20:20
16/2/2013

Nieznanym sprawcom udało się zainfekować złośliwym oprogramowaniem komputery kilku inżynierów Facebooka. Najprawdopodobniej ci sami sprawcy są także odpowiedzialni za niedawny wyciek 250 000 haseł z Twittera.

Jak zhackowano laptopy pracowników Facebooka?

Atakujący do infekcji wykorzystali technikę wodopoju. Najpierw przejęli kontrolę nad popularnym serwisem dla developerów aplikacji mobilnych i umieścili tam kod exploita wykorzystujący nieznany do tej pory błąd w Javie (tzw. 0day).

Facebook broken

Wśród odwiedzających tę stronę internautów znalazło się kilku inżynierów Facebooka …i zapewne setki pracowników innych firm. Najprawdopodobniej także ostatnie włamanie do Twittera i wyciek 250 000 hashy haseł należy powiązać z tym konkretnym atakiem — Twitter ujawnił wtedy, iż włamywacze wykorzystali podatności w Javie.

Należy tu podkreślić, że inżynierowie Facebooka mieli zaktualizowane systemy operacyjne i programy antywirusowe, ale nie powstrzymały one ataku. Oracle potwierdziło już błąd i wydało na niego patcha 1 lutego.

Jak Facebook wykrył włamanie?

Facebook wykrył atak na podstawie analizy logów. Atakujących zdradziły nietypowe odwołania do serwera DNS (próba kontaktu z C&C). W ten sposób namierzono komputer jednego z inżynierów, a po poddaniu go analizie wykryto złośliwe oprogramowanie. Przeszukanie reszty firmowych komputerów pod kątem tego malware’u ujawniło kolejne ofiary. Następnie zespół bezpieczeństwa Facebooka przekierował ruch do C&C z którego korzystał malware na swoje maszyny i na tej podstawie udało mu się “zrozumieć” atak oraz odkryć, że poszkodowane są także inne firmy. Facebook je powiadomił (choć nie udziela informacji o kogo chodzi) i przekazał sprawę FBI.

Facebook twierdzi, że żadne dane użytkowników nie zostały wykradzione. Atakujący mieli wyłącznie wejść w posiadanie “typowych informacji znajdujących się na komputerze inżyniera” oraz przechwycić część kodu źródowego Facebooka oraz firmową pocztę.

Niektórzy kwestionują “skomplikowanie” ataku, zastanawiając się czy przypadkiem nie było to prosty malwaretising i typując domenę dreamincode.net jako źródło złośliwego przekierowania na stronę z 0day’em na Javę.

Jak bronić się przed skierowanymi atakami 0day

Ten incydent pokazuje, że istnieją grupy włamywaczy, które wykorzystują exploity 0day w atakach “skierowanych” w konkretne typy ofiar — tu developerów aplikacji mobilnych. I choć przed dziurami “0day” nie da się ochronić, to warto rozważyć minimalizowanie tzw. powierzchni ataku — czyli krótko mówiąc — wyłączenie tego oprogramowania, które nie jest niezbędne do pracy.

W kontekście przeglądarki internetowej, która dziś jest jednym z podstawowych narzędzi na każdym komputerze, zasadę minimalizacji powierzchni ataku należy rozumieć jako całkowite wyłączenie w przeglądarce dodatkowych pluginów (nie tylko Javy ale także Flasha) lub skonfigurowanie ich w trybie click-to-play. Należy także rozważyć zainstalowanie rozszerzenia typu NoScript (dla Firefoksa) lub ScriptsNo dla Google Chrome.

O ile te działania nie są w stanie w 100% wykluczyć ataków, to na pewno sprawią, że będą one trudniejsze do przeprowadzenia.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

38 komentarzy

Dodaj komentarz
  1. A co tam Java czy Flash, najlepiej całego kompa wyłączyć i stać się 100% hacker-proof!

    • Nawet wtedy nie jesteś w pełni bezpieczny. Złapią cię hakerzy na ulicy i ukradną portfel.

    • To dopiero hackerzy , zaatakowali Twój umysł tak że twój
      komputer stał się bezużyteczny

  2. Analiza logów zapytań DNS i wykrycie odwołać co C&C? Szacun dla adminów.

    • Czyli pełna inwigilacja pracowników :-)

    • Jak często masz odpowiedzi NXDOMAIN z DNSa w typowym użytkowaniu? ;)

  3. Która współczesna przeglądarka uruchamia aplety Javy bez potwierdzenia?

  4. Pytanie czy da się używać www bez flash/js/java?

    • No pewnie że się da, a tam gdzie jest potrzeba to się włącza i tyle. Sam tak robię i nie jest to zbyt upierdliwe. NoScript, FlashBlock, Ghostery, AdBlock plus pare innych wtyczek czyni przeglądanie stron Internetowych przyjemniejszym :)

    • Myślę że połowicznie. Ja mam javę wyłaczoną a flash właśnie “click-to-play, używam Opery. Z js to wydaje mi się byłby problem – wyłączyć się da ale chyba sporo na tym strony ucierpią.

    • testowo wyłączyłem js. Nie jest tak źle, ale onet trochę
      pokastrowany jest, fb wyświetlił monit że jf jest mile widziane,
      paypal pokazał monit i chyba sporo stracił na funkcjach (mam
      wrażenie że opcji było więcej), poczta onetu nie załadowała się. Do
      mbanku zalogować się nie mogę, synca, citi i millenium
      również.

    • @ OkropNick – dokladnie.

      AdBlock Plus
      BetterPrivacy
      Collusion
      FlashBlock
      Ghostery
      LastPass – zamiast Firefoxowego password managera
      NoScript
      Smart Referer

      i jedziesz ;D…

      Pozdrawiam.

      Andrzej

    • Ojoj i zapomnialem o Certificate Patrol…

      Pozdrawiam.

      Andrzej

    • AndrzejL: A nie lepiej po prostu włączyć Operę? ;-)

    • @ Dune – nie. Opera jest zamknieto-zrodlowa przegladarka o bardzo malo przyjaznej spolecznosci. Zalozylem konto na ich serwerze / forum po to zeby na ich forum w delikatny i cywilizowany sposob zglosic blad z dlugimi i skomplikowanymi haslami w wersji mobile / mini. Dostalem bana za spam (w moim poscie nie bylo ani jednego linku). Opera ma o wiele mniej rozszerzen niz Firefox. Aktualizacje wypuszczane sa znacznie rzadziej. Niejednokrotnie zdarzalo sie podczas testow opery ze padla na stronie z najprostrzymi skryptami i jakims drobnym flashem. Kiedys opera wywalila sie na google.com. A to tylko wierzcholek gory lodowej. Nie. Opera nie jest dla mnie. Podziekuje.

      Pozdrawiam.

      Andrzej

    • I tak ISP będzie wiedział z kim się i gdzie łączysz nawet jeśli połączenie jest po szyfrowane, a jeśli nie to i treść będzie filtrował,

  5. Nie dziwota, że takie kwiatki wychodzą, gdyby zatrudniali magistrów a nie “inżynierów”, atak by się nie powiódł!
    Swoją drogą po co im Java w pracy.. Zazwyczaj w większych firmach stara się by systemu miały minimum oprogramowania – wyłącznie aplikacje wymagane do pracy + bezpieczeństwo..

    • wiesz, skoro pisali aplikacje mobilne, to chyba im jednak Java może się czasem przydać… -_-

    • Jaaasne… System aktualny, antywirus zaktualizowany, firewall szczelny, a aplikacja pobrana z generalnie wiarygodnego źródła posiada nieznany wcześniej exploit. Konia z rzędem kto się takiemu atakowi oprze. W gębie to każdy mocny.

    • hahaha Kiro wiesz jak się stopniuje głupi? i odpowiedź
      Głupi-Głupszy-Magister, widać “świeżo” upieczony “Magister”,
      dlaczego magister w cudzysłowie ? odpowiedź: bo prace które
      oddajecie programista robi w 15 min na kolanie. Następnie Java w
      pracy się bardzo przydaje jak się umie w niej pisać. A co do softu,
      jea zablokujmy mu wszystko, niech programista nic nie testuje i nic
      nie sprawdza, na pewno będzie fajnie działało.

    • @Jim, rzeczywiście, nie doczytałem, że “mobilki”.
      @Hiob, ani ze mnie inżynier ani magister.. Natomiast widzę u Ciebie oznaki jakieś zazdrości czy coś.. Jeśli chodzi o oprogramowanie to jasno napisałem: to co potrzebne do pracy. Nic nie wspominałem o ograniczaniu możliwości, ale są rzeczy zbędne które nie pomagają zachować bezpieczeństwa.

  6. Analizując atak, dochodzę do wniosku iż żadne blokery JS
    nie pomogą – ponieważ Google Analytics jest na `white list` w
    większości z nich. Spójrzcie na to jak połączone zostały Stringi w
    JavaScripcie. Nie mogli wejść do FB drzwiami, to weszli oknem

    • A o co chodzi z tymi stringami a JavaScripcie, możesz
      rozwinąć temat?

  7. Może testować w sanboxie

    • Ale wtedy oni go moga nie tylko przez Jave ale jeszcze emacsem przez sendmail… ;)

      Pozdrawiam.

      Andrzej

  8. cytat qwerty 2013.02.16 20:44 | # | Reply Która współczesna
    przeglądarka uruchamia aplety Javy bez potwierdzenia?
    moja.

  9. A takie pytanie czy ten pan Inżynier używał Windowsa czy
    Linuxa.

    • Mac OS

  10. Przeglądarke z włączoną javą i flashem uruchamiać w Sandboxie i problem z głowy.

  11. a co ma zrobic biedny webdev? :P

  12. Nie pierwszy i nie ostatni to atak na FB :D

  13. Rozwiązania 1a mało bezpieczne:
    Instalujemy dystrybucję linuksa, tworzymy maszynę wirtualną, w maszynie wirtualnej stawiamy gentoo hardened z jądrem osłoniętym grsecurity i wzmocnionym chrootem i testujemy wszystko w chroocie.
    1b też mało bezpieczne: Qubes OS
    2, trochę bezpieczniejsze:Mamy dwa komputery, jednego nigdy nie podłączamy do internetu, jak chcemy coś odpalić innego niż stronę w czystym htmlu 4.0 to przenosimy na pendrive do tego offline. Oczywiście zabezpiecznia z punktu 1 stawiamy na obu, oprócz tego firewalle itp

    • Jak ktoś jednak chce tylko trochę zabezpieczyć system przed atakami Drive-by download, to oprócz wyłączenia javy i ustawieniu flasha na uruchomienie po kliknięciu, może w Ubuntu włączyć ochronę przeglądarki przez implementację systemu wymuszonej kontroli dostępu (MAC) w tym przypadku pod postacią apparmora.
      sudo apt-get install apparmor apparmor-profiles apparmor-utils
      sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

  14. […] razem nie chodzi o zainfekowane złośliwym oprogramowaniem laptopy pracowników Facebooka, ale atak na użytkowników portalu — wystarczyło odwiedzić odpowiednio spreparowaną […]

  15. Podobne ataki potwierdzili już Apple i Microsoft. Fajnie by było poczytać jakieś ładne podsumowanie na ten temat na niebezpiecznku ;]

  16. […] Tego nie wiemy. Evernote twierdzi, że atak odkryli administratorzy firmy i delikatnie sugeruje, że ostatnio tego typu włamania przydarzyły się innym firmom (chodzi zapewne o ataki Facebooka i Twittera poprzez 0day na Javę). […]

  17. […] Ofiarą padły DNS-y, gdyż zapewne w samych serwisach SEA nie było w stanie znaleźć żadnych błędów, a pracownicy — zarówno Twittera jak i NY Times przestali się nabierać na ataki spear phishng, tak chętnie przez SEA stosowane. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: