[Fast Track]Andrey Biryukov - Creating Backdoors Using Legal Applications
Istraživači sa Sveučilišta u Kaliforniji stekli su kontrolu nad poznatom i snažnom mrežom hakiranih računala 10 dana, dobivajući uvid u način krađe osobnih i financijskih podataka.
Botnet, poznat kao Torpig ili Sinowal, jedna je od sofisticiranijih mreža koja koristi teško otkrivanje zlonamjernog softvera za zarazu računala i naknadno prikupljanje podataka kao što su lozinke e-pošte i online bankovne vjerodajnice.
Istraživači bili su u mogućnosti pratiti više od 180.000 hakiranih računala iskorištavanjem slabosti unutar naredbene i kontrolne mreže koju koriste hakeri za kontrolu računala. Ipak, radio je samo 10 dana, sve dok hakeri nisu ažurirali naredbu i kontrolu, prema istraživačkoj stranici sa 13 stranica.
[Dodatno čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]Ipak, to je dovoljno prozora da vidi snagu prikupljanja podataka Torpig / Sinowal. U tom kratkom vremenu prikupljeno je oko 70G bajtova podataka od hakiranih računala.
Istraživači su pohranili podatke i rade s agencijama za provedbu zakona kao što su US Federalni ured za istrage, ISP-ovi, pa čak i Ministarstvo obrane SAD-a da obavijesti žrtve. ISP-ovi također su isključili neke web stranice koje su korištene za opskrbu novih naredbi hakiranim strojevima, pišu.
Torpig / Sinowal može kopirati korisnička imena i lozinke iz klijenata e-pošte kao što su Outlook, Thunderbird i Eudora, a također prikuplja adrese e-pošte u tim programima za upotrebu od strane neželjene pošte.
Torpig / Sinowal može zaraziti računalo ako računalo posjeti zlonamjerno web mjesto koje je dizajnirano za testiranje ima li računalo bez patrone softvera, tehniku koja se naziva napadom preuzimanja pogona. Ako je računalo ranjivo, mali dio zlonamjernog softvera zvan rootkit skliznuo je duboko u sustav.
Istraživači su otkrili da Torpig / Sinowal završava na sustavu nakon što je prvo zarazio Mebroot, rootkit koji se pojavio u prosincu 2007.
Mebroot inficira MBR (Master Boot Record) računala, prvi kod kojeg računalo traži kada podiže operacijski sustav nakon pokretanja BIOS-a. Mebroot je moćan jer se svi podaci koji napuštaju računalo mogu presresti.
Mebroot može preuzeti i drugi kod na računalo.
Torpig / Sinowal prilagođen je za prikupljanje podataka kada netko posjeti određena internetska bankarstva i druge web stranice. To je kodirano da odgovori na više od 300 web stranica, a glavni ciljani su PayPal, Poste Italiane, Capital One, E-Trade i Chase bank, rekao je papir.
Ako netko ide na bankarsko web stranice, dostavlja se krivotvoreni obrazac koji izgleda kao dio legitimnog web mjesta, ali traži niz podataka koje banka inače ne zahtijeva, kao što je PIN (osobni identifikacijski broj) ili broj kreditne kartice.
Web stranice koje koriste Šifriranje SSL (Secure Sockets Layer) nije sigurno ako ga koristi računalo s Torpig / Sinowal, budući da će zlonamjerni softver iskoristiti podatke prije nego što bude šifriran, objavili su istraživači.
Hakeri obično prodaju lozinke i bankovne podatke o podzemnim forumima drugih kriminalaca, koji pokušavaju prikriti podatke u gotovini. Iako je teško precizno procijeniti vrijednost prikupljenih podataka tijekom 10 dana, moglo bi biti vrijedno između 83.000 i 8.3 milijuna dolara, navodi se u istraživačkom članku.
Postoje načini za ometanje botneta kao što je Torpig / Sinowal. Šifra botnet uključuje algoritam koji generira nazive domena koje zlonamjerni softver poziva na nove upute.
Sigurnosni inženjeri često su mogli otkriti te algoritme kako bi predvidjeli koje će domene zlonamjerni softver pozvati i unaprijed registrirati te domene kako bi poremetile botnet. Međutim, to je skup proces. Primjerice, Conficker crv može generirati do 50.000 imena domena dnevno.
Registrari, tvrtke koje prodaju registracije domene, trebaju preuzeti veću ulogu u suradnji s sigurnosnom zajednicom, napisali su istraživači. No, registrari imaju svoje probleme.
"Uz nekoliko iznimaka, često im nedostaju resursi, poticaji ili kultura za rješavanje sigurnosnih problema vezanih uz njihove uloge", navodi se u priopćenju.
FBI je priopćio kako je infiltrirala online "carder" forume na DarkMarketu. web stranice koje su naširoko upotrebljavali internetski prevaranti za kupnju i prodaju ukradenih brojeva kreditnih kartica, drugih financijskih podataka, pa čak i uređaja koji se koriste za lažne bankovne kartice. Prije nego što je zatvoren ranije ovog mjeseca, web stranica je registrirala više od 2.500 članova.
FBI je pokrenuo ubojstvo u suradnji s Agencijom za ozbiljnu organizaciju kriminala u Ujedinjenom Kraljevstvu i vlastima u Turskoj i Njemačkoj. "Uhićenja ovog tjedna u Velikoj Britaniji dobra su demonstracija koordinacije koja se održava danas između FBI-a, Agencije za ozbiljnu organizaciju kriminala ... i drugih agencija za provođenje zakona širom svijeta", izjavio je u četvrtak pomoćnik ravnatelja FBI Cyber Division Shawn Henry. Osim crteža 56 uhićenja, ubod je pomogao FBI-u da preuzme ugrože
U pokusu koji je započeo 1. studenog , prijevoznik ograničava pretplatnike svakog brzinskog stupnja DSL-a za prijenos i preuzimanje određene količine podataka, rekla je tvrtka. Ograničenja bi se kretala od 20G bajtova za pretplatnike od 768M bps (bita po sekundi) do 150G bajta za korisnike ponude od 10M bps.
Suđenje se može proširiti na jedno drugo tržište do kraja ove godine , prema AT & T izjavi. To je dio nastojanja da se bave nekolicinom vrlo teških korisnika koji su naštetili širokopojasnom iskustvu za prosječne pretplatnike, rekao je prijevoznik u pismu američkom Saveznom komisiji za komunikacije. Gotovo 50 posto ukupne širine pojasa koristi samo 5 posto korisnika, navodi se u priopćenju AT & T-a. Ove su korisnike karakterizirali kao one koji prenose i preuzmu ekvivalent od 40.000 videozapisa
Yahoo to Scrub osobnih podataka nakon tri mjeseca
Yahoo je rekao u srijedu da će anonimirati podatke prikuplja na ljudima web pretraživanja nakon tri mjeseca. rekao je u srijedu da će anonimizirati većinu podataka koje prikuplja o web pretraživanju ljudi nakon tri mjeseca, što bi potaknulo daljnje pritiske na konkurente Google i Microsoft da učine isto zbog zabrinutosti zbog privatnosti.