28 stycznia w Warszawie odbyło się XIV spotkanie ABUSE-FORUM, grupy eksperckiej powstałej z inicjatywy NASK, zrzeszającej przedstawicieli zespołów reagujących CERT (Computer Emergency Response Team), zespołów bezpieczeństwa polskich operatorów telekomunikacyjnych oraz dostarczycieli treści internetowych.

Jednym z głównych tematów tego spotkania było omówienie ostatnich zagrożeń związanych z atakami komputerowymi, w których wykorzystano lukę w przeglądarce Internet Explorer. Problem ten był okazją do dyskusji na temat bezpieczeństwa przeglądarek internetowych, które są – jak wiadomo – podstawową aplikacją wykorzystywaną przez internautów, a przez to krytyczną z punktu widzenia poziomu ich bezpieczeństwa w sieci. Jak pokazują obserwacje, właśnie ataki poprzez przeglądarki stały się w ostatnim okresie najbardziej niebezpieczne.

Dyskusja podjęta w ramach ABUSE-FORUM doprowadziła do zgodnych opinii, według których przeglądarka Internet Explorer w wersji 6.x jest niebezpieczną aplikacją i nie powinna być narzędziem z którego korzysta się przy dostępie do treści internetowych. Korzystanie z niej związane jest z dużym ryzykiem zainfekowania swojego komputera złośliwym oprogramowaniem i w konsekwencji doprowadzenia do strat, również finansowych. Członkowie ABUSE-FORUM zdecydowanie rekomendują zaprzestanie używania tej przeglądarki. Jako alternatywne rozwiązania rekomendują używanie nowszej wersji przeglądarki firmy Microsoft lub przeglądarek innych producentów, np.:

• Microsoft IE 7.x oraz 8.x
• Firefox 3.x
• Google Chrome 4.x
• Opera 10

Przedstawiciele ABUSE-FORUM zadeklarowali ponadto chęć prowadzenia wspólnych działań zmierzających do minimalizacji wykorzystywania niebezpiecznej wersji przeglądarki Internet Explorer. W ramach współpracy, oprócz niniejszego komunikatu, firmy reprezentowane w Forum podejmą również kontakt ze swoimi klientami w celu uświadomienia im problemu i przekazania wymienionej powyżej rekomendacji a także rozpoczną działania techniczne prowadzące do identyfikacji internautów korzystających z IE 6.x, którzy w sposób specjalny zostaną poinformowani  o zagrożeniu i sposobie jego likwidacji.

W związku z ostatnimi doniesieniami na temat zidentyfikowania nowej luki typu 0day, która pozwala na uruchomienie złośliwego kodu na komputerze użytkownika, zespół CERT Polska zaleca :

1. Zrezygnować z używania przeglądarki Internet Explorer 6
2. W przypadku używania przeglądarki Internet Explorer - korzystać  z wersji 7 lub 8 z WŁĄCZONYM trybem “Protected Mode” [1] oraz aktywować funkcję DEP (Data Execution Prevention) [2]
3. W przypadku konieczności korzystania z funkcjonalności ograniczonej uruchominiem “Protected Mode” lub DEP wykorzystywanie alternatywnych przeglądarek (np: Mozilla Firefox, Opera, Chrome, itp.)

Aktualizacji łatającej lukę można spodziewać się nie wcześniej, jak 9 lutego.

Jak podaje blogs.technet.com aktualizacji możemy spodziewać się juz 21 stycznia 2010

Więcej informacji na temat luki oraz przeglądarek podatnych na atak można znaleźć na stronie blogs.technet.com. Można tam znaleźć również opis jak zabezpieczyć się przed opisaną luką.

Swoją opinią w sprawie omawianej luki podzielił się z nami Polski oddział firmy Microsoft Corporation.

Stanowisko Microsoft przesłane do CERT Polska :

Microsoft jest zaniepokojony faktem, że został opublikowany kod wykorzystujący lukę bezpieczeństwa, która dotyka klientów używających przeglądarki Internet Explorer 6. Pragniemy podkreślić, że dzięki zaawansowanym narzędziom bezpieczeństwa w Internet Explorer 8, do tej pory nie zaobserwowano podobnych ataków na komputery użytkowników korzystających z tej wersji przeglądarki. Nie stwierdziliśmy także żadnych ataków na użytkowników korzystających z Internet Explorer 7.

W celu ochrony naszych konsumentów, zalecamy wszystkim klientom natychmiastowy upgrade przeglądarki do wersji Internet Explorer 8.

Konsumenci powinni także rozważyć zastosowanie się do tymczasowych rozwiązań dostarczonych w Biuletynie Bezpieczeństwa.

Na zaproszenie Hong Kong Productivity Council (HKPC) zespół CERT Polska zorganizował w Hongkongu dwudniowe warsztaty techniczne traktujące o atakach z wykorzystaniem stron internetowych (Monitoring and Analyzing Web Client Side Attacks Workshop). Wydarzenie to odbyło się w ramach międzynarodowej konferencji Information Security Summit 2009. Grupą docelową byli specjaliści związani z bezpieczeństwem IT zarówno instytucji walczących z cyberprzestępczością, jak i instytucji finansowych, e-commerce i banków. Wszyscy uczestnicy pochodzili z regionu Azji i Pacyfiku. Poza warsztatami nasz przedstawiciel wygłosił także prezentację dostępną dla wszystkich uczestników konferencji opisującą projekt HoneySpider Network.

Biorący udział w szkoleniu poznawali motywy i cele cyberprzestępców, oraz przede wszystkim metody wykrywania i walki ze złośliwymi stronami internetowymi. W tym celu przygotowaliśmy przenośne laboratorium. Składało się ono z laptopów pełniących rolę serwerów, routera z access pointem, oraz obrazów wirtualnych stacji roboczych. Wśród serwerów były m.in. serwery www zawierające specjalnie spreparowane złośliwe strony www, a wirtualne systemy posiadały narzędzia do ich analizy. Wszystko to zostało umiejscowione w odizolowanym i kontrolowanym środowisku sieciowym. Dodatkowo, również na przenośnych serwerach, zaprezentowany został rozwijany przez NASK i partnerów holenderskich system HoneySpider Network. Dzięki temu uczestnicy szkolenia mogli zdiagnozować zarówno stworzone na potrzeby warsztatu, jak i rzeczywiste złośliwe strony internetowe. Wykorzystane zostało także jedno z ćwiczeń Europejskiej Agencji Bezpieczeństwa Sieci i Informacji ENISA opracowanych wspólnie z NASK i przeznaczonych dla zespołów typu CERT (ENISA CERT Exercises).

(more…)

W przeglądarce Internet Explorer została zidentyfikowana nowa luka typu 0day, która umożliwia atakującemu uruchomienie złośliwego kodu i w efekcie przejęcie kontroli nad maszyną użytkownika. Microsoft potwierdza w opublikowanym niedawno Security Advisory, że podatnością są objęte przeglądarki w wersjach 6 oraz 7. Wolny od zagrożenia pozostaje Internet Explorer w wersji 8 (wg. danych Microsoft). Użytkownicy starszych wersji przeglądarki powinni wyłączyć obsługę ActiveScripting w strefie Internet oraz Local Intranet do czasu pojawienia się stosownej łatki.

Pierwsze wzmianki o nowej luce pochodzą z listy BugTraq prowadzonej przez SecurityFocus. Analitycy z firm VUPEN Security oraz Symantec potwierdzają, że nowo-odkryta luka może być użyta do infekowania komputerów złośliwym kodem, jednakże jak dotąd nie zaobserwowano jej wykorzystania w Internecie.

(more…)

Wydaje się, że w Polsce jest duże przyzwolenie, a nawet oczekiwanie, działań związanych z blokowaniem i filtrowaniem zagrożeń w sieci Internet. Takie działania mają już miejsce w innych krajach i zapewne będą miały miejsce w Polsce. Odpowiedź na pytanie jak powinien wyglądać ten system nie jest łatwa. Pewnych podpowiedzi dostarczają nam badania opinii internautów i dyskusja ekspertów w czasie konferencji SECURE 2009.

Tematem wiodącym XIII edycji konferencji SECURE było zagadnienie filtrowania i blokowania zagrożeń w sieci Internet. Chodzi o działania, które mogliby prowadzić operatorzy telekomunikacyjni, a które by zmierzały do większej ochrony użytkownika Internetu przed zagrożeniami w sieci. Zagrożeniami zarówno technologicznymi, związanymi z wirusami, phishingiem, złośliwym oprogramowaniem, jak i zagrożeniami dotyczącymi publikowanych w Internecie treści, które umownie można nazwać kontekstowymi. Chodzi o prezentowanie nielegalnych treści, przede wszystkim pornografii dziecięcej, co stanowi oczywiste zagrożenie i jest nielegalne. W ramach konferencji SECURE 2009 odbyła się duża dyskusja na ten temat w ramach bloku „Bezpieczeństwo, ochrona, ostrożność, cenzura”, połączona z głosowaniem.

(more…)

XIII Konferencja na temat bezpieczeństwa sieciowego SECURE 2009, organizowana przez NASK i działający w ramach NASK zespół CERT Polska, nawiązuje swym tytułem do “gorących” kwestii wiążących się z możliwością filtrowania ruchu i blokowania dostępu do szkodliwych treści w Internecie.

Tematem wiodącym konferencji, która odbędzie się 20-21 października w Warszawie, będzie dyskusja na temat najnowszych sposobów podchodzenia do problematyki ochrony przed zagrożeniami technicznymi oraz dostępem do szkodliwych treści z wykorzystaniem mechanizmów blokowania i filtracji, a także przegląd rozwiązań wspierających kontrolę dostępu i eliminację potencjalnych zagrożeń. W nawiązaniu do tej tematyki Krzysztof Silicki, pełnomocnik ds. CERT Polska, stwierdza: “Od lat w Europie trwa dyskusja nad rolą operatorów telekomunikacyjnych i dostawców treści w zapewnieniu bezpieczeństwa sieci Internet. Wizja powszechnego stosowania przez te podmioty filtracji ruchu i podejmowania decyzji o blokowaniu dostępu do niebezpiecznych zasobów Internetu stanowiłaby prawdziwą rewolucję. Czy do niej dojdzie? A jeśli tak, to kiedy i na jakich zasadach?”

Tegoroczna konferencja stanowi okazję do zapoznania się z opiniami ekspertów oraz najnowszymi doświadczeniami polskich i zagranicznych zespołów reagujących. Uczestnicy będą mogli wziąć udział w dyskusjach poświęconych blokowaniu zagrożeń bezpieczeństwa na poziomie operatora oraz filtrowaniem nielegalnych treści (m.in. w panelu dyskusyjnym na temat “Bezpieczeństwo, ochrona, ostrożność, cenzura” z wykorzystaniem systemu e-votingu). W trakcie konferencji zostaną omówione także inne ważne zagadnienia związane z zabezpieczeniem zasobów informatycznych sektora biznesowego i administracji państwowej oraz zwalczaniem przestępstw związanych z kradzieżą tożsamości i atakami na systemy e-bankowości. W programie SECURE 2009 znajdują się tak istotne kwestie jak rozwój nowych narzędzi skierowanych na walkę z nieznanymi dotąd zagrożeniami oraz techniczne i organizacyjne metody poprawy bezpieczeństwa wypracowywane przez organizacje zajmujące się przeciwdziałaniem zagrożeniom w sieci.

(more…)

Fiński zespół CERT-FI opublikował informacje na temat luk w implementacjach stosu TCP zgodnych z RFC793. O problemie informowaliśmy w czerwcu tego roku w artykule Podatność w implementacjach TCP – nowa technika ataków DoS.

Problem jest poważny, ponieważ dotyczy produktów wielu producentów – w praktyce może się okazać, że nawet wszystkich systemów i aplikacji, które korzystając z protokołu TCP! Mogą być to zarówno serwery, inne urządzenia sieciowe, jak i komputery desktopowe, czy nawet urządzenia mobilne. Właściwie podatności wynikają bardziej z winy projektantów protokołu, niż z winy producentów, którzy zastosowali się do specyfikacji. Po szczegóły odsyłamy do wyżej wymienionego artykułu.

Póki co efektem wykorzystania luk może być destabilizacja systemu (atak Denial-of-Service), choć to zależy od poszczególnych implementacji stosu (czasami proces ten może zająć minuty, innym razem nawet godziny). Jednakże badania cały czas trwają i niewykluczone jest inne użycie błędów.

Dzięki współpracy między kilkudziesięcioma producentami oraz zespołami Computer Emergency Response Team z Finlandii (CERT-FI) oraz Japonii (JPCERT/CC) możliwe było zdiagnozowanie problemu i opracowanie rozwiązań. W rezultacie wielu producentów wypuściło poprawki, m.in.:

(more…)