Sťahovať aplikácie z neoficiálnych web stránok sa nemusí vždy vyplatiť. Často sú infikované a tajne odosielajú citlivé údaje. Bezpečnostná spoločnosť Symantec odhalila infikovanú verziu populárneho SSH klienta PuTTY. Šíri sa pasívne prostredníctvom internetových stránok tretích strán, pričom na pozadí odosiela útočníkom všetky prihlasovacie údaje. Informácie o hrozbe zverejnila spoločnosť na svojom blogu. Aplikácie s otvoreným zdrojovým kódom sa v súčasnosti tešia veľkej popularite. Na vývoji softvéru môže spolupracovať prakticky ktokoľvek a pre konečného používateľa je nespornou výhodou bezplatný softvér či rýchlejšia dostupnosť kritických aktualizácii.
Na druhej strane, predstavuje tento model aj výrazný nedostatok. K zdrojovému kódu má prístup každý a počítačoví zločinci môžu do finálnej aplikácie vložiť rôzne záškodnícke funkcie. Na túto nevýhodu doplatil aj populárny SSH (Secure Shell) klient pre operačné systémy Windows – PuTTY.
Aplikácia PuTTY obvykle slúži na vytváranie zabezpečeného vzdialeného prístupu k Linuxovým, respektíve k Unixovým serverom. Vďaka svojej jednoduchosti ho využívajú mnohí systémoví administrátori, správcovia databáz, či weboví vývojári.
Údaje, ktoré sú prenášané prostredníctvom SSH spojenia sú často citlivé a pre počítačových zločincov veľmi zaujímavé. Útočníci môžu tieto citlivé informácie použiť pre získanie administrátorského prístupu na cieľový server a následne nad ním získať úplnú kontrolu.
Infikovaná verzia sa objavila už v roku 2013
Bezpečnostní experti prvýkrát odhalili infikovanú verziu nástroja PuTTY koncom roku 2013. Šírenie bolo v tom čase nepatrné a nepredstavovalo zvýšené riziko. V súčasnosti sa však situácia zmenila a vírus sa začal masívnejšie rozširovať.
Distribúcia tohto škodlivého kódu je skôr pasívna. Ak obeť na internete vyhľadá frázu „PuTTY download“, aby si stiahla potrebný softvér, vyhľadávač jej ponúkne viac ako štyri milióny odkazov. Medzi nimi sú však aj infikované verzie. V prípade, že používateľ nedá prednosť oficiálnym internetovým stránkam projektu PuTTY, môže sa nevedomky dostať na nastrčený web. Ten niekoľkokrát presmeruje internetový prehliadač, až sa nakoniec pripojí na stránky lokalizované v Spojených arabských emirátoch.
Ak si nič netušiaca obeť stiahne infikovanú verziu a následne sa pokúsi pripojiť na svoj server, tak sa útočníkom odošle celá, nezašifrovaná SSH URL adresa. Táto adresa je štandardne udávaná v tvare: „SSH://[meno používateľa]:[heslo]@[adresa serveru]:[číslo portu]“. Útočníci vďaka tomu získajú všetky potrebné informácie pre prístup k serveru.
Pozor na starú verziu
Infikovaná verzia (zdroj: Symantec)
Infikovanú verziu možno odhaliť podľa informácii o verzii (about), pričom sa vo výpise uvádza „Unidentified build, Nov 29 2013 21:41:02“. Podozrenie môže okrem toho vzbudiť aj veľkosť falošnej aplikácie, ktorá je oproti oficiálnej verzii oveľa väčšia. Originálna verzia má iba 532 kilobajtov.
Ochrana je v tomto prípade veľmi jednoduchá. Ak uvedenú aplikáciu využívate, vždy ju sťahujte z oficiálnych internetových stránok projektu PuTTY. Okrem toho by v počítači nemal chýbať aktualizovaný antivírusový program.
Zdroj: Zive.sk