Bug Online

Google je 12. siječnja ove godine na svojim stranicama objavio vrlo šturo priopćenje o incidentu koji su njihovi sigurnosni stručnjaci detektirali još sredinom prosinca prošle godine. Iako je inicijalno priopćenje bilo škrto na detaljima, bilo je očigledno da je riječ o izrazito velikom incidentu koji je Google ipak odlučio obznaniti javnosti, za što moramo reći da je velik korak te nešto na što se jako mali broj firmi odluči.

Google je tako u svom priopćenju izjavio da su cilj napada bili aktivisti koji se bore za ljudska prava u Kini, pa je tako većina medija automatski povezala napade s kineskom vladom iako to Google nije izričito rekao. No Google ipak nije ostao dužan: dodalo je ulja na vatru i izjavom da će prestati filtrirati upite na Google koji dolaze iz Kine. Naime, jedan od uvjeta ugovora Googlea s kineskim vlastima bila je mogućnost filtriranja određenih upita kako bi se kineskim građanima onemogućilo pretraživanje određenih izraza te na taj način omogućila direktna kontrola i cenzura kineskih vlasti. Google je tako odlučio ovaj incident povezati sa svojom odlukom o prestanku filtriranja makar, ruku na srce, barem je vaš autor mišljenja da tu postoji još nešto dublje (Google uredno filtrira rezultate za potrebe kineske vlade još od 2006. godine).

Iako je cijeli opseg incidenta nepoznat, ono što se zna jest da su napadači ostvarili pristup sigurnosnim poslužiteljima Googlea koje zapravo zaposlenici Googla koriste za generiranje izvještaja o korištenju servisa Gmail kada dobiju sudski nalog. Napadači su taj isti sustav iskoristili za otkrivanje aktivista koji upotrebljavaju Gmail - kao što vjerojatno znate, Gmail skriva IP adrese u zaglavlju tako da se ne može otkriti tko je poslao koji mail (ako koristite web sučelje), no korištenjem ovog sustava svi su takvi podaci dostupni (niste valjda mislili da Google ne sakuplja ove podatke o vama?).

Većina svjetskih medija popratila je samo dio cijelog incidenta (Google se povlači iz Kine), a budući da nas ipak više zanimaju tehnički detalji, tome ćemo i posvetiti ovaj članak.

Adobe Reader FTW

Kao što smo već rekli, jedna stvar na kojoj definitivno možemo biti zahvalni Googleu jest odluka da objavi detalje o incidentu. Kada su Googleovi stručnjaci otkrili detalje incidenta, koji su nazvali "Operacija Aurora", odlučili su angažirati vanjske tvrtke za forenziku, i to dvije poznate tvrtke u Americi: Mandiant i iDefense, koje se već dugo bave forenzikom. Ove su tvrtke kasnije objavile detalje o napadima, a ono što je zanimljivo jest da su objavljeni različiti inicijalni vektori napada.

iDefense je prvi objavio detalje o napadu na poslužiteljima koje su oni analizirali. Ustanovili su da je za napad na Google bio korišten maliciozan PDF dokument u kojem je bio uključen specijaliziran trojanski program. Ovakva stvar zapravo uopće ne čudi - protekle je godine Adobe Reader bio prava meta napadača jer je bio otkriven čitav niz sigurnosnih ranjivosti ovog popularnog PDF preglednika, tako da je čak uzeo primat ultrapopularnom (i ranjivom) Internet Exploreru, koji u zadnjim inačicama samog web preglednika, ali i Windowsa, postaje sve sigurniji. Da stvar bude još bolja, početkom prosinca otkrivena je nova ranjivost u Adobe Readeru (CVE-2009-4324), za koju je Adobe izjavio da će biti zakrpana tek(!!!) 12. siječnja (da, isti dan kada je Google izdao priopćenje za javnost - slučajnost?).

O Adobeovom neznanju upravljanja informacijskom sigurnošću mogli bismo pisati još puno, pa ćemo se suzdržati zbog ograničenja prostora (ne možemo dopustiti da primjeri njihovog lošeg rada potroše pola časopisa), no s napadačevog pogleda stvar je bila jasna: imaju još barem mjesec dana mirnog korištenja ovog napada, a možda i više, znajući koliko je Adobeov sustav za instaliranje zakrpa loš.

Kako su navedeni napadi javno objavljeni, počeo se pojavljivati sve veći broj izrazito sofisticiranih malicioznih PDF dokumenata, a jedan takav je vjerojatno usrećio i Googleove zaposlenike. Vaš je autor bio u prilici detaljno analizirati jedan takav maliciozan dokument, pa oni koje zanimaju tehnički detalji, a ne plaše se zavrnuti rukave i uroniti u asemblerski kôd, mogu pogledati detalje na http://isc.sans.org/diary.html?storyid=7867. Ranjivost je u Adobe Readeru prisutna u multimedijskoj biblioteci (doc.media.newPlayer) te je riječ o klasičnoj ranjivosti koja se relativno jednostavno iskorištava heap spraying tehnikama. Brzo nakon javnog objavljivanja detalja o ranjivosti napravljen je i modul za Metasploit, nakon čega definitivno možemo reći: game over.