Ministerstwo Gospodarki zleciło Polskiemu Towarzystwu Informatycznemu przygotowanie raportu na temat bezpieczeństwa teleinformatycznego w Internecie. Ważnym elementem w stworzeniu tego raportu mają być wyniki ankiety, którą przygotowało PTI.

Twórcy ankiety chcą zebrać informację na temat poczucia bezpieczeństwa wśród polskich internautów, przy okazji sprawdzają wiedzę na temat podstawowych zagadnień związanych z bezpieczeństwem IT i tego jak internauci reagują na zagrożenia w sieci.

Szczególną uwagę w całym badaniu zwraca się na zagadnienia bankowości elektronicznej oraz handlu w internecie. Zgodnie z informacją Towarzystwa, przyszły portal ma właśnie odnosić się do tych zagadnień i ma zawierać zbiór przystępnych informacji oraz konkretnych porad dotyczących e-bezpieczeństwa.

Autorów przedsięwzięcia trzymamy za słowo i życzymy sukcesu, a wszystkich zachęcamy do wypełnienia krótkiej ankiety.

Ostatnia aktualizacja: 18.12.2008 (przejdź bezpośrednio)

W sieci powszechnie dostępny jest exploit na odkrytą niedawno lukę w przeglądarce Internet Explorer 7. Wczorajsze aktualizacje Micosoft nie łatały wykorzystywanej podatności, co oznacza, że nawet całkowicie zaktualizowane komputery są podatne na potencjalny atak. Exploit wykorzystuje lukę w module obsługującym XML i przepełnia stertę (tzw. atak heap overflow). Wcześniej sprawdza typ i wersję używanej przeglądarki, a także rodzaj systemu operacyjnego.

Przepełnienie sterty wykonuje się tylko dla IE w wersji 7 działającej w systemie Windows XP lub 2003. Nie wiadomo jednak na razie, czy inne wersje przeglądarki bądź systemu Windows (np. Vista) są podatne na atak. Ciekawy jest także fakt użycia funkcji sleep, która powoduje zawieszenie wykonywania kodu javaScript na określony czas (w wersji exploita, którą zdobyliśmy, są to 3 sekundy, natomiast wiadomo, że ta wartość zmienia się). Najprawdopodobniej chciano w ten sposób niejako “ogłupić” automatyczne narzędzia wykorzystywane do zbierania i/lub analizy malware’u.

Szkodliwy kod JavaScript opublikowany został m.in. na wielu chińskich serwisach społecznościowych (głównie forach, także blogach) traktujących o (nie)bezpieczeństwie komputerowym. Potencjalnie można go wykorzystać do wykonania w atakowanym systemie dowolnego kodu (najprawdopodobniej będzie to instalacja trojana lub inne złośliwe oprogramowanie). Wprawdzie brak jest doniesień o masowym wykorzystaniu exploita, jednak może być to tylko kwestią czasu. Należy zwrócić uwagę, że w przypadku masowego ataku taki złośliwy JavaScript może być wstrzyknięty do kodu strony www, którą do tej pory uważaliśmy za bezpieczną. Na razie nie istnieją żadne łaty poprawiające błąd, ale warto pamiętać, że podatna na atak jest tylko przeglądarka Internet Explorer.

Ataki na aplikacje klienckie są coraz chętniej wykorzystywane przez cyberprzestępców, szczególnie te skierowane na przeglądarki internetowe i dodatki do nich. W celu walki z tego typu zagrożeniem powstał projekt HoneySpider Network. Związane z nim nasze klienckie honeypoty potwierdziły zagrożenie, jakie niesie ze sobą opisany wyżej exploit.

Więcej informacji:
http://www.microsoft.com/technet/security/advisory/961051.mspx
http://isc.sans.org/diary.html?storyid=5458

Aktualizacja (czw, 11 gru 2008, 13:53):

Jeszcze wczoraj pojawiła się w sieci wersja exploita, która działa także pod całkowicie zaktualizowanym systemem Windows Vista (zarówno z jak i bez SP1). Obie wersje złośliwego kodu (zarówno ta przeznaczona na Windowsa XP/2003 jak i na Vistę) są modyfikowane (cyberprzestępcy dostosowują je do swoich potrzeb) i najczęściej już nie sprawdzają rodzaju/wersji przeglądarki czy systemu operacyjnego, tylko próbują się wykonać za każdym razem.

Exploity ponadto są już powszechnie wykorzystywane do zarażania komputerów internautów: pojawia się coraz więcej stron www, które zawierają wyżej opisany złośliwy JavaScript. Są to głównie strony chińskie (domena .cn), do których odnośniki (URL) są wstrzykiwane w zawartość innych “legalnych” stron. Jak udało się ustalić specjalistom zajmującym się tym problemem komputery infekowane są najczęściej złośliwym oprogramowaniem wykradającym hasła do gier online. Oczywiście cyberprzestępcy mogą równie dobrze wykorzystać malware, który np. wykrada hasła do banków, numery kart kredytowych, czy zmienia komputer ofiary w członka botnetu (tzw. komputer-zombie).

Korzystając z serwisu Virustotal.com wysłaliśmy do przeskanowania przez silniki antywirusowe kilka wariantów exploita. Oto linki do wyników analiz:

• www.virustotal.com/analisis/cac8d964051da96907b2a509d99c5ddf (wykryło 6/37 antywirusów, 16,22%)
• www.virustotal.com/analisis/cbf99af64ed8c638acded59e959917fb (wykryło 15/38 antywirusów, 39,48%)
• www.virustotal.com/analisis/ee75aaa813e95b144f01ddd4e3bad2ed (wykryło 14/38 antywirusów, 36,85%)

Więcej informacji można znaleźć na stronach:
http://blogs.zdnet.com/security/?p=2296
http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081210

Aktualizacja (czw, 18 gru 2008, 10:30):

Microsoft wydał patch łatający opisaną wyżej lukę (biuletyn bezpieczeństwa oznaczony numerem MS08-078). Apelujemy zatem do wszystkich użytkowników systemów Windows o jak najszybsze zaktualizowanie swojej przeglądarki Internet Explorer nawet, jeżeli nie jest ona używana do surfowania po internecie (ponieważ wiele aplikacji – jak np. Gadu-Gadu – korzysta z niej i przez to pośrednio jest podatne na ataki). Można to zrobić poprzez:

• Aktualizacje automatyczne (dostępne w Panel sterowania),
• korzystając z witryny Microsoft Update
• ściągając odpowiednią do posiadanego systemu i wersji przeglądarki poprawkę bezpośrednio ze strony Centrum Pobierania Microsoft i instalując ją ręcznie.

Secunia – firma zajmująca się bezpieczeństwem komputerowym – udostępniła na swojej stronie ciekawe statystyki dotyczące ilości dziurawych aplikacji zainstalowanych w systemach swoich klientów. Dane zostały zebrane przy pomocy Secunia PSI (Personal Software Inspector). Jest to darmowy program przeznaczony dla użytkowników Windowsów, którego zadaniem jest monitorowanie na bieżąco wersji wszystkich zainstalowanych w systemie aplikacji i alarmowanie użytkownika w przypadku, gdy którakolwiek z nich posiada luki związane z bezpieczeństwem. Takie aplikacje oznaczane są jako “niezabezpieczone” (insecure). Użytkownik ostrzegany jest również o programach tzw. end-of-life, czyli takich, które nie są już wspierane przez producenta i tym samym nie są aktualizowane.

Statystyki zostały zebrane w ciągu 7 pierwszych dni od wydania najnowszej wersji PSI (1.0), który zainstalowano na ok. 20 000 nowych (wcześniej nie widzianych) komputerach. Ważną informacją jest to, że uwzględniane są tylko dane z pierwszego skanowania systemu, kiedy to użytkownicy nie rozpoczęli aktualizacji.

     Ilość podatnych aplikacji przypadająca na jeden komputer

Oznacza to, że aż 98 komputerów na 100 miało przynajmniej jedną podatną aplikację, która posiada lukę mogącą być wykorzystaną przez złośliwe oprogramowanie (malware). Tylko niecałe 2% Warto także zauważyć i zastanowić się nad odsetkiem komputerów z ponad dziesięcioma niezabezpieczonymi aplikacjami. Zrozumiałe jest, że nie jesteśmy w stanie w pełni upilnować aktualności wszystkich zainstalowanych w naszym systemie programów, jest ich zwyczajnie za dużo (średnio kilkadziesiąt) a my mamy za mało czasu. Programy takie jak PSI wyręczają nas z tego żmudnego procesu.

Secunia udostępniła także wersję online swojego skanera: http://secunia.com/vulnerability_scanning/online/. Zachęcamy do wypróbowania, chociażby dla zaspokojenia własnej ciekawości o liczbie posiadanych dziurawych programów we własnym komputerze.