Przejdź na stronę główną Interia.pl
Reklama

Komputery zombie, wodopoje, złośliwe kody. Tak wygląda polski internet

Dowolna strona www może być „wodopojem”. Dowolna strona w sieci może mieć wbudowany niebezpieczny złośliwy kod, który przejmie informacje, zaszyfruje dane i zażąda od nas okupu. Ofiarą może zostać każdy, nawet użytkownicy internetu, którzy rzadko zapuszczają się w niezbadane otchłanie globalnej sieci www. Na szczęście można się przed tym w prosty sposób uchronić. Chociaż też tylko do pewnego stopnia.

Przeglądając strony internetowe często nie zastanawiamy się czy ta znana od lat, ceniona i często przez nas odwiedzana, pewnego dnia nie będzie dla nas źródłem sporych problemów. Ryzyko jest większe niż może się na początku wydawać - wynika z raportu "Krótka historia wędrownego bajtu 10", przygotowanego przez firmę Exatel.

To czego nie widać

Najbardziej aktualnymi przykładami ataków - na co wskazują autorzy raportu - są przypadki z początku tego roku: kompromitacja stron Komisji Nadzoru Finansowego oraz Urzędu Rejestracji Produktów Leczniczych, które agresorzy zamienili w tak zwane "wodopoje". Po spenetrowaniu wewnętrznej infrastruktury serwerów www, atakujący umieścił w kodzie strony niewielki fragment skryptu.

Reklama

Wodopoje (także zatruty wodopój czy atak przez wodopój) to właśnie strony, które mają ukryty złośliwy kod. - Atakujący najpierw identyfikuje stronę internetową, której ludzie ufają i często odwiedzają. Po włamaniu pozostawia nietkniętą infrastrukturę, tj. nie prowadzi do tego, że serwer www przestaje nagle działać. Wszystko jest tak jak było przed atakiem. Ukrywa jednak złośliwy kod, który odpali się w przeglądarce osoby, która odwiedzi tę witrynę. Ma on na celu przejęcie kontroli nad komputerem, wstrzyknięcie malware (złośliwe oprogramowanie), itp. Po tym, gdy ofiara przejmie kod, komputer przestaje być faktycznie jej. Dochodzi do kradzieży plików, do wycieku informacji bądź próby okupu - tłumaczy w rozmowie z Interią jeden z analityków SOC Exatel.

- Wodopój jest to strona, która ma atakować innych - dopowiada Jakub Syta, dyrektor Biura Zarządzania Usługami Bezpieczeństwa Exatel i dodaje, że większość stron jest tak absolutnie neutralna z punktu widzenia jej treści, że nikt by nie pomyślał nawet, że mogą stanowić zagrożenie. A prawda jest zupełnie inna.

Zatrute strony www

Nawet niewielki, niewidoczny gołym okiem kawałek kodu ukryty na stronie, którą często odwiedzamy bez zgody i wiedzy jej właściciela, może pozbawić nas informacji, prywatności, a często także pieniędzy.

Słysząc czy czytając różnego rodzaju ostrzeżenia zbyt często bagatelizujemy ryzyko. Twierdzimy, że problem nie dotyczy nas. Skoro nie zapuszczam się w niezbadane, nieodkryte wcześniej przestrzenie internetu, a jedynie odwiedzam wciąż te same, "sprawdzone" strony internetowe, to nie ma dla mnie zagrożenia. Okazuje się, że jest wręcz przeciwnie. Dzisiaj każdy jest w polu rażenia, bo dla cyberprzestępców bez znaczenia, kto zostanie trafiony ich atakiem.

"W trakcie analizy pewnego incydentu w sieci klienta oraz badań będących jego bezpośrednim następstwem, udało nam się zidentyfikować istnienie w polskim internecie masywnej sieci "wodopojów", z użyciem której atakujący są w stanie prowadzić zarówno wysokoprofilowe precyzyjne ataki ukierunkowane (targetowane), jak i masowe kampanie przeciwko polskim internautom" - czytamy w raporcie, który opisuje w jaki sposób podatne na atak, słabo zabezpieczone i nieaktualizowane strony www mogą być wykorzystane przez agresora, zamieniającego je w konfigurowalne narzędzie zniszczenia.

Atak automatyczny

- Agresor atakuje automatycznym kodem, szuka podatnych na atak stron, każdą z nich penetruje. Automat przechodzi ze strony na stronę - dodaje Syta.

Tym samym, automaty sprawdzają czy na danej stronie istnieje podatność, np. w systemach CMS na "wpisanie kodu". - Ludzie cieszą się, że mają swoją stronę internetową. Problem w tym, że zapominają o aktualizacjach. To jest główna przyczyna problemów. Za miesiąc, za rok ktoś w końcu znajdzie lukę w danym systemie. Wtedy programy wykorzystujące luki i błędy w oprogramowaniu (tzw. exploit) spenetrują stronę, a atakujący uzyska dostęp do niej na poziomie administratora. Może wtedy zmienić na niej praktycznie wszystko - podkreśla w rozmowie z Interią analityk Exatela.

Braki w oprogramowaniu są źródłem problemów po stronie użytkowników, nie tylko właścicieli stron internetowych. Dlaczego? - Kod przeskoczy dalej wtedy, gdy oprogramowanie jest również nieaktualne, tak jak zainfekowanej strony www, która stała się wodopojem. Zarówno po stronie serwerów, jak i po stronie stacji roboczych użytkowników brak aktualizacji, brak świadomości, rodzą ryzyka ataku - tłumaczy.

Jeśli złośliwy kod trafi na dany komputer, ten przestaje być użytkownika, który traci nad nim kontrolę, a atakują - ponownie jak z wcześniej przejętą stroną internetową - tym razem znów może zrobić co tylko zechce. Eksperci mówią wtedy o tzw. komputerach zombie.

Komputery zombie...

...mogą być wykorzystywane m.in. do kopania Bitcoinów, służyć do przechwytywania różnorodnych informacji, wpisanych haseł i kodów. Możliwe jest także przejęcie kontroli nad kamerką internetową.

Problemu nie powinniśmy bagatelizować, bo jak dowodzą nasi rozmówcy, przez cztery tygodnie byli w stanie wyśledzić 1041 wodopojów w polskim internecie. A to i tak tylko dlatego, że jego twórca popełnił błąd w kodzie. Niektóre z nich wciąż stanowią zagrożenie. Czym to tłumaczyć?

- Niektóre ofiary nawet nie miały pojęcia, że mają swoją własną stronę internetową. Brzmi to nieprawdopodobnie, ale okazało się, że takie sytuacje się zdarzają. Część nie była w stanie znaleźć ludzi, którzy te strony tworzyli, nie mówiąc już o możliwości załatania luk - konstatuje Syta.

Co można w takiej sytuacji, gdy ryzyko jest nie tylko realne, ale również coraz częściej spotykane, zrobić?

- W internecie, podobnie jak na drogach powinna obowiązywać zasada ograniczonego zaufania. Musimy uważać, na które strony wchodzimy, ale nawet wtedy nie mamy pewności, że nie trafimy na te z wbudowanym złośliwym kodem - ostrzega analityk SOC Exatel. Na szczęście nie jesteśmy z góry skazani na porażkę. Eksperci Exatela wskazują na podstawową zasadę, która w większości przypadków uchroni nasz komputer, dane i pieniądze.

- Jakby ci, co mają stronę, wiedzieli, że mają luki i o nie dbali, tj. systematycznie łatali - nic by się nie stało. Jakby ludzie dbali o higienę aktualizacyjną systemów, to nawet potencjalnie wchodząc na wodopoje, nie zostaliby zarażeni - twierdzą. Dlatego tak ważna jest aktualizacja oprogramowania, którą wciąż jeszcze wielu użytkowników komputerów i internetu traktuje z przymrużeniem oka.

Raport pokazuje jednak, że informacje, które przenikają do szerokiej publiczności to jedynie wierzchołek góry lodowej. 1041 przypadków złośliwego kodu na rodzimych stronach pokazuje, że góra lodowa może być naprawdę ogromna. Sprawę zaś komplikuje dodatkowo fakt, że - jak się dowiedzieliśmy - część stron zarażała przez ponad 1,5 roku. - Każdy z nas mógł na jedną z tych stron, np. szkoły lub przedszkola wejść. Każdy z nas mógł przez 1,5 roku odwiedzić stronę, gdzie czyhał złośliwy kod - mówi autor raportu.

Bartosz Bednarz

INTERIA.PL
Dowiedz się więcej na temat: internet | cyberbezpieczeństwo | atak hakerski

Partnerzy serwisu

PKO BP KGHM