Styczeń 2010

Groźny exploit rozprzestrzeniający się za pomocą przeglądarki Internet Explorer został niedawno opublikowany. W krótkim czasie użytkownicy forów mogli bez problemu skopiować kod, który w przeciągu ostatnich kilku tygodni był z powodzeniem wykorzystywany między innymi do ataków na Google.

Kod pierwotnie znalazł się na popularniej stronie, służącej do analizowania i wykrywania złośliwego oprogramowania, zamieszczonego między innymi na witrynach WWW. Exploit szybko wzbudził zainteresowanie w środowisku internetowych włamywaczy, stając się jednym z najpopularniejszych narzędzi hakerskich.

Według najnowszego raportu Microsoft, największe zagrożenie złośliwy kod stanowi dla użytkowników przeglądarki Internet Explorer 6, pracujących na systemie Windows XP. Jak wskazuje Tomasz Zamarlik z G Data Software, firmy dostarczającej oprogramowanie antywirusowe, bardzo prawdopodobne jest, że exploit został już zmodyfikowany do nowszych wersji tej popularnej przeglądarki.

Jak oceniają eksperci, zagrożenie dla internautów jest poważne. Exploit umożliwił hakerom pod koniec ubiegłego roku złamanie mechanizmów ochrony między innymi Google'a oraz Adobe System, umożliwiając dostęp do wewnętrznych systemów firmy. „W krajowych warunkach prawdopodobnych wariantów zastosowania luki jest wiele. Haker może na przykład wykorzystać exploita, rozsyłając linki do specjalnie spreparowanych stron WWW i instalując w ten sposób złośliwe oprogramowanie na komputerze ofiary. Wejście na zainfekowaną witrynę może prowadzić do przejęcia całkowitej kontroli nad systemem Windows” – wyjaśnia Tomasz Zamarlik z G Data Software.

Chociaż Microsoft wydal już oficjalną informację, w jaki sposób należy zabezpieczyć się przed błędem w przeglądarce Internet Explorer, to jednak kolejny zestaw aktualizacji systemu zostanie wydany dopiero w pierwszej połowie lutego. „Oznacza to, że przez najbliższe trzy tygodnie hakerzy z powodzeniem będą mogli wykorzystywać tę lukę. Tak długi czas oczekiwania na zestaw łatek jest niestety nieunikniony. Aktualizacje będą możliwe do pobrania dopiero po zakończeniu badań nad różnymi scenariuszami ataków, przeprowadzanych przy zastosowaniu nowoodkrytej luki” – zauważa Tomasz Zamarlik.

Jak oceniają eksperci w dziedzinie bezpieczeństwa, ze w względu na rozbudowaną technologię ochrony pamięci, kod stanowi mniejsze zagrożenie dla użytkowników systemu Windows Vista czy Windows 7. Wielu z nich, skłonnych jest jednak zachęcać do zaktualizowania oprogramowania antywirusowego wzmocnionego zaporą sieciową oraz korzystania w najbliższym czasie z alternatywnych przeglądarek do momentu, aż luka w IE zostanie załatana.

Pakiet Google, znany zestaw darmowego oprogramowania dla systemów z rodziny Windows rozprowadzany przez Google'a, wzbogacił się o program antywirusowy. Zazwyczaj jest to właśnie avast!. Zazwyczaj – bo konkretne zestawienie programów zależy od kraju i języka, dla którego pakiet chcemy pobrać.

Dodany do Pakietu Google'a avast! dostępny jest w wariantach polskim, rosyjskim, czeskim, niemieckim, francuskim, hiszpańskim, włoskim i portugalskim. Użytkownicy korzystający z innych języków – w tym angielskiego – muszą zadowolić się programem Spyware Doctor with Anti-Virus, który zastąpił wcześniej oferowany Norton Security Scan. Program ten pozbawiony jest mechanizmów ochrony w czasie rzeczywistym i ma znacznie mniejszą bazę sygnatur.

Tymczasem oferowany przez Google'a avast! to ten sam program, co Avast Free Antivirus, darmowy program antywirusowy, który regularnie zajmuje pierwsze miejsca na liście najlepszego oprogramowania ochronnego prowadzonego przez serwis AV-Comparatives.org. Jego najnowsza, piąta wersja, została wyróżniona tam za wysoki wskaźnik wykrywalności szkodników, szybkie skanowanie i wygodny interfejs graficzny – a przede wszystkim oferowanie darmowej, niczym nie ograniczonej w funkcjonalnościach wersji dla domowych użytkowników.

Vincent Steckler z Avasta pisze na łamach korporacyjnego bloga: „idąc za filozofią Google'a i Avasta, nasz produkt jest w pełni funkcjonalny i nie próbuje nieustannie użytkownikom wcisnąć płatnych wersji premium. Zawiera narzędzia antywirusowe, zwalczające spyware, blokujące szkodliwe i porwane strony, potrafi blokować na bazie zachowania, heurystyki i wykrywania sygnatur, skanuje według planu, na żądanie i w czasie rzeczywistym, posiada tryb pełnoekranowy i tryb dla gier. W skrócie – Avast Free Antivirus zapewnia pełną ochronę, która potrzebna jest użytkownikom Internetu”.

Pakiet Google'a powinien przyczynić się do dalszej popularyzacji tego znakomitego, darmowego programu. Czy zacznie on być teraz postrzegany jako groźna konkurencja przez producentów płatnego oprogramowania antywirusowego? Zwykle bagatelizują oni tego typu oferty, ale podobnie jak to było w wypadku Microsoft Security Essentials, testy pokazują, że nie widać radykalnej przewagi komercyjnych pakietów antywirusowych nad najlepszym oprogramowaniem darmowym.

Trend Micro wprowadza na rynek nową serię pakietów zabezpieczeń opartych na infrastrukturze Trend Micro Smart Protection Network. Są one przeznaczone dla średnich i dużych przedsiębiorstw, które chcą skutecznie chronić swoje sieci, serwery i punkty końcowe przed najnowszymi zagrożeniami z Internetu przy jednoczesnym obniżeniu kosztów, co jest szczególnie ważne w trudnych warunkach ekonomicznych.

Ponieważ koszty zarządzania bezpieczeństwem stanowią znaczną część wydatków firm na zabezpieczanie treści, nowe pakiety Trend Micro Enterprise Security są bardzo korzystnym wyborem. Zapewniają firmom lepszą ochronę, a przy tym można je szybciej kupić i wdrożyć, a także są łatwiejsze w zarządzaniu. Jak wynika z niezależnych badań, rozwiązania Trend Micro mogą obniżyć prognozowane wskaźniki infekcji nawet o 60%, a koszty zarządzania bezpieczeństwem – o 40% (Osterman Research, Cloud-Client Impact Report, 2009 r.).

Pakiety te są oparte na infrastrukturze Trend Micro Smart Protection Network, co wyróżnia je na tle rozwiązań konkurencyjnych. Infrastruktura ta, wykorzystująca wiele chronionych patentami technologii, łączy techniki internetowe (in-the cloud) z prostszymi metodami opartymi na klientach, aby zapewnić przedsiębiorstwom natychmiastowy dostęp do najnowszych i najsilniejszych zabezpieczeń, niezależnie od tego, gdzie i kiedy użytkownik podłączy się do sieci – z domu, w sieci firmy lub w podróży.

Oto nowe pakiety:

• Trend Micro Enterprise Security Suite
• Trend Micro Enterprise Security for Endpoints and Mail Servers
• Trend Micro Enterprise Security for Gateways
• Trend Micro Enterprise Security for Endpoints

Te cztery nowe produkty, wraz z oprogramowaniem Trend Micro Enterprise Security for Communication and Collaboration, tworzą rodzinę uproszczonych, spójnych rozwiązań dostosowanych do zróżnicowanych potrzeb średnich i dużych firm.

Trend Micro Enterprise Security Suite, standarowy i najbardziej kompleksowy pakiet z nowej serii, jest centralnie zarządzanym rozwiązaniem zabezpieczającym bramy internetowe, serwery pocztowe i serwery plików, komputery stacjonarne, laptopy i urządzenia mobilne. Zapewnia maksymalną, wielowarstwową ochronę przed wirusami, programami szpiegującymi, spamem oraz zagrożeniami mieszanymi, w tym atakami z Internetu.

„Nowe funkcje dostępne w najnowszych pakietach Trend Micro dla średnich i dużych firm podnoszą poziom zabezpieczeń, upraszczają zarządzanie bezpieczeństwem i obniżają koszty, które w przypadku skomplikowanych rozwiązań dla przedsiębiorstw są zwykle wysokie. Trend Micro oferuje klientom nowatorskie technologie i przejrzystość informacji, czyli to, czego najbardziej potrzebują” – powiedział Michael Draeger, starszy specjalista ds. pomocy technicznej w terenie z działu informatycznego firmy Silgan Containers LLC. Firma ta ma ponad 38 zakładów produkcyjnych i jest największym na rynkach, na których działa, producentem metalowych pojemników na produkty spożywcze. Od wielu lat chroni swoje systemy informatyczne przed kradzieżą danych, szkodliwym oprogramowaniem i innymi zagrożeniami z wykorzystaniem wielowarstwowych zabezpieczeń Trend Micro.

„W naszych pracach nad nowymi pakietami Trend Micro Enterprise Security uwzględniliśmy wyniki dokładnych badań rynków pierwotnych, ponieważ chcieliśmy ułatwić firmom poprawienie zarówno skuteczności, jak i wydajności zabezpieczeń” – powiedział Dan Glessner, wiceprezes ds. globalnego marketingu produktów dla przedsiębiorstw i centrów przetwarzania danych w firmie Trend Micro. „Coraz więcej firm konsoliduje rozproszone zabezpieczenia punktowe, chcąc uzyskać mniejszą liczbę bardziej kompleksowych rozwiązań pochodzących od niewielu producentów. Trend Micro jest jednym z dostawców, którzy cieszą się największym zaufaniem”.

Na rynku dostępnych jest obecnie kilkanaście różnych pakietów oprogramowań antywirusowych. Chociaż różnice w przypadku głównych filarów ochrony są nieznaczne, wiele wersji antywirusów udostępnia użytkownikom różnorodne moduły wzmacniające skuteczność skanerów. Często to właśnie takie niuanse decydują o rzeczywistym poziomie bezpieczeństwa internautów.

O ile stosowanie rozbudowanych mechanizmów kontroli rodzicielskiej oraz wzmocnień w postaci zapór sieciowych czy filtrów antyspamowych to obecnie standard w wypadku oprogramowania antywirusowego typu Internet Security, to jednak producenci coraz chętniej udostępniają swoim użytkownikom dodatkowe opcje, które pozwolą skonfigurować oprogramowanie według własnych preferencji. W ślad za tym „klasyczny" antywirus wzbogacany jest modułami Web Filter blokującymi wyskakiwanie niepożądanych okien, takich jak np. banery, czy dodatkowymi zaporami dedykowanymi specjalnie dla miłośników gier sieciowych. To jednak tylko niewielka część możliwości, jakie daje najnowsze oprogramowanie.

Obecnie, ważne jest, aby produkty antywirusowe poza częstymi aktualizacjami sygnatur zapewniały przede wszystkim proaktywną ochronę, wykorzystując przy tym skomplikowane techniki heurystyczne. Jak zauważają eksperci z AV-Comparatives, nawet dziś, pomimo niemal natychmiastowej aktualizacji baz wirusów, zawsze pozostaje luka czasowa między pojawieniem się nowego zagrożenia, a udostępnieniem dla niego sygnatur. Ten moment jest decydujący dla bezpieczeństwa użytkownika Sieci, dlatego skuteczność antywirusów badana jest w szczególności pod kątem pojawienia się nieznanego dotąd złośliwego oprogramowania.

Jeszcze do niedawna wydawało się, że jedynym skutecznym rozwiązaniem będzie całkowite zawierzenie technologii ochrony w chmurze. Obecnie, w obliczu niedoskonałości samego modelu, wielu producentów skłania się w kierunku wdrażania dodatkowych modułów, które dodatkowo wzmacniały będą ochronę w czasie rzeczywistym. Na uwagę zasługuje program G Data, w którym jako jedynym na rynku zastosowano nowatorskie połączenie dwóch odrębnych skanerów antywirusowych z niezależnymi bazami sygnatur z technologią cloud computing.

Rozwiązanie takie pozwala na korzystanie ze wszystkich zalet płynących z technologii ochrony w chmurze, zapewniając jednocześnie użytkownikom stabilny panel ochrony lokalnej. Jak zauważają twórcy programu, tak nietypowe połączenie umożliwiło znaczne zmniejszenie obciążenia procesora oraz widoczne przyspieszenie samego procesu skanowania. Co więcej, zastosowane silniki współdziałają z bazami wirusów rożnych producentów, przez co siła ochrony proaktywnej jest znacznie większa. Efekt ten jest wynikiem wprowadzenia zarówno dwurdzeniowego systemu, jak i aplikacji, które w inteligentny sposób równoważą pracę silników podczas skanowania.

Jak wskazują wyniki badań Av-comparatives, synergia tradycyjnej, lokalnej ochrony wsparta rozwiązaniami Cloud jest obecnie najlepszą możliwą ochroną przed szkodliwym oprogramowaniem. Tak nietypowe połączenie przyniosło również bardzo dobre rezultaty we wszystkich testach skuteczności programu – według niezależnych instytucji AVTest.org oraz Av-comparatives.org, oprogramowanie G DATA charakteryzuje się ponad 99 procentową skutecznością. Jest to najwyższy wynik spośród wszystkich testowanych programów, chociaż należy zaznaczyć, że ścisłej czołówce różnice w tym względzie są nieznaczne.

Źródło: AV-Test.org, wyniki za 12.2009

Inne nowości na rynku antywirusów to także stosowanie technologii Outbreak Shield, która pozwala na natychmiastową ochronę komputera bez dokonywania aktualizacji. Nowe zagrożenia pojawiające się w Internecie, za pomocą technologii ochrony w chmurze  są natychmiast wykrywane i blokowane. Wsparciem dla tego procesu jest aplikacja Smart Stealth pozwalająca na „ukrywanie" komputera podłączonego do Sieci. Do pakietów coraz częściej dołączany jest również filtr antyphishingowy ze skanerem wykrywającym szkodliwy kod na stronach WWW. Nowoczesne programy antywirusowe, zapewniające proaktywną ochronę wyposażone są także w specjalne moduły do zwalczania między innymi rootkitów.

Z punktu widzenia użytkowników, nie mniej istotne znaczenie ma funkcjonalność programu. Przyjazny użytkownikowi interfejs łączy prostotę obsługi z  możliwością elastycznego dopasowywania parametrów pracy poszczególnych modułów. To rozwiązanie umożliwia między innymi skonfigurowanie pracy silników skanujących, tak by każdy samodzielnie mógł dostosować pracę systemu do swoich potrzeb. Panel pozwala na kontrolowanie działania skanerów oraz niespotykanie rozbudowanych filtrów antyspamowych, dzięki czemu można dodatkowo zmniejszyć zużycie procesora. Na uwagę zasługuje również zastosowanie analizy statystycznej Bayesa, która pozwala na zapamiętywanie, jakiego typu wiadomości są spamem. W niektórych wersjach programów ciekawym dodatkiem do standardowego zestawu modułów jest także narzędzie do bezpiecznego kasowania plików.

Oprogramowanie typu Internet Security to obecnie najlepsze rozwiązanie do zabezpieczenia domowego komputera. Proste w obsłudze pakiety zapewnią szerokie spektrum ochrony oraz udostępnią użytkownikom kilka dodatkowych, przydatnych funkcji. Nie trzeba chyba nikogo przekonywać, że ostatnim, co chciałby wystawić na ryzyko, jest własne bezpieczeństwo.

Jak informuje producent oprogramowania antywirusowego AVG, według specjalistów z FBI ataki cyberprzestępców są potencjalnie bardziej niebezpieczne niż groźba ataku nuklearnego i broni masowego rażenia.

Eksperci ze Stanów Zjednoczonych ostrzegają przed nadciągającym „Cybergeddonem”. Jest to wizja rzeczywistości – nie tak odległej w czasie – gdzie zaawansowana ekonomia, której większość istotnych elementów kontrolowana jest przez komputery, może paść łupem hakerów. Nietrudno wyobrazić sobie chaos, który powstałby, gdyby sprawy przyjęły tak katastrofalny obrót.

Całe szczęście jeszcze nie musieliśmy zmierzyć się z konsekwencjami takiej „cyberkatastrofy”, ale stale narażeni na zagrożenia cyberprzestępczością, powinniśmy przedsięwziąć choćby podstawowe kroki w celu ochrony przed potencjalnym atakiem.

Ataki cyberprzestępców przybierają coraz to bardziej wyrafinowane formy, dlatego tak istotne jest, by nasza ochrona miała charakter permanentny. Coraz bardziej zaawansowane telefony komórkowe, cyfrowe organizery (PDA), w których przechowujemy cenne prywatne dane, czy wreszcie konsole do gier – wszystko to, obok komputerów – może stać się ofiarą ataków cyberprzestępców.

Niepokojącym jest również fakt, że z 200 milionów linii kodu, w które wyposażone są obecnie komputery osobiste, aż 2 miliony zawiera błędy, stanowiąc tym samym łatwy cel dla działań cyberprzestępców.

Wraz ze wzrostem zagrożenia cyberprzestępczością finansową istotnym zagrożeniem staje się również kradzież tożsamości. W samym tylko 2007 roku, z elektronicznych kont banków zniknęło prawie 37,4 miliona euro, co w porównaniu z 2006 stanowiło wzrost sumy skradzionych pieniędzy rzędu 50%.

Pewne jest, że instytucje odpowiadające za bezpieczeństwo będą robiły wszystko, co w ich mocy, by uchronić nas przed konsekwencjami przestępczości internetowej. Pytanie jednak, czy to wystarczy? Czy nie powinniśmy sami przedsięwziąć jakichś kroków, z których najbardziej oczywistym zdaje się wyposażenie się w oprogramowanie ochronne?

Sophos, firma specjalizująca się w technologiach ochrony informacji, przypomina właścicielom stron internetowych o właściwej ochronie swoich systemów po nocnym ataku na wyszukiwarkę Baidu.com – numer jeden w Chinach. Hakerzy umieścili na głównej stronie wiadomość od "Irańskiej Cyber Armii".

Użytkownicy odwiedzający stronę Baidu.com byli witani komunikatem – "Ta strona została zhakowana przez Irańską Cyber Armię" – oraz ilustracją przedstawiającą flagę Iranu. Wszystko wskazuje na to, że atak został przeprowadzony przez tą samą grupę hakerów, którzy umieścili podobne wiadomości na stronie Twittera w grudniu ubiegłego roku, przysparzając kłopotów milionom mikro-blogerów.

"W Chinach, Baidu wyprzedza Google pod względem ilości wyszukiwań, co czyni witrynę bardzo atrakcyjnym celem dla cyberprzestępców. Osoba, której uda się naruszyć bezpieczeństwo ma niezwykły potencjał do przeprowadzenia ataku na ogromną skalę" – powiedział Graham Cluley, starszy konsultant ds. technologii w Sophos. "Chińscy internauci powinni odetchnąć z ulgą, że hakerzy nie wykorzystali tej okazji do zainfekowania komputerów, zamiast angażować się w coś, co wygląda na manifest o charakterze politycznym. Mimo wszystko, padają pytania, jak doszło do ataku na tak dużą skalę".

Istnieje przypuszczenie, że serwery Baidu nie zostały zhakowane, zamiast tego naruszono ich rekordy DNS. Tak, jak to było w przypadku ataku "Irańskiej Cyber Armii" na Twittera.

wiadomość od "Irańskiej Cyber Armii".

Starsi internauci, którzy pamiętają jeszcze czasy atrakcyjnych dźwięków modemów telefonicznych i niezawodnego numeru 020 21 22, dobrze też pamiętają dialery – niewielkie programiki, które zwykle bez wiedzy internauty zmieniały w ustawieniach Windows numer sieci dostępowej. Ich ofiarom przychodziło wówczas płacić grube pieniądze za połączenia z numerami na Antylach czy Kajmanach. Towarzyszyły zwykle witrynom porno, a ich usunięcie wymagało ręcznego poprawiania systemowego rejestru. Zniknęły dopiero z wejściem technologii DSL pod strzechy.

Teraz dialery triumfalnie wracają – a ich nowym środowiskiem działania są telefony komórkowe, nawet te najprostsze. Jak informują badacze z laboratoriów firmy CA Security, nowa fala szkodliwych trojanów dla komórek wykorzystuje Javę 2 Micro Edition (a zatem działają one na praktycznie każdym współcześnie sprzedawanym telefonie poza iPhone), aby wysyłać bez wiedzy użytkownika SMS-y na bardzo kosztowne numery.

„Zaraz po uruchomieniu aplikacji, złośliwy program zaczyna wysyłać wiadomości tekstowe typu premium” – piszą badacze CA Security. „Wysyłane wiadomości mają typowy format do włączania usług premium i kończą się wystawieniem wysokiego rachunku przez operatora” – dodają.

Oczywiście, podobnie jak to było w poprzedniej dekadzie, większość dialerów wiąże się z usługami dotyczącymi pornografii. Zespół CA nadał odkrytej rodzinie trojanów nazwę „Java/Swapi.B” i nawołuje do zachowania dużej ostrożności przy instalowaniu oprogramowania na naszych telefonach.

Więcej informacji na ten temat można znaleźć na blogu CA Security.

„Współpraca z producentami oprogramowania to po prostu marnowanie czasu” – tak stwierdził Jewgienij Legorow, założyciel moskiewskiej firmy Intevydis, która od wielu lat wyręcza firmy takie jak IBM czy Novell w wyszukiwaniu luk w ich serwerowym oprogramowaniu. Legorow zamierza teraz wszystkie znaleziska jego firmy udostępniać zaraz, jak tylko zostaną odkryte.

Poddał się kolejny bastion szyfrowania RSA. Międzynarodowy zespół kryptografów, informatyków i matematyków złamał 768-bitowe klucze, wykorzystywane w wielu systemach szyfrujących.

Faktoryzacja 768-bitowej, liczącej 232 cyfry liczby, którą wzięto z nieaktualnej już listy konkursu RSA Challenge (listy dużych, pseudopierwszych liczb, przedstawionej w 1991 roku wraz z nagrodami pieniężnymi za ich rozłożenie) została dokonana dzięki algorytmowi rozkładu liczb na czynniki pierwsze, znanemu jako number field sieve – ogólne sito ciała liczbowego.

Za pomocą tego algorytmu wcześniej udało się poradzić z liczbami RSA-576 (174 cyfry dziesiętne) i RSA-640 (193 cyfry dziesiętne). Specjalistom udało się w końcu osiągnąć sukces i złamać RSA-768 12 grudnia 2009 roku. Pobito w ten sposób rekord innego zespołu, który w maju 2005 roku złamał RSA-663.

„To krok milowy dla kryptografii, niepodważalny dowód na to, że klucze 768-bitowe są niewystarczające. Bardzo interesujący sposób na podsumowanie dekady” – stwierdził Benjamin Jun, wiceprezes firmy Cryptography Research.

Faktoryzacja RSA-768 zajęła 2,5 roku pracy setek komputerów PC (dla porównania, złamanie RSA-640 zajęło niecałe pół roku pracy). Pierwsze sześć miesięcy zeszło badaczom na wyborze wielomianów, następne dwa lata zajęło przesiewanie liczb. Jak oceniają autorzy, aby powtórzyć ten wynik na komputerze z jednordzeniowym procesorem Opteron 2,2 GHz i 2 GB RAM, „trzeba byłoby przeznaczyć na to 1500 lat”.

Autorzy twierdzą, że z czysto praktycznego punktu widzenia, złamanie klucza nie powinno być problemem, ponieważ klucze RSA-768 i tak powinny zostać wycofane do końca 2010 roku. Jednak Nate Lawson, kryptograf z firmy Root Labs stwierdził, że klucze takie nie znikną z rynku tak szybko – będą wykorzystywane przez mniejsze urządzenia, którym brak mocy obliczeniowej, aby radzić sobie z większymi liczbami.

Jak oceniają specjaliści, złamanie 768-bitowego klucza było „kilka tysięcy razy trudniejsze”, niż złamanie klucza 512-bitowego. Faktoryzacja RSA-1024 ma być jakieś tysiąc razy trudniejsza niż w wypadku ostatniego sukcesu – ale powinna być możliwa w przeciągu najbliższego dziesięciolecia.

Użytkownicy Adobe Readera ofiarami zaawansowanego ataku hakerskiego

W ciągu tygodnia firma Adobe powinna wydać aktualizację, która załata krytyczną lukę w programach Reader i Acrobat. Cyberprzestępcy wykorzystują tymczasem furtkę, przeprowadzając wysoce skomplikowane ataki na użytkowników.

Nośnikiem zagrożenia jest plik PDF, w którym pierwsza warstwa złośliwego kodu, tzw. egg-hunting shellcode, zajmuje raptem 38 bajtów. To za mało dla większości skanerów antywirusowych. Tylko cztery z 41 popularnych programów ochronnych są w stanie wykryć zagrożenie. W kolejnym etapie instalowany jest klient PoisonIvy, który umożliwia przejęcie kontroli nad zainfekowaną maszyną.

„Mamy tu do czynienia z bardzo ciekawym sposobem na ukrycie złośliwego kodu w ramach dokumentu PDF. Widać, że hakerzy zadali sobie bardzo dużo trudu, aby zmniejszyć skuteczność skanerów antywirusowych (…)” – napisał Bojan Zdrnja z organizacji Sans.

PDF został spreparowany w Chinach 29 grudnia. Następnie wysłano go jako załącznik e-mailowy do nieznanej firmy. Dołączono do niego ukryty plik wykonawczy, który odpowiadał za uruchomienie właściwego PDF-a w celu zmylenia użytkownika.

Wykorzystywana przez hakerów luka została wykryta w połowie grudnia 2009 r. Adobe zapowiedziało wydanie łatki dopiero na 12 stycznia br. Amerykańska korporacja została po raz kolejny skrytykowana za opieszałość i niestaranność. Z Readera i Acrobata korzysta łącznie około 95% komputerów na świecie. Zagrożenie jest więc bardzo poważne.

Nie będzie w tym roku ustawowego wsparcia dla walki ze spamem

Choć spam jest jednym z najpoważniejszych problemów współczesnej Sieci, polski rząd podchodzi do sprawy raczej lekko. W 2010 nie zostaną wprowadzone zmiany w prawie telekomunikacyjnym, które miały ograniczyć liczbę niechcianych wiadomości, zaśmiecających nasze skrzynki pocztowe.

„Gazeta Wyborcza” informuje, że Ministerstwo Infrastruktury zdecydowało się wstrzymać prace nad nową ustawą telekomunikacyjną, której przyjęcie planowanego pakietu na jesień 2010 roku. Powodem ma być konieczność dostosowania jej do telekomunikacyjnego, niedawno przyjętego przez Parlament Europejski.

Planowane w nowej ustawie zapisy umożliwiały surowe karanie spamerów – karami grzywny (nawet do 100 tys. złotych) jak i ograniczaniem ich dostępu do Sieci. Dotyczyłoby to zarówno osób, które rozsyłają spam e-mailowy, jak i poprzez inne media – komunikatory czy SMS-y.

Brian Krebs, znany specjalista od spraw bezpieczeństwa IT, uruchomił nowy blog krebsonsecurity.com. W pierwszej opublikowanej tam historii zwraca uwagę na pojawienie się skanerów antywirusowych online, które adresowane są do… twórców wirusów, pozwalając im sprawdzać, jak radzą sobie ich dzieła wobec heurystycznych mechanizmów pakietów obronnych.

Skanery antywirusowe online to nic nowego – znany serwis virustotals.com pozwala użytkownikom na wgranie podejrzanego pliku i sprawdzenie go przez kilkanaście pakietów antywirusowych. Wyniki przesyłane są producentom oprogramowania zabezpieczającego, dzięki czemu mogą oni dowiedzieć się czegoś o zagrożeniach, których nie nauczyli się jeszcze wychwytywać. W Sieci pojawiły się jednak nowe skanery plików, które gwarantują, że nie będą dzieliły się wynikami testu ze społecznością twórców antywirusów.

Za jedyne 40 dolarów miesięcznie (lub dolara od przeskanowanego pliku), serwis av-check.com sprawdzi, czy przesłany przez użytkownika plik jest przechwytywany przez 22 programy antywirusowe – w tym aplikacje Avasta, AVG, F-Secure, Kasperskiego, NOD32 czy Pandy. Twórcy serwisu piszą: „Każdy z antywirusów jest ustawion na maksymalny poziom testu heurystycznego. Gwarantujemy, że nie zapisujemy wgranych przez ciebie plików ani nie przesyłamy ich nikomu innemu. Pliki są sprawdzane tylko lokalnie (…)”.

W przyszłości serwis chce poszerzyć swoje funkcjonalności – dodane zostaną mechanizmy do testowania szkodników przeciwko zaporom sieciowym i programom do wykrywania spyware'u, a także sprawdzania, czy działają w maszynach wirtualnych. Chodzi o to, aby utrudnić życie producentom oprogramowania zabezpieczającego – często, aby ułatwić sobie życie, testują oni nowe szkodniki w zwirtualizowanych systemach Windows. Dlatego coraz więcej rodzin szkodników wyłącza się i kasuje, gdy wykryje, że jest uruchomiona w maszynie wirtualnej.

Podobną usługę zapewnia virtest.com. Również tam można swojego wirusa wgrać na serwer i sprawdzić jego odporność na antywirusowe oprogramowanie, również tam autorzy zapewniają, że wyniki testów nie zostaną nikomu przekazane. Serwis pozwala różnież na sprawdzanie tzw. „pakietów exploitów”, czyli zestawów szkodliwego oprogramowania serwowanych przez przejęte strony internetowe, które służą do przejęcia komputera użytkownika poprzez luki w przeglądarkach. Virtest.com potrafi pokazać, czy przygotowany pakiet wywoła alarm w popularnych programach ochronnych.

Oba serwisy gwarantują swoim użytkownikom oczywiście pełną anonimowość. Nawet płatności realizowane są tylko przez systemy Fethard i Webmoney Transfer, pozwalające na skuteczne ukrycie transakcji – a co za tym idzie lubiane w szarych i czarnych strefach Sieci.

Firewalle w routerach są już bezużyteczne

We wtorek haker Samy Kamkar przedstawił metodę identyfikacji położenia geograficznego uruchomionej przeglądarki internetowej wykorzystując słabe punkty wielu routerów Wi-Fi.

Kilka dni później zaciekawił kolejną metodą ułatwiająca penetrację firewalli za pomocą javascriptu zintegrowanego w kodzie strony www.

Kliknięcie ofiary w złośliwy odnośnik internetowy może ułatwić atakującemu uzyskanie dostępu do dowolnej usługi komputera, nawet jeśli znajduje się on za routerem automatycznie blokującym kontakt tej usługi ze światem zewnętrznym. Sposób Kamkara został przetestowany na bezprzewodowym routerze Belkin N1 Vision, jednakże haker podejrzewa, że podobne sztuczki udałyby się również z innymi urządzeniami sieciowymi.

“Moge spenetrować firewall/router I połączyć się przeze mnie wybrany port – nawet, jeśli firewall go blokuje” – wyjaśnia Kambar. „Do ataku nie jest potrzebna ani autoryzacja, ani XSS, itp. Wystarczy odwiedzić złośliwą stronę internetową” – dodaje.

“Wiele osób fałszywie uważa, że skoro znajduje się za sprzętowym firewallem, może czuć się bezpiecznie. Nic bardziej mylnego” – ostrzega Kamkar.

Problem jest trudny do rozwiązania, gdyż większość routerów dostępnych na rynku zawiera technikę translację NAT. Częściowym rozwiązaniem może być dodatkowy, software’owy firewall zainstalowany bezpośrednio na komputerze – choć nawet wtedy kilka portów może być dostępnych – informuje Kamkar.

Rekordy cyberprzestępczości

Cyberprzestępcy wyprodukowali w 2009 roku więcej złośliwego oprogramowania, niż w ciągu 20 poprzednich lat – uważa Panda Security.

W ciągu ubiegłego roku PandaLabs, laboratorium Panda Security, zidentyfikowało 25 milionów próbek malware – wynika z raportu firmy. Dla porównania - w ciągu 19 lat pracy PandaLabs zidentyfikował w sumie 15 milionów próbek złośliwego oprogramowania.

Cyberprzestępcy stworzyli narzędzie, które automatyzują proces replikacji malware, dzięki czemu udaje się im “wyprodukować” tysiące mutacji tego samego wirusa czy trojana – tłumaczy Sean-Paul Correll z PandaLabs. W niektórych przypadkach sprzedają oni nawet swoje usługi.

Dziennie PandaLabs identyfikuje średnio 55 tysięcy próbek złośliwego oprogramowania. Dominującą grupą są trojany – ich udział to aż 66 procent wykrytego malware. Wśród trojanów natomiast prym wiedzie oprogramowanie bankowe. Dystrybucja zaś odbywa się głównie poprzez serwisy społecznościowe, takie jak Twitter, Facebook czy Youtube.

VMPCrypt 4 już dostępny

Ukazała się polska aplikacja do ochrony prywatności - VMPCrypt 4. Aplikacja bazuje na polskiej technologii szyfrowania VMPC, której autorem jest Bartosz Żółtak i która została opublikowana na międzynarodowej konferencji kryptograficznej FSE 2004.

VMPCrypt pozwoli nam zaszyfrować poufne pliki i foldery, wysłać zaszyfrowane emaile, wymazać pliki z dysku, wygenerować bezpieczne hasła, a także przechowywać dane (np. listy haseł, listy kontaktów) w zaszyfrowanej bazie danych.

Pełna wersja aplikacji dostępna jest za darmo z licencją 60-dniową. Producent zapewnia jednak, że aplikacja pozostaje w pełni funkcjonalna także po upływie tego okresu.

Cyberprzestępcy zaatakują Google Chrome OS