Ten tydzień w CERT Polska to przede wszystkim XIV edycja organizowanej przez NASK konferencji SECURE. Przygotowując ją postawiliśmy na wiele zmian, więc nie obyło się bez obaw, czy wszystko pójdzie tak, jak sobie to wyobrażaliśmy. Na szczęście na podstawie pierwszych opinii, które do nas dotarły, wydaje się, że wyszło całkiem dobrze.

Dla blisko sześćdziesięciu uczestników konferencja rozpoczęła się w poniedziałek całodziennymi warsztatami. Do wyboru zaproponowaliśmy zajęcia prowadzone przez Tomka Grudzieckiego i Pawła Jacewicza z CERT Polska o zagadkowej nazwie „Duchy w przeglądarkach” oraz szkolenie z tworzenia reguł snorta oraz zastosowań tego oprogramowania, prowadzone przez Piotra Linke z Sourcefire. Miejsca na oba warsztaty zapełniły się długo przed konferencją. Uczestnicy byli zadowoleni, więc uznajemy, że ta nowość była krokiem w dobrym kierunku i zapewne skorzystamy z tej nauki w przyszłości.

Oficjalnego otwarcia konferencji we wtorkowy poranek dokonał Tomasz Kruk – dyrektor operacyjny NASK. Chwilę później swoją prezentację rozpoczął Lance Spitzner – postać znana w świecie bezpieczeństwa m.in. jako wykładowca SANS, założyciel The Honeynet Project oraz autor książki „Honeypots: Tracking Hackers”. Znanych nazwisk było więcej. Drugi dzień konferencji rozpoczęła prezentacja Mikko Hypponena z F-Secure, a w sesjach plenarnych wystąpili także m.in. Julio Canto z hiszpańskiego Hispasec, prowadzącego serwis VirusTotal, oraz Udo Helmbrecht – dyrektor wykonawczy europejskiej agencji bezpieczeństwa sieci i informacji ENISA. Chcemy, by przybliżanie znanych postaci ze świata bezpieczeństwa IT oraz ich myśli nie przestało być wizytówką SECURE’a.

Dużym zainteresowaniem pierwszego dnia cieszyły się także prezentacje Dominica Storey’a z Sourcefire (z barwnie przedstawionymi przykładami ataków APT) oraz Macieja Kołodzieja i Michała Kluski z nk (poświęcona ściganiu spamerów na portalu). Zainteresowanie dopisało też na prezentacjach naszego zespołu (było ich aż cztery!), a oddziałujące na wyobraźnię przykłady wziętych z życia kłopotów po kradzieży konta email prezentowane przez Rafała Tarłowskiego oraz demonstracja możliwości złośliwego oprogramowania Zeus w wykonaniu Tomka Bukowskiego rozbudziły emocje. Na szczęście można je było uspokoić w trakcie wieczornego spotkania w restauracji Akashia, gdzie oprócz pokazu filetowania łososia i nauki przygotowywania sushi, uczestnicy konferencji mieli doskonałą okazję do rozmów i wymiany kontaktów w niezobowiązującej atmosferze.

Na środowej sesji, w której wystąpili Wojciech Dworakowski („Bankowość elektroniczna kontra malware”) oraz Piotr Konieczny („Kulisy ataków na polskie serwisy internetowe”) trudno było znaleźć wolne miejsca. Niewątpliwie jednym z silnych punktów tego dnia były także „lightning talks”. To również jedna z nowości, które zaproponowaliśmy w tym roku – obarczona sporym ryzykiem, ponieważ wszystko zależało tu od aktywności samych uczestników. Formuła tych „prezentacji błyskawicznych” zakładała krótkie (do 5 minut) wystąpienia na dowolny temat. Tymczasem do końca pierwszego dnia pojawił się tylko jeden chętny do udziału… W okolicach środowego obiadu lawina jednak ruszyła i tuż przed sesją mieliśmy aż dwanaście zgłoszeń! Żywiołowa atmosfera i ciekawe tematy wystąpień dopełniły bardzo pozytywnego efektu.

Mimo, że drugi (a dla niektórych trzeci) dzień dobiegał końca, sala nie przerzedziła się przed prezentacją Ryana McGeehana z Facebooka „Defending a Social Network”. Jej uzupełnieniem była dyskusja panelowa poświęcona prywatności oraz zagrożeniom w dobie sieci społecznych. Udział w niej oprócz przedstawicieli Facebooka i nk wzięli także Katarzyna Szymielewicz z fundacji „Panoptykon” oraz Przemek Jaroszewski z CERT Polska.
Na koniec pozostało jeszcze tylko losowanie nagród, w którym cierpliwość uczestników została poddana solidnemu testowi. Nad tą nowością jeszcze popracujemy

Dziękujemy wszystkim i do zobaczenia za rok.

Na przełomie września i października działający w ramach NASK zespół CERT Polska przeprowadził na zaproszenie rządowego zespołu CERT Zjednoczonych Emiratów Arabskich (aeCERT) wdrożenie systemu HoneySpider Network w Dubaju.

Dzięki zastosowaniu systemu HSN aeCERT zyskał możliwość proaktywnego wykrywania i monitorowania złośliwych stron WWW, zarówno na terenie Zjednoczonych Emiratów Arabskich, jak i na świecie. Poza wdrożeniem systemu członkowie CERT Polska przeprowadzili szkolenia z zakresu jego obsługi, utrzymania oraz tworzenia raportów. Zorganizowano także trzydniowe warsztaty dotyczące ataków na aplikacje klienckie, w szczególności na przeglądarki internetowe i wtyczki do nich. Na potrzeby szkoleń stworzono wirtualne laboratorium zawierające spreparowane złośliwe strony WWW do analizy.

Trzy dni temu pojawiły się w systemie ARAKIS połączenia HTTP nawiązane przez – jeżeli wierzyć polu “User-Agent” – pająka webowego HuaweiSymantec. Poprzez żądania GET próbowano pobrać z naszych honeypotów pliki konfiguracyjne (setup.php) znanego narzędzia do zarządzania bazami danych MySQL – phpMyAdmin. Na pierwszy rzut oka wyglądało to jak połączenia generowane przez typowy skaner luk próbujący na ślepo znaleźć podatne lub źle skonfigurowane narzędzie na sprawdzanym serwerze:

Czytaj wiecej