Jak zhakowałam sama siebie przez Google Drive

Szacunkowy czas czytania: 3 minut

 

To właśnie na błędach się uczymy. Na fakapach i głupich niedopatrzeniach. Moja wiedza o bezpieczeństwie WordPressa pochodzi głównie z analizy błędów innych osób, którym naprawiałam strony. Sama miałam przyjemność na własnej skórze odczuć dwa incydenty z backupami Schrodingera, czyli kopiami zapasowymi, które teoretycznie są, ale gdy chcemy ich użyć w chwili kryzysu, okazuje się, że jednak ich nie ma 🙂

Poziom alertu: poważny

Moja ostatnia przygoda to trochę inna bajka. Dbam o bezpieczeństwo swojego sprzętu. Nie klikam w dziwne linki, nie ściągam nic podejrzanego. Znajomi uważają nawet, że mam obsesję. Jakie było moje zdziwienie, gdy kilka dni temu Windows Defender poinformował mnie w dość sugestywny sposób, że stan bezpieczeństwa mojego laptopa jest poważny! Jak to możliwe?

W pierwszej chwili pomyślałam, że to chyba jakaś pomyłka. Wstępny rzut oka na alert i serce mi stanęło – backdoor… w jakimś nieznanym mi katalogu \.tmp.drivedownload. Przejrzałam historię alertów ochrony i okazało się, że dwa dni wcześniej do kwarantanny został wrzucony plik z dysku o swojskiej nazwie wirus – kombajn.txt.
Co tu jest grane? To plik, który sama stworzyłam jakiś rok temu, gdy wrzuciłam do Notatnika w plain text kod wirusa-kombajnu napisanego w PHP. Wirus był na stronie jednego z klientów i bardzo spodobał mi się jego sposób działania. Zachowałam go na później do celów edukacyjnych. Tylko co to ma wspólnego z podkatalogiem \.tmp.drivedownload w katalogu Security (tam trzymałam wirusa)?
W każdym razie, gdy zobaczyłam, że to „mój” wirus jest w to zamieszany, to odczułam lekką ulgę. Może nie będzie tak źle…

Jak to się stało?

Sprawa okazała się dość prosta. System po aktualizacji dostał zapewne nowe wpisy do bazy wirusów i stwierdził, że mam na dysku backdoora. Wrzucił go do kwarantanny cichaczem (znalazłam informację o tym w historii ochrony). Ale to nie wszystko! Katalog, w którym go trzymałam był synchronizowany z Google Drive. Gdy Google Drive odkrył, że czegoś mu brakuje, chciał dosynchronizować plik z wirusem. To wtedy pojawił się alert widoczny na screenie, z informacją, że zakażony jest katalog plików tymczasowych \.tmp.drivedownload.
Jest to katalog synchronizacyjny, który zostaje automatycznie usunięty, gdy synchronizacja się powiedzie. I tu nastąpiła pętla – synchronizacja była ciągle niepełna, ponieważ „mój” wirus wciąż nie trafiał na dysk (blokował go Windows Defender już na poziomie katalogu tymczasowego). Dopiero odłączenie synchronizacji dla tego konkretnego katalogu (czyli Security) zakończyło alertową pętlę.

Lesson learned

Ta historia zmotywowała mnie do zakupu MacBooka i przeznaczenia obecnego laptopa na cele badawcze. Mam zamiar eksperymentować z Kali Linux i różnym złośliwym oprogramowaniem, które trzeba całkiem odciąć od „normalnych” plików i danych. To samo polecam i Wam – całkowite rozdzielenie środowisk. Aż wstyd, że nie zrobiłam tego wcześniej.

Innym wnioskiem jest to, że kombajnik miał swoje „lata”, a Windows Defender dopiero teraz go odkrył. To potwierdza teorię o bezużyteczności antywirusów.

O podobnej historii przeczytacie po angielsku tutaj.