Download - W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Transcript
Page 1: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

W numerze

♦ AKTUALNOŚCI• Najnowsze wirusy i

zagrożenia w Internecie

• Poprawki bezpieczeństwa do programów Microsoft

♦ WARTO WIEDZIEĆ• ZitMo – nowe

zagrożenie czyha na klientów

♦ PORADNIK• Zasady

bezpiecznego logowania się na internetowe konto bankowe

♦ SŁOWNICZEK

Najnowsze wirusy i zagrożenia w Internecie

Pamiętajmy, iż bezpieczne korzystanie z bankowości internetowej oraz zasobów Internetu

zapewniają nie tylko programy antywirusowe, antyspyware i zapory sieciowe, ale przede

wszystkim wiedza na temat możliwych zagrożeń i wyobraźnia internauty. Zdobyciu tej

wiedzy, a jednocześnie poszerzeniu zakresu wyobraźni służyć mają właśnie poniższe

doniesienia.

IBM codziennie rejestruje 13 mld zagrożeń

Jak poinformował jeden z przedstawicieli IBM, każdego dnia w czasie rzeczywistym narzędzia

tej firmy rejestrują 13 miliardów potencjalnych zagrożeń dla ponad 4 tysięcy klientów. Jak

łatwo policzyć, jest to około 150 tysięcy różnego rodzaju alarmów na sekundę.

Oddział firmy zajmujący się bezpieczeństwem podkreśla, że w 2010 roku znacznie wzrosła

liczba ataków wykorzystujących witryny podszywające się pod znane portale. Co ciekawe,

IBM zaznacza także, że w przyszłości obserwatorzy powinni skupić się nie na ilości ataków,

lecz na ich skuteczności, która z roku na rok rośnie.

Pole do popisu dla nowych form ataku dają teraz także smartfony, których ochrona w

przyszłości powinna obejmować przechowywanie haseł i szyfrowanie danych znajdujących

się na karcie pamięci urządzenia.

Wirus-szantażysta atakuje po kilku miesiącach przerwy

O wykryciu nowej wersji niesławnego wirusa GpCode, który szyfruje pliki na zainfekowanych

komputerach i żąda pieniędzy za przywrócenie zablokowanych danych, poinformowali

analitycy z Kaspersky Lab. Szanse na odzyskanie danych są niestety znikome.

GpCode grasuje w internecie od 2004 r. Nowe wersje tego szkodnika pojawiały się regularnie

aż do 2008 r., kiedy to autor GpCode'a zamilkł. Cisza trwała do listopada 2010 r. Następnie

cyberprzestępca zrobił sobie kilka miesięcy przerwy, aby znów przypomnieć o sobie w marcu

br.

W przeciwieństwie do próbki z listopada zeszłego roku , zamiast przelewu szantażysta żąda

zapłaty za pośrednictwem karty pre-paid. Wzrosła również kwota, jakiej cyberprzestępca

domaga się od swoich ofiar – ze 120 do 125 dolarów.

Page 2: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Po zauważeniu symptomów infekcji należy jak najszybciej wyłączyć komputer – najlepiej użyć

przycisku „Power” lub po prostu wyciągnąć wtyczkę z kontaktu. Im szybciej komputer

zostanie wyłączony, tym mniej danych wirus zdoła zaszyfrować. Dane można spróbować

odzyskać, podłączając dysk twardy do innego komputera, na którym zainstalowany jest

uaktualniony program antywirusowy.

> więcej

Użytkownicy TripAdvisora padli ofiarą ataku

Z bazy danych serwisu turystycznego TripAdvisor.com skradziono część adresów mailowych

jego użytkowników. Właściciel zapewnia, że nie wyciekły żadne hasła, a posiadaczom

skradzionych adresów grozi co najwyżej zwiększona liczba wiadomości spamowych.

Warto zauważyć, że TripAdvisor.com nie jest w swej postawie odosobniony. Jak wynika z

najnowszego raportu firmy McAfee , tylko trzy na dziesięć przedsiębiorstw zgłasza wszystkie

odnotowane wycieki danych, a 60% firm informuje o takich atakach wybiórczo. Mało tego,

przedsiębiorstwa, które przechowują swoje dane za granicą, decydują się zwykle na kraje, w

których przepisy dotyczące konieczności ujawniania wycieków są łagodniejsze.

> więcej

Poczta WP bezpieczniejsza dzięki PayPal

Współpraca WP z PayPalem ma doprowadzić do weryfikacji każdego e-maila przychodzącego

z systemu płatności na skrzynkę Wirtualnej Polski. Wiarygodne wiadomości będą oznaczane

w specjalny sposób.

Każdy e-mail przychodzący na konto użytkowników poczty Wirtualnej Polski z systemu PayPal

będzie specjalnie oznaczany kolorem zielonym oraz odpowiednią ikoną ze znaczkiem w

kształcie litery „V”, która ma symbolizować wiadomość z wiarygodnego źródła.

Wprowadzone zmiany mają wyeliminować lub ograniczyć próby wyłudzenia poufnych

informacji, haseł lub numerów kart kredytowych. Działania phisingowe należą bowiem do

najpopularniejszych sposobów ataku w internecie.

> więcej

Firmy wydają milion dolarów tygodniowo na zabezpieczenie poufnych informacji

Cyberprzestępcy przeszli od kradzieży informacji osobistych do ataków na kapitał

intelektualny najbardziej znanych światowych przedsiębiorstw - wynika z badania pt. „Czarny

Page 3: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

rynek: kapitał intelektualny i poufne dane przedsiębiorstw jako najnowszy cel

cyberprzestępców”.

Szara strefa cyberświata zarabia na kradzieży własności intelektualnej przedsiębiorstw.

Zainteresowania cyberprzestępców przesunęły się z zasobów fizycznych na zasoby

informacyjne, takie jak tajemnice handlowe i dokumenty zawierające plany produktów.

Odnotowujemy duże ataki ukierunkowane na ten typ informacji, a celami są największe i

pozornie najlepiej chronione firmy na świecie – ostrzega Simon Hunt, wiceprezes i dyrektor

ds. technicznych w dziale ochrony punktów końcowych w firmie McAfee.

Firmy McAfee i SAIC nawiązały współpracę z analitykami z instytutu Vanson Bourne w celu

przeprowadzenia ankiety wśród ponad 1000 decydentów z branży informatycznej w Stanach

Zjednoczonych, Wielkiej Brytanii, Japonii, Chinach, Indiach, Brazylii i na Bliskim Wschodzie.

> więcej

Spamerzy stopniowo odzyskują straconą pozycję

W lutym eksperci zaobserwowali wzrost dystrybucji wiadomości określanych jako „419

spam”, czyli takich, które wykorzystują aktualne wydarzenia społeczno-polityczne. W tytułach

niechcianych e-maili często pojawiały się nazwiska Mubarak i Kaddafi.

Cyberprzestępcy jak dziennikarze śledzą wszystko, co porusza opinię publiczną,

wykorzystując najbardziej nośne tematy do swoich celów. Może to być śmierć gwiazdy (jak w

przypadku Elizabeth Taylor ), klęska żywiołowa , szerzenie się epidemii czy przewrót

polityczny. W lutym do użytkowników poczty elektronicznej trafiały wiadomości o tematach

takich, jak „President Hosni Mubarak” (Prezydent Hosni Mubarak) oraz „Pro-Ghadafi forces

fight rebels in 2 cities”(Siły Kaddafiego walczą z rebeliantami w dwóch miastach). Według

ekspertów z firmy Symantec niechciane e-maile stanowiły w zeszłym miesiącu 80,65 proc.

wszystkich wiadomości. Kaspersky Lab podaje, że było ich trochę mniej – 78,7 proc.,

podkreśla jednak, że spamerzy zaczynają odzyskiwać swoją pozycję po zamknięciu

największych botnetów w drugiej połowie 2010 r. Specjaliści tej firmy szacują, że do kwietnia

lub maja br. odsetek spamu będzie się znów kształtował na poziomie 81-82 proc.

Skąd pochodzi najwięcej spamu? Według Symanteca – ze Stanów Zjednoczonych (28 proc.),

na kolejnych miejscach plasują się: Holandia i Indie (po 5 proc.), Rosja i Brazylia (po 4 proc.)

oraz Włochy (3 proc.).

> więcej

Cyberprzestępcy żerują na śmierci Elizabeth Taylor

Page 4: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Podobnie jak w przypadku śmierci Michaela Jacksona czy Johnny'ego Deepa (co okazało się

plotką), cyberprzestępcy nie zawahali się przed rozpoczęciem kampanii spamowej

wykorzystującej wizerunek zmarłej Elizabeth Taylor. Kliknięcie rozsyłanego przez nich

odsyłacza może prowadzić do zainfekowania komputera, jeśli tylko działa on pod kontrolą

systemu Windows.

Tym razem cyberprzestępcy zdecydowali się wykorzystać potencjał Twittera, gdzie zaczęli

rozpowszechniać wiadomość o następującej treści: „Download Movies Film legend Elizabeth

Taylor dies at 79 (AP)”. Zawierała ona odsyłacz skrócony przy użyciu usługi bit.ly.

Po przeanalizowaniu odsyłacza okazało się, że jest on wykorzystywany już od listopada 2010

r. w różnych kampaniach prowadzonych w ramach tego samego cyberprzestępczego

programu partnerskiego.

- Nawet jeżeli nie zostałeś zainfekowany szkodliwym oprogramowaniem, nie oznacza to, że

nie padłeś ofiarą cyberprzestępców. Mogą oni zarabiać pieniądze na Twoich kliknięciach -

tłumaczą analitycy zagrożeń z Kaspersky Lab , zalecając wszystkim, którzy kliknęli taki lub

podobny odsyłacz, jak najszybciej przeskanować system w poszukiwaniu wirusów.

> więcej

Trojany downloadery w natarciu

W pierwszym kwartale 2011 roku stworzono 73 tys. szkodliwych aplikacji, to o 10 tys. więcej

niż wynosiła średnia za cały 2010 rok - wynika z najnowszego raportu firmy Panda

Security.

W 2010 roku specjaliści z laboratorium PandaLabs obserwowali wzrost liczby nowych

zagrożeń z kwartału na kwartał, nie był to jednak przyrost tak znaczący, jak w ostatnim

okresie. Średnia liczba nowych odmian malware’u zidentyfikowanego w pierwszych trzech

miesiącach 2011 roku osiągnęła 73 tys., co oznacza wzrost o 26 proc. w porównaniu do tego

samego okresu roku ubiegłego.

Najbardziej popularnym typem zagrożeń pozostały trojany, które stanowią teraz 70 proc.

wszystkich nowych złośliwych kodów.

Page 5: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

> więcej

Facebook: podwójne oszustwo z Premium SMS-ami w tle

Za pośrednictwem Facebookowego czata rozprzestrzenia się szkodliwa aplikacja wyłudzająca od użytkowników pieniądze w dobrze znany Polakom sposób.Jak informują analitycy firmy Kaspersky Lab , niektórzy użytkownicy Facebooka zaczęli za

pośrednictwem czata otrzymywać od swoich znajomych szkodliwe wiadomości, które

wyglądały następująco:

Za tekstem „Father crashes and dies because of THIS message posted on his daughters

profile wall!” znajduje się skrócony adres strony WWW. Po kliknięciu odsyłacz poprowadzi go

przez serię przekierowań. W efekcie na ekranie pojawi się szkodliwa aplikacja dla Facebooka

żądająca kilku zezwoleń. Gdy użytkownik zezwoli aplikacji na uzyskanie dostępu do swojego

profilu, zacznie się ona rozprzestrzeniać, wysyłając wiadomości na czacie do wszystkich

znajomych, którzy w danym momencie są online.

> więcej

Pendrive niczym puszka Pandory

Najczęstszym powodem infekcji komputerów polskich internautów w ubiegłym miesiącu były zagrożenia ukrywające się w plikach automatycznego startu nośników danych - wynika z badań firmy ESET.

Page 6: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Zagrożeniom INF/Autorun, które w lutym stanowiły 6,39% wykrytych infekcji, w

rozprzestrzenianiu się pomagają sami użytkownicy. Korzystając na co dzień z pendrive'ów,

przenoszą oni dane pomiędzy różnymi komputerami i zapominają, że już samo wetknięcie

nośnika do portu USB może spowodować zainfekowanie maszyny szkodliwym

oprogramowaniem. Późniejsze podłączenie do takiego komputera innego pendrive'a

powoduje skopiowanie zagrożenia na nowy nośnik.

Według specjalistów firmy ESET do infekcji dochodzi najczęściej przypadkowo, a sam

użytkownik pozostaje nieświadomy tego, że przeniósł zagrożenie na swój komputer,

korzystając np. z pendrive'a znajomego.

> więcej

Cyberprzestępcy żerują na tragedii w Japonii

Jedno kliknięcie w sfałszowanej wiadomości e-mail może doprowadzić do instalacji aż pięciu szkodliwych programów - ostrzegają analitycy zagrożeń.Analitycy z Kaspersky Lab wykryli kampanię spamową, która wykorzystuje niedawne

trzęsienie ziemi w Japonii do infekowania użytkowników. Wiadomości e-mail, które docierają

do potencjalnych ofiar, mogą mieć tytuł „Japan quake may be world’s costlies distaster” i

wykorzystują zwykle wizerunek znanych firm i organizacji.

Po kliknięciu zawartego w nich odsyłacza użytkownik jest kierowany na sfałszowaną stronę

internetową, która infekuje komputer działający pod kontrolą systemu Windows.

Kaspersky Lab wykrywa te zagrożenia jako

Downloader.Java.OpenConnection.dn,Downloader.Java.OpenConnection.do oraz Trojan-

Downloader.VBS.Small.iz. Na zainfekowanym komputerze zaczynają wyświetlać się reklamy,

które mogą być dostosowane do języka systemu operacyjnego. W wyniku tylko jednej udanej

infekcji na komputerze uruchamianych jest aż pięć szkodliwych plików wykonywalnych. Atak

wygląda na przygotowanie platformy pod kolejne infekcje.

> więcej

Programy Adobe znów pod ostrzałem

Adobe ostrzega internautów przed nowo odkrytą luką we Flash Playerze na platformach

Windows, Mac, Linux i Solaris. Nie mają się z czego cieszyć również posiadacze

smartfonów z Androidem oraz użytkownicy programów Adobe Reader i Acrobat.

Page 7: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Cyberprzestępcy przystąpili już do ataku z wykorzystaniem arkusza kalkulacyjnego

Microsoft Excel.

Zaobserwowane przez analityków ataki opierają się na pomyśle osadzenia szkodliwego pliku

SWF wewnątrz arkusza XLS przeznaczonego dla aplikacji Excel. Wykorzystanie luki we Flashu

wymaga otwarcia tego arkusza. Nietrudno domyślić się, dlaczego cyberprzestępcy

zdecydowali się na taką kombinację – pozwala ona na łatwe dokonywanie ataków za

pośrednictwem poczty elektronicznej. Wystarczy podrzucić potencjalnej ofierze załącznik o

nazwie, która może go zainteresować.

> więcej

Trojan dla Androida podszywa się pod znaną aplikację

Użytkownicy mobilnego systemu od Google'a po raz kolejny w ostatnim czasie zostali wystawieni na próbę. Niestety wielu z nich jej nie przeszło.Na początku marca br. Google przyznało się do usunięcia z Android Marketu kilkudziesięciu

aplikacji malware , które zostały pobrane przez użytkowników setki tysięcy razy.

Tymczasem niedawno odkryto kolejnego szkodnika, który podszywa się pod aplikację

"zaparowane okno" (ang. Steamy Window) dostępną dla smatfronów oraz tabletów.

Oryginalny program nie pełni żadnej funkcji użytkowej, jednak pozwala na uzyskanie ciekawie

wyglądającego efektu zaparowanego ekranu. Niestety instalując go, użytkownicy zwykle nie

zwracają uwagi na krytyczne z punktu widzenia bezpieczeństwa wymagania aplikacji.

Przypomnijmy, że podczas wgrywania narzędzi w Androidzie wyświetla się ekran informujący,

do jakich funkcji program żąda dostępu.

> więcej

Oszuści też sprzedają bilety na Euro 2012

Sprzedaż biletów na mecze Mistrzostw Europy w Piłce Nożnej 2012 zaczęła się kilka dni temu, a w internecie pojawiły się już fałszywe strony oferujące wejściówki na to ważne sportowe wydarzenie. Przedstawiciele UEFA podkreślają, że jedynym legalnym i w pełni bezpiecznym sposobem nabycia biletów jest zamówienie ich na stronie organizacji. Kibice są jednak zdezorientowani - witryny prowadzone przez oszustów wyglądają bardzo profesjonalnie.- Tego typu przestępstwa nie są niczym nowym - są one nierozerwalnie związane z procesem

sprzedaży internetowej. Każde duże wydarzenie sportowe lub medialne przyciąga

Page 8: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

cyberprzestępców starających się naciągnąć nieświadomych ludzi - tłumaczy Filip Demianiuk,

Regional Technical Manager CEE, Russia & CIS w firmie Trend Micro , podkreślając, że

najważniejsze jest zachowanie zdrowego rozsądku. Należy oczekiwać, że im bliżej terminu

rozgrywek, tym więcej fałszywych sprzedawców pojawi się w internecie.

> więcej

Przekręt "na antypirata" opłaca się oszustom

Prawnicy działający w imieniu przemysłu muzycznego zainspirowali cyberprzestępców, którzy poprzez szkodliwe oprogramowanie zaczęli grozić internautom pozwem, z możliwością zawarcia ugody za kilkaset dolarów. Przychody z tego procederu nie są małe, tak przynajmniej wynika z dokumentów firmy ChronoPay, które wyciekły do sieci.Wielu internautów już wie, jak działa mechanizm "zapłać albo cię pozwiemy". Zazwyczaj

prawnicy identyfikują internautów rzekomo naruszających prawa autorskie w sieci. Potem

wysyłają listy z propozycją zapłacenia kilkuset dolarów/funtów w celu zawarcia ugody i

uniknięcia pozwu, który może narazić na większe straty.

Na fali tego zjawiska pojawiają się cyberprzestępcy, którzy działają podobnie jak prawnicy.

Wykorzystują strach i za kilkaset dolarów proponują uniknięcie postępowania. Różnica

polega na sposobie dotarcia do "pirata".

> więcej

Facebook: Uwaga na ataki przez czat i wiadomości na tablicach

Cyberprzestępcy zawsze kierują swoje kroki tam, gdzie jest najwięcej użytkowników. Boleśnie odczuwają to od lat szczególnie użytkownicy systemów operacyjnych i oprogramowania Microsoftu, a teraz na celowniku przestępców znajdują się coraz częściej także użytkownicy serwisu społecznościowego Facebook. Jak ostrzegają eksperci ds. bezpieczeństwa komputerowego, pułapek w social media jest coraz więcej.Eksperci zwracają uwagę na robaka internetowego Yimfoca, który do rozprzestrzenia się

wykorzystuje czat na Facebooku. Za pośrednictwem tego portalu robak rozsyła do

użytkowników wiadomości z linkiem, którego kliknięcie powoduje zainfekowanie danego

komputera z systemem operacyjnym Windows.

Kolejnym robakiem, którego aktywność w social media została dostrzeżona przez ekspertów

od bezpieczeństwa komputerowego jest Fbphotofake. Ten windowsowy robak

Page 9: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

rozprzestrzenia się z kolei za pośrednictwem wiadomości publikowanych na tablicy

użytkowników Facebooka, wstawiając w nie link kierujący do zainfekowanej strony WWW. Po

zarażeniu systemu operacyjnego Fbphotofake próbuje uzyskać dostęp do poufnych danych,

które umożliwią twórcom szkodnika rozsyłanie spamu za pośrednictwem profilu ofiary na

Facebooku.

> więcej

Google powoli wprowadza HTTPS do YouTube

Google najwyraźniej postanowiło być prekursorem w dbałości o bezpieczeństwo danych przesyłanych między dużymi serwisami internetowymi a użytkownikami.Szyfrowane połączenie już teraz możemy znaleźć domyślnie między innymi w Picasa Web

Albums, ale wyszukiwarkowy gigant nie zamierza na tym poprzestawać.

Jak zauważa serwis Google Operating System, w YouTube można obecnie znaleźć coraz

więcej stron, które automatycznie ładują się z włączonym szyfrowaniem. Dodatkowo na

blogu Google ogłoszono wsparcie HTTPS dla filmików osadzanych na zewnętrznych stronach

internetowych.

> więcej

Użytkownicy starszych wersji Windowsa znów zagrożeni

Choć Microsoft chwali się dobrą sprzedażą Windowsa 7, wciąż wiele osób korzysta ze znacznie starszego Windowsa XP, w Polsce - według danych Ranking.pl z ubiegłego tygodnia - ponad 60 proc. Tymczasem specjaliści odkryli groźną lukę w mechanizmie współdzielenia plików, na którą podatna jest ta właśnie wersja systemu.Luka występuje w systemach Windows XP z SP3 oraz Windows Server 2003 z SP2, a jej

pomyślne wykorzystanie umożliwia atak DoS (ang. Denial of Service - odmowa usługi) oraz

zdalne wykonanie kodu. Microsoft twierdzi, że to drugie możliwe jest tylko w przypadku

systemów 64-bitowych.

> więcej

Bezpłatna aplikacja do monitorowania najważniejszych zagrożeń

Norton Cybercrime Index - to nowe narzędzie firmy Symantec, które śledzi bieżące

zagrożenia na świecie i ostrzega przed nimi użytkowników komputerów. Indeks

Page 10: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

cyberprzestępczości można sprawdzić za pomocą strony internetowej, na telefonie

komórkowym, a także pobrać w formie aplikacji na komputer PC.

Podstawowym zadaniem świeżo udostępnionego narzędzia jest odpowiedź na pytanie „Jaki

jest dziś poziom Twojego bezpieczeństwa online?” poprzez pokazanie oceny zagrożenia w

danym dniu w kontekście spadków i wzrostów na wzór indeksu giełdowego.

Norton Cybercrime Index składa się z jednej liczby wskazującej aktualny poziom zagrożenia.

Liczba ta jest wyliczana na podstawie algorytmu, który bierze pod uwagę dane z trzech

źródeł. Podstawowym jest sieć Symantec Global Intelligence Network, która monitoruje

ponad 130 mln serwerów na całym świecie, śledząc nowe zagrożenia i ataki. Pod uwagę

brane są też informacje dostarczane przez firmę ID Analytics, która zajmuje się zarządzaniem

ryzykiem konsumenckim, oraz DataLossDB, projekt badawczy fundacji Open Security

Foundation.

> więcej

Użytkownicy smartfonów nieświadomi zagrożeń

Ponad jedna trzecia użytkowników smartfonów nie ma świadomości zagrożeń, jakie wiążą się z wykorzystywaniem telefonów do wykonywania operacji finansowych i przechowywania danych osobowych - wynika z ankiety opublikowanej dziś przez AVG Technologies i Ponemon Institute.Ankieta została przeprowadzona wśród 734 amerykańskich konsumentów w wieku powyżej

18 lat posługujących się smartfonem: iPhone ' em , Blackberry lub urządzeniem z systemem

Android.

13 proc. respondentów stwierdziło, że bez ich wiedzy w telefonach zostały umieszczone

informacje pozwalające innym śledzić miejsce, w którym właśnie się znajdują. Zaledwie 21

proc. ankietowanych zdawało sobie sprawę z istnienia zagrożenia tego typu.

Ponadto 6 proc. badanych przyznało, że aplikacje mobilne przesłały bez ich wiedzy lub zgody

poufne informacje dotyczące operacji płatniczych, np. szczegóły karty kredytowej. Zaledwie

11 proc. ankietowanych wiedziało, że to może nastąpić.

> więcej

Kaspersky Lab: Poziom zabezpieczenia warszawskich sieci Wi-Fi jest alarmująco słaby

W porównaniu z ubiegłym rokiem w Warszawie przybyło sieci, w których nie

Page 11: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

zastosowano żadnych zabezpieczeń - wynika z raportu przygotowanego przez analityka zagrożeń z firmy Kaspersky Lab Polska.W Warszawie przebadano ponad 3 500 sieci bezprzewodowych. Wszystkie zostały znalezione

podczas jazdy samochodem oraz spaceru, łączna długość trasy wyniosła 25 km. Badanie

polegało na wyszukiwaniu dostępnych lokalnie sieci bezprzewodowych i analizowaniu metod

ich ochrony (bez naruszania prywatności właścicieli sieci)

W ostatnim badaniu Warszawa wypadła bardzo dobrze , zarówno na tle innych miast, jak i w

odniesieniu do całego kraju. Tym razem poziom zabezpieczeń w warszawskich sieciach Wi-Fi

okazał się alarmująco słaby.

> więcej

Bezpłatna płyta ratunkowa - BitDefender Rescue CD

Zdarzają się sytuacje awaryjne, w których odzyskanie ważnych plików albo zdezynfekowanie systemu staje się niemożliwe podczas jego normalnej pracy. Najlepszym rozwiązaniem w takim przypadku jest posłużenie się bootowalną płytą ratunkową, dzięki której można, po pierwsze, przeskanować dyski twarde komputera pod kątem obecności złośliwego oprogramowania, a po drugie, skorzystać z zamieszczonych na niej dodatkowych narzędzi.Najnowsze wydanie Rescue CD firmy BitDefender oparte zostało na linuksowej dystrybucji Xubuntu Live CD. Po uruchomieniu komputera, wybraniu jednej z wersji językowych (angielska, niemiecka, francuska, rumuńska lub hiszpańska) oraz zaakceptowaniu warunków umowy licencyjnej następuje uruchomienie interfejsu skanera BitDefender. Jeśli komputer ma połączenie z internetem, program automatycznie zaktualizuje swoje bazy sygnatur antywirusowych oraz silniki skanujące, dzięki czemu możliwe będzie wykrycie i usunięcie także najnowszych szkodników z wszystkich dysków i partycji. Obsługa programu jest w pełni intuicyjna, a w przypadku jakichkolwiek niejasności dotyczących jego konfiguracji można skorzystać z załączonego podręcznika w formacie PDF.> więcej

Krótki link może okazać się niebezpieczny

Najwygodniejszą metodą dzielenia się w sieci ciekawą wiadomością, zdjęciem czy klipem wideo jest skorzystanie z linków odsyłających do interesujących treści. Niestety z taką formą przekazywania informacji wiąże się ryzyko infekcji.Przy okazji najnowszego raportu nt. zagrożeń ESET zwraca uwagę na niebezpieczeństwo

Page 12: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

kryjące się za skróconymi linkami. Zbyt długie odsyłacze łatwo skrócić dzięki specjalnym

serwisom, takim jak TinyURL, Tnij.org i in. W ten sposób linki, które jeszcze przed chwilą

miały trzy linijki, przybierają bardziej kompaktową formę i można je wykorzystać choćby na

Twitterze, gdzie priorytetem jest zmieszczenie się w limicie 160 znaków. Niestety skrócone

linki to kolejna furtka, którą mogą wykorzystać cyberprzestępcy.

> więcej

UE: Co trzeci komputer w 2010 roku został zainfekowany

I to pomimo faktu, że raczej powszechnie wykorzystywane jest oprogramowanie mające nas przed tym chronić. Eurostat, z okazji Dnia Bezpiecznego Internetu, opublikował unijne statystyki. Polska jest średniakiem.31 procent obywateli EU27 padło w zeszłym roku ofiarami wirusów bądź innych złośliwych

programów (jak konie trojańskie ). Różnice między poszczególnymi krajami są jednak dość

znaczne. Największy odsetek zanotowano w Bułgarii (58 procent) i na Malcie (50 procent),

podczas gdy Austria i Irlandia mogły pochwalić się najniższymi wskaźnikami - odpowiednio 14

i 15 procent. Polska, z 30 procentami, znalazła się lekko poniżej unijnej średniej.

> więcej

Facebook ulubioną przynętą cyberoszustów

Coraz więcej zagrożeń projektowanych jest w celu rozprzestrzeniania się za pośrednictwem popularnych portali społecznościowych. W ostatnich dniach wykryto dwa nowe szkodniki - Asprox.N oraz Lolbot.Q, które grasują na Facebooku, przysparzając problemów internautom.Asprox.N jest trojanem, który dociera do potencjalnych ofiar za pośrednictwem poczty e-

mail. Oszukuje użytkowników, przekazując informację, że ich konto na Facebooku jest

wykorzystywane do dystrybucji spamu i dla bezpieczeństwa zmieniono ich dane

uwierzytelniające. E-mail zawiera fałszywy dokument Word z rzekomo nowym hasłem.

Załącznik nosi nazwę Facebook_details.exe i w rzeczywistości jest trojanem, który po

uruchomieniu pobiera kolejny plik stworzony po to, by otworzyć wszystkie dostępne porty w

komputerze i łącząc się z różnymi serwisami pocztowymi, zaspamować tak wielu

użytkowników, jak tylko się da.

> więcej

Szyfruj swoje dane przesyłane do Facebooka

Facebook zagwarantuje użytkownikom większe bezpieczeństwo przesyłanych

Page 13: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

informacji. Niestety tylko tym, którzy będą potrafili zmienić odpowiednie ustawienia.Do tej pory Facebook korzystał z połączenia szyfrowanego wyłącznie podczas logowania, gdy

przesyłana była nasza nazwa użytkownika i hasło. Choć rzeczywiście jest to bardzo

newralgiczny punkt, chyba nikt nie życzyłby sobie, by zamiast hasła wyciekły na przykład jego

wiadomości przesyłane do znajomych czy zapiski z czatu.

Niestety bez zastosowanego szyfrowania o taką sytuację nietrudno. Szczególnie narażeni są

użytkownicy, którzy łączą się z internetem poprzez niezabezpieczone sieci Wi-Fi (a co za tym

idzie - nieszyfrowane), często spotykane są miejscach publicznych. Z podsłuchiwaniem

informacji przesyłanych w takiej sieci poradziłby sobie nawet niedoświadczony haker.

Funkcja nie jest jeszcze aktywna dla wszystkich użytkowników, jednak finalnie będzie można

ją znaleźć, przechodząc do menu "Konto" w prawym górnym rogu profilu, a następnie

"Ustawienia konta". Po przewinięciu w dół, znajdziemy zakładkę "Zabezpieczenia konta",

gdzie zaznaczamy okienko obok pola "Bezpieczne przeglądanie".

> więcej

Nowy robak grasuje na Twitterze

Szkodnik wykorzystuje usługę Google pozwalającą na skracanie odnośników (goo.gl) i nakłania niczego niepodejrzewających użytkowników do instalowania fałszywych programów antywirusowych na swoich komputerach.Robak przekierowuje użytkowników Twittera na stronę WWW oferującą fałszywe

rozwiązanie antywirusowe o nazwie Security Shield. Cyberprzestępcy użyli specjalnych

technik, aby ukryć prawdziwy kod strony przed bardziej wnikliwymi osobami. Szkodliwe

odsyłacze w wiadomościach na Twitterze przekierowują użytkowników na różne domeny, w

obrębie których znajduje się strona o nazwie m28sx.html - tłumaczy Nicolas Brulez, ekspert z

Kaspersky Lab . - Ta strona z kolei przerzuca użytkowników jeszcze dalej, pod adres w

domenie zlokalizowanej w Ukrainie.

W efekcie atakowany użytkownik widzi sfałszowaną informację o tym, że na komputerze

działają podejrzane aplikacje i otrzymuje propozycję uruchomienia skanowania

antywirusowego. Jak zwykle w takich przypadkach, po uruchomieniu „skanera” komputer

jest infekowany prawdziwymi szkodliwymi programami .

> więcej

Page 14: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Raport o (cyber)stanie świata

Organizacja Współpracy Gospodarczej i Rozwoju (OECD) opublikowała raport na temat cyberbezpieczeństwa w XXI wieku. Brytyjscy naukowcy - autorzy dokumentu - zbadali, w jaki sposób przestępczość wirtualna może wpływać na losy państw i świata.Peter Sommer i Ian Brown, opracowując raport pt. „Zmniejszanie systemowego zagrożenia

cyberbezpieczeństwa”, szukali odpowiedzi na pytanie o rolę systemów IT nie tyle w rozwoju

ludzkości, ile we współczesnych konfliktach krajowych i międzynarodowych.

Na szczególną uwagę zasługuje wykryty w połowie ubiegłego roku Stuxnet.

Jak tłumaczy Łukasz Nowatkowski z firmy G Data Software: Ten samodzielnie

rozprzestrzeniający się program komputerowy miał za zadanie szpiegować i

przeprogramowywać instalacje przemysłowe, zawirusowując sterowniki PLC kontrolujące

działanie fabryk, elektrowni itp. Odpowiedzialnością za powstanie robaka media coraz

częściej obarczają Izrael i Stany Zjednoczone.

Z raportu OECD jednoznacznie wynika, że cyberataki nie mają - na razie - globalnego

wymiaru, jednak lokalnie potrafią wyrządzić duże szkody. W podobnym duchu wypowiadali

się w grudniu przedstawiciele różnych firm antywirusowych, snując prognozy na 2011 rok.

> więcej

UE ostrzega przed chmurą

Mimo pewnych zalet tego rozwiązania należy zastanowić się, czy jest ono odpowiednie dla instytucji państwowych. Jedna z unijnych agencji ma co do tego pewne wątpliwości.Cloud computing , czyli przetwarzanie w chmurze, to coraz popularniejszy sposób korzystania

z różnego rodzaju rozwiązań informatycznych. Dla firm czy osób prywatnych oznacza brak

konieczności zakupu licencji czy też administrowania oprogramowaniem. Może być to także

użyteczne rozwiązanie dla administracji publicznej. W przypadku tej ostatniej trzeba jednak

wziąć pod uwagę dodatkowe warunki, jakie dana firma musiałaby spełnić.

O zagrożeniach wynikających z przetwarzania w chmurze mówi ENISA, czyli Europejska

Agencja Bezpieczeństwa Sieci i Informacji. W opublikowanym właśnie raporcie przestrzega

administrację przed korzystaniem z ogólnodostępnych rozwiązań tego typu, w zamian

proponując rozwiązania oferowane prywatnie bądź też przez społeczności internetowe.

Page 15: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Agencja podnosi, że w przypadku chmur publicznych mamy do czynienia z wyższym

poziomem ryzyka. Wynika to po pierwsze z faktu, że tego typu usługi mogą być dostarczane

przez podmioty spoza Unii Europejskiej . Oznacza to słabszą kontrolę nad ich zachowaniami.

> więcej

Czy dane w Twojej firmie są naprawdę bezpieczne?

Początek roku jest dobrym momentem nie tylko na układanie planów rozwoju przedsiębiorstwa na najbliższych 12 miesięcy, ale i na przegląd stosowanych do tej pory rozwiązań. W dobie rosnących zagrożeń teleinformatycznych warto przede wszystkim sprawdzić, czy przechowywane przez nas informacje są bezpieczne - być może warto zastanowić się nad zmianą stosowanych procedur lub zmienić oprogramowanie zabezpieczające? Dobre decyzje na tym etapie uchronią nas przed poważnymi konsekwencjami w przyszłości.Każda firma powinna zadbać o całościową ochronę przechowywanych danych. Chodzi nie

tylko o zainstalowanie oprogramowania antywirusowego na wszystkich komputerach i

serwerach, ale również o tworzenie kopii zapasowych cennych danych czy ich ochronę przed

wyciekiem.

Wiele firm błędnie zakłada, że program antywirusowy to wszystko, czego potrzebują.

Obecnie przedsiębiorstwa muszą stawić czoła bardziej złożonym zagrożeniom – począwszy od

hakerów, którzy usiłują wykraść dane kart kredytowych, poprzez pracowników, którzy

przypadkowo tracą poufne dane , do klęsk żywiołowych, które mogą uszkodzić serwery z

zapisanymi informacjami o klientach. Wielopoziomowe podejście do zagadnień

bezpieczeństwa jest zatem niezwykle ważne.

> więcej

Spamerzy zmieniają taktykę

Stany Zjednoczone nadal zajmują pierwsze miejsce na liście najmocniej spamujących krajów, odpowiadając za 18,83% wszystkich niechcianych wiadomości. Polska w ostatnim kwartale 2010 r. uplasowała się na trzynastej pozycji z 2,11% udziału w globalnym spamie.Choć pod względem ilości rozsyłanego spamu dominują wciąż te same kraje, to spam w swej

istocie staje się coraz bardziej złośliwy - zauważają specjaliści z firmy Sophos.

Cyberprzestępcy coraz częściej wykorzystują niechciane wiadomości do rozprzestrzeniania

złośliwego oprogramowania i wyłudzania poufnych informacji osobistych. W swoim

najnowszym raporcie firma ostrzega przed ukierunkowanymi atakami e-mail, znanymi jako

Page 16: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

"spear phishing".

Na uwagę zasługuje też wzrost liczby niechcianych wiadomościach rozprzestrzeniających się

w sieciach społecznościowych, takich jak Facebook czy Twitter.

> więcej

Czego się bać w 2011 roku, podpowiadają producenci antywirusów

Wyspecjalizowane ataki przy użyciu „klonów” Stuxneta, narastający haktywizm, inżynieria społeczna, programy szpiegowskie, których nadrzędnym celem będzie „kraść, co się da”, walki między botnetami... Co nam grozi w przyszły roku? Dziennik Internautów przyjrzał się prognozom na 2011 rok przygotowanym przez takie firmy, jak Panda Security, Trend Micro, Symantec, Kaspersky Lab, F-Secure, Sophos i Fortinet.Niezaprzeczalnie duży wpływ na przewidywania dotyczące nadchodzącego roku wywarł

tegoroczny atak Stuxneta - zagrożenia wyjątkowego nie ze względu na szeroką dystrybucję,

lecz na wysoką specjalizację (jego celem okazała się m.in. elektrownia atomowa w Iranie ).

Wykrycie Stuxneta należy potraktować jako znak ostrzegawczy, a zarazem wytyczenie

kierunku, w jakim zmierzamy – uważa Maciej Iwanicki, inżynier systemowy w firmie

Symantec. Podobnie myśli Mikko Hypponen, szef laboratorium badawczego F-Secure.

Innym wydarzeniem, które wpłynęło na prognozy firm dostarczających rozwiązania

zabezpieczające, było zamieszanie wywołane upublicznieniem przez Wikileaks poufnych

dokumentów dyplomatycznych. Visa, MasterCard i PayPal przestały wówczas przyjmować

płatności na rzecz serwisu, argumentując, że środki te wspierają działalność niezgodną z

regulaminem. Niedługo potem ich serwery padły ofiarą ataków DDoS (ang. distributed denial

of service).

Kolejnym trendem na rynku bezpieczeństwa sieciowego w 2011 roku będzie rosnąca dbałość

cyberprzestępców o zachowanie terytorialności swoich imperiów i walka między botnetami o

nadzór nad zarażonymi komputerami – wynika z prognoz firmy Fortinet. Rachunek jest

prosty: im większa kontrola, tym dłuższy czas eksploatowania zainfekowanych maszyn i

wyższe zyski.

W mijającym roku byliśmy świadkami licznych ataków z użyciem popularnych serwisów

społecznościowych, takich jak Facebook i Twitter. Liczba użytkowników tego pierwszego

przekroczyła już 500 milionów , wzrasta też liczba firm wykorzystujących do budowania swego

wizerunku media społecznościowe. Według ekspertów ds. bezpieczeństwa w 2011 roku skala

problemu będzie narastać wprost proporcjonalnie do zwiększania się liczby internautów

Page 17: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

korzystających z social media oraz zysków czerpanych z nielegalnej działalności w tego typu

serwisach.

> więcej

Biuletyny bezpieczeństwa Microsoftu

Styczeń 2011. Na początku 2011 roku Microsoft opublikował zaledwie dwa biuletyny

bezpieczeństwa - jeden krytyczny i jeden ważny - usuwające nienagłośnione luki w systemie

Windows (mimo to w sieci pojawiły się już wykorzystujące je exploity). Błąd w silniku

renderowania grafiki i problem z przetwarzaniem kaskadowych arkuszy stylów w Internet

Explorerze, nie mówiąc już o całym szeregu dziur wykrytych w tej przeglądarce przez Michała

"lcamtufa" Zalewskiego, pozostały niezałatane.

BIULETYNY KRYTYCZNE

Biuletyn MS11-002

Udostępniona wraz z tym biuletynem łatka usuwa dwa błędy w zabezpieczeniach Microsoft

Data Access Components (MDAC), które umożliwiają zdalne wykonanie kodu, jeśli atakujący

nakłoni użytkownika do odwiedzin na specjalnie spreparowanej stronie WWW. Biuletyn ma

status "krytyczny" dla wszystkich wersji systemu Windows XP , Windows Vista , Windows 7

oraz "ważny" w przypadku Windows Server 2003, Windows Server 2008, Windows Server

2008 R2.

(szczegółowe informacje )

BIULETYNY WAŻNE

Biuletyn MS11-001

Luka łatana przez tę aktualizację pozwala na zdalne wykonanie kodu, gdy osoba atakująca

przekona użytkownika do otwarcia prawidłowego pliku programu Windows Backup Manager,

który znajduje się w tym samym katalogu sieciowym, co specjalnie spreparowany plik

biblioteki DLL. Aby atak się powiódł, atakowany musi odwiedzić niezaufaną zdalną lokalizację

systemu plików lub udział WebDAV. Błąd występuje we wszystkich wersjach systemu

Windows Vista.

(szczegółowe informacje )

Czego Microsoft nie załatał wraz ze styczniowymi biuletynami?

Programiści giganta z Redmond nie przygotowali dotąd poprawki, która wyeliminowałaby

Page 18: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

błąd w mechanizmie Graphics Rendering Engine . Mówiono o nim już w połowie grudnia ub.r.

podczas konferencji w Korei Południowej. Microsoft jego występowanie potwierdził dopiero

w ubiegłym tygodniu, zaraz po tym, jak exploit umożliwiający jego wykorzystanie stał się

publicznie dostępny.

Problem z przetwarzaniem kaskadowych arkuszy stylów (CSS) w Internet Explorerze też

znany jest od około miesiąca. Informacje o nim pojawiły się zaraz po załataniu podobnej

dziury w przeglądarce Microsoftu . Tak samo, jak w przypadku luki w silniku renderowania

grafiki, moduł pozwalający na jego wykorzystanie został już dodany do Metasploita - pakietu

narzędzi służących do testowania zabezpieczeń.

Najbardziej dziwi brak poprawek usuwających podatności odkryte przez polskiego specjalistę

Michała "lcamtufa" Zalewskiego przy użyciu narzędzia cross_fuzz. Zalewski poinformował o

nich koncern w lipcu (!) 2010 r. Programiści Microsoftu przez kilka miesięcy nie mogli

rzekomo odtworzyć zgłoszonych błędów, nie opublikowali też żadnego dotyczącego ich

ostrzeżenia. Kiedy można oczekiwać załatania tych dziur, nie wiadomo.

Luty 2011. Gigant z Redmond zdecydował się do aktualizacji rozpowszechnianych za pomocą

Windows Update dołączyć tę, która blokuje automatyczne uruchamianie instrukcji z plików

autorun.inf na urządzeniach USB. Wydał też 12 biuletynów bezpieczeństwa usuwających w

sumie 22 luki w różnych składnikach systemu Windows, m.in. w Internet Explorerze i silniku

renderowania grafiki, na które pojawiły się już w sieci exploity.

BIULETYNY KRYTYCZNE

Biuletyn MS11-003

Pierwszy z wydanych w tym miesiącu biuletynów przynosi zbiorczą aktualizację zabezpieczeń

Internet Explorera i usuwa cztery luki aktywnie już wykorzystywane przez cyberprzestępców

(co dobrze obrazuje tabela przygotowana przez Internet Storm Center ). Aby atak się powiódł,

użytkownik podatnego programu musi odwiedzić specjalnie spreparowaną stronę

internetową lub - jak podaje Microsoft - wyświetlić "prawidłowy plik HTML, który ładuje

specjalnie spreparowany plik biblioteki". Osoba atakująca zyska wówczas takie same

uprawnienia, jak aktualnie zalogowany użytkownik. Stąd wniosek, że użytkownicy, których

konta zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie,

ponoszą mniejsze ryzyko niż ci, którzy pracują z uprawnieniami administracyjnymi.

Aktualizację powinni zainstalować posiadacze każdej z wersji Internet Explorera .

(szczegółowe informacje )

Biuletyn MS11-006

Page 19: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Kolejna bardzo groźna luka, na którą przygotowano już exploita, została wykryta w

procesorze grafiki powłoki systemu Windows, o czym informowano w Dzienniku Internautów

na początku stycznia (zob. Microsoft potwierdza błąd w silniku renderowania grafiki ). Luka

umożliwia zdalne wykonanie dowolnego kodu, jeśli użytkownik wyświetli specjalnie

spreparowany obraz miniatury. Podobnie jak w opisanym wyżej przypadku, jeśli atak się

powiedzie, osoba atakująca zyska takie same uprawnienia, jak zalogowany użytkownik.

Poprawka przeznaczona jest dla wszystkich systemów operacyjnych wspieranych przez

giganta z Redmond - z wyjątkiem Windows 7 i Windows Server 2008 R2.

(szczegółowe informacje )

Biuletyn MS11-007

Następny biuletyn krytyczny dotyczy luki w zabezpieczeniach sterownika OpenType Compact

Font Format (CFF), która pozwala na zdalne wykonanie kodu. Aby do tego doszło,

cyberprzestępca musi zwabić użytkownika na stronę WWW, na której zostanie wykorzystana

specjalnie spreparowana czcionka CFF. Aktualizacji tej nie mogą zignorować posiadacze

żadnej z wersji Windowsa.

(szczegółowe informacje )

BIULETYNY WAŻNE

Biuletyn MS11-004

Pierwszy z biuletynów oznaczonych jako ważne (Internet Storm Center nazywa go

krytycznym) dostarcza poprawkę, która usuwa lukę w programie Internet Information

Services (IIS). Umożliwia ona zdalne wykonanie kodu, jeśli serwer FTP odbierze specjalnie

spreparowane polecenie. W sieci pojawił się już kod proof-of-concept obrazujący

wykorzystanie tej podatności. Microsoft uspokaja, że usługa FTP nie jest domyślnie

instalowana w programie IIS. Mimo to doradzamy natychmiastową instalację patcha

użytkownikom wersji 7.0 i 7.5.

(szczegółowe informacje )

Biuletyn MS11-005

Ten z kolei biuletyn ma na celu usunięcie luki w zabezpieczeniach usługi Active Directory.

Pozwala ona atakującemu na przeprowadzenie ataku typu „odmowa usługi” (ang. Denial of

Service - DoS), wystarczy, że wyśle on specjalnie spreparowany pakiet do serwera Active

Directory. Jak podaje Microsoft, osoba atakująca "musi posiadać prawidłowe uprawnienia

administratora lokalnego na komputerze przyłączonym do domeny, aby wykorzystanie luki

było możliwe". Poprawką powinni zainteresować się użytkownicy wszystkich wersji systemu

Page 20: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Windows Server 2003.

(szczegółowe informacje )

Biuletyn MS11-008

Jeszcze jedna rozbieżność w określaniu wagi biuletynu - Microsoft oznaczył dwie luki w

programie Visio jako ważne, a Internet Storm Center jako krytyczne (choć tylko dla klienckich

wersji systemu Windows). Luki, jak nietrudno zgadnąć, umożliwiają zdalne wykonanie kodu,

jeśli użytkownik otworzy specjalnie spreparowany plik programu Visio. Zaskutkuje to tym, że

atakujący zyska takie same uprawnienia, jak zalogowany użytkownik. Problem dotyczy wersji

2002, 2003 i 2007.

(szczegółowe informacje )

Biuletyn MS11-009

Natomiast ta aktualizacja usuwa lukę w zabezpieczeniach aparatów obsługi skryptów JScript i

VBScript, która może pozwolić na ujawnienie informacji, jeśli użytkownik otworzy specjalnie

spreparowaną stronę WWW. Microsoft uspokaja, że intruz nie może w żaden sposób zmusić

użytkownika do odwiedzenia szkodliwej witryny, musi posłużyć się socjotechniką, żeby

zachęcić go do kliknięcia linka przesłanego e-mailem, za pomocą komunikatora albo w

serwisie społecznościowym . Na błąd podatni są użytkownicy najnowszych systemów

Microsoftu - Windows 7 i Windows Server 2008 R2.

(szczegółowe informacje )

Biuletyn MS11-010

Kolejny biuletyn eliminuje lukę w zabezpieczeniach podsystemu wykonawczego

serwera/klienta (CSRSS) w systemach Windows XP i Windows Server 2003. Dziura ta

umożliwia podniesienie uprawnień, jeśli osoba atakująca zaloguje się do systemu

użytkownika i uruchomi specjalnie spreparowaną aplikację, która będzie działać także po jej

wylogowaniu się w celu uzyskania poświadczeń logowania kolejnych użytkowników danego

komputera. Producent systemu zapewnia, że nie jest możliwe wykorzystanie luki w sposób

zdalny lub przez użytkowników anonimowych.

(szczegółowe informacje )

Biuletyn MS11-011

Również dwie luki w zabezpieczeniach jądra systemu Windows pozwalają na podniesienie

uprawnień, jeśli osoba atakująca zaloguje się lokalnie i uruchomi odpowiednio przygotowaną

aplikację. W łatkę tę powinni zaopatrzyć się użytkownicy wszystkich wspieranych przez

Page 21: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Microsoft wersji Windowsa.

(szczegółowe informacje )

Biuletyn MS11-012

Biuletyn usuwa pięć luk w zabezpieczeniach sterowników trybu jądra systemu Windows,

które umożliwiają podniesienie uprawnień w opisany wyżej sposób (włamywacz po

zalogowaniu się musi uruchomić specjalną aplikację). Patch jest przeznaczony dla wszystkich

wydań Windowsa - od XP do 7, również dla wersji serwerowych.

(szczegółowe informacje )

Biuletyn MS11-013

Przedostatni z wydanych w lutym biuletynów bezpieczeństwa usuwa dwa błędy w protokole

Kerberos, które - podobnie jak poprzednie - umożliwiają podniesienie poziomu uprawnień.

Jak wyjaśnia Microsoft, może do tego dojść, jeśli "uwierzytelniona osoba atakująca lokalnie

zainstaluje złośliwą usługę na komputerze przyłączonym do domeny". Aktualizacja dotyczy

wszystkich wersji systemu Microsoftu - z wyjątkiem Windows Vista i Windows Server 2008.

(szczegółowe informacje )

Biuletyn MS11-014

Również ten biuletyn ma związek z możliwością podniesienia uprawnień. Atak się powiedzie,

jeśli cyberprzestępca wykorzysta lukę w usłudze podsystemu lokalnego uwierzytelniania

zabezpieczeń (LSASS). Tutaj też nie obejdzie się bez uruchomienia specjalnie przygotowanej

aplikacji. Błąd występuje w systemach Windows XP i Windows Server 2003.

(szczegółowe informacje )

Marzec 2011. Gigant z Redmond wydał w marcu trzy biuletyny bezpieczeństwa - jeden

krytyczny i dwa ważne - łatając przy tym cztery luki w systemie Windows i pakiecie Microsoft

Office. Nie ustrzegł się przy tym przed drobną pomyłką.

BIULETYNY KRYTYCZNE

Biuletyn MS11-015

Jedyny z wydanych w tym miesiącu biuletynów krytycznych usuwa dwie luki - jedną w

DirectShow, drugą w oprogramowaniu Windows Media Player i Windows Media Center.

Poważniejsza z nich umożliwia zdalne wykonanie dowolnego kodu, gdy użytkownik otworzy

Page 22: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

specjalnie spreparowany plik Microsoft Digital Video Recording (.dvr-ms). W sieci dostępny

jest już kod proof-of-concept demonstrujący wykorzystanie podatności. Zagrożeni są

użytkownicy systemów: Windows XP , Windows Vista , Windows 7 oraz Windows Server 2008

R2.

(szczegółowe informacje )

BIULETYNY WAŻNE

Biuletyn MS11-016

Ten z kolei biuletyn eliminuje błąd w aplikacji Microsoft Groove 2007, która służy do

koordynowania pracy zespołu nad projektami i wchodzi w skład pakietu Microsoft Office .

Łatana luka pozwala na zdalne wykonanie kodu, jeśli użytkownik otworzy nieszkodliwy plik

powiązany z podatnym programem znajdujący się w tym samym katalogu sieciowym, co

odpowiednio spreparowana biblioteka .dll. W internecie udostępniono już kod proof-of-

concept wykorzystujący tę podatność.

(szczegółowe informacje )

Biuletyn MS11-017

Ostatni z marcowych biuletynów likwiduje dziurę w oprogramowaniu klienta Podłączanie

Pulpitu Zdalnego (Remote Desktop Connection) podobną do opisanej wyżej - aby atak się

powiódł, użytkownik musi otworzyć plik .rdp zlokalizowany w tym samym katalogu

sieciowym, co spreparowana przez atakującego biblioteka .dll. Napastnik uzyska wówczas

takie same uprawnienia, jak zalogowany użytkownik. Problem dotyczy klienta Remote

Desktop Connection 5.2, 6.0, 6.1 i 7.0 we wszystkich wspieranych przez Microsoft systemach

z rodziny Windows.

(szczegółowe informacje )

Specjaliści firmy Sophos zwracają uwagę na zabawną pomyłkę w jednym z powiadomień o

dostępnej aktualizacji, wyświetlanym przez Windows Update:

Page 23: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Tym razem pomylił się sam producent patcha, warto jednak pamiętać, że cyberprzestępcy

nieraz już próbowali podsunąć użytkownikom spreparowane pliki, wykorzystując do tego celu

nazwy domen o brzmieniu podobnym do oryginalnych.

Kwiecień 2011. W drugi wtorek kwietnia gigant z Redmond uraczył użytkowników swoich

produktów 17 biuletynami bezpieczeństwa - 9 z nich uzyskało status krytycznych

(„critical”), a 8 oznaczono jako ważne („important”). Usunięto m.in. błąd ujawniony w

Internet Explorerze podczas konkursu Pwn2Own na konferencji CanSecWest 2011.

BIULETYNY KRYTYCZNE

Biuletyn MS11-018

Pierwszy z wydanych w tym miesiącu biuletynów dostarcza zbiorczą aktualizację dla Internet Explorera w wersji 6, 7 i 8. Likwiduje ona pięć luk, z których

najpoważniejsze umożliwiają zdalne wykonanie kodu po zwabieniu ofiary na

specjalnie spreparowaną witrynę. Trzy spośród nich posłużyły do skompromitowania

IE8 podczas tegorocznego konkursu Pwn2Own. Czy po zainstalowaniu poprawki

użytkownicy przeglądarek Microsoftu będą mogli czuć się bezpiecznie? Niestety nie -

jak wynika z bloga prowadzonego przez inżynierów tej korporacji, do załatania zostały

jeszcze (co najmniej) dwie dziury. Odpowiedni patch może się pojawić za miesiąc. W

tej sytuacji polecamy aktualizację Internet Explorera do najnowszej wersji (zob.

Startuje IE9 - nowoczesny, choć nie taki znowu „jedyny”).

(szczegółowe informacje)

Biuletyn MS11-019

Page 24: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Ten z kolei biuletyn likwiduje dwie podatności w kliencie SMB, które mogą zostać

wykorzystane do zdalnego wykonania kodu, jeśli atakującemu uda się przekonać

użytkownika do nawiązania połączenia z odpowiednio przygotowanym serwerem.

Luki występują we wszystkich wspieranych przez producenta wersjach Windowsa -

od XP do 7 (podatne są zarówno edycje 32-, jak i 64-bitowe), włączając wydania

serwerowe. Jak podaje Internet Storm Center, stworzono już kod proof-of-concept

demonstrujący wykorzystanie omawianych błędów.

(szczegółowe informacje)

Biuletyn MS11-020

Następny z kwietniowych biuletynów łata bardzo podobną lukę, tyle że w serwerze SMB - do przejęcia nad nim kontroli wystarczy, by atakujący przesłał odpowiednio

zmodyfikowany pakiet. Na atak, tak jak poprzednio, podatne są wszystkie wersje

systemu Windows.

(szczegółowe informacje)

Biuletyn MS11-027

Wraz z tym biuletynem użytkownicy wszystkich wersji Windowsa otrzymują zbiorczą aktualizację zabezpieczeń bitów „zabicia” (ang. kill bits) dla formantów ActiveX.

Poprawka usuwa trzy luki umożliwiające zdalne wykonanie kodu, jeśli użytkownik

wyświetli za pomocą Internet Explorera specjalnie spreparowaną stronę WWW.

Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają niewielkie

uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z

uprawnieniami administracyjnymi. Co ciekawe, dostarczana przez Microsoft

aktualizacja obejmuje także bity „zabicia” dla trzech formantów ActiveX innych

producentów (Oracle, CA oraz IBM).

(szczegółowe informacje)

Biuletyn MS11-028

Kolejny biuletyn usuwa dziurę w zabezpieczeniach platformy Microsoft .NET Framework, która pozwala na zdalne wykonanie kodu w systemie klienta, jeśli

użytkownik wyświetli odpowiednio przygotowaną stronę w przeglądarce obsługującej

aplikacje XAML (XBAP). Aby wykorzystać tę lukę w systemie serwerowym

z działającym IIS, osoba atakująca musi przekazać na ten serwer i uruchomić

specjalnie spreparowaną stronę ASP.NET. Poprawkę powinni zainstalować

użytkownicy oprogramowania Microsoft .NET Framework 2.0 z SP2, 3.5 z SP1, 3.5.1

Page 25: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

oraz 4.0.

(szczegółowe informacje)

Biuletyn MS11-029

Aktualizacja towarzysząca temu biuletynowi łata lukę w zabezpieczeniach interfejsu GDI+ systemu Windows, która umożliwia zdalne wykonanie kodu, jeśli użytkownik

wyświetli specjalnie spreparowany plik obrazu przy użyciu podatnego

oprogramowania lub odwiedzi odpowiednio zmodyfikowaną stronę WWW. Błąd

występuje we wszystkich wersjach Windowsa z wyjątkiem najnowszych (Windows 7 i

Windows Server 2008 R2 nie są na niego podatne). Aktualizację powinni

zainstalować także użytkownicy pakietu Microsoft Office XP.

(szczegółowe informacje)

Biuletyn MS11-030

Następny biuletyn eliminuje błąd w zabezpieczeniach usługi rozpoznawania nazw DNS systemu Windows. Umożliwia on zdalne wykonanie kodu, jeśli osoba atakująca

uzyska dostęp do sieci i utworzy niestandardowy program, który będzie rozsyłać

kwerendy emisji LLMNR do systemów docelowych. Sprawdzone metody działania

stosowane w zaporach oraz standardowe domyślne konfiguracje zapór mogą pomóc

w zabezpieczeniu sieci przed atakami spoza obszaru działania przedsiębiorstwa -

zapewnia Microsoft w biuletynie. Poprawka przeznaczona jest dla wszystkich wersji

Windowsa.

(szczegółowe informacje)

Biuletyn MS11-031

Ta natomiast aktualizacja usuwa lukę w zabezpieczeniach aparatów obsługi skryptów JScript i VBScript, która pozwala na zdalne wykonanie kodu, jeśli

użytkownik odwiedzi specjalnie spreparowaną stronę internetową. Na atak - kolejny

raz - podatne są wszystkie wersje systemu Windows.

(szczegółowe informacje)

Biuletyn MS11-032

Ostatni z biuletynów krytycznych likwiduje dziurę w zabezpieczeniach sterownika OpenType Compact Font Format. Tak jak większość wcześniej omówionych,

Page 26: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

umożliwia ona zdalne wykonanie kodu - aby do tego doszło, użytkownik musi

wyświetlić stronę WWW zawierającą specjalnie spreparowaną czcionkę CFF. Lukę

znaleziono we wszystkich wersjach Windowsa.

(szczegółowe informacje)

BIULETYNY WAŻNE

Biuletyn MS11-021

Od tego biuletynu rozpoczynamy łatanie aplikacji wchodzących w skład pakietu

Microsoft Office. Na pierwszy ogień idzie dziewięć luk w zabezpieczeniach Excela -

wszystkie umożliwiają zdalne wykonanie kodu po otwarciu specjalnie

spreparowanego arkusza kalkulacyjnego. Aktualizacją powinni zainteresować się

użytkownicy oprogramowania Microsoft Office XP, 2003, 2007 i 2010 dla systemu

Windows, a także Microsoft Office 2004, 2008 i 2011 dla Maków.

(szczegółowe informacje)

Biuletyn MS11-022

Załatania wymaga również Microsoft PowerPoint - dostarczana z tym biuletynem

poprawka usuwa trzy dziury pozwalające na zdalne wykonanie kodu, jeśli użytkownik

otworzy odpowiednio zmodyfikowaną prezentację. Osoba atakująca, której uda się

wykorzystać jedną z tych luk, może uzyskać takie same uprawnienia, jak użytkownik

lokalny. Tak jak poprzednio, aktualizację powinni zainstalować posiadacze pakietu

Microsoft Office XP, 2003, 2007 i 2010 w przypadku systemu Windows oraz Microsoft

Office 2004, 2008 i 2011 na komputerach Macintosh.

(szczegółowe informacje)

Biuletyn MS11-023

Kolejny biuletyn likwiduje dwie luki w zabezpieczeniach pakietu Microsoft Office,

które pozwalają na zdalne wykonanie kodu m.in. wtedy, gdy użytkownik otworzy

dokument znajdujący się w tym samym katalogu, co specjalnie spreparowany plik

biblioteki. Użytkownicy, których konta zostały skonfigurowane w taki sposób, że mają

niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż ci, którzy pracują z

uprawnieniami administracyjnymi. Dziury występują w oprogramowaniu Microsoft

Office XP, 2003 i 2007 dla systemów z rodziny Windows, a także w pakietach

Microsoft Office 2004 i 2008 dla Maków.

Page 27: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

(szczegółowe informacje)

Biuletyn MS11-024

Ten biuletyn natomiast dostarcza aktualizację dla wszystkich wersji Windowsa.

Usuwa ona lukę, która umożliwia zdalne wykonanie kodu, jeśli użytkownik otworzy

specjalnie spreparowany plik .cov za pomocą edytora stron tytułowych faksu.

Osoba atakująca, której uda się wykorzystać ten błąd, może uzyskać takie same

uprawnienia, jak zalogowany użytkownik.

(szczegółowe informacje)

Biuletyn MS11-025

Aktualizacja rozprowadzana z tym biuletynem eliminuje dziurę we wszystkich

obsługiwanych wersjach oprogramowania Microsoft Visual Studio oraz pakietach

redystrybucyjnych programu Microsoft Visual C++. Pozwala ona na zdalne

wykonanie kodu, jeśli użytkownik otworzy prawidłowy plik skojarzony z zagrożoną

aplikacją, który znajduje się w tym samym folderze sieciowym, co specjalnie

spreparowana biblioteka .dll.

(szczegółowe informacje)

Biuletyn MS11-026

Następny z biuletynów oznaczonych jako ważne usuwa lukę

w zabezpieczeniach procedury obsługi protokołu MHTML w systemie Windows.

Może ona pozwolić na ujawnienie informacji, jeżeli osobie atakującej uda się

przekonać użytkownika do odwiedzenia specjalnie spreparowanej strony WWW. Luka

związana jest ze sposobem interpretowania żądań w formacie MIME i występuje we

wszystkich wersjach Windowsa. Jak podaje Internet Storm Center, cyberprzestępcy

przystąpili już do aktywnego jej wykorzystywania.

(szczegółowe informacje)

Biuletyn MS11-033

Użytkownicy starszych wersji systemu Windows, takich jak XP i Server 2003, powinni

zainteresować się także tym biuletynem, likwiduje on bowiem lukę w

zabezpieczeniach konwerterów tekstu programu WordPad. Osoba atakująca,

której uda się wykorzystać ten błąd, uzyska takie same uprawnienia, jak użytkownik

Page 28: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

lokalny.

(szczegółowe informacje)

Biuletyn MS11-034

Ostatni z opublikowanych w kwietniu biuletynów łata aż 30 dziur

w zabezpieczeniach sterowników trybu jądra systemu Windows. Umożliwiają one

podniesienie uprawnień, jeśli osoba atakująca zaloguje się lokalnie i uruchomi

specjalnie spreparowaną aplikację. Microsoft zapewnia, że nie jest możliwe

wykorzystanie luk

w sposób zdalny ani przez użytkowników anonimowych. W aktualizację tę powinni

zaopatrzyć się użytkownicy wszystkich wersji Windowsa.

(szczegółowe informacje)

Maj 2011. Miesiąc temu gigant z Redmond uraczył użytkowników Windowsa

siedemnastoma biuletynami bezpieczeństwa. W maju postanowił odsapnąć i wydał tylko

dwa - jeden krytyczny i jeden ważny.

BIULETYN KRYTYCZNY

Biuletyn MS11-035

Pierwsza z opublikowanych w tym miesiącu aktualizacji usuwa lukę w

zabezpieczeniach usługi nazw internetowych systemu Windows (ang. Windows

Internet Name Service, WINS). Umożliwia ona zdalne wykonanie kodu, jeśli

użytkownik systemu, w którym uruchomiono usługę WINS, otrzyma specjalnie

spreparowany pakiet replikacji. Domyślnie usługa WINS nie jest zainstalowana w

żadnym systemie operacyjnym, którego dotyczy luka. Na skutki wykorzystania tej luki

są narażeni tylko klienci, którzy ręcznie zainstalowali ten składnik - zapewnia

Microsoft. Błąd występuje w serwerowych wydaniach Windowsa, a konkretnie w

systemach Windows Server 2003, 2008 oraz 2008 R2 (z wyjątkiem wersji dla

procesorów Itanium).

(szczegółowe informacje)

BIULETYN WAŻNY

Biuletyn MS11-036

Ten z kolei biuletyn dostarcza poprawkę usuwającą dwie luki w zabezpieczeniach

Page 29: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

programu Microsoft PowerPoint, które także pozwalają na zdalne wykonanie kodu. Atakujący, któremu uda się nakłonić ofiarę do otwarcia specjalnie

spreparowanego pliku, może uzyskać takie same uprawnienia, jak zalogowany

użytkownik. Dlatego też osoby, których konta zostały skonfigurowane w taki sposób,

że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż te, które

pracują z uprawnieniami administracyjnymi. Na atak narażeni są użytkownicy

korzystający z oprogramowania Microsoft Office XP, 2003 i 2007 w systemie

Windows, a także Microsoft Office 2004 i 2008 oraz Open XML File Format Converter w systemie Mac OS X.

( szczegó owe informacjeł )

Zasady bezpiecznego logowania się na internetowe konto bankoweKreatywność cyberprzestępców wyłudzających poufne dane od klientów bankowości internetowej zdaje się nie mieć granic. Zamieszczamy poniżej kilka wskazówek, czego wystrzegać się jak ognia i co należy sobie przyswoić, by nie paść ich ofiarą.

Przed zalogowaniem się do serwisu transakcyjnego należy upewnić się, że komputer, z którego korzystamy, nie jest zainfekowany złośliwym oprogramowaniem. Gwarancję taką mogą nam dać pakiety zabezpieczające typu Internet Security renomowanych producentów, pod warunkiem że nie zapomnimy o systematycznym ich aktualizowaniu. Z dużą rezerwą należy podchodzić do skanerów sieciowych oferowanych przez nieznane firmy, cyberprzestępcy chętnie bowiem posługują się fałszywymi programami antywirusowymi (zob. Fałszywe antywirusy plagą 2010 roku – http://di.com.pl/news/34748.html).

Równie ważne jest regularne aktualizowanie systemu operacyjnego i zainstalowanych na nim aplikacji, w szczególności przeglądarek internetowych. Wszystkie nowoczesne przeglądarki zostały zaopatrzone w mechanizmy antyphishingowe – należy sprawdzić, czy zostały one włączone. Jak tego dokonać?

♦ Firefox 4: otwieramy Opcje i przechodzimy do zakładki Bezpieczeństwo, pola wyboru Blokuj witryny zgłoszone jako stwarzające zagrożenie i Blokuj witryny zgłoszone jako próby oszustwa internetowego powinny być zaznaczone.

♦ Internet Explorer 9: w menu Bezpieczeństwo szukamy opcji Wyłącz filtr SmartScreen... Jeżeli jest, to dobrze, jeżeli nie, to aktywujemy wskazany filtr.

♦ Google Chrome 10: otwieramy Opcje i przechodzimy do zakładki Dla zaawansowanych, sprawdzając, czy zaznaczone jest pole wyboru Włącz ochronę przed wyłudzaniem danych (phishingiem) i złośliwym oprogramowaniem.

♦ Opera 11: wybieramy najpierw Ustawienia, następnie Preferencje... i przechodzimy do zakładki Zaawansowane, gdzie z kolei klikamy w Bezpieczeństwo – pole wyboru Włącz ochronę przed oszustwami i złośliwym oprogramowaniem musi być zaznaczone.

Szczególną ostrożność należy zachować, logując się do serwisu transakcyjnego na nieznanym komputerze, zwłaszcza jeśli ma do niego dostęp wiele osób, np. w kafejce internetowej, hotelu czy bibliotece. Dobrym pomysłem jest skorzystanie wówczas z

Page 30: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

systemu Linux uruchamianego z płyty LiveCD, co pozwoli na uniknięcie zagrożeń, które – być może – czają się na danym komputerze (zob. Bezpieczniejsza e-bankowość z Linuksem na LiveCD – http://di.com.pl/news/29119.html).

Jedną z podstawowych zasad, o której zawsze należy pamiętać, jest ręczne wpisywanie adresu strony bankowej w przeglądarce. Nie należy nigdy klikać w odnośniki zawarte w e-mailach, nawet jeśli otrzymana przez nas wiadomość do złudzenia przypomina korespondencję wysyłaną przez bank. Fałszowanie e-maili i nakłanianie za ich pośrednictwem do zalogowania się na podrobionej przez cyberprzestępców stronie należy do najpopularniejszych dziś metod wyłudzania poufnych danych i nosi nazwę phishingu (zob. Phishing – jak go rozpoznać i jak się przed nim chronić – http://bfi.di.com.pl/porady/34077.html). Specjaliści ds. bezpieczeństwa odradzają także dodawanie strony logowania do zakładek w przeglądarce internetowej. Nie brakuje bowiem złośliwych programów, które wykorzystując luki w systemie, mogą zamienić właściwy adres na spreparowany.

Pasek adresu poprawnie załadowanej strony Pekao24 w najpopularniejszych przeglądarkach wygląda następująco:

Firefox

Internet Explorer

Google Chrome

Opera

Jeszcze przed zalogowaniem się należy sprawdzić, czy transmisja danych jest szyfrowana protokołem SSL (ang. Secure Socet Layer). Adres strony musi się zaczynać od https:// a nie http://. W pasku adresu pojawi się symbol zmkniętej kłódki (nie zobaczymy go tylko w najnowszej wersji Firefoksa), a tło tego paska zmieni kolor na zielony. Klikając w tym miejscu, możemy sprawdzić, czy odwiedzana przez z nas strona dysponuje ważnym certyfikatem. Prawidłowy certyfikat wydany dla Banku Pekao SA i adresu https://www.pekao24.pl powinien zawierać:wystawcę: VeriSign, Inc.,

typ certyfikatu: VeriSign Class 3 Extended Validation SSL SGC CA,

jednostkę organizacyjną: VeriSign Trust Network,

ważność certyfikatu: wystawiony 2010-07-28, wygasa 2012-07-28.

Page 31: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

Gdyby wyświetlone dane okazały się inne, nie należy logować się z poziomu tej strony.

Zarówno na tym etapie, jak i zaraz po zalogowaniu się należy uważnie przyjrzeć się zawartości strony, czy nie pojawiły się na niej elementy, których wcześniej nie było. Aby zalogować się do serwisu transakcyjnego Pekao24, wpisujemy najpierw numer klienta, następnie wybrane losowo przez system znaki z ustanowionego wcześniej hasła. Można się przy tym posługiwać udostępnianą przez bank klawiaturą ekranową, która stanowi dobre zabezpieczenie przed keyloggerami – tworzonymi przez cyberprzestępców programami, które rejestrują każde uderzenie klawisza na klawiaturze komputera.

Stosowane przez nas hasło powinno być odpowiednio długie, zawierać małe i duże litery, cyfry oraz w miarę możliwości znaki specjalne (minimalną siłę kryptograficzną hasła wymusza system bankowy). Musi też być unikalne – nie należy takiego samego hasła używać w innych serwisach internetowych. Jeśli cyberprzestępcom uda się je stamtąd wykraść, to uzyskają oni dostęp także do naszego konta bankowego. Więcej na ten temat można dowiedzieć się z artykułu Jak tworzyć silne hasła oraz bezpiecznie korzystać z aplikacji komputerowych i internetu – http://bfi.di.com.pl/porady/34086.html.

Warto pamiętać, że w procesie uwierzytelniania nie są wykorzystywane kody SMS oraz kody z karty kodów jednorazowych, z kolei numer PIN wymagany jest tylko podczas pierwszego logowania w PekaoInternet. Wyświetlenie się na ekranie prośby o wpisanie nietypowych danych powinno wzbudzić niepokój klienta. W takim przypadku należy niezwłocznie skontaktować się z obsługą banku. Sygnałem, że strona została podrobiona przez cyberprzestępców, może być także prośba o podanie producenta, modelu i numeru telefonu. Dane te są wykorzystywane w celu zarażenia komórki klienta szkodliwym oprogramowaniem, które przechwytuje przychodzące z banku wiadomości SMS (zob. w tym biuletynie: ZitMo – nowe zagrożenie czyha na klientów bankowości internetowej).

Większość systemów bankowych, również Pekao24, pozwala na trzy próby logowania się. Jeśli dojdzie do tylu pomyłek, konto bankowe zostanie automatycznie zablokowane. W celu jego odblokowania użytkownik będzie musiał zadzwonić na infolinię lub zgłosić się do najbliższego oddziału banku.

ZitMo – nowe zagrożenie czyha na klientów bankowości internetowej

Jedną z polecanych przez banki metod autoryzowania transakcji, udostępnianą także klientom Pekao, są wiadomości SMS zawierające opis zleconej operacji i powiązane z nią unikalne hasło. Eksperci ds. bezpieczeństwa zastanawiali się nieraz nad możliwością przechwytywania tych SMS-ów przez cyberprzestępców, dochodząc zwykle do wniosku, że jest to zbyt skomplikowane. Twórcom szkodliwego oprogramowania udało się jednak skonstruować konia trojańskiego, któremu nadano nazwę Zeus in the Mobile, w skrócie ZitMo, i sytuacja diametralnie się zmieniła.

Użytkownicy bankowości internetowej mogli słyszeć o Zeusie za sprawą kilku głośnych aresztowań, do których doszło w ubiegłym roku. Chodziło wówczas o zagrożenie infekujące komputery pod kontrolą systemu Windows. Według raportu przygotowanego w styczniu przez laboratorium CERT Polska szkodnik zdołał zarazić kilkanaście milionów maszyn, z czego 3,6 milionów znajduje się w Stanach Zjednoczonych. Jego ofiarą padły m.in. Bank of America, NASA, Oracle, Cisco, Amazon czy BusinessWeek. W odróżnieniu od innych zagrożeń budujących sieci komputerów-zombie, Zeus nie potrafi samodzielnie się rozprzestrzeniać. Zaraża systemy w wyniku kampanii spamersko-phishingowych i technik typu drive-by-

Page 32: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

download (instaluje się na komputerach bez wiedzy ich użytkowników podczas odwiedzania przez nich szkodliwych stron internetowych). Najprostszym sposobem zabezpieczenia się przed tym zagrożeniem jest zainstalowanie programu antywirusowego i jego regularne aktualizowanie. Z uwagi na brak spójnego nazewnictwa szkodnik bywa wykrywany jako Zeus, Zbot, PRG, Wsnpoem, Gorhax, Panda oraz Kneber.

Do pierwszych ataków z wykorzystaniem mobilnej wersji Zeusa doszło pod koniec września ubiegłego roku w Hiszpanii (zob. Trojan Zeus przechwytuje SMS-y z banków – http://di.com.pl/news/33924.html). Już wtedy cyberprzestępcy zaczęli wykazywać zainteresowanie serwisami transakcyjnymi polskich banków. Jak dowiedział się „Dziennik Gazeta Prawna”, ich uwagę przyciągnęły strony: ipko.pl (PKO BP), bska.com.pl (ING Bank Śląski), pekao24.pl i pekaobiznes24.pl (Pekao), millenet.pl (Millenium) oraz mbank.com.pl (mBank). Na efekty nie trzeba było długo czekać – w lutym br. pojawiły się potwierdzone informacje o atakach na klientów ING Banku Śląskiego i mBanku (zob. Policja: uważaj na nowy phishing... i bądź legalny - http://di.com.pl/news/36154.html). W przyszłości zagrożeni mogą być klienci także innych banków, które do autoryzowania transakcji wykorzystują wiadomości SMS. Na stronach wielu z nich można znaleźć ostrzeżenie przed nowym koniem trojańskim.

Atak ZitMo – krok po kroku

Istnieje wiele sprawdzonych metod infekowania komputerów. W przypadku telefonów komórkowych cyberprzestępcy muszą się bardziej wysilić. Pierwszym krokiem jest przygotowanie witryny łudząco podobnej do oryginalnej strony bankowej. Podczas ataków na klientów bankowości internetowej w Polsce wykorzystano złośliwe oprogramowanie, które przekierowywało ofiary na podrobioną witrynę bez ich wiedzy i zgody (technika ta jest nazywana pharmingiem). Innym sposobem wabienia użytkowników na fałszywą stronę mogłoby być wysyłanie e-maili z odpowiednio spreparowanym odnośnikiem do niej. Mimo prowadzonych przez banki akcji edukacyjnych skuteczność pułapek phishingowych nadal jest duża i według specjalistów firmy ESET, którzy badali tę sprawę na początku br., wynosi 21 proc. (zob. Jak skuteczny jest phishing – http://di.com.pl/news/35612.html).

Jeżeli nieświadomy zagrożenia użytkownik zaloguje się na podrobionej przez cyberprzestępców witrynie, zostanie mu wyświetlony komunikat o konieczności zainstalowania na jego telefonie komórkowym certyfikatu bezpieczeństwa. System poprosi o podanie producenta, modelu i numeru telefonu. Celem ataków są obecnie posiadacze smartfonów działających pod kontrolą systemów BlackBerry, Symbian oraz Windows Mobile. Według ekspertów z F-Secure powstanie konia trojańskiego na komórki korzystające z Androida i iOS (systemu operacyjnego stosowanego np. w iPhone’ach) jest tylko kwestią czasu. Zespół CERT Polska przygotował listę podatnych modeli: http://www.cert.pl/wp-content/uploads/atakowanetel.html.

Po zdobyciu numeru telefonu atakujący wysyła SMS z linkiem do złośliwego oprogramowania (przeznaczonego na konkretny model telefonu). Jeśli użytkownik spróbuje otworzyć otrzymany link, na jego telefonie zostanie zainstalowana aplikacja, dzięki której cyberprzestępca uzyska pełną kontrolę nad urządzeniem. Atakujący będzie mógł np. całkowicie zablokować możliwość wykonywania i odbierania rozmów. Głównym zadaniem ZitMo jest jednak przesyłanie SMS-ów przychodzących z banku na numer telefonu cyberprzestępcy i ukrywanie tych działań.

Jak usunąć złośliwą aplikację z telefonu

Prostym i skutecznym, ale niezalecanym przez ekspertów sposobem na pozbycie się ZitMo jest zresetowanie urządzenia. Jak tego dokonać na konkretnym modelu,

Page 33: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

można się dowiedzieć ze strony http://www.factory-reset.com. Trzeba jednak pamiętać, że usunięte zostaną wówczas także wszystkie inne informacje i ustawienia zapisane w telefonie. Lepiej więc skorzystać z zamieszczonych niżej instrukcji opracowanych przez zespół CERT Polska.

Symbian: Właściciele telefonów z tym systemem operacyjnym mogą otrzymać od przestępcy link zakończony ciągiem znaków cert.sis. Podczas instalacji w pamięci zapisywane są pliki firststart.dat, NumbersDB.db oraz settings2.dat. Program o nazwie Certificate można usunąć przy użyciu menadżera aplikacji. Konieczne będzie przy tym podanie odpowiedniego hasła zakodowanego w jednym z wymienionych wcześniej plików. W przypadku infekcji z lutego br. jest to 45930.

BlackBerry: Link wysyłany do użytkowników smartfonów z tym systemem kończy się ciągiem znaków cert.jad, wskutek instalacji tworzony jest plik sertificate.jar lub sertificate.cod. W menu Opcje > Aplikacje zobaczymy wówczas program o nazwie sertificate, który można bezproblemowo usunąć po wyświetleniu okna ze szczegółowymi informacjami na jego temat.

Windows Mobile: Do posiadaczy telefonów z tym systemem atakujący wysyła link do pliku instalacyjnego cert.cab. Po jego uruchomieniu w pamięci telefonu tworzone są cztery pliki z ustawieniami: settings.xml, senders.xml, listnumbers.xml, messages.xml i jeden będący aplikacją MailService.exe. Ten ostatni pozostaje niestety niewidoczny na liście zadań w standardowym menadżerze procesów. Dopiero zainstalowanie dodatkowego oprogramowania umożliwia wyśledzenie i usunięcie szkodnika.

Sposoby ochrony przed ZitMo

Jak już wspominaliśmy, atak zaczyna się często od zainfekowania komputera ofiary, konieczne jest więc jego zabezpieczenie. Klienci Pekao mogą zaopatrzyć się w bezpłatne, sześciomiesięczne wersje pakietów antywirusowych renomowanych producentów, takich jak F- Secure, Panda Security, G Data Software czy Softwin, który oferuje programy pod marką Bit Defender. Aby pobrać którąkolwiek z nich, należy zalogować się na stronie https://www.pekao24.pl. Następnie na „Stronie głównej klienta” trzeba wybrać box „Program antywirusowy”.

W podobny sposób warto zabezpieczyć swój telefon. Ze względu na rosnącą liczbę zagrożeń atakujących platformy mobilne wielu producentów opracowało już stosowne rozwiązania dla komórek. Należy ponadto uważnie przyglądać się każdemu programowi instalowanemu na telefonie i unikać wgrywania czegokolwiek z nieznanych źródeł. Warto pamiętać, że bank nie wysyła swoim klientom żadnych certyfikatów bezpieczeństwa za pomocą wiadomości SMS, jak również, z własnej inicjatywy nie wymaga instalacji dodatkowego oprogramowania na telefonach klientów.

Kolejnym sposobem zabezpieczenia się przed atakami jest włączenie sprawdzania certyfikatu online w telefonie. Nieaktualny certyfikat programu wyklucza możliwość jego instalacji, a większość wariantów Zeusa jest podpisana wycofanymi już certyfikatami – tłumaczą specjaliści firmy F-Secure. W większości telefonów funkcja ta jest z definicji wyłączona, ale można ją łatwo aktywować w ustawieniach aparatu.

Nie należy nigdy ufać linkom zawartym w wiadomościach dostarczanych pocztą elektroniczną – cyberprzestępcy często fałszują wygląd e-maili, by upodobnić je do oficjalnych wiadomości przesyłanych przez bank. Adres strony internetowej banku należy wpisywać samodzielnie, zwracając jednak baczną uwagę na to, by nie popełnić błędu, ani literówki, gdyż przestępcy często korzystają właśnie z takich sytuacji by podstawić swoim ofiarom fałszywe strony. Trzeba bacznie się przyglądać,

Page 34: W numerze AKTUALNOŚCI WARTO WIEDZIEĆ PORADNIK ...

czy na stronie nie pojawiły się nieobecne wcześniej elementy, takie jak np. prośba o podanie producenta, modelu i numeru telefonu. W takim przypadku należy niezwłocznie skontaktować się z obsługą banku.

Można też rozważyć wybór innej metody autoryzowania transakcji. Bank Pekao oferuje możliwość potwierdzania zleconych operacji m.in. z wykorzystaniem kodów generowanym przez PekaoToken, aplikację typu challenge-response instalowaną w telefonie komórkowym lub Tokena sprzętowego, urządzenie generujące kody do autoryzacji transakcji.

Należy przy tym pamiętać, że Bank Pekao nie wymaga instalacji PekaoTokena na telefonie komórkowym. To klient decyduje, czy chce korzystać z tej metody autoryzacji czy nie, a dzięki zachowaniu odpowiednich procedur bezpieczeństwa podczas procesu zamawiania PekaoTokena na komórkę (opisanych poniżej), nie ma możliwości zainfekowania naszego telefonu złośliwym oprogramowaniem.

Aplikacja PekaoToken to nowoczesna i bezpieczna metoda autoryzacji. Łącze do pobrania aplikacji PekaoToken jest wysyłane na telefon komórkowy wyłącznie na zamówienie Klienta, po wcześniejszym wybraniu tej metody autoryzacji w serwisie internetowym, telefonicznym lub w Oddziale Banku. Po uzyskaniu łącza aplikację należy pobrać i zainstalować w telefonie. Każdy kod wygenerowany przez PekaoToken jest unikalny i powiązany tylko z konkretną transakcją zlecaną w PekaoInternet, a dostęp do aplikacji chroniony jest indywidualnym kodem PIN oraz dodatkowym potwierdzeniem w postaci rozpoznania zawartości na obrazku, co zapewnia niezbędną ochronę przed wszelkimi próbami nieprawidłowego wykorzystania tej metody autoryzacji.

Token sprzętowy to urządzenie wielkości karty kredytowej służące do generowania bezpiecznych kodów jednorazowych, którymi akceptowane są operacje zlecane w serwisie internetowym Pekao24 oraz za pośrednictwem konsultantów TelePekao. Pełni identyczną funkcję jak PekaoToken. Jest dedykowany wszystkim, którzy nie chcą używać telefonów komórkowych do autoryzacji operacji a jednocześnie chcą korzystać z rozwiązań zapewniających wysoki poziom bezpieczeństwa. Urządzenie wydawane jest na życzenie Klienta w przypadku wyboru lub zmiany metody autoryzacji operacji (w oddziale Banku, serwisie internetowym, u konsultantów TelePekao) i wysyłane przesyłką kurierską na adres korespondencyjny do Pekao24 w ciągu 3 dni od momentu złożenia dyspozycji.