Časi, ko so v računalnike vdirali za šalo in za dokazovanje, so že davno mimo. Spletni kriminal je mednarodna »industrija« z elementi, ki imajo natančno določene cilje. Za vdor v žrtvin računalnik uporabijo zbirko programskih orodij (Exploit Kit), ki poznajo vse ranljivosti priljubljenih programov. Najbolj želene so ranljivosti, ki omogočijo okužbo računalnika s škodljivo kodo, ne da bi ta na kar koli kliknil ali se s čim strinjal. Black Hole je trenutno najnevarnejše takšno »orodje«, temu primerna je tudi njegova cena. Prodaja poteka prek skritih forumov, 40 evrov na dan ali 1200 evrov za vse leto. Black Hole od daleč analizira žrtvin računalnik, išče na njem znane ranljivosti, podatke pa pridobi iz baze podatkov, ki jo kriminalci ves čas posodabljajo s podatki o na novo odkritih ranljivostih. Pri tem si zapomni, katera metoda napada oziroma katera kombinacija različic operacijskega sistema in programov na računalnikih uporabnikov deluje (dopuščajo uspešen vdor). Pred Black Holom se je težko zavarovati, še zlasti težko od sredine lanskega leta, ko so kriminalci »izdali« različico, ki uporablja dinamične spletne naslove strežnikov, kjer je Black Hole, in strani s škodljivo kodo, ki jo »orodje« namesti na žrtvin računalnik. Obstaja tudi »premium« različica orodja (Cool Exploit Kit), ki za napade uporablja le ranljivosti, ki zagotovo še niso odpravljene (zero day). Za eno leto jo lahko kupijo le izbrani kupci, menda za sto tisoč dolarjev. Od odkritja ranljivosti pa do zakrpanja luknje lahko preteče več dni. Primer je ranljivost Jave, odkrita januarja, ki so jo programerji odpravili šele po petih dneh, pa tudi po tem je vprašljivo, koliko uporabnikov si je popravek naložilo.

Java je za spletne kriminalce zanimiva, ker je nameščena na 850 milijonov osebnih računalnikov, pa tudi zaradi slabšega mehanizma nadgrajevanja. O tem, da se pri tem namesti še kaj drugega kot le Java, smo pisali v prejšnji številki, to pa je glavni razlog, zakaj marsikateri uporabnik sploh ne želi namestiti nadgradenj. Javo je treba nadgrajevati, saj je luknjičasta kot švicarski sir. Naš predlog je, da to storite ročno.

Black Hole je »ključavničar«, ki odpre vrata do računalnika, katera škodljiva koda se nanj namesti, pa je odvisno, kaj želijo kriminalci. Največkrat bančni trojanski konj, kot je tisti z imenom Zeus, oziroma kateri od njegovih klonov. Citadel ima veliko skupnega z Zeusom. Oblikuje in nadzira omrežje botnet ter zbira osebne podatke z okuženih računalnikov. Dodatno pa je sposoben izsiljevati uporabnika, kot je primer »policija je zaklenila računalnik«. Citadel je zanimiv zaradi pristopa, ki so si ga privoščili avtorji. Oblikovali so podporo, prek katere lahko kriminalci javljajo napake v programih ter izražajo svoje želje, v katero smer naj bi jih razvijali. Obvestila o napakah in želje se stekajo v IT-podporo, ki deluje v realnem času, le zato, da so kupci zadovoljni. Osnovni paket Citadele vključuje orodja za oblikovanje in nadzor omrežja botnet. Enkratni strošek znaša 2400 dolarjev, mesečna naročnina je 125 dolarjev. Dodatki, kot je dodatek za redno nadgradnjo, s katero paket ostane pred protivirusnimi programi (zato ga ti ne zaznajo), se plačajo posebej.

Game Over je še ena različica trojanskega konja Zeus. Zanimiv je, ker kaže na prihodnost omrežja botnet za napade na banke. Ni namreč klasično nadzorovan z enega mesta, temveč je na široko porazdeljen – deluje po načelih omrežja P2P. Vsak posamezni okuženi računalnik (bot) je tudi nadzorni strežnik. Med seboj si hitro izmenjujejo informacije o nadgradnjah in širitvi omrežja. Ker ni centralnega nadzora (strežnika), ki bi ga našli in izklopili, s tem pa izključili celotno omrežje botnet, je porazdeljeno omrežje težje uničiti. Izraba načela P2P je dala strokovnjakom misliti, zato ti pričakujejo, da bo škodljiva koda kmalu začela uporabljati tudi omrežje TOR, ki zagotavlja anonimnost uporabnika na spletu.

Poleg kraje denarja neposredno z bančnih računov kriminalci žrtve tudi izsiljujejo. Zdaj je že dobro znana »policijska fora«. Trojanski konj, ki okuži računalnik, tega zaklene, hkrati pa na zaslonu izpiše na prvi pogled resno opozorilo državnih organov. »Ker ste nelegalno prenesli datoteko, smo vam zaklenili računalnik. Odklenili ga bomo, ko boste plačali kazen …« Ali pa vam preprosto pove, da če ne plačate zahtevane vsote, bo trojanski konj izbrisal vse podatke z diska. 50 ali 100 evrov naj bi žrtev plačala najpozneje v 24 urah in vedno prek anonimnega plačilnega sistema. Opaziti je mogoče dve metodi delovanja take škodljive kode. Lahko popolnoma zaklene dostop do sistema (Reventon), uporabnik ne more nič početi na svojem računalniku, ali pa šifrira nekaj datotek, morda tudi vse podatke na disku (Ransomcrypt). Sistem uporabnik odklene z geslom, ki mu ga pošljejo po plačilu »odkupnine«, običajno pa ima le pet možnosti vnosa pravega gesla. Če se tolikokrat zmotite, ostane sistem zaklenjen ali pa podatki zašifrirani, torej ker ne vemo šifrirnega ključa, bolj ali manj neuporabni.

2/3

Moj mikro, maj – junij 2013 | Jan Kosmač |