Szellemi kútmérgezés és Ferrari

    A gyári tárolókat, hivatalos piactereket azért szeretjük, mert általuk nagyobb biztonságot kapunk, remélünk. Ez nagyjából teljesül is, ám kivételek sajnos mindig akadnak, így a biztonságtudatosság legfelső fokát keresve úgy is fogalmazhatunk, hogy figyelni, óvatosnak lenni, gyanakodni semmilyen helyzetben nem ördögtől való.

    A Hável József előtt tisztelgő címadás után, de mai történetünkbe való fejes ugrás előtt egy kis múltidézővel felelevenítünk pár korábbi incidenst, amely részint az alternatív platformok ab ovo sebezhetetlenségébe vetett vakhitet cáfolták, részint olyan, megbízhatónak gondolt hivatalos források, gyári tárolók, letöltési helyek estek különféle trójai akciók áldozatául, amelyre akkoriban senki nem gondolt volna.

    poi2.jpg

    2007. augusztus 16-án kiderült, hogy a Canonical csoport anyagi támogatásával fenntartott nyolc Ubuntu fejlesztői kiszolgáló közül öt fertőzött. A szervereket önkéntes rendszergazdáknak kellett volna karbantartani, erre azonban gyakorlatilag nem került sor. A vizsgálat során a szerveren futó mindegyik olyan szoftvert, amelynek a pontos verziószáma egyáltalán megállapítható volt, biztonsági szempontból elavultnak találták.

    A nagy veszély abban állt, hogy ha a támadók esetleg hozzáfértek volna a forráskódokhoz és a hivatalos bináris csomagokhoz (futtatható formára lefordított fájlok), saját kártékony kódjaikkal észrevétlenül megtoldhatták volna azokat, így minden, a fertőzött szervert használó Ubuntut telepítő vagy azt frissítő gép megfertőződhetett volna. Emiatt végül az üzemeltetők kénytelenek voltak a korábbi dátumú, biztosan tiszta mentésből visszaállítani egy fertőzetlen állapotot és ebből töltötték fel végül a szervereken tárolt tartalmakat.

    poi3.jpg

    2009. decemberében a Gnome-look.org oldalon található képernyővédő "érdekességeiről" két külön topikban is értekeztek, egy UbuntuForumos és egy másik Kubuntus beszélgetés is írt a részletekről. Az történt, hogy a képernyővédő mellé titokban érkezett még egy DDoS támadásokhoz is használható extra trójai script az áldozatok számítógépére. 

    A nagy tanulság annyi, hogy hiába van ott a nagyságrendekkel biztonságosabb alternatív platform (vírusok és férgek szempontjából), ha helytelen hozzáállással ellenőrizetlen és megbízhatatlan forrásból való telepítéssel saját magunk ártunk magunknak. GPG-vel alá nem írt, illetve nem hivatalos tárolókból, nem megbízható fejlesztők weboldaláról letöltött tartalom mindig lehet ilyen gyenge láncszem.

    poi4.jpg

    2013. áprilisában felbukkant a Linux/Cdorked malware kapcsán egy Apache-kompatibilis károkozó. A telemetriai adatok szerint már 2012. decemberében aktivizálódott, és észrevétlenül hátsó ajtót hozott létre a kiszolgálókon, átirányítás kártékony oldalakra, DNS hijacking, stb. A naplóállományokból nem volt kimutatható, mert csak a memóriában található, ezért szerver oldalon integritás-ellenőrzéssel lehetett kiszűrni.

    2015. májusában leplezte le az ESET a Linux/Mumblehard kártevőt, amely a Linuxot és a BSD rendszereket futtató szervereket támadta, a kártevő elsődleges célja pedig az volt, hogy a fertőzött eszközöket kéretlen leveleket küldő botnet kiépítésére használja fel. A biztonsági kutatók a 7 hónapos vizsgálati periódus alatt több mint 8500 ezzel kapcsolatos egyedi IP címet azonosítottak.

    poi5.jpg

    Ugyancsak nem számít már rendkívüli eseménynek, ha egy szoftver gyári letöltési oldala trójaival mérgezett, ez történt például 2017-ben az OSX alatt használt Transmission alkalmazás weboldalánakfeltörésekor, vagy az Eltima Media Player program esetében is.

    De említhetnénk azt a számtalanul rengeteg alkalmat is, amikor a hivatalos Google Play piactér alkalmazásairól derültek ki dehonesztáló részletek.

    poi6.jpg

    És akkor most már tényleg ráfordulunk az aktuális incidensre, amelyben az derült ki, hogy az Ubuntu Store hivatalos alkalmazásaiba rejtve crypto bányászatot folytató trójai kódrészleteket találtak. Emiatt egy állítólagos "Nicholas Tomb" által aláírt "2048buntu" és "Hextris" alkalmazásokat kivették a tárolókból.

    A GitHubon nyilvánosságra hozták azt a rejtett szkriptet is, amelynek segítségével a tettes nagy reményekkel egy Ferrarit szeretett volna összehozni a rosszindulatú kódja segítségével (myfirstferrari@protonmail.com). Egyébiránt a PGP algoritmusban nemrég talált sebezhetőség miatt még az is lehet, hogy ezáltal könnyebben sikerül majd leleplezni a tettest.

    poi7.jpg

    A rejtett Bitcoin bányászat egyre divatosabb a bűnözők körében, tavaly például ismeretlen támadók szkripteket juttattak be a nagy forgalmú weboldalakba, amelyek leginkább az orosz, ukrán, fehérorosz, moldáv és kazah felhasználókat érintették, ennek során ugyanis a bányászat közvetlenül a felhasználók böngészőjében, a JavaScript program használatával történt.

    De emlékezetes lehet az az eset is, amikor idén februárban feltörték a Tesla Cloudflare felhőjét, és abban azon túl, hogy érzékeny (tulajdonosi, jármű, lokációs és műszeres telemetriai) adatokat loptak el, Bitcoint bányásztak az erőforrással.

    poi8.jpg

    Összegezve, ellenőrzés nélkül nem létezik biztonság, emiatt változhatott meg 2012-ben az idők szelére hallgatva a Mac marketingüzenete is, "It doesn't get PC viruses"-ről "It's built to be safe"-re.

    Vagy ahogy Thomas Jefferson fogalmazta meg mindezt, persze még nem számítógépes környezetekre gondolva: "A szabadság ára az örökos éberség". És mindemellett azt is jó tudni, hogy csak az első Ferrari megszerzése a nehéz, utána már minden egyszerű ;-)