Aktualności

Porozumienie o powołaniu CERT-u Narodowego

Data publikacji: 05/07/2016, alex

4 lipca w siedzibie NASK Minister Cyfryzacji Anna Streżyńska, Krzysztof Pietraszkiewicz, prezes Związku Banków Polskich oraz Wojciech Kamieniecki, dyrektor NASK podpisali porozumienie o stworzeniu CERT-u narodowego, czyli jednostki koordynującej zwalczanie internetowych zagrożeń w administracji państwowej oraz biznesie.

Minister Anna Streżyńska i prezes ZBP Krzysztof Pietraszkiewicz podpisują porozumienie

CERT Narodowy jest częścią Narodowego Centrum Cyberbezpieczeństwa, nowo stworzonego pionu NASK którego zadaniem jest być polskim centrum kompetencyjnym zwalczania internetowych zagrożeń. CERT Polska będzie w Narodowym Centrum Cyberbezpieczeństwa odpowiadać za szeroko pojęte działania analityczne. Dotychczasowa działalność CERT Polska i świadczone usługi nie ulegają zmianie.

Raport CERT dostępny w wersji angielskiej

Data publikacji: 20/06/2016, alex

Przedstawiamy Państwu nasz raport w wersji angielskiej. Jest to tłumaczenie udostępnionego wcześniej raportu w wersji polskiej i zawiera ono komplet danych o bezpieczeństwie polskiej sieci w 2015.

Zachęcamy państwa do rozpowszechniania naszego raportu jako źródła danych, gdyż w swoim rodzaju jest on jedynym wydawnictwem tego typu opisującym bezpieczeństwo polskiego Internetu od strony ilościowej (statystycznej) i jakościowej.

Newest addition to a happy family: KBOT

Data publikacji: 17/05/2016, mak

At the beginning of the May here in Poland we have couple of free days. 3rd May is Constitution Day, and May 1st is Labour Day. Most of us use those days to unwind after winter, but some malware authors apparently didn’t: a few weeks ago, our friends started a new campaign, spreading some poorly obfuscated Javascript and quite an interesting modification of KBOT from the Carberp leak.
Czytaj więcej

GMBot: nowe sposoby na wyłudzanie danych z przeglądarek mobilnych

Data publikacji: 16/05/2016, Malgorzata Debska

Złośliwe oprogramowanie na system Android o nazwie GMBot (inna nazwa slempo) było już przez nas opisywane w październiku ubiegłego roku. Aplikacja do wyłudzania danych logowania do banku używała tzw. metody przesłonięcia aplikacji (ang. application overlay). Jest to nic innego jak zwykły atak phishingowy, w działaniu dosyć podobny do znanej metody używania webinjectów w systemach z rodziny Windows. Zgodnie z naszymi przewidywaniami, używanie przesłonięcia aplikacji stało się dosyć popularne w złośliwych aplikacjach androidowych. W ciągu ostatniego półrocza powstało wiele wersji oprogramowania swoim działaniem przypominających GMBota. W każdym przypadku przesłonięcie dotyczyło wyłącznie aplikacji zainstalowanych na telefonie (aplikacje bankowe, komunikatory, e-mail). W zeszłym tygodniu, do naszego laboratorium trafiła jednak próbka, która oprócz przesłonięcia aplikacji bankowej stara się także wyłudzić dane dostępowe do banku z mobilnej przeglądarki internetowej.

Czytaj więcej

SECURE 2016 – Call for Speakers

Data publikacji: 26/04/2016, przemek

SECURE, odbywający się w dn. 25 oraz 26 października w Warszawie, jest konferencją poświęconą w całości bezpieczeństwu teleinformatycznemu i adresowaną do administratorów, członków zespołów bezpieczeństwa oraz praktyków z tej dziedziny. Cechą wyróżniającą SECURE spośród innych konferencji jest przede wszystkim chęć dostarczania rzetelnych i merytorycznych informacji o tym, co naprawdę istotne i aktualne, przede wszystkim z pierwszej ręki – od najlepszych ekspertów i praktyków. Zapewnia to swoim wieloletnim doświadczeniem organizator konferencji: działający w ramach NASK zespół CERT Polska. Wśród tematów szczególny nacisk kładziemy na praktyczne rozwiązania, najnowsze trendy w przeciwdziałaniu zagrożeniom oraz istotne zagadnienia prawne. Uczestnicy mają dostęp do najnowszej wiedzy, a przez to zyskują możliwość podnoszenia swoich kwalifikacji oraz cennej wymiany doświadczeń.

Ataki z wykorzystaniem sieci teleinformatycznych stają się coraz bardziej groźne w skutkach. Oprócz zwykłej przestępczości, z którą coraz skuteczniej radzą sobie organy ściągania, mamy do czynienia choćby z wyłudzeniami na kwoty mierzone w milionach euro, ukierunkowanym oprogramowaniem ransomware, które szyfruje zasoby np. kancelarii prawniczych czy instytucji służby zdrowia. Byliśmy także świadkami kolejnych ataków na systemy przemysłowe, choćby w przypadku sieci energetycznych na Ukrainie. Jednocześnie, sieci teleinformatyczne coraz bardziej przenikają wszystkie sfery życia, wraz z tendencją do czynienia wszystkich urządzeń „inteligentnymi”. Wiąże się to nierozerwalnie ze zwiększeniem płaszczyzny ataków. Wyzwaniem w zwalczaniu poważnych ataków staje się między innymi atrybucja, a więc jak najbardziej rzetelne przypisanie aktorów do konkretnych działań. Większość mechanizmów umożliwiających rozliczalność działań w Internecie napotyka na opór wynikający z potrzeby ochrony prywatności użytkowników. Czy interesy te zawsze będą pozostawały w konflikcie?

Jeśli chciałbyś podzielić się z innymi wiedzą z tych tematów, lub czujesz się ekspertem w jednej z dziedzin wymienionych poniżej, niniejsze zaproszenie jest właśnie do Ciebie.

SECURE 2016 odbędzie się w dniach 25-26 października, w centrum konferencyjnym Airport Hotel Okęcie w Warszawie. Tematykę konferencji wyznaczają trzy główne nurty:

  • techniczny – ze szczególnym uwzględnieniem nowatorskich i praktycznych rozwiązań
  • organizacyjny – ze szczególnym naciskiem na dostrzeganie nowych trendów w zagrożeniach
  • prawny – ze szczególnym naciskiem na rzeczywiste możliwości ścigania sprawców przestępstw

Prezentacje

Poszukujemy osób gotowych do wygłoszenia prezentacji, która porusza przynajmniej jeden z poniższych tematów

  • ewolucja i analiza złośliwego oprogramowania (wirusy, trojany, robaki, botnety itp)
  • wykrywanie włamań
  • nowatorskie zastosowania systemów honeypot i systemów sandbox
  • ataki APT
  • monitorowanie bezpieczeństwa w sieci
  • bezpieczeństwo smartfonów i aplikacji mobilnych
  • techniki wizualizacji zdarzeń bezpieczeństwa
  • bezpieczeństwo systemów SCADA i ataki na sieci przemysłowe
  • wczesne ostrzeganie o zagrożeniach w sieciach teleinformatycznych
  • obsługa incydentów bezpieczeństwa
  • standardy wymiany informacji dotyczących bezpieczeństwa
  • ataki DDoS i techniki obrony
  • skuteczność narzędzi w zwalczaniu nowych technik ataków
  • narzędzia open source w bezpieczeństwie
  • ochrona tożsamości w sieci
  • prywatność, poufność i anonimowość w sieci
  • steganografia w sieciach teleinformatycznych
  • czynnik ludzki w bezpieczeństwie
  • prawo polskie i europejskie w odniesieniu do bezpieczeństwa teleinformatycznego
  • działania organów ścigania w zakresie zwalczania przestępczości teleinformatycznej
  • projekty naukowe z dziedziny bezpieczeństwa teleinformatycznego

Ważne informacje o prezentacjach

  • zgłoszenia należy przesyłać wyłącznie poprzez stronę https://easychair.org/conferences/?conf=secure2016
  • do zgłoszenia wymagane jest przygotowanie tytułu prezentacji, krótkiego abstraktu oraz informacji o autorze
  • pytania dotyczące procesu zgłaszania i selekcji prezentacji należy zgłaszać na adres [email protected]
  • przewidywany czas na prezentację to 45 minut, w tym czas na pytania i odpowiedzi
  • prezentacja nie może mieć charakteru reklamowego
  • materiały należy nadsyłać w formatach OpenOffice, Microsoft Office lub PDF
  • prezentacje zostaną udostępnione uczestnikom konferencji w formie elektronicznej
  • organizatorzy zapewniają bezpłatny pełny udział w całej konferencji (nie dotyczy warsztatów) oraz imprezie wieczornej w dn. 25 października 2016 r.; organizatorzy nie pokrywają kosztów podróży i zakwaterowania

Ważne terminy

  • nadsyłanie zgłoszeń – do 4 lipca 2016 r.
  • wybór prezentacji – do 2 sierpnia 2016 r.
  • nadsyłanie prezentacji – do 10 października 2016 r.

Krótkie wystąpienia

Zapraszamy uczestników konferencji SECURE do dzielenia się na gorąco swoimi ideami, pytaniami oraz problemami. Podczas jednego z bloków konferencji zaprosimy do przedstawiania krótkich wystąpień, dotyczących dowolnego tematu związanego z bezpieczeństwem teleinformatycznym.

Ważne informacje o krótkich wystąpieniach

  • maksymalny czas jednego wystąpienia to 5 minut. Łączny czas na wszystkie wystąpienia będzie ograniczony.
  • zgłoszenia chęci krótkiego wystąpienia można dokonać w dowolnym momencie po zarejestrowaniu się jako uczestnik konferencji, także w trakcie jej trwania.
  • organizatorzy zastrzegają sobie prawo ostatecznej decyzji o dopuszczeniu do wystąpienia

Krajobraz bezpieczeństwa polskiego Internetu w 2015 – raport roczny z naszej działalności

Data publikacji: 22/04/2016, alex

Okładka raportu 2015
Przedkładamy Państwo raport o bezpieczeństwie polskiego Internetu i działalności CERT Polska w roku 2015.

Raport podzieliliśmy na kalendarium, opisujące najważniejsze naszym zdaniem wydarzenia z bezpieczeństwa sieciowego jakie miały miejsce w zeszłym roku, opis naszych działań, krajobraz zagrożeń i opracowane na podstawie naszych danych statystyki.

Zapraszamy Państwa do lektury naszego raportu. Zachęcamy do współpracy i uczestnictwa w podejmowanych przez nas projektach i inicjatywach. Bezpieczeństwo w sieci zależy od nas wszystkich – żaden podmiot działając samodzielnie nie sprawi, że sieć w Polsce będzie wolna od zagrożeń.

Do przeczytania raportu zapraszamy tutaj.

Złośliwy iBanking – stary sposób infekcji, nowe pomysły utrudniające odinstalowanie

Data publikacji: 16/03/2016, Malgorzata Debska

W ostatnim czasie do CERT-owego laboratorium trafiła próbka złośliwego oprogramowania typu iBanking podszywającego się pod mobilną aplikację skanera antymalware’owego Trusteer Rapport. Scenariusz ataku nie jest niczym nowym, był wielokrotnie wykorzystywany w przeszłości, jednak w ostatnim czasie zauważamy wzrost ataków tego typu wymierzonych w Polskich użytkowników bankowości elektronicznej. Analizowana aplikacja okazała się dużo trudniejsza w usunięciu, a jej kod o wiele lepiej zaciemniony niż wcześniejsze programy tego typu.

Czytaj więcej

MadProtect, not that mad

Data publikacji: 03/02/2016, mak

Some weeks ago we stumbled on a packer that our tools could not break. Surprisingly, this is actually not that common since most of the malware in the wild uses some sort of RunPE technique which is relatively trivial to break using simple memory tracing.

MadProtect is not any different, it looks like a “HackingForums-grade” packer – nevertheless our tools failed to handle it properly. At first we did not look into the original binary, which was a mistake that could have saved us a lot of unnecessary effort into debugging our code. Instead, it turned out to be enough to look at the logs from tracer and binaries it produced.

The dumped binaries looked somewhat weird with a bunch of nops and other junk code which seems to do nothing. What struck us as odd was the regularity of nop-blocs: all of them seemed to be 0×10 bytes long (yes, we know we cannot count  ), and we can see a lot of 0×10 bytes writes in tracer logs: coincidence?
Czytaj więcej

Następca Banatrixa: dodatek do przeglądarki

Data publikacji: 21/01/2016, Malgorzata Debska

zorro_foxW ostatnim czasie do laboratorium naszego zespołu trafiła próbka złośliwego oprogramowania atakująca polskich użytkowników bankowości elektronicznej. Analiza tego zagrożenia daje nam podstawy twierdzić, że jest to kolejne oprogramowanie napisane przez tego samego autora (albo grupę autorów) co wcześniej opisywany przez nas Banatrix, kampania mailowa, rzekomo od Poczty Polskiej czy zeszłoroczny Slave .
Czytaj więcej

12345...1020...