A tolvaj keze

Hand of Thief” trójai: újabb Linux vírus ijesztgetés

PCLinuxOS Magazine 2013. november

írta: Paul Arnote (parnote)

Hogy teljesen őszinte legyek, már augusztusban kezdtem egy cikket írni az „új” Linuxos trójai vírusról, a Hand of Theif-ról, amikor azt bejelentették. Eredetileg a szeptemberi számban terveztem megjelentetését. Valami azonban azt súgta, hogy várjak, amíg a kedélyek lecsillapodnak. Örülök, hogy így tettem.

Eredetileg úgy tartották számon a Hand of Thief-et, mint sikeres banki trójai vírust Linuxra, de kiderült, hogy csak FUD (félelem, bizonytalanság, kétség). Még augusztusban az RSA, az EMC biztonsági egysége, beszámolt arról, hogy orosz kiberbűnözők egy csoportja egy, a Linux operációs rendszert célzó banki trójai programot ajánlgatott. Ezt „Hand of Thief”-nek (a tolvaj keze) hívták, a továbbiakban HoT-ként rövidítem.

Eredetileg ezt állították

A HoT fejlesztői kezdetben azt állították, hogy 15 különböző disztribúción tesztelték, például Fedorán, Ubuntun és Debianon. Az nem világos, hogy a PCLinuxOS benne volt-e a 15 tesztelt disztribúcióban. Azt is bejelentették, hogy 8 különböző asztali környezetben kipróbálták, például KDE-n és GNOME-on. Még azt is jelezték, hogy működik az ismertebb web böngészőkön, mint például Firefox, Chrome, Chromium, Aurora és Ice Weasel.

Elvileg a HoT úgy működne, mint egy „űrlaphalász”. Elfogja az űrlapba bevitt olyan adatokat, mint az azonosítódat, mindenféle hitelkártya-információkat, az adott weboldal nevét, a web oldal felkeresésének időbélyegét és az esetleg már a számítógépen tárolt cookie-kat. Ezután ezeket az információkat elküldi egy parancs szerverre. Miután az információkat begyűjtötték, a bűnözők értékesítik, és Te csak a hitelkártyádról való költekezéseket veszed észre.

A HoT a víruskereső oldalak blokkolására alkalmas kódot is tartalmaz. Ezt a DNS címek memóriában való manipulálásával éri el, és nem olyan nyilvánvaló módon, mint a hosts fájl megváltoztatása. Az antivírus oldalak elérésének blokkolásával növeli a HoT rejtőzési képességét.

A HoT-ot kezdetben 2000 USD-ért ajánlották, de néhol (jelenleg) már 3000 USD-t elkérnek a banki trójai program egy példányáért. Elég ijesztően hangzik, nemde? Nos, ez az, ahogy ennek működnie kellett volna.

Mi történt valójában

Ténylegesen csak azoknak okozott veszteséget a HoT, akik a kiberbűnözőknek kifizettek 2000+ USD-t a banki trójaiért. Az elemzéseket követően az IT biztonsági szakemberek kimondták a verdiktet, hogy a HoT-kutyának vadabb volt az ugatása, mint a hangja. Rosszindulatú szoftverként, több fronton is megbukott. Yotam Gottesman, az RSA vezető biztonsági kutató elmondása szerint a cég megszerezte a HoT kódíróját és készítette néhány HoT binárist. Gottesman kijelentette, hogy a HoT valójában nem működőképes. „Kutatásunk és elemzéseink azt mutatják, hogy a valóságban a HoT adathalász képessége nagyon korlátozott, vagy éppen hiányzik, ami miatt a rosszindulatú program csak egy kezdemény, és sok ráfordítást igényel, amíg kereskedelmileg életképes banki trójaivá válik”.

  1. megállapítás: a HoT generátor egy Windows-os program, ami wine alatt fut Linuxon,
  2. megállapítás: a HoT nem jelenleg egy böngészőben sem működik. Ehelyett egyszerűen a Google Chrome webböngésző egy, azóta kijavított biztonsági sebezhetőségét használta ki,
  3. megállapítás: a HoT, rosszindulatú programként megbukott, méghozzá legalapvetőbb dologban: a felhasználónak szándékosan kell telepítenie. Lehet, hogy ez jól működik Windows alatt, nagyon gyenge és hiszékeny felhasználóknál, de a Linux felhasználók általában ennél felkészültebbek,
  4. megállapítás: a HoT, Firefox alatt próbálva futtatni, annak összeomlását okozza. Google Chrome-ból pedig csak értéktelen adatokat tud kinyerni.

A HoT végül is nem más, mint egy prototípus. Egyszerűen csődött mondott az adatgyűjtésben. Úgy tűnik, a HoT vírusíró lehetővé teszi a víruskészítőknek, hogy a HoT egy új változatát hozzák létre, illetve 32 bites Linux ELF (Execute and Linking Format – végrehajtható és szerkesztett formátum) futtatható fájl készít.

Tanulságok?

Végső soron a számítógépeink biztonságáért egyetlen személy a felelős, a végfelhasználó. Mi – Linux felhasználók – szerencsések vagyunk, hogy olyan biztonságos rendszert futtathatunk, amilyen nekünk van. Mégis a világ összes biztonsága sem akadályozhatja meg a naiv felhasználók akcióit.

Gyanús e-mail-ek megnyitása? Rossz ötlet. Ismeretlen linkre kattintani? Rossz ötlet. De ezt már tudtuk, nem igaz? Hasonlóképp kövessük a PCLinuxOS hiszekegyet: soha ne telepíts nem a PCLinuxOS hivatalos tárolóiból származó csomagokat, mert azokat olyan megbecsült fejlesztők készítik és tesztelik, akik csak a PCLinuxOS és felhasználóinak érdekeit tartják szem előtt. Soha nem lehetsz teljesen biztos a PCLinuxOS hivatalos tárolóján kívüli csomagok minőségében és megbízhatóságában, ezért még az állítólag megbízható külső forrásból származó csomagok is lehetnek gyanúsak.

A józan eszükre hallgató, és ezeket az egyszerű „szabály”-okat betartó PCLinuxOS felhasználók hosszú ideig biztonságban érezhetik magukat, bármivel is próbálnának a kiberbűnözők kárt okozni nekünk.

Share
A bejegyzés kategóriája: Magazin, rendszer
Kiemelt szavak: , , , , .
Közvetlen link.

Vélemény, hozzászólás?

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..