Specjaliści z SANS Internet Storm Center opisali niedawno bardzo interesujący proceder wykorzystywany przez internetowych przestępców. Dzięki niemu internauci odwiedzający skompromitowane strony www i spełniający określone kryteria mogą być przekierowani na dowolną stronę (zazwyczaj infekującą złośliwym oprogramowaniem).

Pomysłowi cyberprzestępcy wykorzystują mechanizm zwany RewriteEngine dostępny w serwerach www Apache. W wielkim skrócie mechanizm ten polega na automatycznym podmienianiu adresu URL na inny. W zamyśle twórców miał pomóc w podmienianiu długich i nieprzyjaznych człowiekowi URLi na krótsze i łatwiejsze do zapamiętania.

Pomysł polega na tym, że reguły mechanizmu RewriteEngine sprawdzają warunki, czy nagłówek HTTP “Referer” nie zawiera jakiś konkretnych adresów (w tym wypadku są to adresy najpopularniejszych wyszukiwarek internetowych). Jeżeli jakakolwiek reguła jest spełniona, to takowy użytkownik przekierowywany jest pod konkretny adres – z dużym prawdopodobieństwem będzie to złośliwa strona infekująca komputer internauty jakimś niebezpiecznym oprogramowaniem (tzw. malware).

Mechanizm RewriteEngine jest konfigurowany przez wpisy w pliku .htaccess. Przykładowa konfiguracja może wyglądać mniej więcej tak:

Taki plik jest umiejscawiany/podmieniany na zaatakowanym serwerze. Dostęp do serwerów atakujący uzyskują m.in. wykorzystując luki, lub poprzez skradzione hasła do konta FTP, albo w inny podobny sposób. Od tej chwili internauci odwiedzający zaatakowaną stronę wchodząc ze strony którejś z wyszukiwarek (kwestia ustawionego przez przeglądarkę internetową ofiary nagłówka „referer”), są przekierowywani na złośliwy URL.

Gdy internauta (albo automat szukający zainfekowanych stron) wejdzie bezpośrednio na zaatakowaną w ten sposób stronę, nie zostanie nigdzie przekierowany – strona będzie wyglądała na „zdrową”. Natomiast, gdy na stronę wejdzie klikając w wynik zapytania w wyszukiwarce internetowej (albo w mechanizm typu Google AdWords lub AdSense)… Voila! Zostaje skierowany do strony, która albo wykorzystując łatwowierność (względnie brak doświadczenia) użytkownika, albo luki w jego przeglądarce internetowej, instaluje w jego systemie złośliwe oprogramowanie. Wszystkie narzędzia poszukujące “skompromitowanych” stron, jeżeli nie ustawią odpowiednio nagłówka “referer”, nie wykryją niebezpieczeństwa.

Cały ten proceder został opisany przez SANS ISC w kontekście dystrybucji bardzo “popularnego” ostatnimi czasy fałszywego oprogramowania antywirusowego (które, co warto wspomnieć, działa wprost przeciwnie: zamiast chronić, infekuje).

Źródło:
http://isc.sans.org

lista domen docelowych, które serwują fałszywego antywirusa:
http://ddanchev.blogspot.com

W czwartek 2 października rozpoczyna się XII Konferencja na temat bezpieczeństwa teleinformatycznego – „SECURE 2008”. Organizatorzy – NASK  i działający w NASK zespół CERT Polska – kładą w tym roku nacisk na najważniejsze kwestie związane z ochroną tożsamości i budową świadomości zagrożeń występujących w Internecie.

Na konferencji pojawią się przedstawiciele największych polskich serwisów internetowych, w których do ataków na tożsamość dochodzi praktycznie non-stop. Uczestnicy wysłuchają m.in. wystąpień specjalistów z serwisów Allegro.pl i Nasza-Klasa.pl, a także przedstawiciela Biura Generalnego Inspektora Ochrony Danych Osobowych. Od wielu lat stałym elementem programu SECURE są kwestie budowy społecznej świadomości zagrożeń występujących w Internecie. Podobnie jak w latach ubiegłych organizatorzy poświęcają temu tematowi całą sesję, podczas której głos zabiorą zarówno polscy specjaliści z NASK i Fundacji Dzieci Niczyje zaangażowani w realizację europejskiego programu Saferinternet.pl, jak i przedstawiciele ENISA – Europejskiej Agencji bezpieczeństwa Sieci i Informacji, która również stawia sobie za jeden z priorytetów tworzenie programów uświadamiających o zagrożeniach w sieci.

W programie konferencji znajduje się także blok dotyczący bezpieczeństwa IT w sektorze administracji państwowej. Szczególnie interesująco zapowiadają się informacje na temat działania nowych zespołów typu CERT, powstałych w strukturach administracji – CERTu wojskowego i działającego od tego roku w ramach ABW – CERTu rządowego – CERT.GOV.PL. Kolejna sesja SECURE 2008 związana z bezpieczeństwem teleinformatycznym dotyczy bezpieczeństwa e-banking. Na jej tematykę składają się prezentacje przygotowane przez przedstawicieli Związku Banków Polskich i CERT-u węgierskiego (będzie mowa o współpracy tego CERTu z tamtejszymi bankami).

Jak mówi kierownik działu CERT Polska w NASK, Mirosław Maj, – zawsze dbamy o to, aby SECURE była okazją do zaprezentowania bieżącej działalności operacyjnej i projektowej zespołu CERT Polska. Obok doświadczeń wynikających z obsługiwanych przez nas przypadków naruszenia bezpieczeństwa i współpracy z innymi polskimi zespołami reagowania, szeroko przedstawimy właściwie wszystkie najważniejsze projekty prowadzone przez CERT Polska, takie jak ARAKIS, WOMBAT i  HoneySpider Network. Uzupełnieniem informacji o działalności NASK w dziedzinie bezpieczeństwa sieciowego będzie sesja, w trakcie której zostaną przedstawione inne tematy – dotyczące bezpieczeństwa DNS, rozwiązań hostingowych i systemów biometrii.

Więcej na stronie: www.secure.edu.pl

W sieci pojawił się exploit wykorzystujący przepełnienie bufora w CitectSCADA, systemie służącym do monitorowania i zarządzania procesami przemysłowymi.

Systemy SCADA (Supervisory Control and Data Acquisition) służą do sterowania urządzeniami automatyki przemysłowej i zbierania danych o ich funkcjonowaniu. Są powszechnie stosowane w elektrowniach, rafineriach, gazociągach, oczyszczalniach ścieków i zakładach przemysłowych.

Opublikowany 5 września exploit wykorzystuje upublicznioną 11 czerwca 2008 roku lukę w systemie CitectSCADA firmy Citect, jednym z popularniejszych systemów tego typu (w 80 krajach sprzedanych łącznie ponad 150 tysięcy licencji). Oprogramowanie to jest uruchomione na standardowych komputerach z systemem Microsoft Windows. Odkryta luka pozwala na zdalne przeprowadzenie ataku DoS lub wykonanie dowolnego kodu na zaatakowanym systemie. Jedynym warunkiem jest możliwość połączenia do zdalnego systemu na port 20222/TCP.

W dniu upublicznienia luki Citect udostępnił poprawki do wszystkich podatnych wersji oprogramowania. Stwierdzono także, że problem dotyczy tylko zakładów przemysłowych podłączających swoje systemy bezpośrednio do Internetu, bez ochrony za pomocą firewalli – systemy automatyki przemysłowej są zazwyczaj ściśle odseparowane od publicznych sieci. Mimo tego, po udostępnieniu exploita w Internecie trwają intensywne skanowania portu 20222/TCP. Wzrost ruchu na tym porcie został zaobserwowany między innymi przez serwis SANS Internet Storm Center. Skanowania te wykrył również system wczesnego ostrzegania o zagrożeniach w sieci Arakis.