Trojský kůň, který prochází firewally jako nůž máslem

Hackerská konference Defcon pravidelně přináší zajímavé novinky z hlediska počítačové bezpečnosti. Letošní není žádnou výjimkou. Předveden byl trojský kůň zneužívající neviditelných oken Internet Exploreru a procházející tak firewally jako běžný internetový prohlížeč.
Defcon nabídne vždy něco zajímavého, loni jej poznamenalo zatčení Dmitrije Skljarova, letos jsou již přednášející značně opatrnější. Přesto jsou prezentována řešení, které jsou důvodem mnoha vrásek na čelech tvůrců programů pro zabezpečení počítačů.

Tři jihoafričtí programátoři předvedli metodu nepozorovaného průniku firewallem umožňující zjišťovat libovolné tajné informace z počítače nepozorovanou cestou. Jejich metoda využívá vlastnosti Internet Exploreru, který umožňuje používat tzv. neviditelná okna prohlížeče. Ty nejsou nějakou chybou, jsou používány pro řadu užitečných prvků, například je uváděna Eudora, které s jejich pomocí stahuje obrázky do e-mailů. Neviditelné okno se na obrazovce nijak neprojevuje, slouží jen k posílání a získávání informací, které jsou následně zpracovávány. V seznamu úloh jsou tato okna viditelná jako iexplore.exe, tedy běžná instance Internet Exploreru.

Předvedený trojský kůň s označením Setiri umí s jejich pomocí ovládnou počítač, aniž by si toho uživatel či ochrana na firewallu všimli. Samotný Setiri neobsahuje destruktivní příkazy, program místo toho spustí neviditelné okno, které se přes anonymizer.com připojí na server a z něj získává samotné příkazy. Anonymizer.com je proxy sloužící k zakrytí identity surfujícího, zde je využita k zakrytí vzdáleného řídícího počítače. Pomocí Setiri je následně třeba možné nainstalovat na počítač další programy a získávat soubory z lokálního disku. Pro firewall se komunikace Setiri jeví jako běžný webový provoz, zakázáním Anonymizer.com se vyřeší problém jen částečně, protože lze pochopitelně využít jiný podobný systém.

Samotný Setiri nebude poskytnut k volnému využití, nicméně po přednášce jeden posluchačů uvedl, že na podobném principu již vytvořil a používá program k řízení jiných počítačů. Ačkoli tedy Setiri nebude nasazen mezi hackery, podobné programy jsou již využívány.

Pro Microsoft by bylo nejjednodušší zcela zakázat skrytá okna prohlížeče, nicméně tím by se značně omezila funkčnost řady programů, spíše se tedy bude jednat o mírné opravy a postupný přechod od současného stavu k lépe zabezpečenému.

Samotní autoři uvádí, že hlavním poselstvím Setiri je upozornění, že firewall není všemocný a lze jím projít bez povšimnutí. Tvůrci firewallů a správci sítí by tak neměli propadat falešnému pocitu uspokojení a zaměřit se i na tuto možnou cestu průniku do jejich systémů.

Diskuze (46) Další článek: Sledujte živě tiskovou konferenci Českého Telecomu k Internetu

Témata článku: , , , , , , , , , , ,