Existuje několik cest, jak dostat havěť do počítače, který je zabezpečen a používá ho rozumný uživatel. „Botu“ totiž mohl udělat výrobce aplikace, kterou používá…
Není to nic osobního proti společnosti ASUS, ale pár novinek dozadu jsem informoval o problému s ASUS Live Update. Útočníci tehdy ovládli jejich download servery a po dobu několika měsíců servírovali uživatelům podvodnou verzi ASUS Live Update bez toho, aby o tom věděl ASUS, natož uživatel. Ano, to je taky jeden ze způsobů, jak se dostat do zabezpečeného počítače bez vědomí uživatele.
Může za to HTTP
Trochu novější je pak incident s aplikací ASUS WebStore (řeší cloudové úložiště). Zde se útočníci „nenabourali“ na servery společnosti ASUS, ale využili nedostatečně zabepečeného aktualizačního procesu aplikace ASUS WebStore. Ta totiž stahuje aplikace po nezabezpečeném protokolu HTTP (nikoliv HTTPS) :-/
Byl to Man in the Middle útok
V tomto případě došlo pravděpodobně k MitM (Man in the Middle) útoku, kdy měli útočníci přístup ke komunikaci mezi počítačem uživatele a servery ASUS. K tomu může dojít například hacknutím nějakého routeru „na cestě“ (například u poskytovatele internetového připojení), případně routeru samotného uživatele, tedy „krabičky“, přes kterou je připojen k internetu. Že šlo o MitM útok dokládá i fakt, že ze stejné infrastruktury byly distribuovány i legitimní aktualizace.
Jak už bylo řečeno, útok zneužíval aktualizačního procesu ASUS WebStore, který běží přes nešifrovaný protokol HTTP, takže vše je krásně čitelné. Útočníkům tak stačí „někde na cestě k výrobci“, odchytávat požadavky aplikace ASUS WebStore. Ta ověřuje, zda neexistuje novější verze ke stažení. Přes HTTP GET pošle požadavek serveru update.asuswebstorage.com a očekává odpověď v podobě URL adresy, ze které následně aktualizaci stáhne a spustí. Právě do odpovědi útočníci vstoupí a místo URL adresy ve stylu http://homecloudd1.asuswebstorare.com/… naservírují vlastní, na které se může nacházet cokoliv. Obsah URL aplikace ASUS WebStore ochotně stáhne a následně spustí v domnění, že se jedná o jeho vlastní aktualizaci…
Útočníci touto cestou do počítače zavedli havěť Plead (backdoor), o té třeba někdy příště. Zajímavostí je, že tento konkrétní útok byl odhalen z dat, které sbírá společnost ESET. Není totiž úplně běžné, aby legitimní proces (v tomto případě AsusWSPanel.exe), spouštěl jiný proces s havětí, obzvlášť když jde o bezobslužnou aplikaci. Analýzou bylo zjištěno, že k tomu dochází právě při nevhodně navrženém procesu aktualizace ASUS WebStore.
Pozor na nešifrovanou komunikaci!
Článkem jsem chtěl upozornit na fakt, že ani poučený uživatel a zabezpečený a záplatovaný počítač nemusí zaručit, že neskončíte zavirovaní. Aktualizační procesy aplikací si musí ohlídat vývojáři, jinak mohou představovat paradoxně díru do systému, než mechanismus pro jejich záplatování.
Stejně jako oni, i my musíme minimalizovat použití nešifrované komunikace a snížit tak rizika na minimum. Pár příkladů:
- Pokud „běží“ navštěvovaná webová stránka pouze na http:// (nikoliv https:// – patrné u adresy webu v prohlížeči), budiž, ale určitě tam nezapisujte citlivé údaje (například přihlašovací).
- Pokud stahujete poštu, určitě používejte šifrovanou podobu protokolů POP3, IMAP či SMTP (šifrovaná spojení SSL běží na portech 995, 993, 465). Pokud u těchto protokolu v nastavení pošty vidíte porty jako 110, 143 či 25, je to nejspíš špatně.
Pokiaľ mal uživateľ v pc aplikáciu Asus WebStore alebo iný bloatware, tak to nebol uživateľ rozumný.