Dzięki współpracy polskich zespołów bezpieczeństwa, związanych inicjatywą Abuse-Forum, udało się wykryć oraz przeanalizować nowe zagrożenie. Od 03.04.2011 do polskich internautów trafia wiadomość e-mail zawierająca w załączniku złośliwy dokument PDF. Z analiz przeprowadzonych przez CERT Polska wynika, że po otwarciu załączonego pliku komputer zostaje zainfekowany złośliwym oprogramowaniem SpyEye. Oprogramowanie to wykrada poufne informacje wprowadzane przez użytkownika na stronach internetowych (w tym systemach bankowości elektronicznej).

POD ŻADNYM POZOREM NIE NALEŻY OTWIERAĆ ZAŁĄCZNIKA!
Wiadomość taką dla bezpieczeństwa należy skasować. Można ją przekazać do laboratorium CERT Polska wysyłając na adres cert@cert.pl.

Jak rozpoznać złośliwą wiadomość ?

(więcej…)

28 stycznia w Warszawie odbyło się XIV spotkanie ABUSE-FORUM, grupy eksperckiej powstałej z inicjatywy NASK, zrzeszającej przedstawicieli zespołów reagujących CERT (Computer Emergency Response Team), zespołów bezpieczeństwa polskich operatorów telekomunikacyjnych oraz dostarczycieli treści internetowych.

Jednym z głównych tematów tego spotkania było omówienie ostatnich zagrożeń związanych z atakami komputerowymi, w których wykorzystano lukę w przeglądarce Internet Explorer. Problem ten był okazją do dyskusji na temat bezpieczeństwa przeglądarek internetowych, które są – jak wiadomo – podstawową aplikacją wykorzystywaną przez internautów, a przez to krytyczną z punktu widzenia poziomu ich bezpieczeństwa w sieci. Jak pokazują obserwacje, właśnie ataki poprzez przeglądarki stały się w ostatnim okresie najbardziej niebezpieczne.

Dyskusja podjęta w ramach ABUSE-FORUM doprowadziła do zgodnych opinii, według których przeglądarka Internet Explorer w wersji 6.x jest niebezpieczną aplikacją i nie powinna być narzędziem z którego korzysta się przy dostępie do treści internetowych. Korzystanie z niej związane jest z dużym ryzykiem zainfekowania swojego komputera złośliwym oprogramowaniem i w konsekwencji doprowadzenia do strat, również finansowych. Członkowie ABUSE-FORUM zdecydowanie rekomendują zaprzestanie używania tej przeglądarki. Jako alternatywne rozwiązania rekomendują używanie nowszej wersji przeglądarki firmy Microsoft lub przeglądarek innych producentów, np.:

• Microsoft IE 7.x oraz 8.x
• Firefox 3.x
• Google Chrome 4.x
• Opera 10

Przedstawiciele ABUSE-FORUM zadeklarowali ponadto chęć prowadzenia wspólnych działań zmierzających do minimalizacji wykorzystywania niebezpiecznej wersji przeglądarki Internet Explorer. W ramach współpracy, oprócz niniejszego komunikatu, firmy reprezentowane w Forum podejmą również kontakt ze swoimi klientami w celu uświadomienia im problemu i przekazania wymienionej powyżej rekomendacji a także rozpoczną działania techniczne prowadzące do identyfikacji internautów korzystających z IE 6.x, którzy w sposób specjalny zostaną poinformowani  o zagrożeniu i sposobie jego likwidacji.

W marcu odbyło się piąte już spotkanie zespołów reagujących na przypadki naruszenia bezpieczeństwa w sieci polskich operatorów telekomunikacyjnych oraz dostarczycieli treści i aplikacji sieciowych. Organizatorem spotkania był działający w NASK zespół CERT Polska. Spośród wielu zaproszonych ekspertów zajmujących się bezpieczeństwem teleinformatycznym na spotkaniu pojawili się przedstawiciele firm: Agora, Crowley, Exatel, Gadu-Gadu, GTS Energis, Netia S.A., PCSS, PKP S.A. Polkomtel, TK Telekom oraz TP S.A.
Jednym z poruszanych tematów była problematyka nielegalnych treści. Marek Dudek, kierownik projektu Dyżurnet.pl działającego w NASK w ramach programu Komisji Europejskiej Safer Internet, przedstawił działalność zespołu w zakresie przyjmowania zgłoszeń dotyczących nielegalnych treści w Internecie oraz w zakresie współpracy z wymiarem sprawiedliwości i stowarzyszeniem INHOPE. Prezentacja zaowocowała szeregiem propozycji współpracy. Jak podkreślał Paweł Musiał z TK Telekom: Uregulowanie zagadnienia klasyfikacji i prezentacji treści w mediach elektronicznych, uwolnienie mediów od treści nielegalnych jest kluczowe w perspektywie zapewnienia masowego dostępu do nowoczesnych technologii multimedialnych. Jego zdaniem perspektywa rozwoju sieci telekomunikacyjnych zależy od stopnia, w jakim treści dostępne w mediach elektronicznych będą wolne od niebezpieczeństw dla ich odbiorców. Chęć walki z nielegalnymi treściami zadeklarowali również twórcy komunikatora Gadu-Gadu.

Podczas spotkania w NASK Tomasz Nowocień z Poznańskiego Centrum Superkomputerowo-Sieciowego przedstawił założenia projektu Polskiej Platformy Bezpieczeństwa Wewnętrznego. Prace projektu PPBW rozpoczną się w maju i będzie on realizowany wspólnie przez ośrodki badawczo-rozwojowe, policję, prokuraturę oraz organy administracji. Celem współpracy będzie dążenie do stworzenia jak najbardziej zintegrowanego systemu informacji o przestępcach oraz systemu detekcji intruzów.

Ważnym wątkiem dyskusji był również poruszony przez Mirosława Maja, kierownika zespołu CERT Polska, temat tzw. „czarnych list”. Wśród wymienianych problemów związanych z istnieniem czarnych list zwracano uwagę na: agresywne działanie niektórych administratorów blacklist, którzy blokują całe klasy adresowe, stosując zasadę odpowiedzialności zbiorowej, oraz na blokowanie stałych adresów IP na podstawie wpisów w Rev-DNS. Czarne listy są również niejednokrotnie utrzymywane przez producentów oprogramowania antyspamowego, co może prowadzić do nadużyć. Pomysłem na uregulowanie zasad działania czarnych list i reguł współpracy w tym zakresie ich administratorów oraz ISPs, mogłaby być próba opracowania RFC (Request for Comments). Uczestnicy spotkania wyrazili wstępne zainteresowanie udziałem w tego typu inicjatywie.

Uczestnicy spotkania za kluczowe zadanie uznali stałe rozwijanie współpracy z policją, wypracowywanie kanałów dystrybucji informacji o skutecznych formach zapytań kierowanych przez policję do ISP oraz stałą wymianę informacji i danych operacyjnych w celu szybszej oraz skuteczniejszej likwidacji zagrożeń sieciowych.

Liczna grupa uczestników spotkania świadczy o niesłabnącym zainteresowaniu oraz dużej potrzebie współpracy interdyscyplinarnej w zakresie zwalczania zagrożeń teleinformatycznych. Następne spotkanie zespołów reagujących odbędzie się w czerwcu.

Wymiana informacji dotyczących zagrożeń sieciowych, dzielenie się doświadczeniami ze współpracy z organami ścigania oraz zasady współpracy pomiędzy zespołami typu „abuse” to tylko niektóre tematy poruszone podczas forum zespołów reagujących na zagrożenia bezpieczeństwa w sieciach publicznych.
Gospodarzem forum był działający przy NASK zespół CERT Polska, który, korzystając ze swych doświadczeń płynących z udziału w wielu inicjatywach międzynarodowych związanych z bezpieczeństwem ICT, zaprosił do swojej siedziby przedstawicieli zespołów reagujących funkcjonujących w ramach polskich firm teleinformatycznych i telekomunikacyjnych. Na spotkaniu przedstawiono m.in. prace i wyniki działań grup roboczych i organizacji działających za granicą, takich jak TERENA TF-CSIRT, FIRST oraz rozwoju podobnych inicjatyw w innych krajach (np. CERT-Verbund w Niemczech).

W spotkaniu uczestniczyli specjaliści reprezentujący firmy: ASTER, Exatel, Poznańskie Centrum Superkomputerowo-Sieciowe (Pionier-CERT), PKP Informatyka, Polkomtel, PSE, Telekomunikacja Polska, Telekomunikacja Kolejowa, UPC i VECTRA.

Forum miało na celu wymianę doświadczeń pomiędzy zespołami zajmującymi się bezpieczeństwem teleinformatycznym, działającymi w strukturach największych polskich operatorów telekomunikacyjnych (zespołów reagujących na zagrożenia i ataki). Omawiano funkcjonowanie tego typu zespołów w zależności od struktury organizacji oraz obowiązującego w niej regulaminu, który zezwala na stosowanie sankcji wobec osób naruszających bezpieczeństwo informatyczne. Szczególne zainteresowanie budziły kwestie związane ze współpracą z organami ścigania. Rozpatrywano najlepsze i najefektywniejsze formy współpracy pomiędzy operatorem (ISP) i policją oraz pomiędzy policją a użytkownikiem końcowym, który chciałby złożyć doniesienie o naruszeniu prawa w Internecie. Zagadnienia te są o tyle istotne, że informacje udostępniane w sieci oraz wiele usług internetowych staje się coraz bardziej krytycznym elementem funkcjonowania firm.

Uczestnicy spotkania podzielili się również wiedzą praktyczną z zakresu reagowania na występujące zagrożenia w postaci wirusów, spamu, robaków internetowych i ataków DDoS. Mówiono o obsłudze zgłoszeń, współpracy z użytkownikami sieci, stosowaniu restrykcji wobec osób naruszających bezpieczeństwo oraz uwarunkowaniach prawnych związanych z tego rodzaju działalnością. Szczególnie interesujące były doświadczenia dotyczące sposobów postępowania z klientami w kontekście celów biznesowych operatorów i wewnętrznej współpracy działów bezpieczeństwa i działów biznesowych.

Obecni na spotkaniu przedstawiciele zespołów reagujących podkreślili korzyści płynące z dzielenia się wiedzą z zakresu bezpieczeństwa IT, a zwłaszcza wspólną pracę w celu wypracowania coraz szybszych i skuteczniejszych metod reakcji na zaistniałe zagrożenia. Na zakończenie uczestnicy spotkania wyrazili wolę dalszych kontaktów i organizacji podobnych spotkań, których celem będzie synchronizacja działań oraz inicjatywy w postaci wspólnych projektów lub akcji na rzecz poprawy bezpieczeństwa w polskiej sieci Internet. Następne spotkanie tego typu przewidywane jest wstępnie na pierwszy kwartał przyszłego roku.