní weby, kterým věříte a beze strachu je navštěvujete. Třeba internetové obchody.
Terčem už i tuzemský server
S jedním takovým útokem na internetový obchod jsme se mohli setkat i v České republice. V současné době je již web v dobré kondici, problém se však může objevit znovu. O vyjádření a popis problému jsme požádali tiskového mluvčího obchodu:
|
"Jsme si toho vědomi a firmy, které se nám starají o webovou aplikaci a interní síť, usilovně pracují na odstranění problému. Nemám bohužel ještě přesnou analýzu, ale jedná se o virus na bázi java skript, který sleduje provoz na naších stránkách a přidává falešný odkaz, který následně požaduje spuštění activeX prvku z následující adresy **** (adresa smazána redakcí). Špatná zpráva je, že po odstranění problémové části se po určité době problém objeví znovu." |
Lokalizovat zdroj nákazy a omezit další útoky je velmi složité, žádné zabezpečení není 100%. Stav webu jsme monitorovali po dobu tří týdnů a virus znovu jsme nezaznamenali. Vzhledem k tomu, že se může jednat i o konkurenční boj mezi prodejci, redakce se rozhodla jméno serveru nezveřejňovat.
Zabezpečit server není jednoduché
Na tento případ jsme se přeptali Jakuba Jiříčka, který pracuje ve společnosti Symantec na pozici Senior Principal Presales Consultant. Symantec je jedna z největších softwarových firem na světě a zabývá se mimo jiné i ochranou a zabezpečením dat.
|
Jak je tento konkrétní kód nebezpečný, co má za úkol, kdo z něj může mít prospěch? Bohužel bez znalosti konkretního kódu není možné otázku přesně zodpovědět. Pokud ale uživatel povolí instalaci ActiveX komponenty na svůj počítač, autor škodlivého kódu získá možnost dostat se takřka k libovolným informacím na počítači uloženým. Škodlivý kód má nejčastěji za úkol vyhledat, shromáždit a odeslat citlivé informace svému autorovi, případně tomu, kdo škodlivý kód vypustil do světa. S těmito informacemi (přihlašovací údaje k různým on-line službám, čísla účtů, kreditních karet) se pak na černém trhu čile obchoduje. Méně častou, ale stále oblíbenou aktivitou je přeměna napadeného počítače na poslušného vykonavatele úkolů, které získává na dálku od útočníka (stane se z něho tzv. bot, od slova robot). Mezi tyto úkoly obvykle patří rozesílání nevyžádané pošty, útoky po síti (Denial of Service), hledání dalších zranitelných počítačů, které by bylo možné „obsadit“. Vytváří se takto celá seskupení botů, kteří poslouchají jediného pána a kterých ve skupině mohou být až desítky tisíc. Jsou podobné útoky na e-shopy běžné? Ano, bohužel čím dál častější. V druhé polovině roku 2007 jsme zaznamenali zhruba pětkrát víc konkrétních zranitelností webových serverů a aplikací než tradičních typů zranitelností týkajících se operačních systémů a ostatních aplikací, konkrétně 11253. Zranitelnost je slabé místo v kódu, kterého může útočník zneužít k úspěšnému útoku. Útoky na webové servery jsou velmi oblíbené také proto, že jen na velmi málo z nich reagují správci ohrožených serverů v rozumné době, tj. nejlépe okamžitě. Průměrná doba odstranění slabého místa v ochraně serveru je 52 dní (!) a po celou tuto dobu je relativně snadné webový server napadnout a umístit na něj škodlivý kód, který budou následně navštěvníci hostovaných stránek nebo elektronického obchodu dostávat spolu s původním obsahem. Jak je složité změnit cizí kód resp. je chyba u servisní firmy, že nedokáže systém zabezpečit? Neznám smluvní vztah mezi provozovatelem obchodu a jeho servisní firmou, z toho by možná na zodpovědnost bylo možné usoudit. Nicméně v žádném případě se nejedná o jednoduchý úkol. Vystavit webový server s obsahem do internetu je relativně snadné. Zajistit, aby tam vydržel bez úhony všechny útoky, které na něj přijdou, je už složitější. Správcům mohou pomáhat různé specializované bezpečnostní nástroje, speciálně k těmto účelům vyvíjené, ale například i téměř zpravodajské informace o nejnovějších hrozbách a útocích, které se objevily právě teď někde jinde v internetu. Obvykle se jedná o komerční software a informace a provozovatelé serverů by s náklady na ně měli počítat do provozních nákladů svých serverů. Napravování pokažené reputace nebo např. obnovy po útocích budou ve výsledku asi dražší. |
Jako vždy tak zůstává starost na nás - uživatelích. Nelze se spoléhat na důvěryhodnost serveru, ani když jej navštěvujeme pravidelně.
Milion a jedna rada, jak se chránitDo hry jako vždy vstupuje antivirový program a firewall, o kterém jste zajisté slyšeli již několikrát a nejspíše také nějaký používáte:
K této dvojici je navíc dobré přičíst další programy, které hlídají počítač před spywarem, adwarem a další havětí:
A dnes k tomu všemu přidáme webovou aplikaci Google Safe Browsing Diagnostic Tool.
Jak může Google ochránit počítač
Každou sekundu Google prochází nové odkazy a zaznamenává změny oproti předchozím stavům. Programátoři k tomu přidali ještě jednu funkci - každý prohlížený server zkontroluje na přítomnost malware a zaznamená do své databáze. Malware je zkratka pro "malicious software", v překladu jednoduše "zákeřný software." Tento pojem zahrnuje počítačové viry, trojské koně, spyware a adware, zkrátka cokoli, co by mohlo nějak ohrozit váš počítač.
Pravidla jsou poměrně jednoduchá: pokud při prohlížení serveru nalezne robot jakýkoli malware, zařadí stránky na list "nedůvěryhodných". V tomto listu vydrží 90 dní, pokud je při další kontrole již vše v pořádku, je stránka z databáze vyjmuta.
90denní obnova listu nemusí být dostatečná rovněž jako výsledek samotné kontroly. Podobně jako antivir na vašem počítači nemusí najít nákazu, i robot Googlu se určitě někdy přehlédne. Stále však platí, že je lepší nějaká ochrana, než vůbec žádná. Postupem času lze očekávat, že se bude systém zlepšovat.
Jak aplikaci využít
Jeden z nejlepších prohlížečů dneška, Mozilla Firefox ve verzi 3, již aplikaci obsahuje přímo po instalaci. Pokud zadáte adresu závadné stránky, zobrazí se následující hláška:
Všem ostatním, kteří FF3 nemají, stačí při prohlížení internetu zapsat tento řetězec:
http://www.google.com/safebrowsing/diagnostic?site=
a hned za něj dodat adresu webu, který chceme zkontrolovat. Otestujme tedy například nejdůvěryhodnější zpravodajský portál na českém internetu:
www.idnes.cz
Celý řetězec pro kontrolu, který zadáváme do panelu Adresa, pak vypadá takto:
http://www.google.com/safebrowsing/diagnostic?site=www.idnes.cz
Zobrazí se stránka s diagnostikou, na kterém se důvěryhodnost skutečně potvrdila.
Výsledky kontroly
Aplikace vždy zobrazí čtyři body:
-
1.) v jakém stavu se stránky nacházejí popř. kolikrát již u nich byla nalezena infekce.
V praxi jde o stručné zhodnocení situace, další body jej rozvíjejí. Pokud se zobrazí "This site is not listed as suspicious.", jsou stránky v pořádku. -
2.) kdy byly stránky naposledy kontrolovány popř. jaký druh škodlivého kódu byl nalezen.
Pozor, zobrazované datum je ve formátu měsíc/den/rok -
3.) minulost stránek, byly již někdy součástí šíření malwaru?
-
4.) minulost stránek, byly již někdy zdrojem samotné nákazy?
V případě našeho testu s iDNES.cz se zobrazí tato stránka:
V případě zmíněného serveru, který byl v minulosti součástí šíření malware, ale je již v pořádku, se zobrazí tato stránka:
