{"id":791,"date":"2013-11-21T12:22:19","date_gmt":"2013-11-21T11:22:19","guid":{"rendered":"http:\/\/pclos.janu.hu\/?p=791"},"modified":"2013-11-21T12:22:19","modified_gmt":"2013-11-21T11:22:19","slug":"a-tolvaj-keze","status":"publish","type":"post","link":"http:\/\/pclos.janu.hu\/?p=791","title":{"rendered":"A tolvaj keze"},"content":{"rendered":"

\u201eHand of Thief\u201d tr\u00f3jai: \u00fajabb Linux v\u00edrus ijesztget\u00e9s<\/b><\/span><\/span><\/p>\n

PCLinuxOS Magazine 2013. november<\/a><\/h3>\n

\u00edrta: Paul Arnote (parnote)<\/p>\n

Hogy teljesen \u0151szinte legyek, m\u00e1r augusztusban kezdtem egy cikket \u00edrni az \u201e\u00faj\u201d Linuxos tr\u00f3jai v\u00edrusr\u00f3l, a Hand of Theif-r\u00f3l, amikor azt bejelentett\u00e9k. Eredetileg a szeptemberi sz\u00e1mban terveztem megjelentet\u00e9s\u00e9t. Valami azonban azt s\u00fagta, hogy v\u00e1rjak, am\u00edg a ked\u00e9lyek lecsillapodnak. \u00d6r\u00fcl\u00f6k, hogy \u00edgy tettem.<\/p>\n

<\/p>\n

Eredetileg \u00fagy tartott\u00e1k sz\u00e1mon a Hand of Thief-et, mint sikeres banki tr\u00f3jai v\u00edrust Linuxra, de kider\u00fclt, hogy csak FUD (f\u00e9lelem, bizonytalans\u00e1g, k\u00e9ts\u00e9g). M\u00e9g augusztusban az RSA, az EMC biztons\u00e1gi egys\u00e9ge, besz\u00e1molt arr\u00f3l, hogy orosz kiberb\u0171n\u00f6z\u0151k egy csoportja egy, a Linux oper\u00e1ci\u00f3s rendszert c\u00e9lz\u00f3 banki tr\u00f3jai programot aj\u00e1nlgatott. Ezt \u201eHand of Thief\u201d-nek (a tolvaj keze) h\u00edvt\u00e1k, a tov\u00e1bbiakban HoT-k\u00e9nt r\u00f6vid\u00edtem.<\/p>\n

Eredetileg ezt \u00e1ll\u00edtott\u00e1k<\/h3>\n

A HoT fejleszt\u0151i kezdetben azt \u00e1ll\u00edtott\u00e1k, hogy 15 k\u00fcl\u00f6nb\u00f6z\u0151 disztrib\u00faci\u00f3n tesztelt\u00e9k, p\u00e9ld\u00e1ul Fedor\u00e1n, Ubuntun \u00e9s Debianon. Az nem vil\u00e1gos, hogy a PCLinuxOS benne volt-e a 15 tesztelt disztrib\u00faci\u00f3ban. Azt is bejelentett\u00e9k, hogy 8 k\u00fcl\u00f6nb\u00f6z\u0151 asztali k\u00f6rnyezetben kipr\u00f3b\u00e1lt\u00e1k, p\u00e9ld\u00e1ul KDE-n \u00e9s GNOME-on. M\u00e9g azt is jelezt\u00e9k, hogy m\u0171k\u00f6dik az ismertebb web b\u00f6ng\u00e9sz\u0151k\u00f6n, mint p\u00e9ld\u00e1ul Firefox, Chrome, Chromium, Aurora \u00e9s Ice Weasel.<\/p>\n

Elvileg a HoT \u00fagy m\u0171k\u00f6dne, mint egy \u201e\u0171rlaphal\u00e1sz\u201d. Elfogja az \u0171rlapba bevitt olyan adatokat, mint az azonos\u00edt\u00f3dat, mindenf\u00e9le hitelk\u00e1rtya-inform\u00e1ci\u00f3kat, az adott weboldal nev\u00e9t, a web oldal felkeres\u00e9s\u00e9nek id\u0151b\u00e9lyeg\u00e9t \u00e9s az esetleg m\u00e1r a sz\u00e1m\u00edt\u00f3g\u00e9pen t\u00e1rolt cookie-kat. Ezut\u00e1n ezeket az inform\u00e1ci\u00f3kat elk\u00fcldi egy parancs szerverre. Miut\u00e1n az inform\u00e1ci\u00f3kat begy\u0171jt\u00f6tt\u00e9k, a b\u0171n\u00f6z\u0151k \u00e9rt\u00e9kes\u00edtik, \u00e9s Te csak a hitelk\u00e1rty\u00e1dr\u00f3l val\u00f3 k\u00f6ltekez\u00e9seket veszed \u00e9szre.<\/p>\n

A HoT a v\u00edruskeres\u0151 oldalak blokkol\u00e1s\u00e1ra alkalmas k\u00f3dot is tartalmaz. Ezt a DNS c\u00edmek mem\u00f3ri\u00e1ban val\u00f3 manipul\u00e1l\u00e1s\u00e1val \u00e9ri el, \u00e9s nem olyan nyilv\u00e1nval\u00f3 m\u00f3don, mint a hosts f\u00e1jl megv\u00e1ltoztat\u00e1sa. Az antiv\u00edrus oldalak el\u00e9r\u00e9s\u00e9nek blokkol\u00e1s\u00e1val n\u00f6veli a HoT rejt\u0151z\u00e9si k\u00e9pess\u00e9g\u00e9t.<\/p>\n

A HoT-ot kezdetben 2000 USD-\u00e9rt aj\u00e1nlott\u00e1k, de n\u00e9hol (jelenleg) m\u00e1r 3000 USD-t elk\u00e9rnek a banki tr\u00f3jai program egy p\u00e9ld\u00e1ny\u00e1\u00e9rt. El\u00e9g ijeszt\u0151en hangzik, nemde? Nos, ez az, ahogy ennek m\u0171k\u00f6dnie kellett volna.<\/p>\n

Mi t\u00f6rt\u00e9nt val\u00f3j\u00e1ban<\/h3>\n

T\u00e9nylegesen csak azoknak okozott vesztes\u00e9get a HoT, akik a kiberb\u0171n\u00f6z\u0151knek kifizettek 2000+ USD-t a banki tr\u00f3jai\u00e9rt. Az elemz\u00e9seket k\u00f6vet\u0151en az IT biztons\u00e1gi szakemberek kimondt\u00e1k a verdiktet, hogy a HoT-kuty\u00e1nak vadabb volt az ugat\u00e1sa, mint a hangja. Rosszindulat\u00fa szoftverk\u00e9nt, t\u00f6bb fronton is megbukott. Yotam Gottesman, az RSA vezet\u0151 biztons\u00e1gi kutat\u00f3 elmond\u00e1sa szerint a c\u00e9g megszerezte a HoT k\u00f3d\u00edr\u00f3j\u00e1t \u00e9s k\u00e9sz\u00edtette n\u00e9h\u00e1ny HoT bin\u00e1rist. Gottesman kijelentette, hogy a HoT val\u00f3j\u00e1ban nem m\u0171k\u00f6d\u0151k\u00e9pes. \u201eKutat\u00e1sunk \u00e9s elemz\u00e9seink azt mutatj\u00e1k, hogy a val\u00f3s\u00e1gban a HoT adathal\u00e1sz k\u00e9pess\u00e9ge nagyon korl\u00e1tozott, vagy \u00e9ppen hi\u00e1nyzik, ami miatt a rosszindulat\u00fa program csak egy kezdem\u00e9ny, \u00e9s sok r\u00e1ford\u00edt\u00e1st ig\u00e9nyel, am\u00edg kereskedelmileg \u00e9letk\u00e9pes banki tr\u00f3jaiv\u00e1 v\u00e1lik\u201d.<\/p>\n

    \n
  1. meg\u00e1llap\u00edt\u00e1s:<\/b> a HoT gener\u00e1tor egy Windows-os program, ami wine alatt fut Linuxon,<\/li>\n
  2. meg\u00e1llap\u00edt\u00e1s: <\/b>a HoT nem jelenleg egy b\u00f6ng\u00e9sz\u0151ben sem m\u0171k\u00f6dik. Ehelyett egyszer\u0171en a Google Chrome webb\u00f6ng\u00e9sz\u0151 egy, az\u00f3ta kijav\u00edtott biztons\u00e1gi sebezhet\u0151s\u00e9g\u00e9t haszn\u00e1lta ki,<\/li>\n
  3. meg\u00e1llap\u00edt\u00e1s:<\/b> a HoT, rosszindulat\u00fa programk\u00e9nt megbukott, m\u00e9ghozz\u00e1 legalapvet\u0151bb dologban: a felhaszn\u00e1l\u00f3nak sz\u00e1nd\u00e9kosan kell telep\u00edtenie. Lehet, hogy ez j\u00f3l m\u0171k\u00f6dik Windows alatt, nagyon gyenge \u00e9s hisz\u00e9keny felhaszn\u00e1l\u00f3kn\u00e1l, de a Linux felhaszn\u00e1l\u00f3k \u00e1ltal\u00e1ban enn\u00e9l felk\u00e9sz\u00fcltebbek,<\/li>\n
  4. meg\u00e1llap\u00edt\u00e1s:<\/b> a HoT, Firefox alatt pr\u00f3b\u00e1lva futtatni, annak \u00f6sszeoml\u00e1s\u00e1t okozza. Google Chrome-b\u00f3l pedig csak \u00e9rt\u00e9ktelen adatokat tud kinyerni.<\/li>\n<\/ol>\n

    A HoT v\u00e9g\u00fcl is nem m\u00e1s, mint egy protot\u00edpus. Egyszer\u0171en cs\u0151d\u00f6tt mondott az adatgy\u0171jt\u00e9sben. \u00dagy t\u0171nik, a HoT v\u00edrus\u00edr\u00f3 lehet\u0151v\u00e9 teszi a v\u00edrusk\u00e9sz\u00edt\u0151knek, hogy a HoT egy \u00faj v\u00e1ltozat\u00e1t hozz\u00e1k l\u00e9tre, illetve 32 bites Linux ELF (Execute and Linking Format \u2013 v\u00e9grehajthat\u00f3 \u00e9s szerkesztett form\u00e1tum) futtathat\u00f3 f\u00e1jl k\u00e9sz\u00edt.<\/p>\n

    Tanuls\u00e1gok?<\/b><\/h3>\n

    V\u00e9gs\u0151 soron a sz\u00e1m\u00edt\u00f3g\u00e9peink biztons\u00e1g\u00e1\u00e9rt egyetlen szem\u00e9ly a felel\u0151s, a v\u00e9gfelhaszn\u00e1l\u00f3. Mi \u2013 Linux felhaszn\u00e1l\u00f3k \u2013 szerencs\u00e9sek vagyunk, hogy olyan biztons\u00e1gos rendszert futtathatunk, amilyen nek\u00fcnk van. M\u00e9gis a vil\u00e1g \u00f6sszes biztons\u00e1ga sem akad\u00e1lyozhatja meg a naiv felhaszn\u00e1l\u00f3k akci\u00f3it.<\/p>\n

    Gyan\u00fas e-mail-ek megnyit\u00e1sa? Rossz \u00f6tlet. Ismeretlen linkre kattintani? Rossz \u00f6tlet. De ezt m\u00e1r tudtuk, nem igaz? Hasonl\u00f3k\u00e9pp k\u00f6vess\u00fck a PCLinuxOS hiszekegyet: soha ne <\/b><\/i>telep\u00edts<\/b><\/i> nem a PCLinuxOS hivatalos t\u00e1rol\u00f3ib\u00f3l sz\u00e1rmaz<\/b><\/i>\u00f3 csomagokat<\/b><\/i>, mert azokat olyan megbecs\u00fclt fejleszt\u0151k k\u00e9sz\u00edtik \u00e9s tesztelik, akik csak a PCLinuxOS \u00e9s felhaszn\u00e1l\u00f3inak \u00e9rdekeit tartj\u00e1k szem el\u0151tt. Soha nem lehetsz teljesen biztos a PCLinuxOS hivatalos t\u00e1rol\u00f3j\u00e1n k\u00edv\u00fcli csomagok min\u0151s\u00e9g\u00e9ben \u00e9s megb\u00edzhat\u00f3s\u00e1g\u00e1ban, ez\u00e9rt m\u00e9g az \u00e1ll\u00edt\u00f3lag megb\u00edzhat\u00f3 k\u00fcls\u0151 forr\u00e1sb\u00f3l sz\u00e1rmaz\u00f3 csomagok is lehetnek gyan\u00fasak.<\/p>\n

    A j\u00f3zan esz\u00fckre hallgat\u00f3, \u00e9s ezeket az egyszer\u0171 \u201eszab\u00e1ly\u201d-okat betart\u00f3 PCLinuxOS felhaszn\u00e1l\u00f3k hossz\u00fa ideig biztons\u00e1gban \u00e9rezhetik magukat, b\u00e1rmivel is pr\u00f3b\u00e1ln\u00e1nak a kiberb\u0171n\u00f6z\u0151k k\u00e1rt okozni nek\u00fcnk.<\/p>\n","protected":false},"excerpt":{"rendered":"

    \u201eHand of Thief\u201d tr\u00f3jai: \u00fajabb Linux v\u00edrus ijesztget\u00e9s PCLinuxOS Magazine 2013. november \u00edrta: Paul Arnote (parnote) Hogy teljesen \u0151szinte legyek, m\u00e1r augusztusban kezdtem egy cikket \u00edrni az \u201e\u00faj\u201d Linuxos tr\u00f3jai v\u00edrusr\u00f3l, a Hand of Theif-r\u00f3l, amikor azt bejelentett\u00e9k. Eredetileg a … Egy kattint\u00e1s ide a folytat\u00e1shoz…. →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,9],"tags":[85,201,70,197,118],"class_list":["post-791","post","type-post","status-publish","format-standard","hentry","category-magazin","category-rendszer","tag-85","tag-desktop","tag-pclinuxos","tag-rendszer","tag-virus"],"_links":{"self":[{"href":"http:\/\/pclos.janu.hu\/index.php?rest_route=\/wp\/v2\/posts\/791","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/pclos.janu.hu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/pclos.janu.hu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/pclos.janu.hu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/pclos.janu.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=791"}],"version-history":[{"count":1,"href":"http:\/\/pclos.janu.hu\/index.php?rest_route=\/wp\/v2\/posts\/791\/revisions"}],"predecessor-version":[{"id":792,"href":"http:\/\/pclos.janu.hu\/index.php?rest_route=\/wp\/v2\/posts\/791\/revisions\/792"}],"wp:attachment":[{"href":"http:\/\/pclos.janu.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=791"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/pclos.janu.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=791"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/pclos.janu.hu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=791"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}