ENISA
(The European Network and Information Security Agency), czyli Europejska Agencja Bezpieczeństwa Sieci i Informacji, w swoim najnowszym raporcie General Report 2007 a także na swojej oficjalnej stronie, alarmuje Europę o konieczności większego zaangażowania państw członkowskich Unii Europejskiej w działania mające na celu podniesienie poziomu bezpieczeństwa sieciowej infrastruktury obejmującej ich własne kraje a także całą Europę, aby uchronić „europejski” Internet przed „cyber-atakiem 9/11″.

Niedostrzeganie faktycznego problemu zagrożenia, zwłaszcza w sektorach rządowym i bankowym, stwarza bardzo poważne zagrożenie dla strategicznych części europejskiej infrastruktury internetowej. Dlatego jak najszybciej powinny zostać podjęte zdecydowane działania, które poprawią aktualną sytuację.

W skali krajowej, nadal istnieje zbyt niski poziom świadomości istniejących zagrożeń, zwłaszcza wśród małych i średnich przedsiębiorstw, które stanowią 2/3 całości rynku ekonomicznego Unii Europejskiej. Niechęć do ponoszenia nakładów finansowych na zabezpieczenia sieci oraz na środki ochrony zasobów powoduje, że sieci należące do tych przedsiębiorstw stają się „najsłabszym ogniwem” infrastruktury Internetu, które może zostać wykorzystane w spektakularnym ataku. W tym zakresie ENISA widzi konieczność prowadzenia odpowiednich szkoleń oraz programów uświadamiających.

W skali europejskiej, problemy dotyczą niedostosowania odpowiednich struktur krajów członkowskich do działań nadzorujących bezpieczeństwo sieciowe i informacyjne. Tylko 14 z 27 krajów Unii posiada własne zespoły typu CERT (z czego 6 tego typu zespołów powstało dopiero w ubiegłym roku), natomiast w pozostałych krajach nie ma podobnych jednostek. Jakkolwiek, w tym zakresie sytuacja ma poprawić się
o tyle, że w najbliższych dwóch latach planowane jest utworzenie kolejnych 10 CERTów rządowych.

Jednak to, co jest najbardziej niepokojące, to powszechna niechęć niektórych organizacji do ujawniania informacji o naruszeniach bezpieczeństwa w ich sieci. ENISA dostrzega ogromny problem w braku zgłaszania
wielu istotnych przypadków naruszeń bezpieczeństwa w Internecie (w tym różnego typu ataków oraz kradzieży lub przecieku danych osobowych) do zespołów reagowania typu CERT, zajmujących się zbieraniem takich informacji, analizą skali zagrożenia oraz wdrażaniem odpowiednich środków interwencyjnych. Problem ten dotyczy w szczególności sektora bankowości, ale także małych i średnich przedsiębiorstw.

Zeszłoroczny cyber-atak DDoS na Estonię, który w kwietniu 2007 roku na 2 tygodnie sparaliżował estońskie serwisy informacyjne, rządowe i finansowe a także główny serwer DNS, wskazuje na bezwzględną konieczność poważniejszego potraktowania problemu. Stąd normą powinno stać się zgłaszanie wszelkich niepokojących zjawisk dotyczących naruszania bezpieczeństwa natychmiast po ich zaistnieniu. Tylko takie postępowanie może pozwolić na ocenę faktycznego stanu bezpieczeństwa w Internecie i odpowiednio wczesne wdrożenie zaawansowanych środków zapobiegawczych, które pozwoliłby uchronić funkcjonowanie strategicznych części infrastruktury sieci przed poważniejszymi zakłóceniami.

ENISA widzi rozwiązanie tych problemów w działaniach na poziomie globalnym, europejskim. Zdaniem organizacji ENISA dotychczasowe podejście do zgłaszania przypadków naruszeń bezpieczeństwa mogą zmienić przede wszystkim odpowiednie regulacje wprowadzone przez Unię Europejską, nakładające powszechny obowiązek dostarczania pełnych i rzetelnych informacji na temat zaistniałych incydentów przez wszystkie firmy i organizacje w krajach członkowskich Unii.

Nadmieńmy, że zespół CERT Polska (funkcjonujący w strukturach NASK), powołany do reagowania na zdarzenia naruszające bezpieczeństwo „polskiej części” sieci Internet, działa od 1996 roku i obsługuje ponad 2 tys. zgłoszeń rocznie.
CERT Polska aktywnie współpracuje z organizacją ENISA, powołaną w 2004 roku w celu nadzorowania poziomu bezpieczeństwa sieciowej infrastruktury Unii Europejskiej. Polski CERT rządowy (CERT GOV PL) został powołany w lutym 2008 roku.

Od kilku dni w Internecie obserwowana jest masowa infekcja stron WWW, w wyniku których odwiedzający je narażeni są na zarażenie złośliwym oprogramowaniem. Do tego celu używana jest animacja flash wykorzystująca nieznaną dotąd lukę w produktach z serii Adobe Flash Player.

Infekcja stron WWW odbywa się metodą SQL Injection, dzięki której cyberprzestępcy umieszczają na atakowanej stronie fragment kodu JavaScript lub HTML (w tym przypadku wykorzystują znacznik iframe). Wstrzyknięty kod kieruje przeglądarkę nieświadomego użytkownika na kolejne strony (takich skoków może być więcej niż jeden), na których umieszczona jest animacja flash (plik o rozszerzeniu swf). Zawarty w animacji złośliwy kod wykorzystuje nieznaną dotychczas podatność w popularnym odtwarzaczu Adobe Flash Player. Luki te występują zarówno w najnowszej wersji aplikacji (9.0.124.0) jak i we wcześniejszych i pozwalają na zdalne wykonanie dowolnego kodu przez atakującego. Najczęściej dzięki temu na komputer ofiary ściągany jest plik wykonywalny typu malware.

Ze względów bezpieczeństwa nie podano do publicznej wiadomości na czym polega podatność, natomiast sprawa jest cały czas badana. Zalecamy zatem – do czasu wydania poprawki lub nowszej wersji aplikacji Flash Player – wyłączenie w przeglądarce internetowej możliwości odtwarzania animacji flash, lub stosowania dodatków, które zablokują ich wykonywanie (np. NoScript lub FlashBlock dla przeglądarki Firefox). Ponadto niektóre aplikacje typu firewall i systemy antywirusowe mogą rozpoznawać i blokować złośliwe pliki.

Więcej info:
www.kb.cert.org
www.securityfocus.com
isc.sans.org

Odkryto poważny błąd implementacyjny w pakiecie OpenSSL wykorzystywanym przez system Debian i dystrybucje na nim oparte (m.in. Ubuntu i Knoppix), który powoduje podczas generowania kluczy korzystanie z niewielkiego zbioru liczb pseudolosowych.

Podatność jest dziedziczona przez wszystkie aplikacje korzystające z podatnej wersji OpenSSLa (m.in. OpenSSH). Błąd ten został zgłoszony 13-tego maja tego roku. Powstał w wyniku usunięcia z kodu źródłowego pakietu małego fragmentu, co spowodowało osłabienie generatora liczb pseudolosowych. W efekcie jedyną zmienną wykorzystywaną w procesie generowania klucza, którą można uznać za “losową”, jest numer identyfikacyjny procesu (PID). Gwoli przypomnienia: w systemach linuksowych maksymalny numer procesu, to 32 768, co właściwie sprowadza do tej liczby maksymalną ilość wygenerowanych niepowtarzalnych kluczy przy takich samych parametrach wejściowych. Co więcej, w większości dystrybucjach debianowskich przydzielanie numeru PID odbywa się sekwencyjnie, co dodatkowo powoduje, że liczby pseudolosowe wykorzystywanych do generowania kluczy są jeszcze mniej “losowe”.

To wszystko sprawia, że potencjalna próba złamania klucza metodą brute-force może trwać znacznie krócej, niż zakładano (zmniejszenie potrzebnego do tego czasu do wartości akceptowalnej dla atakującego). Złamany klucz/certyfikat może być wykorzystany do podszycia się lub ataku typu man-in-the-middle na sesję SSH oraz SSL, co jest szczególnie groźne w kontekście bankowości elektronicznej, handlu elektronicznego, oraz innych serwisów WWW korzystających z połączeń szyfrowanych (HTTPS).

Wszystkie klucze SSH i SSL wygenerowane po wrześniu 2006 roku z użyciem pakietu OpenSSL wchodzącego w skład systemów opartych na dystrybucji Debiana mogą być podatne na złamanie. Zaleca się wygenerowanie wszystkich kluczy/certyfikatów na nowo. Należy pamiętać, że istotny jest system na którym został wygenerowany klucz, a nie system który go wykorzystuje. Może więc się zdarzyć, że podatny klucz będzie używany przez maszynę, na której nie ma ani Debiana, ani OpenSSL.

Poniżej przydatne narzędzie do testowania podatności kluczy:

• security.debian.org

Dostępne są już łaty do pobrania z oficjalnej strony Debiana:

• OpenSSL
• OpenSSH
• Można także skorzystać z menedżera pakietów apt-get

Lista dystrybucji linuksowych opartych na Debianie:

• Wikipedia (angielska)

Źródła:

• lists.debian.org
• Debian Security Advisory