haking programy

Prawy klawisz!

Z okazji CCC w Berlinie Stefano Di Paola przedstawił swoje badania wykrytej dziury w Adobe Reader (dawniej Acrobat), o której było już głośno w grudniu . Dokładny opis na jego stronie.

Specjaliści z Symantec (producent) oraz VeriSign (bezpieczeństwo) potwierdzają, że luka w dokumentach *.pdf umożliwia uruchamianie złośliwych cross site scripting (XSS). Luka umożlwia np. wykradzenie informacji sesyjnych i personalnych, ściągnięcie robaka, podstawienie obcych adresów pod zapamiętane linki itd. aż do przejęcia komputera i uruchomienia złośliwego programu. Adobe wydał niedawno upgrade do wersji 8, która usuwa zagrożenie.

Na czym w skrócie polega to zagrożenie? W przeglądarce zazwyczaj jest ustawiona domyślna obsługa odwołań dokumentów w formacie *.pdf, uruchamia ona wtyczkę adobe readera w oknie przeglądarki. Di Paola wykonał badanie na firefoksie oraz IE i przewidział, że prawdopodobnie taks samo działa Opera. Tu się nie myli, bo cały hałas wynika z naprawdę z dziurawych przeglądarek, a dokładniej wtyczek, obsługujących zewnętrzne programy, zezwalając na przesyłanie (ukrytych) parametrów. Atak polega na umieszczeniu na (swojej lub obcej) stronie tekstu odwołującego się do *.pdf (może być każdy) wraz z ukrytymi parametrami, w kórych jest np. wykonanie złośliwego programu! Wszystkie przeglądarki obsługujące popularny format działają podobnie, to znaczy, jeśli nie mamy na kompie supernowego acroreader 8.0, mogą nam "wessać" niepostrzeżenie dowolny program, np. keylogger!

Nic dziwnego, że przed świętami było w Adobie gorąco. Patrząc ogólniej, łatanie popularnych programów do obsługi uniwersalnych formatów nie ma sensu, bo dziury będą ujawniać się coraz obficiej, a najgorsze, że często w wyniku poważnych włamań... Nie łudźmy się, hakerzy są pilnymi studentami. Co robić?
Zwyczajnie i po prostu unieruchomić w przeglądarce wszystkie opcje, których działania nie rozumiemy w 101%, w szczególności domyślne powiązania i parametry współpracy z zewnętrznymi programami. Te "wygodne" domyślne konfiguracje są szeroką autostradą, na której hulają ludzie w maskach. Inaczej mówiąc, jeśli mamy ściągnąć dokument w formacie *.pdf robimy to prawym klwiszem myszy (zapisz jako), uruchamiamy Reader, i otwieramy dokument z tej aplikacji. Sposób dotyczy absolutnie wszystkich plików, które sobie na kompa wczytujemy. Tak robili co prawda nasi dziadowie, ale w dobie uniwersalności jest to jedyny rozsądny sposób zachowania jako takiej higieny.

Powyższe uwagi dotyczą szczególnie plików ściąganych np. serwisów z muzyką itp.. Kto z was sprawdza, jaki ciąg rozkazów wywołuje naciśnięcie obrazka z panienką? Włącza się media player, a w tle właśnie połknęliście trojanka. Co robi naciśnięcie "play" z przeboje.mp3? Włącza realplayera, a w tle wysyła mały pakiecik: adres IP, data, godzina, nazwa i rozmiar pliku, cyfrowy odcisk pliku. Zgadnij komu?

Co robimy? Prawy klawisz!

dodaj do wykop

dodaj do gwar

dodaj do delicious

dodaj do linkr