Новости Software 24 сентября 2011 года

Существование вредоносного кода, встраивающегося в браузеры, не является ни для кого новостью. Однако вирусы, поражающие сразу несколько браузеров, являются довольно редкими.

Компания Bitdefender обнаружила вирус, названный Trojan.Tracur.C, который представляет собой BHO, маскирующийся под обновление Flash Player для Internet Explorer. После его загрузки и установки вирус также устанавливает вредоносное расширение для Firefox, обозначенное Bitdefender как Trojan.JS.Redirector.KY, которое наблюдает за поведением пользователя в интернете.

По данным компании Sophos, Trojan.Tracur.C поражает платформы Windows и после установки автоматически пытается связаться с удалённым сервером. Он также вносит изменения в реестр, создавая в нём ключи вида HKCR\.fsharproj, HKCR\Zghypcxhle, HKCU\Software\Zghypcxhle, HKCU\Software\Classes\Software\Zghypcxhle.

Trojan.JS.Redirector.KY наблюдает за содержимым страниц, загружаемых браузером и отмечает, какая именно информация (картинки, видео и т. п.) загружается для пользователя. Если веб-сёрфер зайдёт на один из поисковиков, например, на страницу Google или Yahoo, вирус встроит код JavaScript в элемент head страницы с результатами поиска. Этот код изменит результаты поиска таким образом, что сверху будут отображаться вредоносные сайты, с которых пользователь может загрузить себе ещё больше вредоносных программ.

Для защиты от подобных угроз, как всегда, рекомендуется загружать программы только с сайтов их разработчиков. Наличие антивирусного решения на компьютерах с операционными системами Windows уже давно является обязательным.

Отвечая на опасения пользователей, связанные с новыми спецификациями UEFI, компания утверждает, что пользователи будут обладать полным контролем над их компьютерами и будут вольны установить и использовать любую операционную систему, какую захотят.

Тони Мангефесте из команды Microsoft Ecosystem в своей записи в блоге, посвящённом разработке Windows 8, прямо указал на то, что возможность отключить безопасную загрузку UEFI у пользователей будет. Что позволит устанавливать на персональные компьютеры не только Linux, но и любые старые операционные системы.

В качестве подтверждения своих слов Мангефесте приводит в пример прототип карманного компьютера Samsung, прошивка которого позволяет пользователям отключить безопасную загрузку.

Windows 8 совместно с UEFI 2.3.1 закрывают дыру в безопасности текущей схемы BIOS, которая позволяет любому загрузчику, в том числе содержащему руткит, загружаться раньше операционной системы. В отличие от BIOS, UEFI будет позволять загружаться только подтверждённым загрузчикам ОС в случае, если разрешена безопасная загрузка. Это означает, что вредоносное ПО в загрузчиках находиться больше не сможет.

"Для клиентов Microsoft компания использует программу Windows Certification с целью обеспечить включение по умолчанию безопасной загрузки на компьютерах с Windows 8 (для предотвращения изменения политик безопасности в прошивке вредоносным кодом) и с целью позволить OEM-производителям запретить неавторизованные попытки обновления прошивки, которые могут скомпрометировать целостность системы".

Мангефесте поясняет, что безопасная загрузка представляет собой протокол UEFI и не является свойством Windows 8: "Безопасная загрузка не предназначена для блокировки загрузчиков операционных систем, но является политикой, которая позволяет прошивке подтверждать аутентичность компонентов. У OEM-производителей есть возможность подогнать их прошивки под требования их клиентов с помощью настройки уровня сертификата и политики управления на их платформе".

Мэтью Гаррет, разработчик Linux из компании Red Hat, уже прокомментировал ответное заявление Microsoft. Гаррет считает, что Microsoft никоим образом не опровергает то, о чём он писал ранее: "Если всё останется так, как есть, на компьютерах, сертифицированных для Windows 8, установка альтернативных операционных систем будет, либо очень затруднена, либо невозможна вовсе". С конца августа Гаррет и его товарищи из Red Hat обсуждали описанную проблему с другими разработчиками Linux, поставщиками аппаратных средств и разработчиками BIOS. В результате Гаррету удалось выяснить некоторые подробности сертификационной программы Windows 8:

• Сертификация Windows 8 требует, чтобы система поставлялась с включённой функцией безопасной загрузки UEFI.
• Сертификация Windows 8 не требует наличия возможности для пользователя отключить безопасную загрузку UEFI, и уже известно, что некоторые поставщики аппаратных средств реализовывать эту возможность не будут.
• Сертификация Windows 8 требует наличия в поставляемой системе ключей Microsoft. Наличие каких-то других ключей не требуется.
• Система, поставляемая с включённой безопасной загрузкой UEFI и имеющая только подписывающие ключи Microsoft, безопасно сможет загружать только операционные системы Windows.

Иными словами, наличие возможности отключить безопасную загрузку в компьютерах с UEFI не гарантируется.

Очень скоро будут раскрыты подробности работы программы под названием BEAST, которая, по заявлению её создателей, может успешно расшифровывать криптографические протоколы SSL 3.0 и TLS 1.0. В этой связи разработчикам браузеров и владельцам веб-сайтов придётся срочно принимать какие-то меры для сохранения безопасности своих продуктов и сервисов.

Разработчикам браузеров, на первый взгляд, проще всего было бы реализовать поддержку более новых версий протоколов - TLS 1.1/1.2, поскольку они являются устойчивыми к атаке BEAST. Однако абсолютное большинство веб-сайтов эти версии протоколов шифрования просто не поддерживают.

Как обнаружили исследователи из компании Opera, только 0.25% сайтов поддерживают TLS 1.1, TLS 1.2 поддерживают 0.02%. Несмотря на то, что спецификации TLS 1.1/1.2 были разработаны достаточно давно, поддержка этих протоколов в некоторых популярных браузерах всё ещё не реализована. Это создаёт проблему для владельцев сайтов, которые хотели бы обновиться, но из-за боязни потерять клиентов делать этого не хотят.

На сегодняшний день поддержкой TLS 1.1/1.2 обладают лишь браузеры Opera, начиная с десятой версии, и Internet Explorer, начиная с восьмой версии в Windows 7.

Разработчики Opera уже создали заплатку для своего браузера, которая должна воспрепятствовать атаке BEAST, но затем обнаружили, что из-за этой заплатки некоторые сайты оказались в Opera неработоспособны, и решили не включать эту заплатку в следующую финальную версию. Согласно данным Threat Post, Google также разрабатывает некоторые меры для закрытия уязвимости в браузере Chrome и опасается, что хакерская активность вынудит их произвести принудительный релиз новой версии раньше срока. На данный момент Chrome TLS 1.1/1,2 не поддерживает. Mozilla Firefox также не поддерживает эти протоколы. При этом о планах разработчиков Firefox реализовать их поддержку пока ничего не известно.

Тьерри Золлер, эксперт по безопасности из компании G-SEC, предлагает разработчикам ряд мер, которые должны обезопасить банковские операции. Среди них упоминаются следующие:

• в качестве шифра следует использовать метод эллиптических кривых
• в качестве алгоритма шифрования следует использовать AES
• минимальная длина ключа для шифрования должна составлять 128 бит
• поддержку SSL 2.0/3.0 следует полностью исключить

Простым пользователям на данный момент остаётся только гадать, как скоро хакеры смогут воспользоваться обнаруженной уязвимостью, и ждать своей участи.