W numerze
♦ AKTUALNOŚCI• Najnowsze wirusy i
zagrożenia w Internecie
• Poprawki bezpieczeństwa do programów Microsoft
♦ WARTO WIEDZIEĆ• ZitMo – nowe
zagrożenie czyha na klientów
♦ PORADNIK• Zasady
bezpiecznego logowania się na internetowe konto bankowe
♦ SŁOWNICZEK
Najnowsze wirusy i zagrożenia w Internecie
Pamiętajmy, iż bezpieczne korzystanie z bankowości internetowej oraz zasobów Internetu
zapewniają nie tylko programy antywirusowe, antyspyware i zapory sieciowe, ale przede
wszystkim wiedza na temat możliwych zagrożeń i wyobraźnia internauty. Zdobyciu tej
wiedzy, a jednocześnie poszerzeniu zakresu wyobraźni służyć mają właśnie poniższe
doniesienia.
IBM codziennie rejestruje 13 mld zagrożeń
Jak poinformował jeden z przedstawicieli IBM, każdego dnia w czasie rzeczywistym narzędzia
tej firmy rejestrują 13 miliardów potencjalnych zagrożeń dla ponad 4 tysięcy klientów. Jak
łatwo policzyć, jest to około 150 tysięcy różnego rodzaju alarmów na sekundę.
Oddział firmy zajmujący się bezpieczeństwem podkreśla, że w 2010 roku znacznie wzrosła
liczba ataków wykorzystujących witryny podszywające się pod znane portale. Co ciekawe,
IBM zaznacza także, że w przyszłości obserwatorzy powinni skupić się nie na ilości ataków,
lecz na ich skuteczności, która z roku na rok rośnie.
Pole do popisu dla nowych form ataku dają teraz także smartfony, których ochrona w
przyszłości powinna obejmować przechowywanie haseł i szyfrowanie danych znajdujących
się na karcie pamięci urządzenia.
Wirus-szantażysta atakuje po kilku miesiącach przerwy
O wykryciu nowej wersji niesławnego wirusa GpCode, który szyfruje pliki na zainfekowanych
komputerach i żąda pieniędzy za przywrócenie zablokowanych danych, poinformowali
analitycy z Kaspersky Lab. Szanse na odzyskanie danych są niestety znikome.
GpCode grasuje w internecie od 2004 r. Nowe wersje tego szkodnika pojawiały się regularnie
aż do 2008 r., kiedy to autor GpCode'a zamilkł. Cisza trwała do listopada 2010 r. Następnie
cyberprzestępca zrobił sobie kilka miesięcy przerwy, aby znów przypomnieć o sobie w marcu
br.
W przeciwieństwie do próbki z listopada zeszłego roku , zamiast przelewu szantażysta żąda
zapłaty za pośrednictwem karty pre-paid. Wzrosła również kwota, jakiej cyberprzestępca
domaga się od swoich ofiar – ze 120 do 125 dolarów.
Po zauważeniu symptomów infekcji należy jak najszybciej wyłączyć komputer – najlepiej użyć
przycisku „Power” lub po prostu wyciągnąć wtyczkę z kontaktu. Im szybciej komputer
zostanie wyłączony, tym mniej danych wirus zdoła zaszyfrować. Dane można spróbować
odzyskać, podłączając dysk twardy do innego komputera, na którym zainstalowany jest
uaktualniony program antywirusowy.
> więcej
Użytkownicy TripAdvisora padli ofiarą ataku
Z bazy danych serwisu turystycznego TripAdvisor.com skradziono część adresów mailowych
jego użytkowników. Właściciel zapewnia, że nie wyciekły żadne hasła, a posiadaczom
skradzionych adresów grozi co najwyżej zwiększona liczba wiadomości spamowych.
Warto zauważyć, że TripAdvisor.com nie jest w swej postawie odosobniony. Jak wynika z
najnowszego raportu firmy McAfee , tylko trzy na dziesięć przedsiębiorstw zgłasza wszystkie
odnotowane wycieki danych, a 60% firm informuje o takich atakach wybiórczo. Mało tego,
przedsiębiorstwa, które przechowują swoje dane za granicą, decydują się zwykle na kraje, w
których przepisy dotyczące konieczności ujawniania wycieków są łagodniejsze.
> więcej
Poczta WP bezpieczniejsza dzięki PayPal
Współpraca WP z PayPalem ma doprowadzić do weryfikacji każdego e-maila przychodzącego
z systemu płatności na skrzynkę Wirtualnej Polski. Wiarygodne wiadomości będą oznaczane
w specjalny sposób.
Każdy e-mail przychodzący na konto użytkowników poczty Wirtualnej Polski z systemu PayPal
będzie specjalnie oznaczany kolorem zielonym oraz odpowiednią ikoną ze znaczkiem w
kształcie litery „V”, która ma symbolizować wiadomość z wiarygodnego źródła.
Wprowadzone zmiany mają wyeliminować lub ograniczyć próby wyłudzenia poufnych
informacji, haseł lub numerów kart kredytowych. Działania phisingowe należą bowiem do
najpopularniejszych sposobów ataku w internecie.
> więcej
Firmy wydają milion dolarów tygodniowo na zabezpieczenie poufnych informacji
Cyberprzestępcy przeszli od kradzieży informacji osobistych do ataków na kapitał
intelektualny najbardziej znanych światowych przedsiębiorstw - wynika z badania pt. „Czarny
rynek: kapitał intelektualny i poufne dane przedsiębiorstw jako najnowszy cel
cyberprzestępców”.
Szara strefa cyberświata zarabia na kradzieży własności intelektualnej przedsiębiorstw.
Zainteresowania cyberprzestępców przesunęły się z zasobów fizycznych na zasoby
informacyjne, takie jak tajemnice handlowe i dokumenty zawierające plany produktów.
Odnotowujemy duże ataki ukierunkowane na ten typ informacji, a celami są największe i
pozornie najlepiej chronione firmy na świecie – ostrzega Simon Hunt, wiceprezes i dyrektor
ds. technicznych w dziale ochrony punktów końcowych w firmie McAfee.
Firmy McAfee i SAIC nawiązały współpracę z analitykami z instytutu Vanson Bourne w celu
przeprowadzenia ankiety wśród ponad 1000 decydentów z branży informatycznej w Stanach
Zjednoczonych, Wielkiej Brytanii, Japonii, Chinach, Indiach, Brazylii i na Bliskim Wschodzie.
> więcej
Spamerzy stopniowo odzyskują straconą pozycję
W lutym eksperci zaobserwowali wzrost dystrybucji wiadomości określanych jako „419
spam”, czyli takich, które wykorzystują aktualne wydarzenia społeczno-polityczne. W tytułach
niechcianych e-maili często pojawiały się nazwiska Mubarak i Kaddafi.
Cyberprzestępcy jak dziennikarze śledzą wszystko, co porusza opinię publiczną,
wykorzystując najbardziej nośne tematy do swoich celów. Może to być śmierć gwiazdy (jak w
przypadku Elizabeth Taylor ), klęska żywiołowa , szerzenie się epidemii czy przewrót
polityczny. W lutym do użytkowników poczty elektronicznej trafiały wiadomości o tematach
takich, jak „President Hosni Mubarak” (Prezydent Hosni Mubarak) oraz „Pro-Ghadafi forces
fight rebels in 2 cities”(Siły Kaddafiego walczą z rebeliantami w dwóch miastach). Według
ekspertów z firmy Symantec niechciane e-maile stanowiły w zeszłym miesiącu 80,65 proc.
wszystkich wiadomości. Kaspersky Lab podaje, że było ich trochę mniej – 78,7 proc.,
podkreśla jednak, że spamerzy zaczynają odzyskiwać swoją pozycję po zamknięciu
największych botnetów w drugiej połowie 2010 r. Specjaliści tej firmy szacują, że do kwietnia
lub maja br. odsetek spamu będzie się znów kształtował na poziomie 81-82 proc.
Skąd pochodzi najwięcej spamu? Według Symanteca – ze Stanów Zjednoczonych (28 proc.),
na kolejnych miejscach plasują się: Holandia i Indie (po 5 proc.), Rosja i Brazylia (po 4 proc.)
oraz Włochy (3 proc.).
> więcej
Cyberprzestępcy żerują na śmierci Elizabeth Taylor
Podobnie jak w przypadku śmierci Michaela Jacksona czy Johnny'ego Deepa (co okazało się
plotką), cyberprzestępcy nie zawahali się przed rozpoczęciem kampanii spamowej
wykorzystującej wizerunek zmarłej Elizabeth Taylor. Kliknięcie rozsyłanego przez nich
odsyłacza może prowadzić do zainfekowania komputera, jeśli tylko działa on pod kontrolą
systemu Windows.
Tym razem cyberprzestępcy zdecydowali się wykorzystać potencjał Twittera, gdzie zaczęli
rozpowszechniać wiadomość o następującej treści: „Download Movies Film legend Elizabeth
Taylor dies at 79 (AP)”. Zawierała ona odsyłacz skrócony przy użyciu usługi bit.ly.
Po przeanalizowaniu odsyłacza okazało się, że jest on wykorzystywany już od listopada 2010
r. w różnych kampaniach prowadzonych w ramach tego samego cyberprzestępczego
programu partnerskiego.
- Nawet jeżeli nie zostałeś zainfekowany szkodliwym oprogramowaniem, nie oznacza to, że
nie padłeś ofiarą cyberprzestępców. Mogą oni zarabiać pieniądze na Twoich kliknięciach -
tłumaczą analitycy zagrożeń z Kaspersky Lab , zalecając wszystkim, którzy kliknęli taki lub
podobny odsyłacz, jak najszybciej przeskanować system w poszukiwaniu wirusów.
> więcej
Trojany downloadery w natarciu
W pierwszym kwartale 2011 roku stworzono 73 tys. szkodliwych aplikacji, to o 10 tys. więcej
niż wynosiła średnia za cały 2010 rok - wynika z najnowszego raportu firmy Panda
Security.
W 2010 roku specjaliści z laboratorium PandaLabs obserwowali wzrost liczby nowych
zagrożeń z kwartału na kwartał, nie był to jednak przyrost tak znaczący, jak w ostatnim
okresie. Średnia liczba nowych odmian malware’u zidentyfikowanego w pierwszych trzech
miesiącach 2011 roku osiągnęła 73 tys., co oznacza wzrost o 26 proc. w porównaniu do tego
samego okresu roku ubiegłego.
Najbardziej popularnym typem zagrożeń pozostały trojany, które stanowią teraz 70 proc.
wszystkich nowych złośliwych kodów.
> więcej
Facebook: podwójne oszustwo z Premium SMS-ami w tle
Za pośrednictwem Facebookowego czata rozprzestrzenia się szkodliwa aplikacja wyłudzająca od użytkowników pieniądze w dobrze znany Polakom sposób.Jak informują analitycy firmy Kaspersky Lab , niektórzy użytkownicy Facebooka zaczęli za
pośrednictwem czata otrzymywać od swoich znajomych szkodliwe wiadomości, które
wyglądały następująco:
Za tekstem „Father crashes and dies because of THIS message posted on his daughters
profile wall!” znajduje się skrócony adres strony WWW. Po kliknięciu odsyłacz poprowadzi go
przez serię przekierowań. W efekcie na ekranie pojawi się szkodliwa aplikacja dla Facebooka
żądająca kilku zezwoleń. Gdy użytkownik zezwoli aplikacji na uzyskanie dostępu do swojego
profilu, zacznie się ona rozprzestrzeniać, wysyłając wiadomości na czacie do wszystkich
znajomych, którzy w danym momencie są online.
> więcej
Pendrive niczym puszka Pandory
Najczęstszym powodem infekcji komputerów polskich internautów w ubiegłym miesiącu były zagrożenia ukrywające się w plikach automatycznego startu nośników danych - wynika z badań firmy ESET.
Zagrożeniom INF/Autorun, które w lutym stanowiły 6,39% wykrytych infekcji, w
rozprzestrzenianiu się pomagają sami użytkownicy. Korzystając na co dzień z pendrive'ów,
przenoszą oni dane pomiędzy różnymi komputerami i zapominają, że już samo wetknięcie
nośnika do portu USB może spowodować zainfekowanie maszyny szkodliwym
oprogramowaniem. Późniejsze podłączenie do takiego komputera innego pendrive'a
powoduje skopiowanie zagrożenia na nowy nośnik.
Według specjalistów firmy ESET do infekcji dochodzi najczęściej przypadkowo, a sam
użytkownik pozostaje nieświadomy tego, że przeniósł zagrożenie na swój komputer,
korzystając np. z pendrive'a znajomego.
> więcej
Cyberprzestępcy żerują na tragedii w Japonii
Jedno kliknięcie w sfałszowanej wiadomości e-mail może doprowadzić do instalacji aż pięciu szkodliwych programów - ostrzegają analitycy zagrożeń.Analitycy z Kaspersky Lab wykryli kampanię spamową, która wykorzystuje niedawne
trzęsienie ziemi w Japonii do infekowania użytkowników. Wiadomości e-mail, które docierają
do potencjalnych ofiar, mogą mieć tytuł „Japan quake may be world’s costlies distaster” i
wykorzystują zwykle wizerunek znanych firm i organizacji.
Po kliknięciu zawartego w nich odsyłacza użytkownik jest kierowany na sfałszowaną stronę
internetową, która infekuje komputer działający pod kontrolą systemu Windows.
Kaspersky Lab wykrywa te zagrożenia jako
Downloader.Java.OpenConnection.dn,Downloader.Java.OpenConnection.do oraz Trojan-
Downloader.VBS.Small.iz. Na zainfekowanym komputerze zaczynają wyświetlać się reklamy,
które mogą być dostosowane do języka systemu operacyjnego. W wyniku tylko jednej udanej
infekcji na komputerze uruchamianych jest aż pięć szkodliwych plików wykonywalnych. Atak
wygląda na przygotowanie platformy pod kolejne infekcje.
> więcej
Programy Adobe znów pod ostrzałem
Adobe ostrzega internautów przed nowo odkrytą luką we Flash Playerze na platformach
Windows, Mac, Linux i Solaris. Nie mają się z czego cieszyć również posiadacze
smartfonów z Androidem oraz użytkownicy programów Adobe Reader i Acrobat.
Cyberprzestępcy przystąpili już do ataku z wykorzystaniem arkusza kalkulacyjnego
Microsoft Excel.
Zaobserwowane przez analityków ataki opierają się na pomyśle osadzenia szkodliwego pliku
SWF wewnątrz arkusza XLS przeznaczonego dla aplikacji Excel. Wykorzystanie luki we Flashu
wymaga otwarcia tego arkusza. Nietrudno domyślić się, dlaczego cyberprzestępcy
zdecydowali się na taką kombinację – pozwala ona na łatwe dokonywanie ataków za
pośrednictwem poczty elektronicznej. Wystarczy podrzucić potencjalnej ofierze załącznik o
nazwie, która może go zainteresować.
> więcej
Trojan dla Androida podszywa się pod znaną aplikację
Użytkownicy mobilnego systemu od Google'a po raz kolejny w ostatnim czasie zostali wystawieni na próbę. Niestety wielu z nich jej nie przeszło.Na początku marca br. Google przyznało się do usunięcia z Android Marketu kilkudziesięciu
aplikacji malware , które zostały pobrane przez użytkowników setki tysięcy razy.
Tymczasem niedawno odkryto kolejnego szkodnika, który podszywa się pod aplikację
"zaparowane okno" (ang. Steamy Window) dostępną dla smatfronów oraz tabletów.
Oryginalny program nie pełni żadnej funkcji użytkowej, jednak pozwala na uzyskanie ciekawie
wyglądającego efektu zaparowanego ekranu. Niestety instalując go, użytkownicy zwykle nie
zwracają uwagi na krytyczne z punktu widzenia bezpieczeństwa wymagania aplikacji.
Przypomnijmy, że podczas wgrywania narzędzi w Androidzie wyświetla się ekran informujący,
do jakich funkcji program żąda dostępu.
> więcej
Oszuści też sprzedają bilety na Euro 2012
Sprzedaż biletów na mecze Mistrzostw Europy w Piłce Nożnej 2012 zaczęła się kilka dni temu, a w internecie pojawiły się już fałszywe strony oferujące wejściówki na to ważne sportowe wydarzenie. Przedstawiciele UEFA podkreślają, że jedynym legalnym i w pełni bezpiecznym sposobem nabycia biletów jest zamówienie ich na stronie organizacji. Kibice są jednak zdezorientowani - witryny prowadzone przez oszustów wyglądają bardzo profesjonalnie.- Tego typu przestępstwa nie są niczym nowym - są one nierozerwalnie związane z procesem
sprzedaży internetowej. Każde duże wydarzenie sportowe lub medialne przyciąga
cyberprzestępców starających się naciągnąć nieświadomych ludzi - tłumaczy Filip Demianiuk,
Regional Technical Manager CEE, Russia & CIS w firmie Trend Micro , podkreślając, że
najważniejsze jest zachowanie zdrowego rozsądku. Należy oczekiwać, że im bliżej terminu
rozgrywek, tym więcej fałszywych sprzedawców pojawi się w internecie.
> więcej
Przekręt "na antypirata" opłaca się oszustom
Prawnicy działający w imieniu przemysłu muzycznego zainspirowali cyberprzestępców, którzy poprzez szkodliwe oprogramowanie zaczęli grozić internautom pozwem, z możliwością zawarcia ugody za kilkaset dolarów. Przychody z tego procederu nie są małe, tak przynajmniej wynika z dokumentów firmy ChronoPay, które wyciekły do sieci.Wielu internautów już wie, jak działa mechanizm "zapłać albo cię pozwiemy". Zazwyczaj
prawnicy identyfikują internautów rzekomo naruszających prawa autorskie w sieci. Potem
wysyłają listy z propozycją zapłacenia kilkuset dolarów/funtów w celu zawarcia ugody i
uniknięcia pozwu, który może narazić na większe straty.
Na fali tego zjawiska pojawiają się cyberprzestępcy, którzy działają podobnie jak prawnicy.
Wykorzystują strach i za kilkaset dolarów proponują uniknięcie postępowania. Różnica
polega na sposobie dotarcia do "pirata".
> więcej
Facebook: Uwaga na ataki przez czat i wiadomości na tablicach
Cyberprzestępcy zawsze kierują swoje kroki tam, gdzie jest najwięcej użytkowników. Boleśnie odczuwają to od lat szczególnie użytkownicy systemów operacyjnych i oprogramowania Microsoftu, a teraz na celowniku przestępców znajdują się coraz częściej także użytkownicy serwisu społecznościowego Facebook. Jak ostrzegają eksperci ds. bezpieczeństwa komputerowego, pułapek w social media jest coraz więcej.Eksperci zwracają uwagę na robaka internetowego Yimfoca, który do rozprzestrzenia się
wykorzystuje czat na Facebooku. Za pośrednictwem tego portalu robak rozsyła do
użytkowników wiadomości z linkiem, którego kliknięcie powoduje zainfekowanie danego
komputera z systemem operacyjnym Windows.
Kolejnym robakiem, którego aktywność w social media została dostrzeżona przez ekspertów
od bezpieczeństwa komputerowego jest Fbphotofake. Ten windowsowy robak
rozprzestrzenia się z kolei za pośrednictwem wiadomości publikowanych na tablicy
użytkowników Facebooka, wstawiając w nie link kierujący do zainfekowanej strony WWW. Po
zarażeniu systemu operacyjnego Fbphotofake próbuje uzyskać dostęp do poufnych danych,
które umożliwią twórcom szkodnika rozsyłanie spamu za pośrednictwem profilu ofiary na
Facebooku.
> więcej
Google powoli wprowadza HTTPS do YouTube
Google najwyraźniej postanowiło być prekursorem w dbałości o bezpieczeństwo danych przesyłanych między dużymi serwisami internetowymi a użytkownikami.Szyfrowane połączenie już teraz możemy znaleźć domyślnie między innymi w Picasa Web
Albums, ale wyszukiwarkowy gigant nie zamierza na tym poprzestawać.
Jak zauważa serwis Google Operating System, w YouTube można obecnie znaleźć coraz
więcej stron, które automatycznie ładują się z włączonym szyfrowaniem. Dodatkowo na
blogu Google ogłoszono wsparcie HTTPS dla filmików osadzanych na zewnętrznych stronach
internetowych.
> więcej
Użytkownicy starszych wersji Windowsa znów zagrożeni
Choć Microsoft chwali się dobrą sprzedażą Windowsa 7, wciąż wiele osób korzysta ze znacznie starszego Windowsa XP, w Polsce - według danych Ranking.pl z ubiegłego tygodnia - ponad 60 proc. Tymczasem specjaliści odkryli groźną lukę w mechanizmie współdzielenia plików, na którą podatna jest ta właśnie wersja systemu.Luka występuje w systemach Windows XP z SP3 oraz Windows Server 2003 z SP2, a jej
pomyślne wykorzystanie umożliwia atak DoS (ang. Denial of Service - odmowa usługi) oraz
zdalne wykonanie kodu. Microsoft twierdzi, że to drugie możliwe jest tylko w przypadku
systemów 64-bitowych.
> więcej
Bezpłatna aplikacja do monitorowania najważniejszych zagrożeń
Norton Cybercrime Index - to nowe narzędzie firmy Symantec, które śledzi bieżące
zagrożenia na świecie i ostrzega przed nimi użytkowników komputerów. Indeks
cyberprzestępczości można sprawdzić za pomocą strony internetowej, na telefonie
komórkowym, a także pobrać w formie aplikacji na komputer PC.
Podstawowym zadaniem świeżo udostępnionego narzędzia jest odpowiedź na pytanie „Jaki
jest dziś poziom Twojego bezpieczeństwa online?” poprzez pokazanie oceny zagrożenia w
danym dniu w kontekście spadków i wzrostów na wzór indeksu giełdowego.
Norton Cybercrime Index składa się z jednej liczby wskazującej aktualny poziom zagrożenia.
Liczba ta jest wyliczana na podstawie algorytmu, który bierze pod uwagę dane z trzech
źródeł. Podstawowym jest sieć Symantec Global Intelligence Network, która monitoruje
ponad 130 mln serwerów na całym świecie, śledząc nowe zagrożenia i ataki. Pod uwagę
brane są też informacje dostarczane przez firmę ID Analytics, która zajmuje się zarządzaniem
ryzykiem konsumenckim, oraz DataLossDB, projekt badawczy fundacji Open Security
Foundation.
> więcej
Użytkownicy smartfonów nieświadomi zagrożeń
Ponad jedna trzecia użytkowników smartfonów nie ma świadomości zagrożeń, jakie wiążą się z wykorzystywaniem telefonów do wykonywania operacji finansowych i przechowywania danych osobowych - wynika z ankiety opublikowanej dziś przez AVG Technologies i Ponemon Institute.Ankieta została przeprowadzona wśród 734 amerykańskich konsumentów w wieku powyżej
18 lat posługujących się smartfonem: iPhone ' em , Blackberry lub urządzeniem z systemem
Android.
13 proc. respondentów stwierdziło, że bez ich wiedzy w telefonach zostały umieszczone
informacje pozwalające innym śledzić miejsce, w którym właśnie się znajdują. Zaledwie 21
proc. ankietowanych zdawało sobie sprawę z istnienia zagrożenia tego typu.
Ponadto 6 proc. badanych przyznało, że aplikacje mobilne przesłały bez ich wiedzy lub zgody
poufne informacje dotyczące operacji płatniczych, np. szczegóły karty kredytowej. Zaledwie
11 proc. ankietowanych wiedziało, że to może nastąpić.
> więcej
Kaspersky Lab: Poziom zabezpieczenia warszawskich sieci Wi-Fi jest alarmująco słaby
W porównaniu z ubiegłym rokiem w Warszawie przybyło sieci, w których nie
zastosowano żadnych zabezpieczeń - wynika z raportu przygotowanego przez analityka zagrożeń z firmy Kaspersky Lab Polska.W Warszawie przebadano ponad 3 500 sieci bezprzewodowych. Wszystkie zostały znalezione
podczas jazdy samochodem oraz spaceru, łączna długość trasy wyniosła 25 km. Badanie
polegało na wyszukiwaniu dostępnych lokalnie sieci bezprzewodowych i analizowaniu metod
ich ochrony (bez naruszania prywatności właścicieli sieci)
W ostatnim badaniu Warszawa wypadła bardzo dobrze , zarówno na tle innych miast, jak i w
odniesieniu do całego kraju. Tym razem poziom zabezpieczeń w warszawskich sieciach Wi-Fi
okazał się alarmująco słaby.
> więcej
Bezpłatna płyta ratunkowa - BitDefender Rescue CD
Zdarzają się sytuacje awaryjne, w których odzyskanie ważnych plików albo zdezynfekowanie systemu staje się niemożliwe podczas jego normalnej pracy. Najlepszym rozwiązaniem w takim przypadku jest posłużenie się bootowalną płytą ratunkową, dzięki której można, po pierwsze, przeskanować dyski twarde komputera pod kątem obecności złośliwego oprogramowania, a po drugie, skorzystać z zamieszczonych na niej dodatkowych narzędzi.Najnowsze wydanie Rescue CD firmy BitDefender oparte zostało na linuksowej dystrybucji Xubuntu Live CD. Po uruchomieniu komputera, wybraniu jednej z wersji językowych (angielska, niemiecka, francuska, rumuńska lub hiszpańska) oraz zaakceptowaniu warunków umowy licencyjnej następuje uruchomienie interfejsu skanera BitDefender. Jeśli komputer ma połączenie z internetem, program automatycznie zaktualizuje swoje bazy sygnatur antywirusowych oraz silniki skanujące, dzięki czemu możliwe będzie wykrycie i usunięcie także najnowszych szkodników z wszystkich dysków i partycji. Obsługa programu jest w pełni intuicyjna, a w przypadku jakichkolwiek niejasności dotyczących jego konfiguracji można skorzystać z załączonego podręcznika w formacie PDF.> więcej
Krótki link może okazać się niebezpieczny
Najwygodniejszą metodą dzielenia się w sieci ciekawą wiadomością, zdjęciem czy klipem wideo jest skorzystanie z linków odsyłających do interesujących treści. Niestety z taką formą przekazywania informacji wiąże się ryzyko infekcji.Przy okazji najnowszego raportu nt. zagrożeń ESET zwraca uwagę na niebezpieczeństwo
kryjące się za skróconymi linkami. Zbyt długie odsyłacze łatwo skrócić dzięki specjalnym
serwisom, takim jak TinyURL, Tnij.org i in. W ten sposób linki, które jeszcze przed chwilą
miały trzy linijki, przybierają bardziej kompaktową formę i można je wykorzystać choćby na
Twitterze, gdzie priorytetem jest zmieszczenie się w limicie 160 znaków. Niestety skrócone
linki to kolejna furtka, którą mogą wykorzystać cyberprzestępcy.
> więcej
UE: Co trzeci komputer w 2010 roku został zainfekowany
I to pomimo faktu, że raczej powszechnie wykorzystywane jest oprogramowanie mające nas przed tym chronić. Eurostat, z okazji Dnia Bezpiecznego Internetu, opublikował unijne statystyki. Polska jest średniakiem.31 procent obywateli EU27 padło w zeszłym roku ofiarami wirusów bądź innych złośliwych
programów (jak konie trojańskie ). Różnice między poszczególnymi krajami są jednak dość
znaczne. Największy odsetek zanotowano w Bułgarii (58 procent) i na Malcie (50 procent),
podczas gdy Austria i Irlandia mogły pochwalić się najniższymi wskaźnikami - odpowiednio 14
i 15 procent. Polska, z 30 procentami, znalazła się lekko poniżej unijnej średniej.
> więcej
Facebook ulubioną przynętą cyberoszustów
Coraz więcej zagrożeń projektowanych jest w celu rozprzestrzeniania się za pośrednictwem popularnych portali społecznościowych. W ostatnich dniach wykryto dwa nowe szkodniki - Asprox.N oraz Lolbot.Q, które grasują na Facebooku, przysparzając problemów internautom.Asprox.N jest trojanem, który dociera do potencjalnych ofiar za pośrednictwem poczty e-
mail. Oszukuje użytkowników, przekazując informację, że ich konto na Facebooku jest
wykorzystywane do dystrybucji spamu i dla bezpieczeństwa zmieniono ich dane
uwierzytelniające. E-mail zawiera fałszywy dokument Word z rzekomo nowym hasłem.
Załącznik nosi nazwę Facebook_details.exe i w rzeczywistości jest trojanem, który po
uruchomieniu pobiera kolejny plik stworzony po to, by otworzyć wszystkie dostępne porty w
komputerze i łącząc się z różnymi serwisami pocztowymi, zaspamować tak wielu
użytkowników, jak tylko się da.
> więcej
Szyfruj swoje dane przesyłane do Facebooka
Facebook zagwarantuje użytkownikom większe bezpieczeństwo przesyłanych
informacji. Niestety tylko tym, którzy będą potrafili zmienić odpowiednie ustawienia.Do tej pory Facebook korzystał z połączenia szyfrowanego wyłącznie podczas logowania, gdy
przesyłana była nasza nazwa użytkownika i hasło. Choć rzeczywiście jest to bardzo
newralgiczny punkt, chyba nikt nie życzyłby sobie, by zamiast hasła wyciekły na przykład jego
wiadomości przesyłane do znajomych czy zapiski z czatu.
Niestety bez zastosowanego szyfrowania o taką sytuację nietrudno. Szczególnie narażeni są
użytkownicy, którzy łączą się z internetem poprzez niezabezpieczone sieci Wi-Fi (a co za tym
idzie - nieszyfrowane), często spotykane są miejscach publicznych. Z podsłuchiwaniem
informacji przesyłanych w takiej sieci poradziłby sobie nawet niedoświadczony haker.
Funkcja nie jest jeszcze aktywna dla wszystkich użytkowników, jednak finalnie będzie można
ją znaleźć, przechodząc do menu "Konto" w prawym górnym rogu profilu, a następnie
"Ustawienia konta". Po przewinięciu w dół, znajdziemy zakładkę "Zabezpieczenia konta",
gdzie zaznaczamy okienko obok pola "Bezpieczne przeglądanie".
> więcej
Nowy robak grasuje na Twitterze
Szkodnik wykorzystuje usługę Google pozwalającą na skracanie odnośników (goo.gl) i nakłania niczego niepodejrzewających użytkowników do instalowania fałszywych programów antywirusowych na swoich komputerach.Robak przekierowuje użytkowników Twittera na stronę WWW oferującą fałszywe
rozwiązanie antywirusowe o nazwie Security Shield. Cyberprzestępcy użyli specjalnych
technik, aby ukryć prawdziwy kod strony przed bardziej wnikliwymi osobami. Szkodliwe
odsyłacze w wiadomościach na Twitterze przekierowują użytkowników na różne domeny, w
obrębie których znajduje się strona o nazwie m28sx.html - tłumaczy Nicolas Brulez, ekspert z
Kaspersky Lab . - Ta strona z kolei przerzuca użytkowników jeszcze dalej, pod adres w
domenie zlokalizowanej w Ukrainie.
W efekcie atakowany użytkownik widzi sfałszowaną informację o tym, że na komputerze
działają podejrzane aplikacje i otrzymuje propozycję uruchomienia skanowania
antywirusowego. Jak zwykle w takich przypadkach, po uruchomieniu „skanera” komputer
jest infekowany prawdziwymi szkodliwymi programami .
> więcej
Raport o (cyber)stanie świata
Organizacja Współpracy Gospodarczej i Rozwoju (OECD) opublikowała raport na temat cyberbezpieczeństwa w XXI wieku. Brytyjscy naukowcy - autorzy dokumentu - zbadali, w jaki sposób przestępczość wirtualna może wpływać na losy państw i świata.Peter Sommer i Ian Brown, opracowując raport pt. „Zmniejszanie systemowego zagrożenia
cyberbezpieczeństwa”, szukali odpowiedzi na pytanie o rolę systemów IT nie tyle w rozwoju
ludzkości, ile we współczesnych konfliktach krajowych i międzynarodowych.
Na szczególną uwagę zasługuje wykryty w połowie ubiegłego roku Stuxnet.
Jak tłumaczy Łukasz Nowatkowski z firmy G Data Software: Ten samodzielnie
rozprzestrzeniający się program komputerowy miał za zadanie szpiegować i
przeprogramowywać instalacje przemysłowe, zawirusowując sterowniki PLC kontrolujące
działanie fabryk, elektrowni itp. Odpowiedzialnością za powstanie robaka media coraz
częściej obarczają Izrael i Stany Zjednoczone.
Z raportu OECD jednoznacznie wynika, że cyberataki nie mają - na razie - globalnego
wymiaru, jednak lokalnie potrafią wyrządzić duże szkody. W podobnym duchu wypowiadali
się w grudniu przedstawiciele różnych firm antywirusowych, snując prognozy na 2011 rok.
> więcej
UE ostrzega przed chmurą
Mimo pewnych zalet tego rozwiązania należy zastanowić się, czy jest ono odpowiednie dla instytucji państwowych. Jedna z unijnych agencji ma co do tego pewne wątpliwości.Cloud computing , czyli przetwarzanie w chmurze, to coraz popularniejszy sposób korzystania
z różnego rodzaju rozwiązań informatycznych. Dla firm czy osób prywatnych oznacza brak
konieczności zakupu licencji czy też administrowania oprogramowaniem. Może być to także
użyteczne rozwiązanie dla administracji publicznej. W przypadku tej ostatniej trzeba jednak
wziąć pod uwagę dodatkowe warunki, jakie dana firma musiałaby spełnić.
O zagrożeniach wynikających z przetwarzania w chmurze mówi ENISA, czyli Europejska
Agencja Bezpieczeństwa Sieci i Informacji. W opublikowanym właśnie raporcie przestrzega
administrację przed korzystaniem z ogólnodostępnych rozwiązań tego typu, w zamian
proponując rozwiązania oferowane prywatnie bądź też przez społeczności internetowe.
Agencja podnosi, że w przypadku chmur publicznych mamy do czynienia z wyższym
poziomem ryzyka. Wynika to po pierwsze z faktu, że tego typu usługi mogą być dostarczane
przez podmioty spoza Unii Europejskiej . Oznacza to słabszą kontrolę nad ich zachowaniami.
> więcej
Czy dane w Twojej firmie są naprawdę bezpieczne?
Początek roku jest dobrym momentem nie tylko na układanie planów rozwoju przedsiębiorstwa na najbliższych 12 miesięcy, ale i na przegląd stosowanych do tej pory rozwiązań. W dobie rosnących zagrożeń teleinformatycznych warto przede wszystkim sprawdzić, czy przechowywane przez nas informacje są bezpieczne - być może warto zastanowić się nad zmianą stosowanych procedur lub zmienić oprogramowanie zabezpieczające? Dobre decyzje na tym etapie uchronią nas przed poważnymi konsekwencjami w przyszłości.Każda firma powinna zadbać o całościową ochronę przechowywanych danych. Chodzi nie
tylko o zainstalowanie oprogramowania antywirusowego na wszystkich komputerach i
serwerach, ale również o tworzenie kopii zapasowych cennych danych czy ich ochronę przed
wyciekiem.
Wiele firm błędnie zakłada, że program antywirusowy to wszystko, czego potrzebują.
Obecnie przedsiębiorstwa muszą stawić czoła bardziej złożonym zagrożeniom – począwszy od
hakerów, którzy usiłują wykraść dane kart kredytowych, poprzez pracowników, którzy
przypadkowo tracą poufne dane , do klęsk żywiołowych, które mogą uszkodzić serwery z
zapisanymi informacjami o klientach. Wielopoziomowe podejście do zagadnień
bezpieczeństwa jest zatem niezwykle ważne.
> więcej
Spamerzy zmieniają taktykę
Stany Zjednoczone nadal zajmują pierwsze miejsce na liście najmocniej spamujących krajów, odpowiadając za 18,83% wszystkich niechcianych wiadomości. Polska w ostatnim kwartale 2010 r. uplasowała się na trzynastej pozycji z 2,11% udziału w globalnym spamie.Choć pod względem ilości rozsyłanego spamu dominują wciąż te same kraje, to spam w swej
istocie staje się coraz bardziej złośliwy - zauważają specjaliści z firmy Sophos.
Cyberprzestępcy coraz częściej wykorzystują niechciane wiadomości do rozprzestrzeniania
złośliwego oprogramowania i wyłudzania poufnych informacji osobistych. W swoim
najnowszym raporcie firma ostrzega przed ukierunkowanymi atakami e-mail, znanymi jako
"spear phishing".
Na uwagę zasługuje też wzrost liczby niechcianych wiadomościach rozprzestrzeniających się
w sieciach społecznościowych, takich jak Facebook czy Twitter.
> więcej
Czego się bać w 2011 roku, podpowiadają producenci antywirusów
Wyspecjalizowane ataki przy użyciu „klonów” Stuxneta, narastający haktywizm, inżynieria społeczna, programy szpiegowskie, których nadrzędnym celem będzie „kraść, co się da”, walki między botnetami... Co nam grozi w przyszły roku? Dziennik Internautów przyjrzał się prognozom na 2011 rok przygotowanym przez takie firmy, jak Panda Security, Trend Micro, Symantec, Kaspersky Lab, F-Secure, Sophos i Fortinet.Niezaprzeczalnie duży wpływ na przewidywania dotyczące nadchodzącego roku wywarł
tegoroczny atak Stuxneta - zagrożenia wyjątkowego nie ze względu na szeroką dystrybucję,
lecz na wysoką specjalizację (jego celem okazała się m.in. elektrownia atomowa w Iranie ).
Wykrycie Stuxneta należy potraktować jako znak ostrzegawczy, a zarazem wytyczenie
kierunku, w jakim zmierzamy – uważa Maciej Iwanicki, inżynier systemowy w firmie
Symantec. Podobnie myśli Mikko Hypponen, szef laboratorium badawczego F-Secure.
Innym wydarzeniem, które wpłynęło na prognozy firm dostarczających rozwiązania
zabezpieczające, było zamieszanie wywołane upublicznieniem przez Wikileaks poufnych
dokumentów dyplomatycznych. Visa, MasterCard i PayPal przestały wówczas przyjmować
płatności na rzecz serwisu, argumentując, że środki te wspierają działalność niezgodną z
regulaminem. Niedługo potem ich serwery padły ofiarą ataków DDoS (ang. distributed denial
of service).
Kolejnym trendem na rynku bezpieczeństwa sieciowego w 2011 roku będzie rosnąca dbałość
cyberprzestępców o zachowanie terytorialności swoich imperiów i walka między botnetami o
nadzór nad zarażonymi komputerami – wynika z prognoz firmy Fortinet. Rachunek jest
prosty: im większa kontrola, tym dłuższy czas eksploatowania zainfekowanych maszyn i
wyższe zyski.
W mijającym roku byliśmy świadkami licznych ataków z użyciem popularnych serwisów
społecznościowych, takich jak Facebook i Twitter. Liczba użytkowników tego pierwszego
przekroczyła już 500 milionów , wzrasta też liczba firm wykorzystujących do budowania swego
wizerunku media społecznościowe. Według ekspertów ds. bezpieczeństwa w 2011 roku skala
problemu będzie narastać wprost proporcjonalnie do zwiększania się liczby internautów
korzystających z social media oraz zysków czerpanych z nielegalnej działalności w tego typu
serwisach.
> więcej
Biuletyny bezpieczeństwa Microsoftu
Styczeń 2011. Na początku 2011 roku Microsoft opublikował zaledwie dwa biuletyny
bezpieczeństwa - jeden krytyczny i jeden ważny - usuwające nienagłośnione luki w systemie
Windows (mimo to w sieci pojawiły się już wykorzystujące je exploity). Błąd w silniku
renderowania grafiki i problem z przetwarzaniem kaskadowych arkuszy stylów w Internet
Explorerze, nie mówiąc już o całym szeregu dziur wykrytych w tej przeglądarce przez Michała
"lcamtufa" Zalewskiego, pozostały niezałatane.
BIULETYNY KRYTYCZNE
Biuletyn MS11-002
Udostępniona wraz z tym biuletynem łatka usuwa dwa błędy w zabezpieczeniach Microsoft
Data Access Components (MDAC), które umożliwiają zdalne wykonanie kodu, jeśli atakujący
nakłoni użytkownika do odwiedzin na specjalnie spreparowanej stronie WWW. Biuletyn ma
status "krytyczny" dla wszystkich wersji systemu Windows XP , Windows Vista , Windows 7
oraz "ważny" w przypadku Windows Server 2003, Windows Server 2008, Windows Server
2008 R2.
(szczegółowe informacje )
BIULETYNY WAŻNE
Biuletyn MS11-001
Luka łatana przez tę aktualizację pozwala na zdalne wykonanie kodu, gdy osoba atakująca
przekona użytkownika do otwarcia prawidłowego pliku programu Windows Backup Manager,
który znajduje się w tym samym katalogu sieciowym, co specjalnie spreparowany plik
biblioteki DLL. Aby atak się powiódł, atakowany musi odwiedzić niezaufaną zdalną lokalizację
systemu plików lub udział WebDAV. Błąd występuje we wszystkich wersjach systemu
Windows Vista.
(szczegółowe informacje )
Czego Microsoft nie załatał wraz ze styczniowymi biuletynami?
Programiści giganta z Redmond nie przygotowali dotąd poprawki, która wyeliminowałaby
błąd w mechanizmie Graphics Rendering Engine . Mówiono o nim już w połowie grudnia ub.r.
podczas konferencji w Korei Południowej. Microsoft jego występowanie potwierdził dopiero
w ubiegłym tygodniu, zaraz po tym, jak exploit umożliwiający jego wykorzystanie stał się
publicznie dostępny.
Problem z przetwarzaniem kaskadowych arkuszy stylów (CSS) w Internet Explorerze też
znany jest od około miesiąca. Informacje o nim pojawiły się zaraz po załataniu podobnej
dziury w przeglądarce Microsoftu . Tak samo, jak w przypadku luki w silniku renderowania
grafiki, moduł pozwalający na jego wykorzystanie został już dodany do Metasploita - pakietu
narzędzi służących do testowania zabezpieczeń.
Najbardziej dziwi brak poprawek usuwających podatności odkryte przez polskiego specjalistę
Michała "lcamtufa" Zalewskiego przy użyciu narzędzia cross_fuzz. Zalewski poinformował o
nich koncern w lipcu (!) 2010 r. Programiści Microsoftu przez kilka miesięcy nie mogli
rzekomo odtworzyć zgłoszonych błędów, nie opublikowali też żadnego dotyczącego ich
ostrzeżenia. Kiedy można oczekiwać załatania tych dziur, nie wiadomo.
Luty 2011. Gigant z Redmond zdecydował się do aktualizacji rozpowszechnianych za pomocą
Windows Update dołączyć tę, która blokuje automatyczne uruchamianie instrukcji z plików
autorun.inf na urządzeniach USB. Wydał też 12 biuletynów bezpieczeństwa usuwających w
sumie 22 luki w różnych składnikach systemu Windows, m.in. w Internet Explorerze i silniku
renderowania grafiki, na które pojawiły się już w sieci exploity.
BIULETYNY KRYTYCZNE
Biuletyn MS11-003
Pierwszy z wydanych w tym miesiącu biuletynów przynosi zbiorczą aktualizację zabezpieczeń
Internet Explorera i usuwa cztery luki aktywnie już wykorzystywane przez cyberprzestępców
(co dobrze obrazuje tabela przygotowana przez Internet Storm Center ). Aby atak się powiódł,
użytkownik podatnego programu musi odwiedzić specjalnie spreparowaną stronę
internetową lub - jak podaje Microsoft - wyświetlić "prawidłowy plik HTML, który ładuje
specjalnie spreparowany plik biblioteki". Osoba atakująca zyska wówczas takie same
uprawnienia, jak aktualnie zalogowany użytkownik. Stąd wniosek, że użytkownicy, których
konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie,
ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.
Aktualizację powinni zainstalować posiadacze każdej z wersji Internet Explorera .
(szczegółowe informacje )
Biuletyn MS11-006
Kolejna bardzo groźna luka, na którą przygotowano już exploita, została wykryta w
procesorze grafiki powłoki systemu Windows, o czym informowano w Dzienniku Internautów
na początku stycznia (zob. Microsoft potwierdza błąd w silniku renderowania grafiki ). Luka
umożliwia zdalne wykonanie dowolnego kodu, jeśli użytkownik wyświetli specjalnie
spreparowany obraz miniatury. Podobnie jak w opisanym wyżej przypadku, jeśli atak się
powiedzie, osoba atakująca zyska takie same uprawnienia, jak zalogowany użytkownik.
Poprawka przeznaczona jest dla wszystkich systemów operacyjnych wspieranych przez
giganta z Redmond - z wyjątkiem Windows 7 i Windows Server 2008 R2.
(szczegółowe informacje )
Biuletyn MS11-007
Następny biuletyn krytyczny dotyczy luki w zabezpieczeniach sterownika OpenType Compact
Font Format (CFF), która pozwala na zdalne wykonanie kodu. Aby do tego doszło,
cyberprzestępca musi zwabić użytkownika na stronę WWW, na której zostanie wykorzystana
specjalnie spreparowana czcionka CFF. Aktualizacji tej nie mogą zignorować posiadacze
żadnej z wersji Windowsa.
(szczegółowe informacje )
BIULETYNY WAŻNE
Biuletyn MS11-004
Pierwszy z biuletynów oznaczonych jako ważne (Internet Storm Center nazywa go
krytycznym) dostarcza poprawkę, która usuwa lukę w programie Internet Information
Services (IIS). Umożliwia ona zdalne wykonanie kodu, jeśli serwer FTP odbierze specjalnie
spreparowane polecenie. W sieci pojawił się już kod proof-of-concept obrazujący
wykorzystanie tej podatności. Microsoft uspokaja, że usługa FTP nie jest domyślnie
instalowana w programie IIS. Mimo to doradzamy natychmiastową instalację patcha
użytkownikom wersji 7.0 i 7.5.
(szczegółowe informacje )
Biuletyn MS11-005
Ten z kolei biuletyn ma na celu usunięcie luki w zabezpieczeniach usługi Active Directory.
Pozwala ona atakującemu na przeprowadzenie ataku typu „odmowa usługi” (ang. Denial of
Service - DoS), wystarczy, że wyśle on specjalnie spreparowany pakiet do serwera Active
Directory. Jak podaje Microsoft, osoba atakująca "musi posiadać prawidłowe uprawnienia
administratora lokalnego na komputerze przyłączonym do domeny, aby wykorzystanie luki
było możliwe". Poprawką powinni zainteresować się użytkownicy wszystkich wersji systemu
Windows Server 2003.
(szczegółowe informacje )
Biuletyn MS11-008
Jeszcze jedna rozbieżność w określaniu wagi biuletynu - Microsoft oznaczył dwie luki w
programie Visio jako ważne, a Internet Storm Center jako krytyczne (choć tylko dla klienckich
wersji systemu Windows). Luki, jak nietrudno zgadnąć, umożliwiają zdalne wykonanie kodu,
jeśli użytkownik otworzy specjalnie spreparowany plik programu Visio. Zaskutkuje to tym, że
atakujący zyska takie same uprawnienia, jak zalogowany użytkownik. Problem dotyczy wersji
2002, 2003 i 2007.
(szczegółowe informacje )
Biuletyn MS11-009
Natomiast ta aktualizacja usuwa lukę w zabezpieczeniach aparatów obsługi skryptów JScript i
VBScript, która może pozwolić na ujawnienie informacji, jeśli użytkownik otworzy specjalnie
spreparowaną stronę WWW. Microsoft uspokaja, że intruz nie może w żaden sposób zmusić
użytkownika do odwiedzenia szkodliwej witryny, musi posłużyć się socjotechniką, żeby
zachęcić go do kliknięcia linka przesłanego e-mailem, za pomocą komunikatora albo w
serwisie społecznościowym . Na błąd podatni są użytkownicy najnowszych systemów
Microsoftu - Windows 7 i Windows Server 2008 R2.
(szczegółowe informacje )
Biuletyn MS11-010
Kolejny biuletyn eliminuje lukę w zabezpieczeniach podsystemu wykonawczego
serwera/klienta (CSRSS) w systemach Windows XP i Windows Server 2003. Dziura ta
umożliwia podniesienie uprawnień, jeśli osoba atakująca zaloguje się do systemu
użytkownika i uruchomi specjalnie spreparowaną aplikację, która będzie działać także po jej
wylogowaniu się w celu uzyskania poświadczeń logowania kolejnych użytkowników danego
komputera. Producent systemu zapewnia, że nie jest możliwe wykorzystanie luki w sposób
zdalny lub przez użytkowników anonimowych.
(szczegółowe informacje )
Biuletyn MS11-011
Również dwie luki w zabezpieczeniach jądra systemu Windows pozwalają na podniesienie
uprawnień, jeśli osoba atakująca zaloguje się lokalnie i uruchomi odpowiednio przygotowaną
aplikację. W łatkę tę powinni zaopatrzyć się użytkownicy wszystkich wspieranych przez
Microsoft wersji Windowsa.
(szczegółowe informacje )
Biuletyn MS11-012
Biuletyn usuwa pięć luk w zabezpieczeniach sterowników trybu jądra systemu Windows,
które umożliwiają podniesienie uprawnień w opisany wyżej sposób (włamywacz po
zalogowaniu się musi uruchomić specjalną aplikację). Patch jest przeznaczony dla wszystkich
wydań Windowsa - od XP do 7, również dla wersji serwerowych.
(szczegółowe informacje )
Biuletyn MS11-013
Przedostatni z wydanych w lutym biuletynów bezpieczeństwa usuwa dwa błędy w protokole
Kerberos, które - podobnie jak poprzednie - umożliwiają podniesienie poziomu uprawnień.
Jak wyjaśnia Microsoft, może do tego dojść, jeśli "uwierzytelniona osoba atakująca lokalnie
zainstaluje złośliwą usługę na komputerze przyłączonym do domeny". Aktualizacja dotyczy
wszystkich wersji systemu Microsoftu - z wyjątkiem Windows Vista i Windows Server 2008.
(szczegółowe informacje )
Biuletyn MS11-014
Również ten biuletyn ma związek z możliwością podniesienia uprawnień. Atak się powiedzie,
jeśli cyberprzestępca wykorzysta lukę w usłudze podsystemu lokalnego uwierzytelniania
zabezpieczeń (LSASS). Tutaj też nie obejdzie się bez uruchomienia specjalnie przygotowanej
aplikacji. Błąd występuje w systemach Windows XP i Windows Server 2003.
(szczegółowe informacje )
Marzec 2011. Gigant z Redmond wydał w marcu trzy biuletyny bezpieczeństwa - jeden
krytyczny i dwa ważne - łatając przy tym cztery luki w systemie Windows i pakiecie Microsoft
Office. Nie ustrzegł się przy tym przed drobną pomyłką.
BIULETYNY KRYTYCZNE
Biuletyn MS11-015
Jedyny z wydanych w tym miesiącu biuletynów krytycznych usuwa dwie luki - jedną w
DirectShow, drugą w oprogramowaniu Windows Media Player i Windows Media Center.
Poważniejsza z nich umożliwia zdalne wykonanie dowolnego kodu, gdy użytkownik otworzy
specjalnie spreparowany plik Microsoft Digital Video Recording (.dvr-ms). W sieci dostępny
jest już kod proof-of-concept demonstrujący wykorzystanie podatności. Zagrożeni są
użytkownicy systemów: Windows XP , Windows Vista , Windows 7 oraz Windows Server 2008
R2.
(szczegółowe informacje )
BIULETYNY WAŻNE
Biuletyn MS11-016
Ten z kolei biuletyn eliminuje błąd w aplikacji Microsoft Groove 2007, która służy do
koordynowania pracy zespołu nad projektami i wchodzi w skład pakietu Microsoft Office .
Łatana luka pozwala na zdalne wykonanie kodu, jeśli użytkownik otworzy nieszkodliwy plik
powiązany z podatnym programem znajdujący się w tym samym katalogu sieciowym, co
odpowiednio spreparowana biblioteka .dll. W internecie udostępniono już kod proof-of-
concept wykorzystujący tę podatność.
(szczegółowe informacje )
Biuletyn MS11-017
Ostatni z marcowych biuletynów likwiduje dziurę w oprogramowaniu klienta Podłączanie
Pulpitu Zdalnego (Remote Desktop Connection) podobną do opisanej wyżej - aby atak się
powiódł, użytkownik musi otworzyć plik .rdp zlokalizowany w tym samym katalogu
sieciowym, co spreparowana przez atakującego biblioteka .dll. Napastnik uzyska wówczas
takie same uprawnienia, jak zalogowany użytkownik. Problem dotyczy klienta Remote
Desktop Connection 5.2, 6.0, 6.1 i 7.0 we wszystkich wspieranych przez Microsoft systemach
z rodziny Windows.
(szczegółowe informacje )
Specjaliści firmy Sophos zwracają uwagę na zabawną pomyłkę w jednym z powiadomień o
dostępnej aktualizacji, wyświetlanym przez Windows Update:
Tym razem pomylił się sam producent patcha, warto jednak pamiętać, że cyberprzestępcy
nieraz już próbowali podsunąć użytkownikom spreparowane pliki, wykorzystując do tego celu
nazwy domen o brzmieniu podobnym do oryginalnych.
Kwiecień 2011. W drugi wtorek kwietnia gigant z Redmond uraczył użytkowników swoich
produktów 17 biuletynami bezpieczeństwa - 9 z nich uzyskało status krytycznych
(„critical”), a 8 oznaczono jako ważne („important”). Usunięto m.in. błąd ujawniony w
Internet Explorerze podczas konkursu Pwn2Own na konferencji CanSecWest 2011.
BIULETYNY KRYTYCZNE
Biuletyn MS11-018
Pierwszy z wydanych w tym miesiącu biuletynów dostarcza zbiorczą aktualizację dla Internet Explorera w wersji 6, 7 i 8. Likwiduje ona pięć luk, z których
najpoważniejsze umożliwiają zdalne wykonanie kodu po zwabieniu ofiary na
specjalnie spreparowaną witrynę. Trzy spośród nich posłużyły do skompromitowania
IE8 podczas tegorocznego konkursu Pwn2Own. Czy po zainstalowaniu poprawki
użytkownicy przeglądarek Microsoftu będą mogli czuć się bezpiecznie? Niestety nie -
jak wynika z bloga prowadzonego przez inżynierów tej korporacji, do załatania zostały
jeszcze (co najmniej) dwie dziury. Odpowiedni patch może się pojawić za miesiąc. W
tej sytuacji polecamy aktualizację Internet Explorera do najnowszej wersji (zob.
Startuje IE9 - nowoczesny, choć nie taki znowu „jedyny”).
(szczegółowe informacje)
Biuletyn MS11-019
Ten z kolei biuletyn likwiduje dwie podatności w kliencie SMB, które mogą zostać
wykorzystane do zdalnego wykonania kodu, jeśli atakującemu uda się przekonać
użytkownika do nawiązania połączenia z odpowiednio przygotowanym serwerem.
Luki występują we wszystkich wspieranych przez producenta wersjach Windowsa -
od XP do 7 (podatne są zarówno edycje 32-, jak i 64-bitowe), włączając wydania
serwerowe. Jak podaje Internet Storm Center, stworzono już kod proof-of-concept
demonstrujący wykorzystanie omawianych błędów.
(szczegółowe informacje)
Biuletyn MS11-020
Następny z kwietniowych biuletynów łata bardzo podobną lukę, tyle że w serwerze SMB - do przejęcia nad nim kontroli wystarczy, by atakujący przesłał odpowiednio
zmodyfikowany pakiet. Na atak, tak jak poprzednio, podatne są wszystkie wersje
systemu Windows.
(szczegółowe informacje)
Biuletyn MS11-027
Wraz z tym biuletynem użytkownicy wszystkich wersji Windowsa otrzymują zbiorczą aktualizację zabezpieczeń bitów „zabicia” (ang. kill bits) dla formantów ActiveX.
Poprawka usuwa trzy luki umożliwiające zdalne wykonanie kodu, jeśli użytkownik
wyświetli za pomocą Internet Explorera specjalnie spreparowaną stronę WWW.
Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie
uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z
uprawnieniami administracyjnymi. Co ciekawe, dostarczana przez Microsoft
aktualizacja obejmuje także bity „zabicia” dla trzech formantów ActiveX innych
producentów (Oracle, CA oraz IBM).
(szczegółowe informacje)
Biuletyn MS11-028
Kolejny biuletyn usuwa dziurę w zabezpieczeniach platformy Microsoft .NET Framework, która pozwala na zdalne wykonanie kodu w systemie klienta, jeśli
użytkownik wyświetli odpowiednio przygotowaną stronę w przeglądarce obsługującej
aplikacje XAML (XBAP). Aby wykorzystać tę lukę w systemie serwerowym
z działającym IIS, osoba atakująca musi przekazać na ten serwer i uruchomić
specjalnie spreparowaną stronę ASP.NET. Poprawkę powinni zainstalować
użytkownicy oprogramowania Microsoft .NET Framework 2.0 z SP2, 3.5 z SP1, 3.5.1
oraz 4.0.
(szczegółowe informacje)
Biuletyn MS11-029
Aktualizacja towarzysząca temu biuletynowi łata lukę w zabezpieczeniach interfejsu GDI+ systemu Windows, która umożliwia zdalne wykonanie kodu, jeśli użytkownik
wyświetli specjalnie spreparowany plik obrazu przy użyciu podatnego
oprogramowania lub odwiedzi odpowiednio zmodyfikowaną stronę WWW. Błąd
występuje we wszystkich wersjach Windowsa z wyjątkiem najnowszych (Windows 7 i
Windows Server 2008 R2 nie są na niego podatne). Aktualizację powinni
zainstalować także użytkownicy pakietu Microsoft Office XP.
(szczegółowe informacje)
Biuletyn MS11-030
Następny biuletyn eliminuje błąd w zabezpieczeniach usługi rozpoznawania nazw DNS systemu Windows. Umożliwia on zdalne wykonanie kodu, jeśli osoba atakująca
uzyska dostęp do sieci i utworzy niestandardowy program, który będzie rozsyłać
kwerendy emisji LLMNR do systemów docelowych. Sprawdzone metody działania
stosowane w zaporach oraz standardowe domyślne konfiguracje zapór mogą pomóc
w zabezpieczeniu sieci przed atakami spoza obszaru działania przedsiębiorstwa -
zapewnia Microsoft w biuletynie. Poprawka przeznaczona jest dla wszystkich wersji
Windowsa.
(szczegółowe informacje)
Biuletyn MS11-031
Ta natomiast aktualizacja usuwa lukę w zabezpieczeniach aparatów obsługi skryptów JScript i VBScript, która pozwala na zdalne wykonanie kodu, jeśli
użytkownik odwiedzi specjalnie spreparowaną stronę internetową. Na atak - kolejny
raz - podatne są wszystkie wersje systemu Windows.
(szczegółowe informacje)
Biuletyn MS11-032
Ostatni z biuletynów krytycznych likwiduje dziurę w zabezpieczeniach sterownika OpenType Compact Font Format. Tak jak większość wcześniej omówionych,
umożliwia ona zdalne wykonanie kodu - aby do tego doszło, użytkownik musi
wyświetlić stronę WWW zawierającą specjalnie spreparowaną czcionkę CFF. Lukę
znaleziono we wszystkich wersjach Windowsa.
(szczegółowe informacje)
BIULETYNY WAŻNE
Biuletyn MS11-021
Od tego biuletynu rozpoczynamy łatanie aplikacji wchodzących w skład pakietu
Microsoft Office. Na pierwszy ogień idzie dziewięć luk w zabezpieczeniach Excela -
wszystkie umożliwiają zdalne wykonanie kodu po otwarciu specjalnie
spreparowanego arkusza kalkulacyjnego. Aktualizacją powinni zainteresować się
użytkownicy oprogramowania Microsoft Office XP, 2003, 2007 i 2010 dla systemu
Windows, a także Microsoft Office 2004, 2008 i 2011 dla Maków.
(szczegółowe informacje)
Biuletyn MS11-022
Załatania wymaga również Microsoft PowerPoint - dostarczana z tym biuletynem
poprawka usuwa trzy dziury pozwalające na zdalne wykonanie kodu, jeśli użytkownik
otworzy odpowiednio zmodyfikowaną prezentację. Osoba atakująca, której uda się
wykorzystać jedną z tych luk, może uzyskać takie same uprawnienia, jak użytkownik
lokalny. Tak jak poprzednio, aktualizację powinni zainstalować posiadacze pakietu
Microsoft Office XP, 2003, 2007 i 2010 w przypadku systemu Windows oraz Microsoft
Office 2004, 2008 i 2011 na komputerach Macintosh.
(szczegółowe informacje)
Biuletyn MS11-023
Kolejny biuletyn likwiduje dwie luki w zabezpieczeniach pakietu Microsoft Office,
które pozwalają na zdalne wykonanie kodu m.in. wtedy, gdy użytkownik otworzy
dokument znajdujący się w tym samym katalogu, co specjalnie spreparowany plik
biblioteki. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają
niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z
uprawnieniami administracyjnymi. Dziury występują w oprogramowaniu Microsoft
Office XP, 2003 i 2007 dla systemów z rodziny Windows, a także w pakietach
Microsoft Office 2004 i 2008 dla Maków.
(szczegółowe informacje)
Biuletyn MS11-024
Ten biuletyn natomiast dostarcza aktualizację dla wszystkich wersji Windowsa.
Usuwa ona lukę, która umożliwia zdalne wykonanie kodu, jeśli użytkownik otworzy
specjalnie spreparowany plik .cov za pomocą edytora stron tytułowych faksu.
Osoba atakująca, której uda się wykorzystać ten błąd, może uzyskać takie same
uprawnienia, jak zalogowany użytkownik.
(szczegółowe informacje)
Biuletyn MS11-025
Aktualizacja rozprowadzana z tym biuletynem eliminuje dziurę we wszystkich
obsługiwanych wersjach oprogramowania Microsoft Visual Studio oraz pakietach
redystrybucyjnych programu Microsoft Visual C++. Pozwala ona na zdalne
wykonanie kodu, jeśli użytkownik otworzy prawidłowy plik skojarzony z zagrożoną
aplikacją, który znajduje się w tym samym folderze sieciowym, co specjalnie
spreparowana biblioteka .dll.
(szczegółowe informacje)
Biuletyn MS11-026
Następny z biuletynów oznaczonych jako ważne usuwa lukę
w zabezpieczeniach procedury obsługi protokołu MHTML w systemie Windows.
Może ona pozwolić na ujawnienie informacji, jeżeli osobie atakującej uda się
przekonać użytkownika do odwiedzenia specjalnie spreparowanej strony WWW. Luka
związana jest ze sposobem interpretowania żądań w formacie MIME i występuje we
wszystkich wersjach Windowsa. Jak podaje Internet Storm Center, cyberprzestępcy
przystąpili już do aktywnego jej wykorzystywania.
(szczegółowe informacje)
Biuletyn MS11-033
Użytkownicy starszych wersji systemu Windows, takich jak XP i Server 2003, powinni
zainteresować się także tym biuletynem, likwiduje on bowiem lukę w
zabezpieczeniach konwerterów tekstu programu WordPad. Osoba atakująca,
której uda się wykorzystać ten błąd, uzyska takie same uprawnienia, jak użytkownik
lokalny.
(szczegółowe informacje)
Biuletyn MS11-034
Ostatni z opublikowanych w kwietniu biuletynów łata aż 30 dziur
w zabezpieczeniach sterowników trybu jądra systemu Windows. Umożliwiają one
podniesienie uprawnień, jeśli osoba atakująca zaloguje się lokalnie i uruchomi
specjalnie spreparowaną aplikację. Microsoft zapewnia, że nie jest możliwe
wykorzystanie luk
w sposób zdalny ani przez użytkowników anonimowych. W aktualizację tę powinni
zaopatrzyć się użytkownicy wszystkich wersji Windowsa.
(szczegółowe informacje)
Maj 2011. Miesiąc temu gigant z Redmond uraczył użytkowników Windowsa
siedemnastoma biuletynami bezpieczeństwa. W maju postanowił odsapnąć i wydał tylko
dwa - jeden krytyczny i jeden ważny.
BIULETYN KRYTYCZNY
Biuletyn MS11-035
Pierwsza z opublikowanych w tym miesiącu aktualizacji usuwa lukę w
zabezpieczeniach usługi nazw internetowych systemu Windows (ang. Windows
Internet Name Service, WINS). Umożliwia ona zdalne wykonanie kodu, jeśli
użytkownik systemu, w którym uruchomiono usługę WINS, otrzyma specjalnie
spreparowany pakiet replikacji. Domyślnie usługa WINS nie jest zainstalowana w
żadnym systemie operacyjnym, którego dotyczy luka. Na skutki wykorzystania tej luki
są narażeni tylko klienci, którzy ręcznie zainstalowali ten składnik - zapewnia
Microsoft. Błąd występuje w serwerowych wydaniach Windowsa, a konkretnie w
systemach Windows Server 2003, 2008 oraz 2008 R2 (z wyjątkiem wersji dla
procesorów Itanium).
(szczegółowe informacje)
BIULETYN WAŻNY
Biuletyn MS11-036
Ten z kolei biuletyn dostarcza poprawkę usuwającą dwie luki w zabezpieczeniach
programu Microsoft PowerPoint, które także pozwalają na zdalne wykonanie kodu. Atakujący, któremu uda się nakłonić ofiarę do otwarcia specjalnie
spreparowanego pliku, może uzyskać takie same uprawnienia, jak zalogowany
użytkownik. Dlatego też osoby, których konta zostały skonfigurowane w taki sposób,
że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż te, które
pracują z uprawnieniami administracyjnymi. Na atak narażeni są użytkownicy
korzystający z oprogramowania Microsoft Office XP, 2003 i 2007 w systemie
Windows, a także Microsoft Office 2004 i 2008 oraz Open XML File Format Converter w systemie Mac OS X.
( szczegó owe informacjeł )
Zasady bezpiecznego logowania się na internetowe konto bankoweKreatywność cyberprzestępców wyłudzających poufne dane od klientów bankowości internetowej zdaje się nie mieć granic. Zamieszczamy poniżej kilka wskazówek, czego wystrzegać się jak ognia i co należy sobie przyswoić, by nie paść ich ofiarą.
Przed zalogowaniem się do serwisu transakcyjnego należy upewnić się, że komputer, z którego korzystamy, nie jest zainfekowany złośliwym oprogramowaniem. Gwarancję taką mogą nam dać pakiety zabezpieczające typu Internet Security renomowanych producentów, pod warunkiem że nie zapomnimy o systematycznym ich aktualizowaniu. Z dużą rezerwą należy podchodzić do skanerów sieciowych oferowanych przez nieznane firmy, cyberprzestępcy chętnie bowiem posługują się fałszywymi programami antywirusowymi (zob. Fałszywe antywirusy plagą 2010 roku – http://di.com.pl/news/34748.html).
Równie ważne jest regularne aktualizowanie systemu operacyjnego i zainstalowanych na nim aplikacji, w szczególności przeglądarek internetowych. Wszystkie nowoczesne przeglądarki zostały zaopatrzone w mechanizmy antyphishingowe – należy sprawdzić, czy zostały one włączone. Jak tego dokonać?
♦ Firefox 4: otwieramy Opcje i przechodzimy do zakładki Bezpieczeństwo, pola wyboru Blokuj witryny zgłoszone jako stwarzające zagrożenie i Blokuj witryny zgłoszone jako próby oszustwa internetowego powinny być zaznaczone.
♦ Internet Explorer 9: w menu Bezpieczeństwo szukamy opcji Wyłącz filtr SmartScreen... Jeżeli jest, to dobrze, jeżeli nie, to aktywujemy wskazany filtr.
♦ Google Chrome 10: otwieramy Opcje i przechodzimy do zakładki Dla zaawansowanych, sprawdzając, czy zaznaczone jest pole wyboru Włącz ochronę przed wyłudzaniem danych (phishingiem) i złośliwym oprogramowaniem.
♦ Opera 11: wybieramy najpierw Ustawienia, następnie Preferencje... i przechodzimy do zakładki Zaawansowane, gdzie z kolei klikamy w Bezpieczeństwo – pole wyboru Włącz ochronę przed oszustwami i złośliwym oprogramowaniem musi być zaznaczone.
Szczególną ostrożność należy zachować, logując się do serwisu transakcyjnego na nieznanym komputerze, zwłaszcza jeśli ma do niego dostęp wiele osób, np. w kafejce internetowej, hotelu czy bibliotece. Dobrym pomysłem jest skorzystanie wówczas z
systemu Linux uruchamianego z płyty LiveCD, co pozwoli na uniknięcie zagrożeń, które – być może – czają się na danym komputerze (zob. Bezpieczniejsza e-bankowość z Linuksem na LiveCD – http://di.com.pl/news/29119.html).
Jedną z podstawowych zasad, o której zawsze należy pamiętać, jest ręczne wpisywanie adresu strony bankowej w przeglądarce. Nie należy nigdy klikać w odnośniki zawarte w e-mailach, nawet jeśli otrzymana przez nas wiadomość do złudzenia przypomina korespondencję wysyłaną przez bank. Fałszowanie e-maili i nakłanianie za ich pośrednictwem do zalogowania się na podrobionej przez cyberprzestępców stronie należy do najpopularniejszych dziś metod wyłudzania poufnych danych i nosi nazwę phishingu (zob. Phishing – jak go rozpoznać i jak się przed nim chronić – http://bfi.di.com.pl/porady/34077.html). Specjaliści ds. bezpieczeństwa odradzają także dodawanie strony logowania do zakładek w przeglądarce internetowej. Nie brakuje bowiem złośliwych programów, które wykorzystując luki w systemie, mogą zamienić właściwy adres na spreparowany.
Pasek adresu poprawnie załadowanej strony Pekao24 w najpopularniejszych przeglądarkach wygląda następująco:
Firefox
Internet Explorer
Google Chrome
Opera
Jeszcze przed zalogowaniem się należy sprawdzić, czy transmisja danych jest szyfrowana protokołem SSL (ang. Secure Socet Layer). Adres strony musi się zaczynać od https:// a nie http://. W pasku adresu pojawi się symbol zmkniętej kłódki (nie zobaczymy go tylko w najnowszej wersji Firefoksa), a tło tego paska zmieni kolor na zielony. Klikając w tym miejscu, możemy sprawdzić, czy odwiedzana przez z nas strona dysponuje ważnym certyfikatem. Prawidłowy certyfikat wydany dla Banku Pekao SA i adresu https://www.pekao24.pl powinien zawierać:wystawcę: VeriSign, Inc.,
typ certyfikatu: VeriSign Class 3 Extended Validation SSL SGC CA,
jednostkę organizacyjną: VeriSign Trust Network,
ważność certyfikatu: wystawiony 2010-07-28, wygasa 2012-07-28.
Gdyby wyświetlone dane okazały się inne, nie należy logować się z poziomu tej strony.
Zarówno na tym etapie, jak i zaraz po zalogowaniu się należy uważnie przyjrzeć się zawartości strony, czy nie pojawiły się na niej elementy, których wcześniej nie było. Aby zalogować się do serwisu transakcyjnego Pekao24, wpisujemy najpierw numer klienta, następnie wybrane losowo przez system znaki z ustanowionego wcześniej hasła. Można się przy tym posługiwać udostępnianą przez bank klawiaturą ekranową, która stanowi dobre zabezpieczenie przed keyloggerami – tworzonymi przez cyberprzestępców programami, które rejestrują każde uderzenie klawisza na klawiaturze komputera.
Stosowane przez nas hasło powinno być odpowiednio długie, zawierać małe i duże litery, cyfry oraz w miarę możliwości znaki specjalne (minimalną siłę kryptograficzną hasła wymusza system bankowy). Musi też być unikalne – nie należy takiego samego hasła używać w innych serwisach internetowych. Jeśli cyberprzestępcom uda się je stamtąd wykraść, to uzyskają oni dostęp także do naszego konta bankowego. Więcej na ten temat można dowiedzieć się z artykułu Jak tworzyć silne hasła oraz bezpiecznie korzystać z aplikacji komputerowych i internetu – http://bfi.di.com.pl/porady/34086.html.
Warto pamiętać, że w procesie uwierzytelniania nie są wykorzystywane kody SMS oraz kody z karty kodów jednorazowych, z kolei numer PIN wymagany jest tylko podczas pierwszego logowania w PekaoInternet. Wyświetlenie się na ekranie prośby o wpisanie nietypowych danych powinno wzbudzić niepokój klienta. W takim przypadku należy niezwłocznie skontaktować się z obsługą banku. Sygnałem, że strona została podrobiona przez cyberprzestępców, może być także prośba o podanie producenta, modelu i numeru telefonu. Dane te są wykorzystywane w celu zarażenia komórki klienta szkodliwym oprogramowaniem, które przechwytuje przychodzące z banku wiadomości SMS (zob. w tym biuletynie: ZitMo – nowe zagrożenie czyha na klientów bankowości internetowej).
Większość systemów bankowych, również Pekao24, pozwala na trzy próby logowania się. Jeśli dojdzie do tylu pomyłek, konto bankowe zostanie automatycznie zablokowane. W celu jego odblokowania użytkownik będzie musiał zadzwonić na infolinię lub zgłosić się do najbliższego oddziału banku.
ZitMo – nowe zagrożenie czyha na klientów bankowości internetowej
Jedną z polecanych przez banki metod autoryzowania transakcji, udostępnianą także klientom Pekao, są wiadomości SMS zawierające opis zleconej operacji i powiązane z nią unikalne hasło. Eksperci ds. bezpieczeństwa zastanawiali się nieraz nad możliwością przechwytywania tych SMS-ów przez cyberprzestępców, dochodząc zwykle do wniosku, że jest to zbyt skomplikowane. Twórcom szkodliwego oprogramowania udało się jednak skonstruować konia trojańskiego, któremu nadano nazwę Zeus in the Mobile, w skrócie ZitMo, i sytuacja diametralnie się zmieniła.
Użytkownicy bankowości internetowej mogli słyszeć o Zeusie za sprawą kilku głośnych aresztowań, do których doszło w ubiegłym roku. Chodziło wówczas o zagrożenie infekujące komputery pod kontrolą systemu Windows. Według raportu przygotowanego w styczniu przez laboratorium CERT Polska szkodnik zdołał zarazić kilkanaście milionów maszyn, z czego 3,6 milionów znajduje się w Stanach Zjednoczonych. Jego ofiarą padły m.in. Bank of America, NASA, Oracle, Cisco, Amazon czy BusinessWeek. W odróżnieniu od innych zagrożeń budujących sieci komputerów-zombie, Zeus nie potrafi samodzielnie się rozprzestrzeniać. Zaraża systemy w wyniku kampanii spamersko-phishingowych i technik typu drive-by-
download (instaluje się na komputerach bez wiedzy ich użytkowników podczas odwiedzania przez nich szkodliwych stron internetowych). Najprostszym sposobem zabezpieczenia się przed tym zagrożeniem jest zainstalowanie programu antywirusowego i jego regularne aktualizowanie. Z uwagi na brak spójnego nazewnictwa szkodnik bywa wykrywany jako Zeus, Zbot, PRG, Wsnpoem, Gorhax, Panda oraz Kneber.
Do pierwszych ataków z wykorzystaniem mobilnej wersji Zeusa doszło pod koniec września ubiegłego roku w Hiszpanii (zob. Trojan Zeus przechwytuje SMS-y z banków – http://di.com.pl/news/33924.html). Już wtedy cyberprzestępcy zaczęli wykazywać zainteresowanie serwisami transakcyjnymi polskich banków. Jak dowiedział się „Dziennik Gazeta Prawna”, ich uwagę przyciągnęły strony: ipko.pl (PKO BP), bska.com.pl (ING Bank Śląski), pekao24.pl i pekaobiznes24.pl (Pekao), millenet.pl (Millenium) oraz mbank.com.pl (mBank). Na efekty nie trzeba było długo czekać – w lutym br. pojawiły się potwierdzone informacje o atakach na klientów ING Banku Śląskiego i mBanku (zob. Policja: uważaj na nowy phishing... i bądź legalny - http://di.com.pl/news/36154.html). W przyszłości zagrożeni mogą być klienci także innych banków, które do autoryzowania transakcji wykorzystują wiadomości SMS. Na stronach wielu z nich można znaleźć ostrzeżenie przed nowym koniem trojańskim.
Atak ZitMo – krok po kroku
Istnieje wiele sprawdzonych metod infekowania komputerów. W przypadku telefonów komórkowych cyberprzestępcy muszą się bardziej wysilić. Pierwszym krokiem jest przygotowanie witryny łudząco podobnej do oryginalnej strony bankowej. Podczas ataków na klientów bankowości internetowej w Polsce wykorzystano złośliwe oprogramowanie, które przekierowywało ofiary na podrobioną witrynę bez ich wiedzy i zgody (technika ta jest nazywana pharmingiem). Innym sposobem wabienia użytkowników na fałszywą stronę mogłoby być wysyłanie e-maili z odpowiednio spreparowanym odnośnikiem do niej. Mimo prowadzonych przez banki akcji edukacyjnych skuteczność pułapek phishingowych nadal jest duża i według specjalistów firmy ESET, którzy badali tę sprawę na początku br., wynosi 21 proc. (zob. Jak skuteczny jest phishing – http://di.com.pl/news/35612.html).
Jeżeli nieświadomy zagrożenia użytkownik zaloguje się na podrobionej przez cyberprzestępców witrynie, zostanie mu wyświetlony komunikat o konieczności zainstalowania na jego telefonie komórkowym certyfikatu bezpieczeństwa. System poprosi o podanie producenta, modelu i numeru telefonu. Celem ataków są obecnie posiadacze smartfonów działających pod kontrolą systemów BlackBerry, Symbian oraz Windows Mobile. Według ekspertów z F-Secure powstanie konia trojańskiego na komórki korzystające z Androida i iOS (systemu operacyjnego stosowanego np. w iPhone’ach) jest tylko kwestią czasu. Zespół CERT Polska przygotował listę podatnych modeli: http://www.cert.pl/wp-content/uploads/atakowanetel.html.
Po zdobyciu numeru telefonu atakujący wysyła SMS z linkiem do złośliwego oprogramowania (przeznaczonego na konkretny model telefonu). Jeśli użytkownik spróbuje otworzyć otrzymany link, na jego telefonie zostanie zainstalowana aplikacja, dzięki której cyberprzestępca uzyska pełną kontrolę nad urządzeniem. Atakujący będzie mógł np. całkowicie zablokować możliwość wykonywania i odbierania rozmów. Głównym zadaniem ZitMo jest jednak przesyłanie SMS-ów przychodzących z banku na numer telefonu cyberprzestępcy i ukrywanie tych działań.
Jak usunąć złośliwą aplikację z telefonu
Prostym i skutecznym, ale niezalecanym przez ekspertów sposobem na pozbycie się ZitMo jest zresetowanie urządzenia. Jak tego dokonać na konkretnym modelu,
można się dowiedzieć ze strony http://www.factory-reset.com. Trzeba jednak pamiętać, że usunięte zostaną wówczas także wszystkie inne informacje i ustawienia zapisane w telefonie. Lepiej więc skorzystać z zamieszczonych niżej instrukcji opracowanych przez zespół CERT Polska.
Symbian: Właściciele telefonów z tym systemem operacyjnym mogą otrzymać od przestępcy link zakończony ciągiem znaków cert.sis. Podczas instalacji w pamięci zapisywane są pliki firststart.dat, NumbersDB.db oraz settings2.dat. Program o nazwie Certificate można usunąć przy użyciu menadżera aplikacji. Konieczne będzie przy tym podanie odpowiedniego hasła zakodowanego w jednym z wymienionych wcześniej plików. W przypadku infekcji z lutego br. jest to 45930.
BlackBerry: Link wysyłany do użytkowników smartfonów z tym systemem kończy się ciągiem znaków cert.jad, wskutek instalacji tworzony jest plik sertificate.jar lub sertificate.cod. W menu Opcje > Aplikacje zobaczymy wówczas program o nazwie sertificate, który można bezproblemowo usunąć po wyświetleniu okna ze szczegółowymi informacjami na jego temat.
Windows Mobile: Do posiadaczy telefonów z tym systemem atakujący wysyła link do pliku instalacyjnego cert.cab. Po jego uruchomieniu w pamięci telefonu tworzone są cztery pliki z ustawieniami: settings.xml, senders.xml, listnumbers.xml, messages.xml i jeden będący aplikacją MailService.exe. Ten ostatni pozostaje niestety niewidoczny na liście zadań w standardowym menadżerze procesów. Dopiero zainstalowanie dodatkowego oprogramowania umożliwia wyśledzenie i usunięcie szkodnika.
Sposoby ochrony przed ZitMo
Jak już wspominaliśmy, atak zaczyna się często od zainfekowania komputera ofiary, konieczne jest więc jego zabezpieczenie. Klienci Pekao mogą zaopatrzyć się w bezpłatne, sześciomiesięczne wersje pakietów antywirusowych renomowanych producentów, takich jak F- Secure, Panda Security, G Data Software czy Softwin, który oferuje programy pod marką Bit Defender. Aby pobrać którąkolwiek z nich, należy zalogować się na stronie https://www.pekao24.pl. Następnie na „Stronie głównej klienta” trzeba wybrać box „Program antywirusowy”.
W podobny sposób warto zabezpieczyć swój telefon. Ze względu na rosnącą liczbę zagrożeń atakujących platformy mobilne wielu producentów opracowało już stosowne rozwiązania dla komórek. Należy ponadto uważnie przyglądać się każdemu programowi instalowanemu na telefonie i unikać wgrywania czegokolwiek z nieznanych źródeł. Warto pamiętać, że bank nie wysyła swoim klientom żadnych certyfikatów bezpieczeństwa za pomocą wiadomości SMS, jak również, z własnej inicjatywy nie wymaga instalacji dodatkowego oprogramowania na telefonach klientów.
Kolejnym sposobem zabezpieczenia się przed atakami jest włączenie sprawdzania certyfikatu online w telefonie. Nieaktualny certyfikat programu wyklucza możliwość jego instalacji, a większość wariantów Zeusa jest podpisana wycofanymi już certyfikatami – tłumaczą specjaliści firmy F-Secure. W większości telefonów funkcja ta jest z definicji wyłączona, ale można ją łatwo aktywować w ustawieniach aparatu.
Nie należy nigdy ufać linkom zawartym w wiadomościach dostarczanych pocztą elektroniczną – cyberprzestępcy często fałszują wygląd e-maili, by upodobnić je do oficjalnych wiadomości przesyłanych przez bank. Adres strony internetowej banku należy wpisywać samodzielnie, zwracając jednak baczną uwagę na to, by nie popełnić błędu, ani literówki, gdyż przestępcy często korzystają właśnie z takich sytuacji by podstawić swoim ofiarom fałszywe strony. Trzeba bacznie się przyglądać,
czy na stronie nie pojawiły się nieobecne wcześniej elementy, takie jak np. prośba o podanie producenta, modelu i numeru telefonu. W takim przypadku należy niezwłocznie skontaktować się z obsługą banku.
Można też rozważyć wybór innej metody autoryzowania transakcji. Bank Pekao oferuje możliwość potwierdzania zleconych operacji m.in. z wykorzystaniem kodów generowanym przez PekaoToken, aplikację typu challenge-response instalowaną w telefonie komórkowym lub Tokena sprzętowego, urządzenie generujące kody do autoryzacji transakcji.
Należy przy tym pamiętać, że Bank Pekao nie wymaga instalacji PekaoTokena na telefonie komórkowym. To klient decyduje, czy chce korzystać z tej metody autoryzacji czy nie, a dzięki zachowaniu odpowiednich procedur bezpieczeństwa podczas procesu zamawiania PekaoTokena na komórkę (opisanych poniżej), nie ma możliwości zainfekowania naszego telefonu złośliwym oprogramowaniem.
Aplikacja PekaoToken to nowoczesna i bezpieczna metoda autoryzacji. Łącze do pobrania aplikacji PekaoToken jest wysyłane na telefon komórkowy wyłącznie na zamówienie Klienta, po wcześniejszym wybraniu tej metody autoryzacji w serwisie internetowym, telefonicznym lub w Oddziale Banku. Po uzyskaniu łącza aplikację należy pobrać i zainstalować w telefonie. Każdy kod wygenerowany przez PekaoToken jest unikalny i powiązany tylko z konkretną transakcją zlecaną w PekaoInternet, a dostęp do aplikacji chroniony jest indywidualnym kodem PIN oraz dodatkowym potwierdzeniem w postaci rozpoznania zawartości na obrazku, co zapewnia niezbędną ochronę przed wszelkimi próbami nieprawidłowego wykorzystania tej metody autoryzacji.
Token sprzętowy to urządzenie wielkości karty kredytowej służące do generowania bezpiecznych kodów jednorazowych, którymi akceptowane są operacje zlecane w serwisie internetowym Pekao24 oraz za pośrednictwem konsultantów TelePekao. Pełni identyczną funkcję jak PekaoToken. Jest dedykowany wszystkim, którzy nie chcą używać telefonów komórkowych do autoryzacji operacji a jednocześnie chcą korzystać z rozwiązań zapewniających wysoki poziom bezpieczeństwa. Urządzenie wydawane jest na życzenie Klienta w przypadku wyboru lub zmiany metody autoryzacji operacji (w oddziale Banku, serwisie internetowym, u konsultantów TelePekao) i wysyłane przesyłką kurierską na adres korespondencyjny do Pekao24 w ciągu 3 dni od momentu złożenia dyspozycji.