Aktualności

Od momentu opublikowania przez Dana Farmera artykułu o zagrożeniach związanych z protokołem IPMI służącym do zarządzania serwerami, system ARAKIS obserwuje wzmożony ruch UDP skierowany na port 623. Połączenia poszukujące podatnych BMC pochodziły z Chin, USA, Islandii, Rumunii i Holandii.

Ujawniona podatność umożliwia przejęcie zdalne kontroli nad modułami zarządzania serwerów (Base Management Controller) które służą do zdalnego zarządzania sprzętem – włączania i wyłączania zasilania, wydawania polecenia resetu, oraz zbierania danych o stanie sprzętu.

Poniżej wykresy skanowania wygenerowane przez system ARAKIS — regularne skanowania rozpoczęły się 23 czerwca, po opublikowaniu artykułu o podatnościach.

W Polsce podatnych jest 189 serwerów.

W ciągu ostatnich kilku dni zaobserwowaliśmy atak polegający na podszywaniu się pod portal aukcyjny Allegro.pl lub pośrednika rezerwacji hotelowych – Booking.com. Ofiara otrzymywała spersonalizowaną wiadomość e-mail, w której zawarta była informacja o zablokowaniu konta w serwisie „z powodu nieuregulowanych oplat allegro”, albo z powodu „umieszczania w opisie Twojej aukcji tresci niezgodnych z regulaminem Allegro”. W przypadku serwisu Booking.com była to informacja na temat nieopłaconej faktury za (nieistniejącą) rezerwację. Obie te kampanie miały niemal identyczny schemat infekcji, co pozwala stwierdzić, że zostały przeprowadzone przez tę samą osobę, bądź grupę osób.
Czytaj więcej

Wielokrotnie informowaliśmy już o nowym zagrożeniu dla polskich użytkowników bankowości elektronicznej, które nazwaliśmy VBKlip. Przypominając, jest to rodzaj malware’u, którego działanie polega na podmianie numeru rachunku bankowego skopiowanego do schowka. W ten sposób, gdy np. opłacamy fakturę kopiując numer konta i następnie go wklejając, wysyłamy przelew na inne konto niż zamierzaliśmy. W tym wpisie przyjrzymy się temu zagrożeniu z perspektywy ostatnich kilku miesięcy, a także przedstawimy szczegółową jego analizę. Uważamy, że zagrożenie wciąż jest istotne, ponieważ wciąż dostajemy zgłoszenia od użytkowników, którzy zostali zainfekowani tym złośliwym oprogramowaniem i w wyniku jego działania stracili środki na koncie.

Czytaj więcej

Ćwiczenia „Locked Shields” (połączone tarcze) to międzynarodowe ćwiczenia testujące gotowość krajów NATO do obrony przed atakami prowadzonymi przez Internet. W tym roku zwycięzcami okazał się zespół z Polski, w którego skład wchodzili też specjaliści z CERT Polska. W szranki stanęły także zespoły z Estonii, Finlandii, zespołu reagowania NATO (NATO CIRC), Włoch, Hiszpanii, Niemiec i Holandii, Turcji, Łotwy i Czech, Francji Węgier, Austrii i Litwy.
Czytaj więcej

Opublikowaliśmy raport roczny opisujący działania CERT Polska w 2013. Najważniejsze informacje to podsumowanie dokonanych przez nas przejęć botnetów, wyniki analiz złośliwego oprogramowania, zakończenie działalności złośliwego rejestratora domen Domain Silver Inc. oraz szacunki liczebności botnetów dokonane za pomocą nowej metodyki.
Czytaj więcej

Raport roczny CERT Polska za 2013 rok będzie już niedługo dostępny na naszej stronie. W tym roku postanowiliśmy zmienić trochę formułę, przykładając – kosztem suchych statystyk – większą wagę do opisu ważnych trendów i zjawisk dostrzeżonych w ubiegłym roku. W oczekiwaniu na publikację zachęcamy do lektury fragmentu raportu znajdującego się poniżej. Fragment zawiera opis naszej metody szacowania wielkości botnetów aktywnych w Polsce oraz wyniki tego szacowania. Niektóre odnośniki do materiałów źródłowych zostały usunięte w celu polepszenia czytelności tekstu na stronie, ale oczywiście znajdą się w raporcie.

Czytaj więcej

W ubiegłym tygodniu wiadomości o tematyce bezpieczeństwa zdominowały doniesienia o luce w bibliotece OpenSSL (CVE-2014-0160). O tym, jak wygląda problem z perspektywy polskich serwerów pisaliśmy poprzednio na naszym blogu. Warto jednak zauważyć, iż biblioteka OpenSSL jest wykorzystywana nie tylko w oprogramowaniu serwerowym. Jest ona również bardzo często elementem oprogramowania klienckiego.
Czytaj więcej

W ostatnich dniach Internet obiegła informacja o odkryciu CVE-2014-0160. Luka ta, od dwóch lat znajdująca się w bibliotece OpenSSL w wersjach 1.0.1a-f, pozwala na odczytanie fragmentu pamięci procesu, który korzysta z tej biblioteki. Ponieważ z biblioteki OpenSSL korzystają zarówno aplikacje serwerowe (np. serwer WWW, poczty) jak i aplikacje klienckie (chociaż najpopularniejsze przeglądarki nie używają tej biblioteki), które są powszechnie używane, luka ta jest bardzo niebezpieczna. CERT Polska podjął próbę sprawdzenia jakie informacje mogą wyciec oraz jaki ta luka ma wpływ na polski Internet oraz sieć TOR. Informacje podane przez Electronic Frontier Foundation pozwalają spekulować, że ten błąd był wykorzystywany w zeszłym roku przez agencje wywiadowcze.

Czytaj więcej

SECURE 2014 jest konferencją poświęconą w całości bezpieczeństwu teleinformatycznemu i adresowaną do administratorów, członków zespołów bezpieczeństwa oraz praktyków z tej dziedziny. Cechą wyróżniającą SECURE spośród innych konferencji jest przede wszystkim chęć dostarczania rzetelnych i merytorycznych informacji „z pierwszej ręki” – od najlepszych ekspertów i praktyków – o tym, co jest naprawdę istotne i aktualne w skutecznej reakcji na pojawiające się ciągle nowe zagrożenia. O wysoki poziom merytoryczny tego spotkania dba organizator konferencji, działający w NASK zespół CERT Polska. Wśród tematów szczególny nacisk kładziemy na praktyczne rozwiązania, bieżące trendy w przeciwdziałaniu zagrożeniom oraz istotne zagadnienia prawne. Uczestnicy mają dostęp do najnowszej wiedzy, a przez to zyskują możliwość podnoszenia swoich kwalifikacji oraz cennej wymiany doświadczeń w międzynarodowym środowisku eksperckim.
Czytaj więcej

Ogłoszony konkurs o wejściówkę na konferencję Honeynet Workshop 2014 w Warszawie został dzisiaj zakończony. Zwycięzcami są: Dariusz Tytko (z Polski) oraz @_zairon_, który opublikował również swoje rozwiązanie CrackMe na blogu. Zapraszamy do zapoznania się z rozwiązaniem konkursu, które znajduje się poniżej. Oczywiście jeśli wciąż rozwiązujecie zadanie to nie czytajcie dalej tego wpisu, bo zawiera spojlery.

Na początek jednak garść statystyk.

Czytaj więcej