Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Res Publica - czyli o tym, co można znaleźć w publicznych komputerach


Maciej Ziarek
Analityk zagrożeń, Kaspersky Lab Polska

res_publica_small.png W dzisiejszych czasach Internet jest coraz tańszy i szybszy. Coraz większymi krokami zbliża się czas, kiedy Sieć będzie w domach równie powszechna, jak telewizja. Niemniej jednak istnieją miejsca, w których można korzystać z Internetu publiczne. Jest to wygodne, kiedy musimy sprawdzić pocztę będąc na wyjeździe w innym mieście czy wydrukować pracę w punkcie ksero bez konieczności zabierania laptopa. Niestety często korzystając z takich komputerów nie przywiązujemy wagi do bezpieczeństwa. Zostawiamy dane o sobie, nasze prace, hasła i loginy. Nie zwracamy też uwagi na stan zainstalowanego oprogramowania, czy znajduje się tam antywirus lub czy system jest aktualny. To wszystko może się przyczynić do późniejszych ataków na nasze konta lub próby wyłudzenia danych.

Test bezpieczeństwa na publicznych stanowiskach

Aby dowiedzieć się, jakie informacje można znaleźć na takich stanowiskach dostępnych publicznie oraz jak wygląda tam kwestia bezpieczeństwa, wybrałem się do kilkunastu punktów, gdzie oferowany jest dostęp do Internetu. Były to biblioteki, kawiarenki internetowe, punkty ksero oraz pracownie szkolne. W każdym miejscu testowałem od dwóch do czterech stanowisk. Łącznie przebadanych zostało 35 komputerów. Na stanowiskach tych sprawdzałem, czy można uzyskać dostęp do następujących informacji:

  • Haseł i loginów do stron i usług internetowych
  • Haseł do komunikatora Gadu-Gadu
  • Danych osobowych, zdjęć
  • Prac i dokumentów powiązanych z osobami, które korzystały z komputera

Jeżeli chodzi o bezpieczeństwo komputerów, zwracałem uwagę na czynniki takie jak:

  • Uaktualniony program antywirusowy
  • Data ostatniego skanowania dysku
  • Aktualizacja systemu (w tym zainstalowane pakiety Service Pack)
  • Zainstalowane przeglądarki internetowe

Chciałbym podkreślić, że żadne dane znalezione na testowanych stanowiskach nie zostały pobrane, nigdzie upublicznione ani w jakikolwiek sposób wykorzystane. Całość służyła jedynie sporządzeniu raportu. Jeżeli była taka możliwość, starałem się usunąć usterkę poprzez włączenie aktualizacji lub wykasowanie prywatnych danych takich jak hasła i loginy. Żaden z plików nie był rozkodowywany ani odszyfrowany w celu odzyskania hasła czy loginu.

Zacznijmy od poziomu zabezpieczeń na przebadanych komputerach. Niestety nie można powiedzieć, że jest dobrze. Wręcz przeciwnie - jest tragicznie. Na 35 komputerów jedynie 7 posiadało aktualne systemy z programem antywirusowym wyposażonym w świeże sygnatury i regularnie skanującym komputer. Na tych 7 komputerach znajdowały się też przeglądarki Internet Explorer 8 oraz Firefox.

Na pierwszy ogień pójdą programy antywirusowe, które są trzonem bezpieczeństwa, jeżeli chodzi o blokowanie możliwości rozprzestrzeniania się złośliwego oprogramowania.

mziarek_res_publica_01.png
Rys. 1. Obecność programu antywirusowego

Wydawać by się mogło, że z bezpieczeństwem komputerów publicznych nie jest wcale tak źle. Należy jednak pamiętać, że sam fakt posiadania antywirusa nie oznacza wcale, że komputer jest zabezpieczony. Dodać należy, że program anti-spyware nie zastępuje programu antywirusowego - powinien być jedynie dodatkiem do niego. Poniżej znajduje się wykres, który pokazuje jak dużo brakuje by mówić o bezpiecznych stanowiskach dla użytkowników.

mziarek_res_publica_02.png
Rys. 2. Nieprawidłowości związane z zainstalowanym programem antywirusowym

Niektóre programy łączyły w sobie po kilka nieprawidłowości np. brak aktualnych sygnatur oraz regularnego skanowania. W ekstremalnych przypadkach były to programy całkowicie wyłączone, które po uruchomieniu monitowały o konieczności aktualizacji oraz przeskanowania (często dopiero pierwszego) komputera. Najdłużej nieaktualizowany antywirus miał sygnatury z dnia 16.06.2008, natomiast jeżeli chodzi o skanowanie, niechlubny rekord przypadł maszynie, na której pełne przebadanie systemu wykonane zostało po raz ostatni dnia 31.07.2008.

Obrazki takie jak ten poniższy nie należały do rzadkości. Bardzo często zdarzało się, że na testowanym komputerze były zainstalowane programy zabezpieczające jak antywirus czy anti-spyware, ale okazywały się nieaktualne lub po prostu ... wyłączone.

mziarek_res_publica_03.png
Rys. 3. Wyłączona ochrona antywirusowa i zapora sieciowa

Zagrożeniem bezpośrednio wynikającym z powyższego jest roznoszenie szkodników na inne komputery - głównie nasze notebooki czy domowe pecety. Kiedy idziemy do kawiarenki internetowej aby poprawić pracę w edytorze tekstu czy też wydrukować coś, korzystamy z pamięci przenośnych. Jeżeli publiczny komputer jest zainfekowany, zaatakowany może zostać także podłączony pendrive. Kolejny komputer do jakiego zostanie podłączona taka pamięć również padnie ofiarą szkodliwego kodu. Oto jaką niespodziankę przyniosłem ze sobą po wizycie w jednej z kawiarenek...

mziarek_res_publica_04.png
Rys. 4. Trojan wykryty na pamięci przenośnej przyniesionej z kawiarenki internetowej

Jest to robak, który automatycznie kopiuje się na pamięci przenośne po ich podłączeniu. Jego głównym celem jest zbieranie informacji o użytkowniku, zwłaszcza haseł do gier online. Biorąc pod uwagę fakt, że większość osób ma tak skonfigurowany system, by odtwarzał automatycznie zawartość urządzenia zaraz po jego podłączeniu, trudno się dziwić, że współczesne robaki i wirusy rozprzestrzeniają się tak szybko nawet poza Internetem. Sami im w tym pomagamy.

Kolejną kwestią związaną z bezpieczeństwem komputerów są regularne aktualizacje systemu, w tym przeglądarek internetowych. Tutaj było już lepiej, niż w przypadku programów antywirusowych, jednak nadal kilka kwestii pozostawiało wiele do życzenia. Aktualizacje automatyczne były albo wyłączone albo włączone, lecz z zaznaczeniem, że to użytkownik sam wybiera kiedy mają być pobrane i zainstalowane. W konsekwencji tego, systemy były nieaktualne od kilku miesięcy.

mziarek_res_publica_05.png
Rys. 5. Wyłączone aktualizacje automatyczne

Jeżeli chodzi zaś o przeglądarki internetowe, to praktycznie na wszystkich komputerach były dwie lub trzy - Internet Explorer, Firefox oraz Opera. Poniższe dane prezentują rodzaj przeglądarek i ich liczbę na 35 przebadanych komputerach.

mziarek_res_publica_06.png
Rys. 6. Zainstalowane przeglądarki internetowe

Na każdym komputerze zainstalowany był Firefox. Należy jednak pamiętać, że wiele osób z przyzwyczajenia wybiera przeglądarkę Internet Explorer. Jak przedstawia wykres, większość komputerów posiadała leciwego już IE6, a jedynie na 4 zainstalowana była najnowsza przeglądarka Microsoftu: IE8.

Na koniec dodam, że wśród 7 komputerów, które były zabezpieczone w sposób prawidłowy, znalazły się 3 stacje z systemem Linux. Znajdowały się one na jednej z uczelni. Każdy student mógł zalogować się na swoje własne konto (gdzie loginem był nr indeksu, a hasło musiało posiadać cyfry i znaki specjalne). Podczas procesu logowania przez kilka sekund wyświetlana była informacja o konieczności wylogowania po zakończeniu pracy na komputerze. Z pewnością taki system daje o wiele większe bezpieczeństwo dla użytkownika, niż niezaktualizowany z wyłączonym programem antywirusowym.

Mylić się to rzecz ludzka...

Niestety, jak zwykle najsłabszym ogniwem okazuje się być człowiek. Siadając przy jednej z wyżej wymienionych stacji z zainstalowanym Linuksem, miałem przed sobą gotowy system, z niewylogowanym użytkownikiem... Mimo monitów, ktoś odszedł od komputera pozostając wciąż zalogowanym. Jest to tylko wierzchołek góry lodowej. Poniżej prezentuję informacje jakie wiele osób zostawia po sobie w kawiarenkach internetowych.

Na 9 komputerach znajdowały się zapisane loginy i hasła do wszelkiej maści serwisów:

  • Nasza-klasa.pl
  • Sympatia.pl
  • Fotka.pl
  • Poczta

Wszystkie te informacje zostały zapamiętane przez przeglądarkę Firefox. Oczywiście wszystko odbywało się za zgodną użytkownika. Wychodzi na wierzch niedbalstwo i ignorowanie pojawiających się komunikatów. Bezmyślnie klikanie skutkuje zapamiętaniem loginów i haseł. Za każdym razem kiedy pojawia się komunikat taki jak ten poniżej, winniśmy byli kliknąć "Nigdy dla tej witryny" (zakładając oczywiście, że używamy komputera innego niż nasz).

mziarek_res_publica_07.png

Wprawdzie większość przebadanych komputerów posiadała włączoną opcję konta z ograniczonymi prawami i to z niej mogli korzystać użytkownicy, jednak miały miejsce sytuacje, gdzie domyślnym kontem było konto administratora. W takim przypadku każdy mógł na używanej maszynie zainstalować trojana, programy szpiegujące czy też całkowicie wyłączyć ochronę komputera. Istniała także możliwość przekierowania przyszłych użytkowników danego komputera na fałszywe witryny. Nie wymagałoby to większych nakładów pracy. W każdym systemie Windows znajduje się plik hosts, w którym zgromadzone są informacje na temat stron internetowych (a dokładnie adres IP i nazwa). Przeglądarka zanim połączy się z żądaną witryną sprawdza plik hosts, dzięki czemu można przyspieszyć ładowanie stron lub blokować reklamy czy też niechciane witryny. Hosts jest zapisany jako plik tekstowy, jego działanie opiera się na zapisaniu nazwy strony i przypisanego do niej adresu IP. Atakujący może jednak umyślnie przypisać konkretną nazwę (np. banku) do innego adresu, przez co nawet wpisując w przeglądarce poprawny adres, zostajemy przekierowani na fałszywą, lecz łudząco podobną stronę. Wszelkie dane jakie wtedy wpiszemy znajdą w rękach atakującego. Poniżej znajduje się zrzut ekranu przykładowego pliku hosts.

mziarek_res_publica_08.png
Rys. 8. Przykładowa zawartość pliku hosts

Wiele skarbów znajduje się także na samym pulpicie. Znalazłem tam informacje mniej przydatne dla potencjalnego cyberprzestępcy, jak zdjęcia, prace do szkoły/uczelni, tłumaczenia tekstów ale także prawdziwe perełki np. CV, listy motywacyjne, a nawet rozdziały prac licencjackich i magisterskich. Nie dość, że jak na tacy podajemy swoje dane osobowe, to jeszcze zachęcamy do plagiatu. Poniżej znajduje się zrzut ekranu jednego z takich pulpitów... Ze względów bezpieczeństwa, wszystkie nazwy plików pozostawionych przez użytkowników tego komputera, zostały zasłonięte.

mziarek_res_publica_09.png
Rys. 9. Przykładowy pulpit komputera w kawiarence internetowej

Należy również liczyć się z faktem, że jeżeli zapiszemy dokument bądź plik na dysku twardym, to będzie on do odzyskania nawet po jego skasowaniu. W sieci jest dostępnych wiele aplikacji, także darmowych, które umożliwiają odzyskiwanie danych skasowanych ręcznie lub w wyniku formatowania. Pliki, które kasujemy poprzez umieszczenie je w koszu systemowym, nie są zabezpieczone w ogóle, ponieważ ich przywrócenie jest banalne.

To co zrobiło na mnie największe wrażenie, to ilość komputerów na których znajdowało się po kilka kont Gadu-Gadu. Łącznie na wszystkich komputerach było ich aż 46. Program ten nie oferuje praktycznie żadnego zabezpieczenia jeżeli chodzi o hasła. Znajdują się one w pliku config.dat i są banalnie proste do odkodowania. Wystarczy podłączyć pendrive i zgrać pliki z odpowiedniego katalogu, a w domu na spokojnie je rozkodować. W ten sposób posiadamy już czyś nr gg i hasło do niego.

Pomijając możliwość robienia głupich dowcipów i podszywania się pod kogoś poprzez Gadu-Gadu czy wysyłanie e-maili, cyberprzestępca może wykorzystać te dane do znacznie bardziej destrukcyjnych celów. Nawiążę tutaj do socjotechniki, o której pisałem niedawno w artykule "Login i hasło raz proszę!": http://viruslist.pl/analysis.html?newsid=531.

Wyobraźmy sobie następujący scenariusz:

Atakujący wydobywa z pliku config.dat hasło dla konkretnego numeru Gadu-Gadu. Kolejnym krokiem będzie wykorzystanie serwisów społecznościowych do odnalezienia po samym numerze gg konta danej osoby. W ten sposób ma już imię, nazwisko, miejscowość, czasami także nr telefonu. Korzystając z programu do rejestrowania wielu numerów gg jednocześnie, atakujący może wybrać sobie taki, który jest najprostszy do zapamiętania i najkrótszy. Teraz pozostaje napisać odpowiednią wiadomość, podając się za administratora. Na przykład:

Szanowny xxx yyy!
W związku z próbami włamań na nasze serwery, zmuszeni jesteśmy do wdrożenia nowych zabezpieczeń, które lepiej będą chronić naszych użytkowników. Pana hasło [abc] może okazać się niewystarczające do zabezpieczenia konta. Aby to zmienić, proszę zainstalować łatkę na program, która znajduje się pod następującym adresem [link do strony z trojanem]

--
Pozdrawiam!
Administrator
yyy zzz [Dane mogłyby być prawdziwe i pochodzić z oficjalnej strony aplikacji]

Scenariuszy może być wiele, a jego inna wariacja to zdobycie adresu e-mail i wykorzystanie faktu, że wielu użytkowników posiada takie same hasła do wielu usług. Jeżeli wydobyte z gg hasło będzie takie samo jak do poczty, atakujący może sfałszować nagłówek wiadomości, tak aby wyglądała na wiadomość od administratora portalu, gdzie ofiara posiada swoje konto, i wysłać wiadomość podobną do tej wyżej:

Od: administrator@nazwa_portalu.pl
Do: xxx yyy
Szanowna xxx yyy!

W związku z próbami włamań na nasze serwery, zmuszeni jesteśmy do wdrożenia nowych zabezpieczeń, które będą lepiej chronić naszych użytkowników. Pani hasło [abc] może okazać się niewystarczające do zabezpieczenia konta. Aby mieć pewność, że nikt nie przejął Pani konta, prosimy o wysłanie na adres [adres e-mail atakującego] zeskanowanego dowodu tożsamości. Prosimy tego dokonać w ciągu 7 dni roboczych. W przeciwnym wypadku konto zostanie nieodwracalnie zablokowane.

Pozdrawiam serdecznie!
Administrator
yyy zzz [Dane mogłyby być prawdziwe i pochodzić z oficjalnej strony aplikacji]

Powyższe przykłady niestety są całkiem prawdopodobne do zrealizowania. Myślę, że wielu osobom wydałaby się wiarygodna wiadomość, w której podane jest hasło, imię i nazwisko, i która pochodzi od administratora. Wiadomość jest tym bardziej autentyczna, im bardziej uwierzytelniona, dlatego zwłaszcza ten drugi scenariusz ataku jest niebezpieczny, ponieważ sfałszowany nagłówek wskazuje administratora portalu.

Głos ludu

Na koniec zaprezentuję kilka wypowiedzi z sondy, jaką przeprowadziłem wśród osób korzystających z publicznych komputerów.

Czy zwracasz uwagę na stan bezpieczeństwa komputera, z którego aktualnie korzystasz (czy posiada aktualny program antywirusowy, kiedy wykonano ostatnie skanowanie, czy są zainstalowane różne przeglądarki, czy system jest zaktualizowany)?

"Raczej nie, nie przywiązuję większej uwagi do bezpieczeństwa komputera, z którego korzystam poza domem. Nie mam na to czasu. Za to na własnym komputerze mam zainstalowany program antywirusowy. Zdarzało mi się jednak przynosić na pendrive wirusy z ksero".

Czy korzystając z przeglądarki korzystasz z opcji zapamiętaj dane formularzy/zapamiętaj hasła? Czy po zakończeniu pracy używasz opcji "wyczyść prywatne dane?"

"Jeżeli zdarza mi się korzystać z kawiarenki internetowej to po zakończeniu pracy czyszczę z przeglądarki prywatne dane. Nigdy nie wybieram też opcji zapamiętywania haseł. Wtedy każdy mógłby je wykorzystać".

Czy miała miejsce kiedyś sytuacja, że ktoś przejął/zmienił hasło do Twojego konta pocztowego/gg/inne?

"Nie jestem pewna. Miałam kiedyś problem z zalogowaniem się na konto gg i pomimo wpisywania prawidłowego hasła nie mogłam się na nie dostać. Niestety nie używałam już maila do przypominania hasła i założyłam nowe konto. Nie wiem czy był to skutek używania gg poza domem".

Jakie są wnioski?

Jak widać bezpieczeństwo publicznych komputerów nie stoi na wysokim poziomie i pozostawia wiele do życzenia. Także użytkownicy powinni być bardziej czujni i nie traktować komputerów, do których ma dostęp większa ilość osób, jak swoich własnych. Należy pamiętać o każdorazowym wylogowaniu z systemu jeżeli jest taka możliwość, używaniu Web Gadu-Gadu zamiast standardowego programu, usuwaniu plików z pulpitu i folderów tak, by nie zostały na dysku oraz o czyszczeniu prywatnych danych w przeglądarkach. W domu natomiast dobrze jest skanować pamięć przenośną po każdej wizycie w kawiarence internetowej.

Rzecz publiczna to zjawisko dobre, jednak bezpieczeństwo nie zna kompromisów i dotyczy jednostki. Każdy musi zadbać o nią we własnym zakresie, bowiem nawet najlepszy program nie zapewni ochrony, jeżeli my sami ani trochę o nią nie zabiegamy.

Źródło:
Kaspersky Lab