Halászat, vadászat -- halőrök, vadőrök 2.: IT biztonság 2010 első negyedévében, 2. rész

4. Mobil veszedelem Nemcsak a gazdáik szeretik az okostelefonokat, hanem a hackerek is. Úgy tűnik, egyre inkább igaz lesz ez az állítás. Erre ékes bizonyíték egy Spanyolországban történt eset. Akár háromezer ottani Vodafone ügyfelet is érinthetett az a fertőzés, amely a mobilóriás ibériai leányvállalata által szállított HTC Magic okostelefonokat sújtotta. Március elején érkezett az első híradás arról, hogy egy spanyol vodafone-os HTC Magic fertőzötten került a vásárlóhoz: microSD kártyáján a Mariposa botnet adatlopó kliense mellett több más rosszindulatú programot is felfedeztek. Nem sokkal később egy második esetet jelentettek. Végül a Vodafone bejelentette: háromezer HTC Magic microSD kártyájának lecserélését tervezi, mivel feltételezi, hogy azok is fertőzöttek. 5. Áradó levélszemét Nemrég jelent meg a Commtouch internetes fenyegetés-trendekről szóló jelentése 2010 első negyedévéről. Ebből kiderül: az időszak folyamán a teljes e-mail forgalom átlagosan 83 százaléka levélszemét volt. A legmagasabb spamszintet -- 92 százalékot -- márciusban mérték. Viszonylag a legkevesebb kéretlen levél -- a teljes forgalom "mindössze" 75 százaléka -- az év elején keringett. Csakúgy, mit az előző negyedévben, most is a gyógyszer volt a spammerek legkedveltebb témája. A kéretlen levelek 81 százaléka ajánlott valamilyen orvosságot. Messze elmaradva -- szintén hagyományosan -- az (óra)utánzat-ipar következett, 5,4 százalékkal. Hasonló adatokról számolt be a VirusBuster spamlaborja is, amely ugyancsak 80 százalékra teszi a kéretlen gyógyszerreklámok részesedését a levélszemétből. A hazai cég azt tapasztalta, hogy 5-10 százalék körüli a pornót ajánló üzenetek aránya, a fennmaradó pár százalékon pedig online egyetemek, főiskolák, karóra-másolatok, kaszinók, torrentek osztoznak. (Az utóbbi nagyméretű állományok, leginkább videók letöltését segítő rendszer). Magyar spamből viszont -- 90 százalék körüli részesedéssel -- a torrent téma az abszolút rekorder. Emellett kisvállalkozások próbálnak üzenetek szórásával piacot szerezni, kihasználva, hogy ezt -- amíg nem sértik a versenyszabályokat -- semmi sem szankcionálja. "A csalárd levelek között sok szól állítólagos nyereményekről. Újabban már a Coca Cola vagy a Shell is "sorsol ki" e-mail címeket. Újdonság, nagyjából az utóbbi fél év jellemzője az online játékok jelszavait megszerezni próbáló adathalászat. Ugyanakkor úgy tűnik, hogy a banki adathalászat némileg visszaszorult. Művelői talán az újabb nagy akciókra készülnek, de az is lehet, hogy az óvatosabb és tapasztaltabb felhasználók már nem dőlnek be olyan könnyen -- mondja Stange Szilárd, a VirusBuster technológiáért felelős termékmenedzsere. -- Elég sok viszont a trójai spam, vagyis az olyan üzenet, amely kártékony szoftvert próbál a címzett gépére csempészni. A trójai programot általában csatolmány tartalmazza, tömörítve vagy szövegnek (dokumentumnak) álcázva, de néha csak link mutat rá. Szerencsénk, hogy a számítógépes bűnözők, akik eddig hazánkban próbálkoztak -- ritka kivételtől eltekintve -- nem tudtak magyarul, a fordítógépek pedig (egyelőre) annyira törik a magyart, hogy rögtön szemet szúr az idegenség mondjuk egy banki adatok után tudakozódó levél esetében. 6. Folt hátán folt Bőséggel kaptak biztonsági frissítéseket a legelterjedtebb szoftverek az elmúlt hónapokban is. A következőkben a Microsoft, az Adobe és az Oracle foltjairól szólunk röviden, időrendben. Január Januári foltozó keddjén (12-én) egyetlen -- kritikus -- javítócsomagot jelentetett meg a Microsoft. Nagyobb jelentőséget tulajdonítottak a szakemberek az ugyanakkor napvilágot látott Adobe frissítéseknek. Az Adobe PDF-szoftverek (a Reader és az Acrobat) sérülékenységeit már december közepe óta támadták a hackerek. Az Adobe Reader és az Acrobat 9.2-es vagy korábbi verzióival Windows, Macintosh és Unix környezetben dolgozóknak a programok 9.3-as változatára, az Acrobat 8.1.7 felhasználóknak a 8.2-re kellett áttérniük. A fentiekkel egy időben az Oracle is biztonsági frissítésekkel jelentkezett: 24 javítócsomaggal tette védettebbé termékpalettáját. Január 21-én azután soron kívüli javítócsomagot bocsátott ki az Internet Explorer valamennyi változatára a Microsoft. Így tömte be azt a rést, amelyen keresztül egy sor amerikai vállalatot -- köztük a Google-t -- ért online támadás. Február Február 9-e 13 biztonsági frissítéssel tette védettebbé a Microsoft-felhasználókat. A foltok a Windows és az Office sérülékenységeit orvosolták. A 13 foltból 5 kapott "kritikus" minősítést. Hét javítócsomagot a "fontos", egyet pedig a "mérsékelten fontos" kategóriába sorolt a szoftveróriás. Pár nappal utóbb bejárta a világsajtót a hír: az egyik javítócsomag, az MS10-015-ös telepítése után a gép újraindításakor egyes felhasználók rendszere végtelen indítási ciklusba került. A jelenség nem volt általános -- a VirusBusternek például egy esetet sem jelentettek --, ám elszigeteltnek sem volt mondható. A problémát az érintett gépek fertőzöttsége okozta. "Valójában nem egyetlen károkozóról, hanem egész kártevő-családról volt szó, melynek újabb és újabb változatai jelentek meg. Érdekesség, hogy elkészült már egy olyan variáns is, amely kompatibilis az említett MS10-015-ös folttal. A VirusBuster szoftvere a legtöbb változatot Rootkit.Alureon.Gen néven ismeri fel -- magyarázza Szappanos Gábor, a cég víruslaboratóriumának vezetője. -- Naprakész szoftverrel dolgozó felhasználóink biztonságban vannak, nyugodtan telepíthetik a szóban forgó foltot." Persze a Microsoft sietett kijavítani, s újra kibocsátani az MS10-015-ös foltot. Február közepén minden platformon frissíttette a Flasht az Adobe, hogy orvosoljon egy potenciálisan veszélyes sérülékenységet. Az Oracle egy szerver-sérülékenységre bocsátott ki soron kívüli foltot. A javítócsomag az Oracle WebLogic Server csomópont-kezelő (Node Manager) összetevőjének hibáját orvosolta. Március Március 9-ei menetrendszerű foltozó napján a Microsoft két biztonsági frissítéssel jelentkezett. A foltok a Windows és az Office sérülékenységein segítettek; mindkettő "fontos" minősítést kapott. Két héttel következő, áprilisi foltozó keddje előtt pedig betömött a Microsoft egy, az Internet Explorer 6-on és 7-en tátongó rést, amelyet mind erősebb ostrom alá vettek a hackerek. Ez a soron kívüli, MS10-018-as számú folt a böngésző valamennyi támogatott verziójára "kritikus" minősítést kapott. Jóllehet a folt védelmet nyújt a támadások ellen, a Microsoft sürgette az IE 6-tal és 7-tel dolgozókat: mielőbb térjenek át a böngésző legfrissebb, biztonságosabb 8-as kiadására.