HARD CORE SECURITY LAB

Wszyscy jesteśmy przyzwyczajeni do codziennych doniesień o masowo rozprzestrzeniających się robakach internetowych. Twórcy tego typu złośliwego oprogramowania, jako cel obierali sobie do tej pory przede wszystkim użytkowników najpopularniejszych systemów operacyjnych z rodziny Windows. W ostatnim czasie pojawiła się jednak kolejna wariacja robaka Koobface, która to jest w stanie z taką samą skutecznością infekować również Linuksy, a nawet system Mac OS X! Przyjrzyjmy się dokładniej temu interesującemu przypadkowi, który prawdopodobnie jest zapowiedzią nadejścia nowej klasy wieloplatformowych zagrożeń.

Od jakiegoś czasu w Internecie grasuje nowa wersja robaka Koobface, która w formie apletu Javy jest w stanie infekować systemy operacyjne Windows, Linux oraz Mac OS X. Malware ten rozprzestrzenia się przede wszystkim za pośrednictwem dużych sieci społecznościowych, jednak złośliwy odnośnik może do nas trafić praktycznie w dowolny sposób. Internauta zostaje zazwyczaj zachęcony do obejrzenia materiału wideo opatrzonego kuszącym tytułem:

Is this you in this video?

Otwarcie docelowej strony powoduje próbę uruchomienia apletu Java. Jeśli tylko uruchomimy aplet, w naszym systemie zainstaluje się złośliwe oprogramowanie, m. in. przyłączające nasz system do botnetu, uruchamiające kilka lokalnych serwerów oraz pozwalające w przyszłości na pobieranie dalszego złośliwego kodu wprost do naszego systemu. W systemie Mac OS X może to wyglądać następująco:
Do udanej infekcji, Koobface potrzebuje jedynie naszego zezwolenia na uruchomienie apletu. W podobny sposób może dojść do zainfekowania Linuksa. Ponownie wystarczy tylko zezwolić na uruchomienie apletu:
Tak natomiast wygląda spora aktywność sieciowa przykładowego systemu Ubuntu skutecznie przyłączonego do botnetu:

Złośliwy aplet zostaje umieszczony w naszym systemie jako jnana.tsa:

Wygląda więc na to, że użytkownicy mniej popularnych systemów operacyjnych również powinni zwracać baczną uwagę na swą internetową działalność. W powyższym przypadku dobrym ostrzeżeniem przed nieznanym apletem jest przykładowo niezweryfikowany certyfikat. Najlepiej jednak w ogóle nie korzystać z podejrzanych lub mało wiarygodnych odnośników. Mimo, że wspomniany robak nie jest najlepiej dopracowany i ma przykładowo problemy ze skutecznym infekowaniem systemu Mac OS X, to jednak jego kolejne wersje mogą być już o wiele bardziej niebezpieczne. Szczególnie, jeśli komputerowym przestępcom uda się opracowanie wieloplatformowego ataku nie wymagającego udziału użytkownika docelowego systemu!

W tym momencie warto również zadać sobie pytanie, czy w ogóle potrzebna nam jest jeszcze Java? Oczywiście pewne witryny internetowe nadal korzystają z tej technologii. Aplety są również często wykorzystywane w celu graficznego zarządzania rozmaitymi serwerami lub urządzeniami sieciowymi (w tym momencie na myśl przychodzi mi od razu Cisco Adaptive Security Device Manager).

Najprościej będzie się jednak o tym wszystkim przekonać... wyłączając Javę i próbując bez niej przez jakiś czas egzystować. Przykładowo w Google Chrome w tym celu wystarczy tylko wpisać w polu adresowym chrome://plugins/ i wyłączyć odpowiednią wtyczkę. Jeśli jednak czasem Java jest nam niezbędna, możemy przygotować sobie dwa skróty do naszej przeglądarki. Jeden normalny z obsługą Javy, a drugi z wyłączoną obsługą tej technologii, co osiągniemy za pomocą przełącznika -disable-java. W ten sposób będziemy mogli w prosty sposób korzystać z przeglądarki z obsługą Javy tylko wtedy, gdy będzie to konieczne.

Ciekaw jestem, co myślicie na temat całkowitego pozbycia się Javy oraz, czy stosujecie jakieś praktyczne sposoby na kontrolowanie uruchamiania poszczególnych apletów?