San Jose, Californië, VS, 18 september 2007 – Finjan, vooraanstaand aanbieder van producten voor internetbeveiliging, heeft bekendgemaakt dat schijnbaar onschuldige widgets (of gadgets) computergebruikers aan een hele reeks aanvallen blootstellen. De bevindingen maken deel uit van het Malicious Code Research Center (MCRC) van Finjan en zijn gepresenteerd in het
Web Security Trends Report over het derde kwartaal van 2007. Hierin wordt bekendgemaakt dat de flitsende add-ons die functies toevoegen aan websites code bevatten die gevoelig is voor misbruik door hackers en criminelen. Finjan heeft ontdekt dat widgets gevoelig zijn voor een groot aantal aanvallen en gebruikt kunnen worden om een pc van een gebruiker in gevaar te brengen als onderdeel van het wapenarsenaal van een aanvaller. Finjan’s onderzoek suggereert tevens dat nieuwe aanvallen die gebruikmaken van de onveiligheden van widgets en gadgets ophanden zijn, en dat gebruikers moeten beschikken over een herzien beveiligingsmodel om beschermd te blijven tegen dergelijke aanvallen. Ontdekt werd dat alle typen widget-omgevingen (OS, derdenapplicaties en web-widgets) onderhevig zijn aan ontoereikende beveiligingsmodellen die kwaadaardige widgets in staat stellen hun werk te doen. Bovendien vond Finjan kwetsbare widgets die al beschikbaar waren (sommige in de standaardinstallatie) in de widget-omgeving. De bevindingen hebben er al voor gezorgd dat Microsoft en Yahoo veiligheidsadviezen en patches hebben uitgebracht en de beveiligingsmodellen hebben herzien die momenteel worden gebruikt om deze widgets en gadgets online te hosten en die in besturingssystemen zijn opgenomen die zij leveren.
“Nu widgets gangbaar worden in de meeste moderne computeromgevingen – van besturingssysteem tot webportals, neemt het belang ervan vanuit veiligheidsoogpunt toe,” legt Yuval Ben-Itzhak, CTO van Finjan, uit: “Zwakke punten in widgets en gadgets stellen aanvallers in staat gebruikers-pc’s te controleren, en deze zouden dus ontwikkeld moeten worden vanuit veiligheidsoogpunt. Dit aanvalsmiddel zou een grote impact kunnen hebben op de sector, en organisaties onmiddellijk blootstellen aan een groot aantal nieuwe veiligheidsoverwegingen waarmee rekening moet worden gehouden. Organisaties vereisen veiligheidsoplossingen die een dergelijke veranderende omgeving de baas kunnen door het vermogen om code in realtime te analyseren, en kwaadaardige code die verschijnt in innovatieve aanvalsmiddelen op te sporen om adequate beveiliging te bieden.”
Aangezien grote portals zoals iGoogle, Live.com en Yahoo! allemaal gepersonaliseerde portals bieden die gebruikmaken van widgets, is de kans groot dat de groeiende populariteit van deze coole add-ons ertoe leidt dat zij steeds vaker worden ingezet als aanvalsmiddel. Adequate bescherming tegen deze nieuwe aanvalsmethode is afhankelijk van een ingrijpende herziening van het beveiligingsmodel van deze omgevingen door hun aanbieders. Intussen wordt gebruikers geadviseerd de volgende gedragsregels in acht te nemen:
Tips over wat u moet doen om widget-infecties te voorkomen
a. Gebruik geen onbetrouwbare widgets van derden. Widgets en gadgets moeten worden behandeld als volwaardige applicaties; het gebruik van onbekende en niet-vertrouwde widgets is ten zeerste af te raden.
b. Wees voorzichtig met het gebruik van interactieve widgets. Widgets die afhankelijk zijn van externe invoer zoals RSS, of het nu om weerberichten, externe applicatiegegevens of iets anders gaat, zijn kwetsbaar voor aanvallen waarbij het vertrouwen van de gebruiker wordt misbruikt om samen met die gegevens een kwaadaardige lading mee te sturen.
c. Organisaties moeten een streng beleid voeren voor het gebruik van widgets en widget engines. Omdat het hier niet gaat om applicaties die kritisch zijn voor de bedrijfsvoering, en soms zelfs niet eens om productiviteitsverhogende programma’s, dienen bedrijfsgebruikers widgets en gadgets spaarzaam toe te passen. Daarnaast kan de blokkering van widget- en gadgetbestanden worden afgedwongen op de gateway om te voorkomen dat dergelijke mini-applicaties worden gedownload naar het bedrijfsnetwerk.
Om een idee te geven van het aantal beschikbare widgets en gadgets: er zijn er 3720 te vinden op google.com, 3197 op apple.com en 3959 op Facebook.com, en veel van deze toepassingen worden al gebruikt door miljoenen mensen op basis van informatie op iGoogle
www.google.com/ig/directory?cat=all.
Alle zwakke punten die hieronder worden beschreven zijn vastgesteld door de betreffende leveranciers nadat ze discreet op de hoogte zijn gesteld door Finjan.
Zwak punt van Contacts-widget van Windows Vista Het besturingssysteem Windows Vista wordt vooraf geïnstalleerd met de “Vista Sidebar” als basiscomponent (voor alle versies van het besturingssysteem). De Sidebar bevat een paar bestaande widgets die out-of-the-box gebruikt kunnen worden. Eén van deze widgets is de Contacts-widget, die zorgt voor gemakkelijke toegang tot contacten die zijn opgeslagen in de toepassing Windows Contacts (native component van Vista). Onderzoekers van Finjan ontdekten een zwak punt in de Contacts-widget, die een aanvaller de mogelijkheid biedt willekeurige code uit te voeren op de aangevallen machine door een misvormd contact detailobject (dat echter volledig bruikbaar is en er volkomen onschuldig uitziet) te leveren. Doordat dit contact wordt weergegeven in het Contacts-widget, zou het willekeurige code uitvoeren op de lokale machine zonder enige gebruikersinteractie of verificatie.
Zwak punt van Live.com RSS reader Live.com is de nieuwe en verbeterde portal van Microsoft. Deze stelt de gebruiker in staat te beschikken over een gepersonaliseerde omgeving die zo kan worden aangepast dat deze recente koppen weergeeft (RSS-invoer), evenals een korte samenvatting van hotmail inbox, het plaatselijke weerbericht, enzovoort. De widget van Live.com RSS reader bevatte een zwak punt dat de aanvaller in staat stelde toegang te krijgen tot geprivilegieerde informatie van de gebruikersaccount, terwijl hij zich voordeed als de gebruiker en de controle overnam van diens browser. Het zwakke punt vloeide voort uit niet-opgeschoonde gegevensinvoer die scriptingcommands zou kunnen bevatten in de items die worden geleverd door de RSS.
Zwak punt van Contacts-widget van Yahoo! Yahoo! biedt een widget engine die geïnstalleerd kan worden als 3rd party toepassing en widget-functionaliteit kan bieden voor besturingssystemen die deze functionaliteit vanuit zichzelf niet ondersteunen. De Contacts-widget in de widgets engine van Yahoo! bevatte een zwak punt dat een aanvaller in staat stelde willekeurige code uit te voeren als een contact niet-opgeschoonde scriptingcommands bevatte.
Het
Web Security Trends Report over het derde kwartaal van 2007 gaat ook in op de toenemende kracht van financieel gerichte crimeware, met een gedetailleerde beschrijving van een echte Trojan die heel precies en slinks financiële instellingen belaagt om toegang te krijgen tot rekeningen van klanten en daarmee fraude te plegen. Bovendien wordt in het rapport de alarmbel geluid over de verspreiding van ‘crimeware toolkits’ als belangrijkste aanvalsvorm op internet. Het rapport borduurt daarmee voort op de bespreking van crimeware toolkits in
Finjan’s vorige rapport over het tweede kwartaal.
“Ons nieuwste driemaandelijkse
Web Security Trends Report betekent een voortzetting van ons streven om als eerste het laatste nieuws te brengen over opkomende trends in de internetbeveiliging,” aldus Yuval Ben-Itzhak, CTO van Finjan. “We delen de belangrijke bevindingen van het MCRC over het derde kwartaal graag met de gehele IT-gemeenschap, inclusief praktijkvoorbeelden van malicious code en suggesties voor de manier waarop bedrijven en andere organisaties zich kunnen beschermen tegen de nieuwste bedreigingen op internet.”
Nieuwe ontwikkelingen in financieel gerichte crimeware
Het rapport van Finjan gaat ook in op het verschijnsel van de aanvallen op internet waarbij gebruik wordt gemaakt van zeer verfijnde Trojans, keyloggers en rootkit crimeware gericht tegen financiële instellingen. “Financieel gewin is de motor achter de explosieve groei van de cybercriminaliteit,” zegt Ben-Itzhak. “Crimeware heeft in toenemende mate één doel: gegevens omzetten in geld. Met crimeware worden waardevolle bedrijfsgegevens gestolen die te gelde kunnen worden gemaakt in de opbloeiende markt van de cybercriminaliteit. Hackers concentreren hun inspanningen op het stelen van gevoelige bedrijfs-, klanten-, werknemers- en financiële informatie, die vervolgens online kan worden verkocht aan criminele elementen.”
In het rapport wordt een gedetailleerde analyse gegeven van één type Trojan waarmee cybercriminelen toegang wisten te krijgen tot online-bankrekeningen. Door misbruik te maken van het ‘aangeleerde’ vertrouwen dat gebruikers hebben in met SSL versleutelde verbindingen met hun financiële dienstverleners, konden de aanvallers de communicatielijn kapen, doen alsof er verbinding met de bank was en gegevens stelen zoals bij een aanval door phishing. Hierbij werd extra informatie over de gebruikers verzameld en teruggestuurd naar de aanvallende server via een verhuld en versleuteld kanaal.
Volgens Ben-Itzhak is deze nieuwe generatie van zeer verfijnde crimeware moeilijker te onderscheppen en veel beter gecamoufleerd dan de traditionele pogingen tot phishing: “De standaardbeveiligingsoplossingen merken deze aanvallen niet op. Gebruikers zijn zich van geen kwaad bewust omdat de hele online-omgeving, inclusief het SSL-certificaat, in alle opzichten identiek is aan die van hun eigen bank. Voor echte bescherming in de huidige dynamische webomgeving moet elk stukje code realtime worden geanalyseerd, ongeacht de oorsprong, context en verschijningsvorm.”
Crimeware toolkits verspreiden zich als belangrijkste aanvalsvorm
Finjan’s
Web Security Trends Report over het derde kwartaal borduurt voort op de voorspellingen in het rapport over het tweede kwartaal (uit juni 2007) van kant-en-klare bouwpakketten voor crimeware. Deze crimeware toolkits vergroten de effectiviteit van aanvallen met crimeware en verhogen de besmettingsgraad met behulp van updatemechanismen, het gebruik van verfijnde antiforensische aanvalstechnieken en samenwerking met gelieerde aanvalsnetwerken. In lijn met de gesignaleerde trends toont Finjan’s nieuwste onderzoek aan dat deze toolkits zich inmiddels hebben ontwikkeld tot de populairste aanvalsmethode voor cybercriminelen.
“Hoewel gebruikers deze gevaren kunnen minimaliseren door extra voorzichtig te zijn op de sites die zij bezoeken, moet worden opgemerkt dat ook legitieme en vertrouwde sites zijn aangetast door stukjes malicious code,” vertelt Ben-Itzhak. “Producten voor internetbeveiliging op basis van databases, die sites vooraf classificeren als veilig of gevaarlijk, zijn hier nutteloos omdat de malicious code kan komen en gaan terwijl de site zelf kan zijn geclassificeerd als legitiem. Bovendien is het van cruciaal belang dat organisaties de nieuwste updates en beveiligingspatches toepassen, want bij deze aanvallen worden vaak oudere beveiligingslekken gebruikt.”
Over MCRC
Het Malicious Code Research Center (MCRC) is het vooraanstaande onderzoeksdepartement van Finjan, dat gewijd is aan het onderzoek en de opsporing van zwakke punten in de beveiliging van internettoepassingen en andere populaire programma’s. Het doel van MCRC bestaat eruit hackers die proberen open platforms en technologieën te misbruiken om malicious code zoals spyware, Trojans, phishing-aanvallen, wormen en virussen te ontwikkelen, een paar stappen vóór te blijven. MCRC deelt zijn onderzoeksactiviteiten met veel van ’s werelds grootste softwareleveranciers om hun beveiligingsgaten te helpen dichten. MCRC is een drijvende kracht achter de ontwikkeling van de beveiligingstechnologieën van de volgende generatie die worden gebruikt in Finjan’s proactieve webbeveiligingsoplossingen. Bezoek voor meer informatie onze site MCRC subsite.
Over Finjan
Finjan is een wereldwijde leverancier van veilige webgateway-oplossingen voor de zakelijke markt. Onze realtime, apparaatgebaseerde webbeveiligingsoplossingen leveren het meest effectieve schild tegen bedreigingen via het web, wat bedrijven de gelegenheid biedt het web te benutten voor maximale commerciële resultaten. Finjan’s realtime webbeveiligingsoplossingen maken gebruik van gepatenteerde realtime contentinspectietechnologie om alle typen bedreigingen die binnenkomen via het web zoals spyware, phishing, Trojans, obfuscated code en andere malicious code tegen te houden, wat bedrijven beschermt tegen onbekende en opkomende dreigingen, evenals malware.
De beveiligingsoplossingen van Finjan zijn met verschillende onderscheidingen bekroond en worden geprezen door toonaangevende analisten en tijdschriften, zoals IDC, Butler Group, SC Magazine, CRN, PCPro, ITWeek en Information Security. Dankzij de veelgebruikte oplossingen van Finjan kunnen ondernemingen zich optimaal concentreren op webstrategieën waarmee zij hun organisatorische en commerciële potentieel volledig kunnen ontplooien. Kijk voor meer informatie op
www.finjan.com.
© Copyright 1996-2006. Finjan Inc., haar dochterondernemingen en de aan haar gelieerde ondernemingen. Alle rechten voorbehouden. Alle tekst en afbeeldingen in deze uitgave zijn het exclusieve eigendom van Finjan en zijn uitsluitend bestemd voor persoonlijk, niet-commercieel gebruik. Niets uit deze uitgave mag op enige manier worden gewijzigd, gekopieerd, verspreid, uitgezonden, weergegeven, vertoond, vermenigvuldigd, gepubliceerd, in licentie gegeven, gebruikt voor afgeleide producten, overgedragen, gebruikt of verkocht zonder expliciete schriftelijke toestemming van Finjan. De informatie in dit document kan zonder voorafgaande kennisgeving gewijzigd worden en houdt geen verplichting of verklaring in van de kant van Finjan. De technologie en/of producten en/of software van Finjan die beschreven worden of waarnaar verwezen wordt in dit materiaal zijn beschermd door geregistreerde en/of aangevraagde patenten, waaronder de Amerikaanse patentnummers 6092194, 6154844, 6167520, 6480962, 6209103, 6298446, 6353892, 6804780, 6922693, 6944822, 6993662, 6965968, 7058822, 7076469, 7155743 en 7155744, en kunnen beschermd zijn door andere Amerikaanse patenten, buitenlandse patenten of patentaanvragen.
Finjan, het Finjan-logo, Vital Security, Vulnerability Anti.dote en Window-of-Vulnerability zijn handelsmerken of geregistreerde handelsmerken van Finjan Inc. en/of haar dochterondernemingen en aan haar gelieerde ondernemingen. Sophos is een geregistreerd handelsmerk van Sophos plc. McAfee is een geregistreerd handelsmerk van McAfee Inc. Kaspersky is een geregistreerd handelsmerk van Kaspersky Lab. SurfControl is een geregistreerd handelsmerk van SurfControl plc. Microsoft en Microsoft Office zijn geregistreerde handelsmerken van Microsoft Corporation. Overige handelsmerken zijn eigendom van hun respectieve eigenaren.