28 stycznia w Warszawie odbyło się XIV spotkanie ABUSE-FORUM, grupy eksperckiej powstałej z inicjatywy NASK, zrzeszającej przedstawicieli zespołów reagujących CERT (Computer Emergency Response Team), zespołów bezpieczeństwa polskich operatorów telekomunikacyjnych oraz dostarczycieli treści internetowych.

Jednym z głównych tematów tego spotkania było omówienie ostatnich zagrożeń związanych z atakami komputerowymi, w których wykorzystano lukę w przeglądarce Internet Explorer. Problem ten był okazją do dyskusji na temat bezpieczeństwa przeglądarek internetowych, które są – jak wiadomo – podstawową aplikacją wykorzystywaną przez internautów, a przez to krytyczną z punktu widzenia poziomu ich bezpieczeństwa w sieci. Jak pokazują obserwacje, właśnie ataki poprzez przeglądarki stały się w ostatnim okresie najbardziej niebezpieczne.

Dyskusja podjęta w ramach ABUSE-FORUM doprowadziła do zgodnych opinii, według których przeglądarka Internet Explorer w wersji 6.x jest niebezpieczną aplikacją i nie powinna być narzędziem z którego korzysta się przy dostępie do treści internetowych. Korzystanie z niej związane jest z dużym ryzykiem zainfekowania swojego komputera złośliwym oprogramowaniem i w konsekwencji doprowadzenia do strat, również finansowych. Członkowie ABUSE-FORUM zdecydowanie rekomendują zaprzestanie używania tej przeglądarki. Jako alternatywne rozwiązania rekomendują używanie nowszej wersji przeglądarki firmy Microsoft lub przeglądarek innych producentów, np.:

• Microsoft IE 7.x oraz 8.x
• Firefox 3.x
• Google Chrome 4.x
• Opera 10

Przedstawiciele ABUSE-FORUM zadeklarowali ponadto chęć prowadzenia wspólnych działań zmierzających do minimalizacji wykorzystywania niebezpiecznej wersji przeglądarki Internet Explorer. W ramach współpracy, oprócz niniejszego komunikatu, firmy reprezentowane w Forum podejmą również kontakt ze swoimi klientami w celu uświadomienia im problemu i przekazania wymienionej powyżej rekomendacji a także rozpoczną działania techniczne prowadzące do identyfikacji internautów korzystających z IE 6.x, którzy w sposób specjalny zostaną poinformowani  o zagrożeniu i sposobie jego likwidacji.

W związku z ostatnimi doniesieniami na temat zidentyfikowania nowej luki typu 0day, która pozwala na uruchomienie złośliwego kodu na komputerze użytkownika, zespół CERT Polska zaleca :

1. Zrezygnować z używania przeglądarki Internet Explorer 6
2. W przypadku używania przeglądarki Internet Explorer - korzystać  z wersji 7 lub 8 z WŁĄCZONYM trybem “Protected Mode” [1] oraz aktywować funkcję DEP (Data Execution Prevention) [2]
3. W przypadku konieczności korzystania z funkcjonalności ograniczonej uruchominiem “Protected Mode” lub DEP wykorzystywanie alternatywnych przeglądarek (np: Mozilla Firefox, Opera, Chrome, itp.)

Aktualizacji łatającej lukę można spodziewać się nie wcześniej, jak 9 lutego.

Jak podaje blogs.technet.com aktualizacji możemy spodziewać się juz 21 stycznia 2010

Więcej informacji na temat luki oraz przeglądarek podatnych na atak można znaleźć na stronie blogs.technet.com. Można tam znaleźć również opis jak zabezpieczyć się przed opisaną luką.

Swoją opinią w sprawie omawianej luki podzielił się z nami Polski oddział firmy Microsoft Corporation.

Stanowisko Microsoft przesłane do CERT Polska :

Microsoft jest zaniepokojony faktem, że został opublikowany kod wykorzystujący lukę bezpieczeństwa, która dotyka klientów używających przeglądarki Internet Explorer 6. Pragniemy podkreślić, że dzięki zaawansowanym narzędziom bezpieczeństwa w Internet Explorer 8, do tej pory nie zaobserwowano podobnych ataków na komputery użytkowników korzystających z tej wersji przeglądarki. Nie stwierdziliśmy także żadnych ataków na użytkowników korzystających z Internet Explorer 7.

W celu ochrony naszych konsumentów, zalecamy wszystkim klientom natychmiastowy upgrade przeglądarki do wersji Internet Explorer 8.

Konsumenci powinni także rozważyć zastosowanie się do tymczasowych rozwiązań dostarczonych w Biuletynie Bezpieczeństwa.

Na zaproszenie Hong Kong Productivity Council (HKPC) zespół CERT Polska zorganizował w Hongkongu dwudniowe warsztaty techniczne traktujące o atakach z wykorzystaniem stron internetowych (Monitoring and Analyzing Web Client Side Attacks Workshop). Wydarzenie to odbyło się w ramach międzynarodowej konferencji Information Security Summit 2009. Grupą docelową byli specjaliści związani z bezpieczeństwem IT zarówno instytucji walczących z cyberprzestępczością, jak i instytucji finansowych, e-commerce i banków. Wszyscy uczestnicy pochodzili z regionu Azji i Pacyfiku. Poza warsztatami nasz przedstawiciel wygłosił także prezentację dostępną dla wszystkich uczestników konferencji opisującą projekt HoneySpider Network.

Biorący udział w szkoleniu poznawali motywy i cele cyberprzestępców, oraz przede wszystkim metody wykrywania i walki ze złośliwymi stronami internetowymi. W tym celu przygotowaliśmy przenośne laboratorium. Składało się ono z laptopów pełniących rolę serwerów, routera z access pointem, oraz obrazów wirtualnych stacji roboczych. Wśród serwerów były m.in. serwery www zawierające specjalnie spreparowane złośliwe strony www, a wirtualne systemy posiadały narzędzia do ich analizy. Wszystko to zostało umiejscowione w odizolowanym i kontrolowanym środowisku sieciowym. Dodatkowo, również na przenośnych serwerach, zaprezentowany został rozwijany przez NASK i partnerów holenderskich system HoneySpider Network. Dzięki temu uczestnicy szkolenia mogli zdiagnozować zarówno stworzone na potrzeby warsztatu, jak i rzeczywiste złośliwe strony internetowe. Wykorzystane zostało także jedno z ćwiczeń Europejskiej Agencji Bezpieczeństwa Sieci i Informacji ENISA opracowanych wspólnie z NASK i przeznaczonych dla zespołów typu CERT (ENISA CERT Exercises).

Read more