Kaspersky Lab: Οι 10 πιο «Τρωτές Εφαρμογές» για το 2009

Στην τελευταία έκθεση με τις εκτιμήσείς της γύρω από το τοπίο των διαδικτυακών απειλών για το 2010, η Kaspersky Lab, υπογράμμισε ότι ο εντοπισμός τρωτών σημείων θα παραμείνει η κύρια αιτία προσβολής των συστημάτων των χρηστών. Σύμφωνα με τους ειδικούς της Kaspersky Lab, τα τρωτά σημεία στα λειτουργικά συστήματα δεν είναι ο μόνος τρόπος για να αποκτήσει ένας hacker πρόσβαση στον υπολογιστή σας. Το 2009, οι εγκληματίες του κυβερνοχώρου επικεντρώθηκαν σε τρωτά σημεία λογισμικού που αναπτύχθηκε από εταιρείες όπως η Adobe, για να παραβιάσουν την ασφάλεια του χρήστη και να χρησιμοποιήσουν τους ψηφιακούς του πόρους για τις δικές τους κακόβουλες προθέσεις.

Το 2009, οι hackers προσπάθησαν αδιάκοπα να εκμεταλλευτούν δημοφιλείς εφαρμογές, για να εκτελέσουν επιθέσεις άρνησης παροχής υπηρεσίας (denial-of-service) ή να δημιουργήσουν κακόβουλους κώδικες για να αποκτήσουν πρόσβαση σε απόρρητες ή εμπιστευτικές πληροφορίες. Η λίστα με τις πιο ευάλωτες εφαρμογές για το 2009, η οποία βρίσκεται στην ιστοσελίδα http://threatpost.com/, αποδεικνύει ότι καθένας μας αποτελεί στόχο για τους εγκληματίες του διαδικτύου και ότι θα πρέπει να είμαστε πάντα σε επιφυλακή γύρω από θέματα ασφάλειας, ακόμα κι αν εκατομμύρια άνθρωποι, σε όλο τον κόσμο, τις εμπιστεύονται.

1. Adobe Acrobat, Adobe Reader

Το 2009, παρατηρήθηκαν στις παραπάνω εφαρμογές τρωτά σημεία που επέτρεπαν στους hackers να πραγματοποιήσουν επιθέσεις άρνησης παροχής υπηρεσίας (φθορά μνήμης) ή να «τρέξουν» κάποιον κακόβουλο κώδικά, μέσω απροσδιόριστων vectors. Ακόμη, οι hackers μπορούσαν να αξιοποιήσουν φαινόμενα buffer overflow στο Adobe Reader 9.0 και στο Acrobat 9.0, αλλά και σε προηγούμενες εκδόσεις, για να «τρέξουν» κάποιον κακόβουλο κώδικα μέσω ενός επεξεργασμένου αρχείου PDF ή/ και ενός image stream JBIG2.

2. Adobe Flash Player

Η εφαρμογή αυτή δεν αφαιρεί σωστά αναφορές σε αντικείμενα που καταστράφηκαν κατά τη διάρκεια της επεξεργασίας αρχείων Shockwave Flash. Με αυτό τον τρόπο, οι εισβολείς από μακριά μπορούν να εξαπολύουν επιθέσεις μέσω επεξεργασμένων αρχείων, χρησιμοποιώντας ως πρόφαση προβλήματα buffer overflow. Έτσι, οι hackers μπόρεσαν να εκτελέσουν επιθέσεις άρνησης παροχής υπηρεσίας (ξαφνικό κλείσιμο εφαρμογής).

3. Adobe Shockwave

Οι hackers που προσπαθούν να εκτελέσουν επιθέσεις αξιοποιώντας απομακρυσμένα μέσα, μπόρεσαν να εκμεταλλευτούν αυτή την εφαρμογή, μέσω κακόβουλου κώδικα που υπήρχε σε παραβιασμένες ιστοσελίδες. Το αποτέλεσμα αυτών των ενεργειών ήταν η φθορά της μνήμης των συστημάτων. Το σφάλμα στον πίνακα ευρετηρίου που συναντάται στο Adobe Shockwave Player, πριν την έκδοση 11.5.2.602, επιτρέπει επίσης την εισβολή κακόβουλου κώδικα, μέσω ειδικά επεξεργασμένου περιεχομένου Shockwave που έχει «ανέβει» σε μια ιστοσελίδα.

4. Apple Quick Time

Το buffer overflow που παρατηρήθηκε στο Apple QuickTime, πριν από την έκδοση 7.6, βοήθησε τους κυβερνοεγκληματίες που ήθελαν να καταργήσουν την εφαρμογή από το σύστημα ενός χρήστη – μία ακόμα μορφή επίθεσης άρνησης παροχής υπηρεσίας. Επίσης, οι hackers μπόρεσαν να «τρέξουν» κακόβουλους κώδικες μέσω επεξεργασμένων αρχείων ήχου MP3.

5. Apple Safari

Οι hackers ασχολήθηκαν ιδιαίτερα και με τον browser της Apple. Για την ακρίβεια, οι εκδόσεις του Safari πριν την 4.0.3 ευνοούν απομακρυσμένες επιθέσεις κακόβουλου κώδικα ή και το κρασάρισμα εφαρμογών, μέσω μιας εικόνας με παραποιημένα EXIF metadata. Επίσης, ζητήματα θα μπορούσαν να δημιουργηθούν από τα προβλήματα του Safari στην αναγνώριση παραποιημένων πιστοποιητικών ασφάλειας, γεγονός που επίσης μπορεί να οδηγήσει σε φαινόμενα άρνησης παροχής υπηρεσιών.

6. Mozilla Firefox

Η μηχανή Javascrιpt του Mozilla Firefox, πριν την έκδοση 3.0.12, επιτρέπει στους εγκληματίες του κυβερνοχώρου να εκτελέσουν επιθέσεις άρνησης παροχής υπηρεσιών (φθορά μνήμης και κρασάρισμα εφαρμογής) ή να «τρέξουν» κακόβουλους κώδικες.

Ο Mozilla Firefox, πριν την έκδοση 3.0.15, δεν διαχειρίζεται σωστά τα override Unicode characters που υπάρχουν στο filename ενός αρχείου που «κατεβάζει» ο χρήστης, γεγονός που επιτρέπει στους εισβολείς να δημιουργήσουν ψεύτικες επεκτάσεις αρχείων μέσω ενός επεξεργασμένου filename (π.χ. μια μη-εκτελέσιμη επέκταση, για ένα εκτελέσιμο αρχείο). Το buffer overflow – λόγω υπερφόρτωσης – στον αναλυτή εικόνων GIF του Mozilla Firefox (εκδόσεις πριν την 3.0.15, την 3.5.x και την 3.5.4) και του SeaMonkey (πριν τη έκδοση 2.0) επιτρέπει στους hackers να «τρέξουν» κακόβουλους κώδικες μέσω αδιευκρίνιστων vectors.

7. Opera Browser

Ακόμα ένας δημοφιλής browser χρησιμοποιούταν από τους εγκληματίες του διαδικτύου στις κακόβουλες επιθέσεις τους. Οι εκδόσεις του Opera, πριν την 9.64, επέτρεπαν την εισβολή κακόβουλου κώδικα μέσω επεξεργασμένων εικόνων JPEG, οι οποίες οδηγούσαν σε προβλήματα για την μνήμη του συστήματος του τελικού χρήστη.

8. RealNetworks RealPlayer

Εκατομμύρια άνθρωποι χρησιμοποιούν το RealPlayer, και γι’ αυτό το λόγο οι hackers επικέντρωσαν τις προσπάθειές τους σε αυτή την εφαρμογή. Ένα αρχείο DLL στον RealNetworks RealPlayer 11 επέτρεπε την εισβολή κακόβουλου κώδικα μέσω ενός επεξεργασμένου αρχείου Internet Video Recording (IVR) με τροποποιημένο πεδίο. Αυτό το πεδίο προκαλούσε υπερφόρτωση μέσω ενός plug-in του Windows Explorer.

9. Sun Java

Ένα αδιευκρίνιστο τρωτό σημείο στους αποκωδικοποιητές JPEG και JFIF που υπήρχαν σε διάφορες εκδόσεις των εφαρμογών Sun Java επέτρεψε την πρόσβαση σε εισβολείς που χρησιμοποιούσαν ένα ειδικά επεξεργασμένο αρχείο εικόνας (γνωστό και ως Bug Id 6862969). Το Sun Java SE – σε διάφορες εκδόσεις του Java JDK, του Java JRE και του Java SDK – δεν ήταν σε θέση να αναλύσει σωστά χρωματικά προφίλ. Έτσι, οι εγκληματίες του κυβερνοχώρου μπόρεσαν να αποκτήσουν πρόσβαση στο σύστημα ενός χρήστη μέσω παραποιημένων αρχείων εικόνας.

10. Trillian

Οι hackers δεν απέφυγαν τον πειρασμό να εκμεταλλευτούν εφαρμογές άμεσων μηνυμάτων, όπως το Trillian. Για την ακρίβεια, ένα φαινόμενο buffer overflow που παρατηρήθηκε στον αναλυτή XML του Trillian 3.1.9.0, επέτρεπε σε hacker να κρασάρουν εφαρμογές και πιθανώς να «τρέχουν» κακόβουλους κώδικες μέσω ενός επεξεργασμένου αρχείου DTD.

Συμβουλές για τους χρήστες

Όσο υπάρχουν άνθρωποι με κακόβουλες προθέσεις και την επιθυμία να αποκτήσουν πρόσβαση στο σύστημά σας, οι αγαπημένες σας εφαρμογές θα αποτελούν πάντα στόχο. Αυτό δε σημαίνει ότι οι χρήστες πρέπει να απεγκαταστήσουν τις εφαρμογές που χρησιμοποιούν επειδή θα υπάρχει ο κίνδυνος επίθεσης. Πρέπει απλά κάποιος να είναι ενημερωμένος γύρω από θέματα ασφάλειας. Οι κατασκευαστές λογισμικού αναπτύσσουν δωρεάν προγράμματα επισκευής, μόλις εμφανίζεται κάποιο πρόβλημα. Οι χρήστες πρέπει πάντα να εγκαθιστούν τα σχετικά patches στις εφαρμογές που χρησιμοποιούν, ώστε να προλάβουν το χτύπημα κάποιου ιού ή να αποτρέψουν την πρόσβαση ενός hacker στους ψηφιακούς τους πόρους. Αν οι αντίστοιχες ρυθμίσεις των διαφόρων εφαρμογών έχουν γίνει σωστά, τότε ο υπολογιστής μπορεί να «κατεβάζει» αυτόματα τα patches.

Πάντως, σε κάθε περίπτωση, οι χρήστες θα πρέπει να έχουν εγκατεστημένο ένα ενημερωμένο λογισμικό antivirus. Οι σύγχρονες λύσεις ασφαλείας αξιοποιούν εργαλεία αιχμής, όπως η τεχνολογία Sandbox που περιλαμβάνεται στο Kaspersky Internet Security 2010, που μπορούν να αποτρέψουν επιθέσεις και ενέργειες key-logging. Παρότι κανείς δεν μπορεί να είναι απόλυτα ασφαλής, αν ο χρήστης είναι καλά ενημερωμένος σχετικά με τις εφαρμογές που χρησιμοποιεί και για το «πώς να αποφύγει τους κινδύνους», θα είναι λιγότερες οι πιθανότητες να πέσει σε κάποια από τις παγίδες του ψηφιακού κόσμου.