Během prosincových dnů se objevil další z útoků proti Twitteru, tentokrát šlo o změnu DNS záznamu. Kromě známých sociotechnik tak útočníci oprašují i klasické scénáře.
Na řádcích našich pravidelných komentářů jsme vás již několikrát informovali o různých útocích na sociální a komunitní sítě. Může jít jak o ty největší, kam patří stálice v podobě Facebooku a Twitteru, stejně jako o menší, s o to více cílenými útoky. V prosinci několik bezpečnostních společnosti informovalo o novém útoku právě na zmíněný Twitter. A tentokrát, světe div se, nešlo o klasické phishingové nebo jiné metody sociálního inženýrství, ale přímo více sofistikovaný útok s podvržením DNS.
Hezky česky, více nebezpečně
Jak tedy ve své zprávě uvedla například společnost Trend Micro, zaútočila na Twitter skupina, která si říkala Iranian Cyber Army. Podle dostupných zpráv byl neoprávněně pozměněn záznam DNS pro web Twitter tak, aby přesměrovával na web ovládaný hackery, který zobrazoval zprávu s politickým obsahem. Právě informace o zneužití DNS posunula kompas k cílům útoků na sociální sítě: ty se totiž dosud vyznačovaly především klasickým scénářem, jehož hlavním hrdinou je přespříliš důvěřivý uživatel, který zmáčkne onu pomyslnou spoušť.
Stránka Twitter.com po včerejším úspěšném hacku
Vyloženě technické útoky proti sociálním a komunitním sítím jsou s notnou dávkou nadsázky vždy potěšující, jelikož jde o výjimku ze stálé přehršle e-mailů loudících heslo, upozornění na nutnost bezpečnostního resetu hesla, stažení „nezbytného“ kodeku apod. Jakmile se útočníkům podaří cokoliv více technického, pak sice stále jde o útok jako kterýkoliv jiný, nicméně nejedná se o jednoduchou léčku na Běžného Frantu Uživatele.
Zaměřme se detailněji na Twitter a Facebook, které během roku byly v popředí zájmu útočníků, především kvůli své stoupající popularitě, resp. postupně lokalizaci do různých jazyků – například Facebook prožil český boom právě po přeložení do naší mateřštiny. Také tato situace kopíruje klasický scénář, kdy se nebezpečí, jež původně ohrožovala hlavně pouze americké/anglicky mluvící uživatele, může stát reálným i pro ty české.
Klasika jménem Koobface
Podobně jako například v případě škodlivého kódu šířícího se prostřednictvím instant messagingu je i u Facebooku hlavní nebezpečí v tom, že uživatelé jednotlivým zprávám hodně důvěřují, na první pohled se totiž tváří jako poslané od někoho známého. Koobface například zprávy s odkazem odesílal pod hlavičkou jako by reálného uživatele, z profilu byla převzata i fotka a jméno.
Prosincový útok na DNS záznam Twitteru ukázal jeden směr útoků, kterou můžeme brát jako další milník, i když jde samozřejmě jen o oprášení dobře známého postupu útoků proti rozličným serverům. Vzpomeňme na populární, již zmíněný Koobface, který dříve předznačil jinou větev útoků - jednalo se o variantu, která rozesílala soukromé zprávy jednotlivým uživatelům, v jejichž obsahu však přitom byl podvržený odkaz tvářící se jako link na YouTube. Pokud přespříliš důvěřivý uživatel tento odkaz následoval, otevřel se falešný web s žádostí o instalaci doplňku pro přehrávání. Nyní již stačilo jedno nerozvážné svolení a stažení škodlivého kódu má zelenou.
Šíření a krádeže přihlašovacích informací přitom nejsou nijak složité, uživatelské jméno a heslo si z postiženého počítače Koobface zjistil pomocí uložených cookies. S těmito údaji se připojí k aktivnímu profilu, prohledá dostupné kontakty a sám se rozešle, samozřejmě na první pohled pod jmenovkou původního kontaktu, a tedy s větší šancí obalamutit příjemce. Vedle využití přihlašovacích údajů k rozeslání jsou jméno a heslo zaslány také na několik dalších, předem definovaných serverů. Ačkoliv Koobface stále potřebuje svolení od samotného uživatele, aby se mohl dál šířit, jedná se o další reálné riziko a zneužití našich online identit.
Útočníci si svoji cestu najdou
Pokud nyní vezmeme v úvahu nedávné podvržení DNS v případě Twitteru a variantu Koobface pro Facebook, máme dvě hlavní větve útoků nejen proti sociálním sítím, které budou hýbat světem sítí i v roce 2010. Na jedné straně navíc při jemnějším dělení opravdu technické útoky na úrovni sítě (útoky proti DNS), na pomezí pak škodlivý kód, který vyžaduje aktivaci uživatelem (Koobface), na závěr čistě loudící metody (phishing). Co bude hlavním lákadlem a motivací útočníků v příštím roce? Za jak nebezpečné považujete sociální sítě vy osobně? Podělte se s o svůj názor s ostatními čtenáři v diskuzi pod článkem.
