Od marca 2009 roku CERT Polska weźmie udział w dwuletnim unijnym projekcie FISHA (A Framework for Information Sharing and Alerting). Głównym celem projektu jest opracowanie prototypu systemu EISAS (European Information Sharing and Alerting System), czyli ogólnoeuropejskiego systemu wymiany i dostępu do informacji dotyczących bezpieczeństwa komputerowego oraz ostrzegania przed zagrożeniami w sieci Internet. Najważniejszym przeznaczeniem takiego systemu ma być skuteczne dotarcie z aktualną informacją oraz edukacja, a w efekcie wzrost świadomości – odnośnie kwestii bezpieczeństwa on-line – wśród użytkowników domowych oraz firm z sektora małych i średnich przedsiębiorstw. Skoncentrowanie uwagi na tego typu odbiorcach wynika z faktu, że grupy te, jako całość, mają znaczący wpływ na stan bezpieczeństwa w sieci, a tym samym na bezpieczeństwo krytycznej infrastruktury teleinformatycznej krajów Unii Europejskiej. Jednocześnie, obie te grupy pozostają łatwym celem ataków, z powodu zbyt niskiej świadomości zagadnień bezpieczeństwa oraz braku umiejętności wdrażania odpowiednich środków zabezpieczeń lub ich zaniedbywania.

Projekt realizowany będzie w ramach specjalnego programu „Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks” Komisji Europejskiej i powstanie we współpracy pomiędzy NASK, CERTem węgierskim (CERT-Hungary) oraz niemieckim instytutem badawczym Internet Security Centre z Uniwersytetu Gelsenkirchen.

Wstępnym wyznacznikiem prac w tym projekcie są rezultaty badań Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), przeprowadzonych w latach 2006-2007 i dotyczących możliwości utworzenia systemu typu EISAS. W opracowaniu studium wykonalności takiego systemu uczestniczyli (w ramach specjalnych grup roboczych ENISA) specjaliści z wielu różnych podmiotów zajmujących się bezpieczeństwem IT, w tym również z zespołu CERT Polska.

Projekt FISHA będzie obejmował opracowanie koncepcji ogólnoeuropejskiej wymiany informacji na temat zagrożeń oraz najlepszych praktyk dotyczących zabezpieczeń, łącząc istniejące już inicjatywy. Aktualnie, pomimo wielu takich przedsięwzięć w państwach członkowskich UE, w tym licznych serwisów bezpieczeństwa komputerowego, brakuje aktywnej i wielostronnej współpracy pomiędzy nimi. Z uwagi na to, jednym z głównych zadań projektowych będzie zapoczątkowanie i/lub wzmocnienie mechanizmów współpracy, także w oparciu o te, z powodzeniem działające w CERTowej społeczności. Funkcjonowanie systemu EISAS będzie wymagało m.in. opracowania architektury systemu a także specjalnego protokołu wymiany informacji, który zapewni sprawną i bezpieczną komunikację pomiędzy zaangażowanymi podmiotami.

W ramach projektu powstanie prototyp dedykowanego portalu internetowego dla systemu EISAS. Z założenia, portal ma stanowić europejskie forum informacyjne, na którym będą publikowane aktualne informacje dotyczące bezpieczeństwa komputerowego, pozyskiwane w ramach systemu EISAS. Przewidziane jest, że każde z państw członkowskich UE będzie miało docelowo własny, krajowy portal, pobierający odpowiednie informacje z głównego portalu. Ze względu na specyfikę rozważanej grupy odbiorców, istotne jest, żeby wszystkie informacje, publikowane na portalach, były sformułowane w łatwy do zrozumienia sposób. O przygotowanie komunikatów w „mniej technicznym” języku zadbają grupy specjalistów. Równocześnie, w ramach portali krajowych, komunikaty będą tłumaczone na język ojczysty danej narodowości. Przystępnie przygotowane informacje będą dostępne zarówno dla bezpośrednio zainteresowanych subskrybentów, jak i dla innych – istniejących już w danym kraju – serwisów internetowych, które powstały i działają z myślą o podobnych grupach odbiorców (np. Waarschuwingsdienst – w Holandii, CyTRAP Labs – w Szwajcarii, Cases Luxemburg, Sieciaki.pl – w Polsce).

Ważnym zadaniem projektu FISHA będzie także zaplanowanie i przygotowanie programu akcji informacyjno-edukacyjnej. W tym zakresie, istotny będzie przede wszystkim wybór odpowiednich środków komunikacji masowej i produktów edukacyjnych (filmy, broszury, plakaty, szkolenia, itp.), które pozwolą najskuteczniej dotrzeć do odbiorców z przystępną informacją, dotyczącą zagrożeń oraz zaleceń bezpieczeństwa komputerowego.

Inicjatywa zapoczątkowana projektem FISHA ma być motywacją do przeprowadzenia odpowiednich działań oraz akcji edukacyjnych w całej UE. Wsparciem ma być specjalny przewodnik, który zawierać będzie opis procedur, informacje oraz wskazówki, w jaki sposób, w dowolnym państwie UE, można stworzyć krajową replikę europejskiego portalu internetowego oraz systemu ostrzegania i wymiany informacji dotyczących bezpieczeństwa on-line, a także odpowiedniego programu edukacyjnego. W przyszłości, podjęta inicjatywa ma doprowadzić do wzrostu świadomości zagrożeń bezpieczeństwa komputerowego wśród użytkowników domowych oraz kadry sektora małych i średnich przedsiębiorstw UE, a także do efektywnego rozwoju współpracy pomiędzy kluczowymi podmiotami, co w efekcie ma przyczynić się do poprawy stanu bezpieczeństwa internetowego w skali europejskiej.

Powodzenie tej inicjatywy będzie zależało z pewnością od zainteresowania i zaangażowania ze strony instytucji rządowych państw członkowskich UE, Komisji Europejskiej, organizacji ENISA, różnych innych instytucji ds. bezpieczeństwa IT oraz środowiska akademickiego. Dlatego, w ramach projektu powstanie także odpowiedni program adresowany do takich instytucji, który ma skłonić do wsparcia tej inicjatywy. Nadmieńmy, że współpracę w realizacji projektu zaoferowały dotychczas m.in.: Finnish Telecom Agency FICORA, Electronic Government Centre of the Hungary, Hungarian Telecom Agency NHH, holenderski CERT rządowy (GovCERT.NL) oraz Cisco Hungary.

Prace zespołu CERT Polska w projekcie FISHA będą wspierane przez inne zespoły działające w strukturach NASK, w tym przez Dział Naukowy oraz Dział Rozwoju Oprogramowania. Ponadto, wykorzystane zostaną efekty badań oraz doświadczenia zdobyte podczas realizacji projektu Saferinternet.pl (w szczególności jego części -  Awareness), w ramach unijnego programu Safer Internet. W Polsce, projekt ten wspólnie realizują NASK oraz Fundacja Dzieci Niczyje, a jednym z głównych zadań jest koordynacja działań edukacyjnych promujących bezpieczne i efektywne korzystanie z Internetu wśród dzieci i młodzieży.

W niedzielę 22 lutego na kilku forach internetowych pojawiły się wypowiedzi zaniepokojonych internautów informujące, że ich programy antywirusowe wykrywają złośliwe oprogramowanie na stronie www.pajacyk.pl (na przykład Avast identyfikował je jako VBS:Malware-gen). Przeprowadzona przez nas analiza potwierdziła zagrożenie – jak się okazało do kodu strony Pajacyka został doklejony skrypt JavaScript przekierowujący na inną stronę infekującą internautów trojanem ZBot. Fragment źródła strony z przekierowującym skryptem (zapamiętany przez nas około godziny 10:00 w poniedziałek 23 lutego) wyglądał następująco:

Skrypt JS jest zaciemniony (ang. obfuscated) w celu utrudnienia jego analizy oraz oszukania silników antywirusowych – po zdekodowaniu zawiera on ukrytą ramkę IFRAME z inną stroną, która dokładnie w ten sam sposób przekierowuje do właściwej strony zawierającej exploit. Zagrożenie związane ze stroną Pajacyka potwierdził także nasz system klienckich honeypotów HoneySpider Network. Witryna w jednoznaczny sposób została sklasyfikowana jako złośliwa:

Dzięki wysoko-interaktywnym honeypotom przechwyciliśmy złośliwe pliki wykonywalne z trojanem, które były automatycznie ściągane i uruchamiane przez exploit umieszczony na stronie WWW (tzw. drive-by download):

Powyższą zawartość pobraną w wyniku odwiedzenia Pajacyka poddaliśmy skanowaniu antywirusowemu w serwisie VirusTotal – ponad połowa silników AV wykryła zagrożenie:
http://www.virustotal.com/pl/analisis/ce1ade3e46f3089ae3a267c2e0e264bb

Polska Akcja Humanitarna podała informację, że alarmy programów antywirusowych występujące po wejściu na witrynę Pajacyka są spowodowane obecnością reklamy w postaci wyskakującego okienka, którą bardziej czułe antywirusy klasyfikują jako złośliwe oprogramowanie, a zagrożenie nie istnieje. Niestety nie jest to prawdą – kod doklejony do strony infekował internautów, którzy odwiedzili Pajacyka w niedzielę lub poniedziałek rano. Zagrożenie zostało usunięte dopiero w poniedziałek około godziny 10:30. Według statystyk umieszczonych na www.pajacyk.pl, tylko w niedzielę witrynę odwiedziło prawie 100 tysięcy osób. Trudno oszacować ile z nich zostało zainfekowanych, ale skala problemu jest poważna.

Wszystkim osobom, które w tym czasie otworzyły stronę Pajacyka, zalecamy wykonanie pełnego skanowania systemu jednym ze skutecznych w tym przypadku programów antywirusowych (lista wykrywających to zagrożenie silników AV znajduje się w linku do analizy naszej próbki w serwisie VirusTotal). Ponadto w ochronie komputera przed niebezpiecznymi elementami stron WWW (w tym skryptami JavaScript przekierowującymi na złośliwe strony) pomagają wtyczki do przeglądarek blokujące takie elementy (na przykład dodatek NoScript do przeglądarki Firefox). Zapewniają one ochronę przed innymi stronami infekującymi odwiedzających, tym bardziej że przypadek Pajacyka nie jest odosobniony i takie witryny cały czas są obecne w sieci.

Mechanizm doklejania złośliwych skryptów do popularnych stron WWW często polega na wykorzystywaniu zdobytych haseł do serwerów FTP, na których strony te są hostowane. Jeśli komputer webmastera strony jest zainfekowany działającym w ten sposób koniem trojańskim, to przy aktualizacji strony za pomocą klienta FTP trojan przechwytuje dane logowania do konta FTP, po czym ściąga z serwera odpowiedni plik ze stroną główną (np. index.html, index.htm, index.php), dokleja złośliwy skrypt JS (często tuż za znacznikiem <body> lub tak jak w przypadku Pajacyka tuż przed znacznikiem </body>) i na koniec wysyła tak zmodyfikowaną wersję strony z powrotem na serwer FTP. Coraz popularniejsza jest też metoda zorientowana na wykorzystywanie haseł już zapamiętanych w klientach FTP – często dotyczą one aplikacji Total Commander. Dlatego, oczywiście oprócz posiadania programu antywirusowego z aktualną bazą sygnatur, zalecamy nie korzystać z mechanizmu zapamiętywania haseł w tego typu programach. Szczególnie webmasterzy powinni zwracać uwagę i sprawdzać, czy strony przez nich zarządzane nie zostały zaatakowane w podobny sposób.

Metoda polegająca na umieszczaniu przekierowań do złośliwych stron na innych popularnych witrynach zyskuje coraz większą popularność wśród cyberprzestępców, ponieważ zaufanie do takich stron jest duże (zdecydowanie większe niż na przykład do adresu wysłanego w spamie), a poza tym są one odwiedzane przez dużą liczbę niczego nie podejrzewających internautów (atakujący nie musi dodatkowo zachęcać do wejścia na taką stronę i rozsyłać jej adresu).

W lutowych biuletynach bezpieczeństwa Microsoft opisał krytyczną lukę MS09-002 w przeglądarce Internet Explorer 7 pozwalającą na wykonanie w systemie dowolnego kodu poprzez wyświetlenie specjalnie spreparowanej strony WWW. Równocześnie opublikowany został patch na tą podatność. Tydzień po opublikowaniu poprawki w sieci pojawił się exploit wykorzystujący lukę MS09-002 w IE 7. Co ciekawe, exploit został stworzony na podstawie poprawki wydanej przez Microsoft z wykorzystaniem technik inżynierii wstecznej (ang. reverse engineering). Krążył on początkowo jako dokument programu Word, rozsyłany jako załącznik w spamie. Dokument zawierał kontrolkę ActiveX, która automatycznie pobierała złośliwą stronę WWW. Zawarty na tej stronie kod ściągał i instalował pod postacią biblioteki .dll backdoora, którego główną funkcją było wykradanie informacji z zainfekowanego komputera.

Ostatnio atakujący wykorzystują wspomnianą lukę także w atakach klienckich na przeglądarki WWW. W tym przypadku nie jest wymagana interakcja użytkownika polegająca na otworzeniu załącznika przesłanego w spamie, a jedynie wejście na spreparowaną stronę WWW zawierającą kod expolita. Infekcja następuje automatycznie, bez ingerencji czy wiedzy użytkownika (tzw. drive-by download). Takie strony już pojawiły się w sieci i są wykorzystywane do infekowania niezałatanych systemów złośliwym oprogramowaniem. Exploit nie jest jeszcze powszechnie wykrywany przez silniki antywirusowe – złośliwy kod wykorzystujący lukę MS09-002 umieszczony na jednej z takich stron jest wykrywany tylko przez 9 z 38 antywirusów z serwisu VirusTotal: http://www.virustotal.com/pl/analisis/a3262a0018e7b02e4e647506a8365091.
Kod z tej strony nie był zaciemniony (ang. obfuscated) – w przypadku zastosowania tej techniki współczynnik detekcji jest jeszcze niższy. Dopiero właściwy plik wykonywalny (zawierający konia trojańskiego) ściągany i uruchamiany przez exploita jest wykrywany przez większą liczbę programów antywirusowych: http://www.virustotal.com/analisis/7c7dc6a0fe92a80f53e65b099ff3391f.

Incydenty związane z luką MS09-002 stanowią kolejne potwierdzenie, że ataki na aplikacje klienckie zyskują na popularności. Zamiast aktywnego poszukiwania celów, jak w przypadku propagacji robaków sieciowych, złośliwy kod umieszczany jest na stronach internetowych pasywnie oczekując na odwiedziny niczego niepodejrzewającego internauty. Do detekcji tego rodzaju zagrożeń został stworzony projekt HoneySpider Network – system klienckich honeypotów bazujący na robotach emulujących przeglądarki jak i na rzeczywistych przeglądarkach uruchamianych w wirtualnym środowisku.

Ponieważ kod exploita został publicznie udostępniony, w najbliższym czasie można spodziewać się wzrostu liczby stron wykorzystujących opisywaną lukę do infekowania użytkowników różnymi wariantami złośliwego oprogramowania. Osobom, które jeszcze nie zaktualizowały systemu, rekomendujemy jak najszybszą instalację łatek MS09-002. Warto zaznaczyć, iż błąd ten występuje tylko w przeglądarce Internet Explorer w wersji 7 (IE 6, jak również inne przeglądarki jak Firefox czy Opera są bezpieczne). Nie oznacza to jednak, że użytkownicy alternatywnych przeglądarek są bezpieczni – w przypadku spreparowanego załącznika Word do uruchomienia strony WWW za pomocą kontrolki ActiveX zostanie zawsze użyty Internet Explorer, niezależnie od ustawień domyślnej przeglądarki. Jest więc niezwykle ważne, aby instalować aktualizacje dla wszystkich przeglądarek zainstalowanych w systemie, nawet jeśli nie wszystkie z nich są używane.

Więcej informacji:
http://www.microsoft.com/poland/technet/security/bulletin/ms09-002.mspx
http://isc.sans.org/diary.html?storyid=5884
http://isc.sans.org/diary.html?storyid=5899
http://blogs.zdnet.com/security/?p=2607