16/2/2013
Nieznanym sprawcom udało się zainfekować złośliwym oprogramowaniem komputery kilku inżynierów Facebooka. Najprawdopodobniej ci sami sprawcy są także odpowiedzialni za niedawny wyciek 250 000 haseł z Twittera.
Jak zhackowano laptopy pracowników Facebooka?
Atakujący do infekcji wykorzystali technikę wodopoju. Najpierw przejęli kontrolę nad popularnym serwisem dla developerów aplikacji mobilnych i umieścili tam kod exploita wykorzystujący nieznany do tej pory błąd w Javie (tzw. 0day).
Wśród odwiedzających tę stronę internautów znalazło się kilku inżynierów Facebooka …i zapewne setki pracowników innych firm. Najprawdopodobniej także ostatnie włamanie do Twittera i wyciek 250 000 hashy haseł należy powiązać z tym konkretnym atakiem — Twitter ujawnił wtedy, iż włamywacze wykorzystali podatności w Javie.
Jak Facebook wykrył włamanie?
Facebook wykrył atak na podstawie analizy logów. Atakujących zdradziły nietypowe odwołania do serwera DNS (próba kontaktu z C&C). W ten sposób namierzono komputer jednego z inżynierów, a po poddaniu go analizie wykryto złośliwe oprogramowanie. Przeszukanie reszty firmowych komputerów pod kątem tego malware’u ujawniło kolejne ofiary. Następnie zespół bezpieczeństwa Facebooka przekierował ruch do C&C z którego korzystał malware na swoje maszyny i na tej podstawie udało mu się “zrozumieć” atak oraz odkryć, że poszkodowane są także inne firmy. Facebook je powiadomił (choć nie udziela informacji o kogo chodzi) i przekazał sprawę FBI.
Facebook twierdzi, że żadne dane użytkowników nie zostały wykradzione. Atakujący mieli wyłącznie wejść w posiadanie “typowych informacji znajdujących się na komputerze inżyniera” oraz przechwycić część kodu źródowego Facebooka oraz firmową pocztę.
Jak bronić się przed skierowanymi atakami 0day
Ten incydent pokazuje, że istnieją grupy włamywaczy, które wykorzystują exploity 0day w atakach “skierowanych” w konkretne typy ofiar — tu developerów aplikacji mobilnych. I choć przed dziurami “0day” nie da się ochronić, to warto rozważyć minimalizowanie tzw. powierzchni ataku — czyli krótko mówiąc — wyłączenie tego oprogramowania, które nie jest niezbędne do pracy.
W kontekście przeglądarki internetowej, która dziś jest jednym z podstawowych narzędzi na każdym komputerze, zasadę minimalizacji powierzchni ataku należy rozumieć jako całkowite wyłączenie w przeglądarce dodatkowych pluginów (nie tylko Javy ale także Flasha) lub skonfigurowanie ich w trybie click-to-play. Należy także rozważyć zainstalowanie rozszerzenia typu NoScript (dla Firefoksa) lub ScriptsNo dla Google Chrome.
O ile te działania nie są w stanie w 100% wykluczyć ataków, to na pewno sprawią, że będą one trudniejsze do przeprowadzenia.
A co tam Java czy Flash, najlepiej całego kompa wyłączyć i stać się 100% hacker-proof!
Nawet wtedy nie jesteś w pełni bezpieczny. Złapią cię hakerzy na ulicy i ukradną portfel.
To dopiero hackerzy , zaatakowali Twój umysł tak że twój
komputer stał się bezużyteczny
Analiza logów zapytań DNS i wykrycie odwołać co C&C? Szacun dla adminów.
Czyli pełna inwigilacja pracowników :-)
Jak często masz odpowiedzi NXDOMAIN z DNSa w typowym użytkowaniu? ;)
Która współczesna przeglądarka uruchamia aplety Javy bez potwierdzenia?
Pytanie czy da się używać www bez flash/js/java?
No pewnie że się da, a tam gdzie jest potrzeba to się włącza i tyle. Sam tak robię i nie jest to zbyt upierdliwe. NoScript, FlashBlock, Ghostery, AdBlock plus pare innych wtyczek czyni przeglądanie stron Internetowych przyjemniejszym :)
Myślę że połowicznie. Ja mam javę wyłaczoną a flash właśnie “click-to-play, używam Opery. Z js to wydaje mi się byłby problem – wyłączyć się da ale chyba sporo na tym strony ucierpią.
testowo wyłączyłem js. Nie jest tak źle, ale onet trochę
pokastrowany jest, fb wyświetlił monit że jf jest mile widziane,
paypal pokazał monit i chyba sporo stracił na funkcjach (mam
wrażenie że opcji było więcej), poczta onetu nie załadowała się. Do
mbanku zalogować się nie mogę, synca, citi i millenium
również.
@ OkropNick – dokladnie.
AdBlock Plus
BetterPrivacy
Collusion
FlashBlock
Ghostery
LastPass – zamiast Firefoxowego password managera
NoScript
Smart Referer
i jedziesz ;D…
Pozdrawiam.
Andrzej
Ojoj i zapomnialem o Certificate Patrol…
Pozdrawiam.
Andrzej
AndrzejL: A nie lepiej po prostu włączyć Operę? ;-)
@ Dune – nie. Opera jest zamknieto-zrodlowa przegladarka o bardzo malo przyjaznej spolecznosci. Zalozylem konto na ich serwerze / forum po to zeby na ich forum w delikatny i cywilizowany sposob zglosic blad z dlugimi i skomplikowanymi haslami w wersji mobile / mini. Dostalem bana za spam (w moim poscie nie bylo ani jednego linku). Opera ma o wiele mniej rozszerzen niz Firefox. Aktualizacje wypuszczane sa znacznie rzadziej. Niejednokrotnie zdarzalo sie podczas testow opery ze padla na stronie z najprostrzymi skryptami i jakims drobnym flashem. Kiedys opera wywalila sie na google.com. A to tylko wierzcholek gory lodowej. Nie. Opera nie jest dla mnie. Podziekuje.
Pozdrawiam.
Andrzej
I tak ISP będzie wiedział z kim się i gdzie łączysz nawet jeśli połączenie jest po szyfrowane, a jeśli nie to i treść będzie filtrował,
Nie dziwota, że takie kwiatki wychodzą, gdyby zatrudniali magistrów a nie “inżynierów”, atak by się nie powiódł!
Swoją drogą po co im Java w pracy.. Zazwyczaj w większych firmach stara się by systemu miały minimum oprogramowania – wyłącznie aplikacje wymagane do pracy + bezpieczeństwo..
wiesz, skoro pisali aplikacje mobilne, to chyba im jednak Java może się czasem przydać… -_-
Jaaasne… System aktualny, antywirus zaktualizowany, firewall szczelny, a aplikacja pobrana z generalnie wiarygodnego źródła posiada nieznany wcześniej exploit. Konia z rzędem kto się takiemu atakowi oprze. W gębie to każdy mocny.
hahaha Kiro wiesz jak się stopniuje głupi? i odpowiedź
Głupi-Głupszy-Magister, widać “świeżo” upieczony “Magister”,
dlaczego magister w cudzysłowie ? odpowiedź: bo prace które
oddajecie programista robi w 15 min na kolanie. Następnie Java w
pracy się bardzo przydaje jak się umie w niej pisać. A co do softu,
jea zablokujmy mu wszystko, niech programista nic nie testuje i nic
nie sprawdza, na pewno będzie fajnie działało.
@Jim, rzeczywiście, nie doczytałem, że “mobilki”.
@Hiob, ani ze mnie inżynier ani magister.. Natomiast widzę u Ciebie oznaki jakieś zazdrości czy coś.. Jeśli chodzi o oprogramowanie to jasno napisałem: to co potrzebne do pracy. Nic nie wspominałem o ograniczaniu możliwości, ale są rzeczy zbędne które nie pomagają zachować bezpieczeństwa.
Analizując atak, dochodzę do wniosku iż żadne blokery JS
nie pomogą – ponieważ Google Analytics jest na `white list` w
większości z nich. Spójrzcie na to jak połączone zostały Stringi w
JavaScripcie. Nie mogli wejść do FB drzwiami, to weszli oknem
…
A o co chodzi z tymi stringami a JavaScripcie, możesz
rozwinąć temat?
Może testować w sanboxie
Ale wtedy oni go moga nie tylko przez Jave ale jeszcze emacsem przez sendmail… ;)
Pozdrawiam.
Andrzej
cytat qwerty 2013.02.16 20:44 | # | Reply Która współczesna
przeglądarka uruchamia aplety Javy bez potwierdzenia?
moja.
A takie pytanie czy ten pan Inżynier używał Windowsa czy
Linuxa.
Mac OS
Przeglądarke z włączoną javą i flashem uruchamiać w Sandboxie i problem z głowy.
Do pierwszego 0daya na sandboxie :)
a co ma zrobic biedny webdev? :P
Nie pierwszy i nie ostatni to atak na FB :D
Rozwiązania 1a mało bezpieczne:
Instalujemy dystrybucję linuksa, tworzymy maszynę wirtualną, w maszynie wirtualnej stawiamy gentoo hardened z jądrem osłoniętym grsecurity i wzmocnionym chrootem i testujemy wszystko w chroocie.
1b też mało bezpieczne: Qubes OS
2, trochę bezpieczniejsze:Mamy dwa komputery, jednego nigdy nie podłączamy do internetu, jak chcemy coś odpalić innego niż stronę w czystym htmlu 4.0 to przenosimy na pendrive do tego offline. Oczywiście zabezpiecznia z punktu 1 stawiamy na obu, oprócz tego firewalle itp
Jak ktoś jednak chce tylko trochę zabezpieczyć system przed atakami Drive-by download, to oprócz wyłączenia javy i ustawieniu flasha na uruchomienie po kliknięciu, może w Ubuntu włączyć ochronę przeglądarki przez implementację systemu wymuszonej kontroli dostępu (MAC) w tym przypadku pod postacią apparmora.
sudo apt-get install apparmor apparmor-profiles apparmor-utils
sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
[…] razem nie chodzi o zainfekowane złośliwym oprogramowaniem laptopy pracowników Facebooka, ale atak na użytkowników portalu — wystarczyło odwiedzić odpowiednio spreparowaną […]
Podobne ataki potwierdzili już Apple i Microsoft. Fajnie by było poczytać jakieś ładne podsumowanie na ten temat na niebezpiecznku ;]
[…] Tego nie wiemy. Evernote twierdzi, że atak odkryli administratorzy firmy i delikatnie sugeruje, że ostatnio tego typu włamania przydarzyły się innym firmom (chodzi zapewne o ataki Facebooka i Twittera poprzez 0day na Javę). […]
[…] Ofiarą padły DNS-y, gdyż zapewne w samych serwisach SEA nie było w stanie znaleźć żadnych błędów, a pracownicy — zarówno Twittera jak i NY Times przestali się nabierać na ataki spear phishng, tak chętnie przez SEA stosowane. […]