Kirjoittaja Aihe: Linuxeille ensimmäinen "myytävä" pankki troijalainen?  (Luettu 5650 kertaa)

qwertyy

  • Käyttäjä
  • Viestejä: 5777
    • Profiili
http://www.zdnet.com/linux-desktop-trojan-hand-of-thief-steals-in-7000019175/

Tuo taitaa olla ensimmäinen havainto ns. kaupallisista haittohjelmista Linuxille?

Hajakenttä

  • Käyttäjä / moderaattori
  • Viestejä: 1556
    • Profiili
Vs: Linuxeille ensimmäinen "myytävä" pankki troijalainen?
« Vastaus #1 : 10.08.13 - klo:12.49 »
Kyllähän tuo taas herättää kysymyksiä uteliaaseen mieleen:

Päteekö tässäkin se usein esitetty Linuxin rakenteeseen liittyvä kolmiyhteys?

1) Mato on ensin ladattava verkosta tai jostain. (siis älä lataa)
2) Mato on asennettava pääkäyttäjänä. (siis älä asenna)
3) Mato ohjelmaa on ajettava. (siis älä aja)

Ymmärsinkö oikein, huonolla kielitaidollani, että mato tulee helpoimmin kun avataan tuntemattoman sähköposti tai epäluotettava websivu? Kohta 1 olisi siis silloin tehty, vai olisiko?

Voiko tuo mato toimia jos sitä ei selvästi näkyvin toimenpitein sudona asenna? Voiko se olla "itsestään asennettu?" Voiko kohta 2 siis täyttyä itsestään ilman käyttäjän käskyä? Tämä on oikeastaan tärkein kysymykseni. (Muistaakseni vain PuppyLinuxia ajetaan aina pääkäyttäjänä, josta syystä sitä ei suositella päivittäiskäyttöön, vain työkaluksi.)

Jos kohdat 1 ja 2 on tehty, voiko mato ajaa itseään ilman käyttäjän tahtoa, kuten joku diimoni? Voiko kohta 3 siis täyttyä huomaamatta?

Tuli mieleen, että onko tällaisissa tapauksissa mitään turva-arvoa sillä, että olen asettanut selaimen tilapäistiedot menemään RAM:ille, jolloin ne aina koneen sammuessa katoavat, vaikka selaimen väliaikaismuistin tyhjennys olisikin unohtunut tehdä?
DELL Latitude 5480 Xubuntu 22.04. DELL Latitude 7490 Xubuntu 24.04.
– Memento Vivere – Terv: Timo

qwertyy

  • Käyttäjä
  • Viestejä: 5777
    • Profiili
Vs: Linuxeille ensimmäinen "myytävä" pankki troijalainen?
« Vastaus #2 : 10.08.13 - klo:13.41 »
Ymmärsinkö oikein, huonolla kielitaidollani, että mato tulee helpoimmin kun avataan tuntemattoman sähköposti tai epäluotettava websivu? Kohta 1 olisi siis silloin tehty, vai olisiko?

Voiko tuo mato toimia jos sitä ei selvästi näkyvin toimenpitein sudona asenna? Voiko se olla "itsestään asennettu?" Voiko kohta 2 siis täyttyä itsestään ilman käyttäjän käskyä?
Itse ainakin pääsin siihen käsitykseen, että luottaa juuri siihen yleisimpään haittaohjelmatyyppiin, eli lähinnä selainhaavoittuvuus. Tiedä sitten asentuu jonkinlaisena plugin-toimintona vai saastuuko järjestelmä heti. Ilmeisesti kuitenkin ihan samaan tyyliin luottaa, kuin valtaosa Windowsin haittaohjelmista.. Eihän nekään kaikki pyydä järjestelmänvalvojan suoritusoikeuksia.

Lainaus
Jos kohdat 1 ja 2 on tehty, voiko mato ajaa itseään ilman käyttäjän tahtoa, kuten joku diimoni? Voiko kohta 3 siis täyttyä huomaamatta?
Käsitykseni mukaan kyllä. Jos DNS-tietoja muokataan, niin yhteydenhän voi reitittää menemään mistä vain ja kaikki näennäisesti vaikuttaa toimivan ihan normaalisti. Kerran olen törmännyt Windowsissa (oli asennettu ns. ei viralliselta asennusmedialta) DNS asetuksiin. Oikeastaan huomasin sen vasta kun tuntui, että hakukoneet antoi erikoisen oloisia tuloksia. En tarkalleen muista millä asia tuli esiin, mutta kyseessä oli kuitenkin ilmeisesti jonkinlainen rootkit-haavoittuvuus ja nettiliikenne meni ilmeisesti aika vinkeitä reittejä pitkin. Joka tapauksessa hetki meni kun ihmettelin tätä kyseisen koneen "jotain omituista" tyyppistä vianselvitys pyyntöä, ennen kuin itsekään aloin huomaamaan mitään tähän viittaavaa. Oli ystävän kone ja tilanne oli heti tuoreen asennuksen jälkeen. Jossain vaiheessa tuli ilmi, että asennusmedia oli jostain netin syövereistä ja sitten tulikin mieleen, että olisiko levyllä ollut joku kiva pikku "lisäominaisuus".

Lainaus
Tuli mieleen, että onko tällaisissa tapauksissa mitään turva-arvoa sillä, että olen asettanut selaimen tilapäistiedot menemään RAM:ille, jolloin ne aina koneen sammuessa katoavat, vaikka selaimen väliaikaismuistin tyhjennys olisikin unohtunut tehdä?
Periaatteessa kait kyllä, mutta tuolla mainitaan Chrome ja jos oikein olen käsittänyt, niin sen kait pitäisi muutenkin toimia periaatteessa "sandbox" tyyppisessä tilassa?

Mutta vaikka välimuisti on laitettu ohjattu RAM:in, niin eikait evästeet yms. kuitenkaan sinne mene, vaan kuitenkin kiintolevylle? Käsittääkseni vain selainten incognito/yksityisyystilassa kaikki selaintiedot pyritään hävittämään järjestelmästä.

Aika vähän tietoa tuosta haittaohjelmasta laitettu. Pankkitroijalaisena tuon toiminnot ilmeisesti rajoittuu kuitenkin selaimiin. Olisikin aika halju haittaohjelma jos se pystyisi ohjaamaan kaikkea verkkoliikennettä. Silloin kait olisi suhteellisen helppo väärentää pakettienhallintakin menemään ainakin osittain haitalliselle palvelimelle ja noutamaan esim. päivitykset haittaohjelmalle naamioituen järjestelmän normaalipäivitykseksi :)
« Viimeksi muokattu: 10.08.13 - klo:13.44 kirjoittanut qwertyy »

JussiK

  • Käyttäjä
  • Viestejä: 102
    • Profiili
Vs: Linuxeille ensimmäinen "myytävä" pankki troijalainen?
« Vastaus #3 : 10.08.13 - klo:13.45 »
Entäpä jos ajelee pankkipalveluta kirjoitussuojatulta tikulta tai rompulta? Järkee vai hysteriaa??

qwertyy

  • Käyttäjä
  • Viestejä: 5777
    • Profiili
Vs: Linuxeille ensimmäinen "myytävä" pankki troijalainen?
« Vastaus #4 : 10.08.13 - klo:13.55 »
Henk.kohtaisesti olen sitä mieltä, että tuo livecd pankkikäyttö on myös jossain määrin vaarallista. Silloin voi hyvin helposti käyttää vanhoja ohjelmistoversioita, joissa on niitä haavoittuvuuksia. On siinä tietysti puolensakin, sitä en väitä, mutta siinä on tosiaan minusta niitä huonoja puoliakin.

Sanoisin että varmin on Linuxeista sellainen suhteellisen puhdas julkaisu. Ei epämääräisiä ppa-asennuksia ja jakelu, jonka pakettivarastot on hyvin ylläpidetyt, eli käytännössä katsoen kaikki isommat jakeluversiot.

Minusta tuossa artikkelissa on sinänsä hyvin mainittu, että riski on sinänsä suhteellisen pieni, koska jos haittaohjelma on hinnoiteltu samaan luokkaan kuin Windows haittaohjelmat, niin eiköhän suurin osa valitse isomman kohderyhmän ohjelman jos sillä aikoo rahaa saada tehtyä. Mutta hyvä tiedostaa, että rikollisia alkaa Linuxitkin nähtävästi kiinnostamaan.

Itsellä on yhtenä hätävarakannettavana puhdas LTS Xubuntu asennus. Uskallan aika hyvin mielin kyllä käyttää sillä verkkopankkeja. Vaikka uskallan kyllä käyttää niitä Windows koneillanikin. Tosin pakko myöntää, että aina vieras Windows kone ja verkkopankkiyhteys on itselle aina sellainen, sanotaan aika epämiellyttävä yhdistelmä. Sen verran skeptinen olen, että jos käyn autokaupoilla tms. niin teen sen tilisiirron omalla kannettavallani. En myyjän koneella  :)
« Viimeksi muokattu: 10.08.13 - klo:14.00 kirjoittanut qwertyy »

Lepotila zZ

  • Käyttäjä
  • Viestejä: 347
    • Profiili
Vs: Linuxeille ensimmäinen "myytävä" pankki troijalainen?
« Vastaus #5 : 10.08.13 - klo:14.55 »
Itse ainakin pääsin siihen käsitykseen, että luottaa juuri siihen yleisimpään haittaohjelmatyyppiin, eli lähinnä selainhaavoittuvuus. Tiedä sitten asentuu jonkinlaisena plugin-toimintona vai saastuuko järjestelmä heti. Ilmeisesti kuitenkin ihan samaan tyyliin luottaa, kuin valtaosa Windowsin haittaohjelmista.. Eihän nekään kaikki pyydä järjestelmänvalvojan suoritusoikeuksia.

Esitän sen sijaan varovasemman tulkinnan, koska mitään pelottavampaa ei varsinaisesti kerrota - erityisesti alkuperäisessä RSA:n blogikirjoituksessa.

Ei kerrota troijalaisen sisältävän keinoja, joilla se ottaisi järjestelmänvalvojan oikeudet. Tietenkin sellaisia haavoittuvuuksia aina silloin tällöin paljastuu, eli teoriassa se on mahdollista. Jos troijalainen kykenisi siihe, olisi asiasta varmaan suoraan kerrottu.

Sama pätee selainhaavoittuvuuksiin. Alkuperäinen kirjoitus ei kerro, että haittaohjelma käyttäisi selainhaavoittuvuutta koneelle asentuakseen. Pelkän url-osoitteen klikkaamisen ei siten pitäisi olla vaarallista, vaikka zdnetin artikkeli siitä varoittelee. Haittaohjelma siis pitäisi itse ladata koneelleen ja sitten käynnistää.

Ellei troijalaisella ole keinoa ottaa järjestelmänvalvojanoikeuksia, on sen toimintamahdollisuudetkin rajallisia. Uskoisin, että näitä ohjelmia voi erikseen täydentää hyväksikäyttämään haavoittuvuuksia.  Haavoittuvuudet ovat yleensä kuitenkin lyhytikäisiä.

Suomalaiset pankkipalvelut käyttävät avainlukulistaa istunnon varmennuksena. Haittaohjelmasta kerrotaan, että se kaappaa selaimen kautta syötetyt salasanat ja lähettää ne eteenpäin pahiksille - ilmeisesti myöhemmin käytettäväksi. Tämä ei toimi suomalaisten pankkipalvelujen kohdalla. Sen sijaan se voi toimia ulkomaisten verkkokauppojen yhteydessä, jotka pyytävät kortin numeron, varmistuskoodin ja voimassaoloajan. Niitä kun voi käyttää yhä uudelleen.

Tämä on vain minun tulkintani asiasta...

qwertyy

  • Käyttäjä
  • Viestejä: 5777
    • Profiili
Vs: Linuxeille ensimmäinen "myytävä" pankki troijalainen?
« Vastaus #6 : 10.08.13 - klo:15.09 »
Suomalaiset pankkipalvelut käyttävät avainlukulistaa istunnon varmennuksena. Haittaohjelmasta kerrotaan, että se kaappaa selaimen kautta syötetyt salasanat ja lähettää ne eteenpäin pahiksille - ilmeisesti myöhemmin käytettäväksi. Tämä ei toimi suomalaisten pankkipalvelujen kohdalla. Sen sijaan se voi toimia ulkomaisten verkkokauppojen yhteydessä, jotka pyytävät kortin numeron, varmistuskoodin ja voimassaoloajan. Niitä kun voi käyttää yhä uudelleen.
Pahimmat troijalaiset on kehittyneet paljon pitemmälle tuosta ja kykenevät ohittamaan osittain avainlistan käytön.

http://www.mtv3.fi/uutiset/kotimaa.shtml/2012/01/1481007/nain-pankkitroijalainen-iskee-koneeseesi

Huom. siis kutakuinkin kaikista kotimaisista palveluistakin on onnistuttu viemään rahaa.

*edit*
Kannattaa vilkaista vaikka tuossa linkissä oleva uutisvideo
« Viimeksi muokattu: 10.08.13 - klo:15.12 kirjoittanut qwertyy »

mrl586

  • Käyttäjä
  • Viestejä: 4638
    • Profiili
Vs: Linuxeille ensimmäinen "myytävä" pankki troijalainen?
« Vastaus #7 : 10.08.13 - klo:15.52 »
JavaScriptillä toteutettuja haittaohjelmia on mahdollista saada myös linuxiin selainhaavoittuvuuksien kautta. Tälläisestä haittaohjelmasta saatiin esimakua muutama päivä sitten, kun tor-verkossa jaettiin haittaohjelmaa, joka vuosi monen Windows-koneen tiedot Yhdysvaltoihin, todennäköisesti paikallisille viranomaisille. Vaikka tuo haittaohjelma asentuisikin linuxiin, se ei toimi, sillä se on koodattu vain Windows-koneille. Mutta on mahdollista, että vastaavanlaisia haittaohjelmia ilmestyy myös linuxille.
« Viimeksi muokattu: 10.08.13 - klo:16.12 kirjoittanut mrl586 »

Lepotila zZ

  • Käyttäjä
  • Viestejä: 347
    • Profiili
Vs: Linuxeille ensimmäinen "myytävä" pankki troijalainen?
« Vastaus #8 : 10.08.13 - klo:15.54 »
Suomalaiset pankkipalvelut käyttävät avainlukulistaa istunnon varmennuksena. Haittaohjelmasta kerrotaan, että se kaappaa selaimen kautta syötetyt salasanat ja lähettää ne eteenpäin pahiksille - ilmeisesti myöhemmin käytettäväksi. Tämä ei toimi suomalaisten pankkipalvelujen kohdalla. Sen sijaan se voi toimia ulkomaisten verkkokauppojen yhteydessä, jotka pyytävät kortin numeron, varmistuskoodin ja voimassaoloajan. Niitä kun voi käyttää yhä uudelleen.
Pahimmat troijalaiset on kehittyneet paljon pitemmälle tuosta ja kykenevät ohittamaan osittain avainlistan käytön.

http://www.mtv3.fi/uutiset/kotimaa.shtml/2012/01/1481007/nain-pankkitroijalainen-iskee-koneeseesi

Huom. siis kutakuinkin kaikista kotimaisista palveluistakin on onnistuttu viemään rahaa.

*edit*
Kannattaa vilkaista vaikka tuossa linkissä oleva uutisvideo
Video ei näy minun koneellani (vaatii silverlightin). Tekstissä puhutaan varjoistunnosta eli haittaohjelmat toimivat pankki-istunnon aikana käyttäjän selän takana.  Hand of Thief -haittaohjelmassa ei kerrottu olevan sellaista toiminnallisuutta, vaan mainittiin ainoastaan, että se lähettää tiedot pahiksille.

qwertyy

  • Käyttäjä
  • Viestejä: 5777
    • Profiili
Vs: Linuxeille ensimmäinen "myytävä" pankki troijalainen?
« Vastaus #9 : 10.08.13 - klo:17.38 »
Juu ei mainittukaan sisältävän. Pointti olikin, että tämä kotimaisten pankkien listaus ei ole kuitenkaan mikään pomminvarma keksintö sekään. Ketjua voi lukea moni, joka ajattelee tuollaisen listaustyylin olevan mahdoton kohde rikollisille (käyttöjärjestelmästä tai palvelusta riippumatta).

Ja jos Linux alkaa kiinnostamaan rikollisia, niin kuka tietää miten ne kehittyy. Olihan tuollakin mainita, että kyseinen haittaohjelma tulisi saamaan päivityksiä rahallista korvausta vasten. Ja ensimmäinen julkisuuteen tullut askel on nyt otettu.

Tuntuu muutenkin että web-palveluiden suunta alkaa olemaan suhteellisen käyttöjärjestelmäriippumaton, mikä sinänsä helpottaa haittaohjelmien tekijöitä. Siis eihän tuossakaan puhuta mitään, että kyseinen haittaohjelma koskettaisi mitenkään esim. Linuxin ytimessä olevaa haavoittuvuutta tms. ihan kuten mrl586 mainitsi.

On myös hyvä muistaa, että ongelma voi koskea suomalaisiakin esim. PayPalin suhteen. Sen käyttö kun on varsin kansainvälistä. Itse ja lukuisat ystävänikin on sitä käyttäneet.

Pahinta tietysti onkin tietoturvan suhteen välipitämättömyys. Olen nähnyt käyttäjiä, joille on asennettu Linux ja sanottu, että se on virusvapaa ja hyvinkin turvallinen järjestelmä, mitä se tietysti onkin. Mutta on hiukan huolestuttavaa, että olen joskus nähnyt sitten järjestelmää käytettävän kuin se olisi täysin immuuni millekään tietoturvauhalle. Avataan ihan mielenkiinnosta niitä sähköpostiin tulleita kalasteluita yms. Tämä on minusta hyvin huolestuttavaa.

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Vs: Linuxeille ensimmäinen "myytävä" pankki troijalainen?
« Vastaus #10 : 10.08.13 - klo:18.10 »
On niitä muitakin ylläreitä Linux maailmassa tullut, niinkuin nyt kaapatut apache palvelimet jotka jakavat haittaohjelmia jne...

Ja jos kerran jollain OS X:llekin on haittaohjelmia miksei Linuxillekin. Samantapaisia järjestelmiä ne ovat, ts. Unix-sukuisia.
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.

rale

  • Käyttäjä
  • Viestejä: 289
    • Profiili
Vs: Linuxeille ensimmäinen "myytävä" pankki troijalainen?
« Vastaus #11 : 11.09.13 - klo:11.40 »
Ei taida kuitenkaan olla ihan helppoa saada toimimaan Linuxissa:

http://www.zdnet.com/linux-hot-bank-trojan-failed-malware-7000020436/

JaniAlander

  • Käyttäjä / moderaattori+
  • Viestejä: 3369
    • Profiili
Vs: Linuxeille ensimmäinen "myytävä" pankki troijalainen?
« Vastaus #12 : 11.09.13 - klo:11.50 »
No ei näemmä. Voipi jotakuta softan ostanutta hivenen kyrsiä asian laita.
Core i5-9400F 2.9ghz 32GB Ram, Nvidia RTX2060 Kubuntu 24.04-64bit, Windows 10 Pro 64-bit Samsung Series 5, AMD A-6 2.1 GHz 4 Gt Ram, Ubuntu 18.04 64-bit.
Lenovo T60 Core2Duo 2GB Ram Ati Mobility Radeon 128 MB Ubuntu Mate 16.04-64bit
Commodore Amiga 500 1MB Ram.