B i u l e t y n Numer 1 Styczeń - Luty 2006 W numerze: Słowo wstępne Słowo wstępne...1 Incydenty, których nie obsługiwaliśmy w 2005 r....2 Niebezpieczne (nie)zdjęcie...3 Przegląd wydarzeń...4 Raport CERT Polska...6 Kalendarium...7 Poznaj nas...8 Liczba numeru 2516 Tyle incydentów obsłużył zespół CERT Polska w 2005 roku W 2006 rok postanowiliśmy wkroczyć z nową, nie odświeżoną, lecz całkowicie zrewidowaną formułą naszego Biuletynu. Mamy nadzieję, że będzie ona dla Państwa atrakcyjniejsza nie tylko wizualnie, lecz również merytorycznie. Wydanie pierwszego numeru zbiega się z opublikowaniem dorocznego raportu z działalności zespołu. Zapowiedź raportu, która, mam nadzieję, zachęci do lektury całego materiału, znajdą Państwo wewnątrz numeru. Nieco mniej formalnego podsumowania roku dokonał kierownik zespołu CERT Polska, Mirosław Maj, pisząc o incydentach, które nie zostały uwzględnione w raporcie, ponieważ nigdy nie zostały do nas zgłoszone. Znalazło się także miejsce na materiał związany z incydentami aktualnie obsługiwanymi. Bartosz Kwitkowski opisał przykład rozprzestrzeniania szkodliwego oprogramowania przy użyciu komunikatora Gadu- Gadu. Wierzymy, że kalendarium CERT Polska, które oprócz felietonu i informacji technicznych ma być stałym elementem Biuletynu, przybliży Państwu naszą działalność oraz inicjatywy, w które jesteśmy zaangażowani. Ponieważ zależy nam na tym, by Państwo, jako odbiorcy Biuletynu, czerpali z niego jak najwięcej korzyści, będziemy wdzięczni za przekazywanie komentarzy, uwag i propozycji tego, co chcieliby Państwo znaleźć na naszych łamach przekazane na adres redakcji biuletyn@cert.pl. Na wybrane listy odpowiemy w kolejnym numerze - już za dwa miesiące. Przemysław Jaroszewski Redaktor naczelny Strona 1
Felieton Bez CERTowania..może ktoś chciałby sprawdzić, jak to CERT Polska radzi sobie z wirusami przenoszonymi przez telefony komórkowe. Niestety, nikt nie zgłosił, nikt nie chciał. Przez cały rok okrągłe zero takich przypadków. Mirosław Maj Incydenty, których nie obsługiwaliśmy w 2005 roku Właśnie opublikowaliśmy kolejny raport zespołu CERT Polska. Zawiera on informacje, które zgromadziliśmy ze zgłoszonych do nas incydentów oraz tego, co nam samym udało się złapać w sieci. Oczywiście, jak to bywa w ostatnich latach, mieliśmy do czynienia głównie z czymś, co w terminologii klasyfikacji nazywamy gromadzeniem informacji, a co w rzeczywistości jest sieciowym skanowaniem. Niektórzy mówią szum sieciowy, my odpowiadamy - skanowanie z przejętego komputera, fragment botnetu itp. Nie to jednak jest przedmiotem tego tekstu. Analizując przypadki i wyciągając wnioski z ich obsługi, doszliśmy do wniosku, że równie ciekawe jest to, jakich incydentów do nas nie zgłoszono. Jakich incydentów można by się spodziewać, a jednak ich nie ma? Biorąc pod uwagę zainteresowanie mediów i wysiłki firm komercyjnych w promowaniu pewnych rozwiązań, moglibyśmy oczekiwać niejednego zgłoszenia powiązanego z działaniem sieci bezprzewodowych, no i może ktoś chciałby sprawdzić jak to CERT Polska radzi sobie z wirusami przenoszonymi przez telefony komórkowe. Niestety, nikt nie zgłosił, nikt nie chciał. Przez cały rok okrągłe zero takich przypadków. Nie jest oczywiście tak, że do CERTu zgłasza się wszystko, ale z naszych doświadczeń wynika, że jeśli jakieś zagrożenia są, to przynajmniej pojedyncze przypadki incydentów są zgłaszane również do nas. Jest więc tak dobrze, że te zagrożenia (wirusy komórkowe, słabość sieci bezprzewodowych) w praktyce nie powodują żadnych problemów, czy tak źle, że np. użytkownicy sieci bezprzewodowych nie mają najmniejszego pojęcia o tym, że ich sieci są wykorzystywane? Wydaje mi się, że i jedno i drugie. Wirusami komórkowymi nie jest łatwo się zarazić, o czym pisaliśmy kiedyś na naszej stronie (http://www.cert.pl/news/667), zaś sieci bezprzewodowych zapewne rzadko kto pilnuje i, co gorsza, wielu w ogóle nie zabezpiecza. Wokół komórek kręcą się producenci oprogramowania antywirusowego na systemy instalowane w telefonach, którzy zdają sobie sprawę z olbrzymiego rynku i dzielą już skórę na niedźwiedziu. Z sieci bezprzewodowych korzystają hakerzy urządzając swoje wardriving i warchalking, o czym właściciele tych sieci zazwyczaj nie mają pojęcia. Na wszelki wypadek, proponujemy więc nie wciskać za dużo na klawiaturze telefonu, pozmieniać nazwy swoich sieci bezprzewodowych, hasła administratora i uruchomić choćby najsłabsze szyfrowanie. Strona 2
Z laboratorium CERT Niebezpieczne (nie)zdjęcie Bartosz Kwitkowski 97xxx73 (12-12-2005 12:54) Witam Ja (12-12-2005 12:54) witam, z kim mam przyjemnosc? 97xxx73 (12-12-2005 12:54) mam na imie Karolina, znalazlam cie na stronie ze zdjęciami jestes super, chce cie poznac! moja fotka jest tutaj http://xxxxxxx.xxx/dl/adv4 35.php Ja (12-12-2005 12:54) cos nie chce sie otworzyc :/ W październiku ubiegłego roku otrzymaliśmy zgłoszenie incydentu, w którym informowano nas o złośliwym oprogramowaniu. Użytkownik otrzymał wiadomość poprzez komunikator Gadu-Gadu, w której podany był adres strony internetowej. Wejście na podaną stronę narażało komputer użytkownika na infekcję złośliwym oprogramowaniem. Z upływem czasu zgłoszeń przybywało. Pojawiały się różne numery nadawców wiadomości. Zgłoszenia od użytkowników Internetu oraz analiza złośliwego oprogramowania pozwoliła na zdefiniowanie wielu serwerów, na których znajdują się niebezpieczne strony internetowe. Z punktu widzenia odbiorcy wiadomości scenariusz pozostaje prawie ten sam. Jest on zachęcany do wejścia na stronę, na której rzekomo znajduje się fotografia nadawcy. Bez problemu możemy wyobrazić sobie inną sytuację. Otrzymujemy wiadomość, w której jesteśmy informowani o tym, że pod podanym adresem znajduje się strona internetowa z naszymi zdjęciami z ostatniej imprezy np. sylwestrowej. Sposobów na zachęcenie do odwiedzenia niebezpiecznej strony jest wiele. Mechanizm infekcji komputera opiera się na kilku lukach dotyczących przeglądarki Internet Explorer. Zaktualizowany program antywirusowy powinien zapobiec działaniu infekującego kodu. Według Symanteca, złośliwe kody rozpoznawane były m.in. jako Bloodhound.Exploit, Downloader.Trojan oraz Trojan.ByteVerify. Komputer, na którym zainstalowano złośliwe oprogramowanie, służy przede wszystkim jako odbiorca reklam ze stron internetowych. Instalowane są również BHO (Browser Helper Objects) znane również jako tzw. toolbars, zawierające reklamy. Interesującym, na pozór absurdalnym, efektem dodatkowym po zainstalowaniu złośliwego oprogramowania, jest poinformowanie użytkownika o fakcie infekcji. Na pulpicie pojawia się napis: Your computer is infected. lub Spyware detected. Dodatkowo instalowane są programy SpySheriff lub WinHound, które rzekomo mogą usunąć znajdujące się złośliwe oprogramowanie. I tutaj kończy się absurd. Aby skorzystać z programów, które nota bene wyrządzają więcej szkody niż pożytku, użytkownik musi wykupić licencję wartą około 30 dolarów. Do zapłacenia za program trzeba użyć karty kredytowej. Strata pieniędzy może nie być tak dotkliwa jak utrata poufnych informacji dotyczących karty kredytowej. Strona 3
Wraz z upływem czasu wersja złośliwego oprogramowania była kilkakrotnie zmieniana. Modyfikowano głównie sposób infekcji. Obecnie wykorzystuje się luki dotyczące plików WMF (http://www.cert.pl/news/734). Kod złośliwego oprogramowania jest aktualizowany średnio co 3-4 tygodnie. Zmieniane są struktury katalogów zdalnych oraz adresy serwerów. Ciągły rozwój technologii wytwarzania złośliwego oprogramowania nie dotyczy tylko usprawniania mechanizmów infekujących komputer. Trzeba zadbać również o część mniej techniczną, tzn. inżynierię socjalną. Użytkownicy Internetu coraz bardziej sceptycznie przyglądają się wiadomościom e-mail od tajemniczych nieznajomych. Niestety ostatnie wydarzenia pokazały, że pocztę elektroniczną można zastąpić komunikatorem. Bezpieczeństwo Przegląd wydarzeń 11-12/2005 Sławomir Górniak Koniec roku był okresem względnie niespokojnym w kontekście ogólnego bezpieczeństwa teleinformatycznego. Jakkolwiek nie mieliśmy do czynienia ze szczególnie niebezpiecznym przypadkiem robaka lub wirusa, zagrożenia te utrzymywały się na dość wysokim poziomie. W listopadzie i grudniu opublikowany został szereg błędów i luk w oprogramowaniu sprzętu firmy Cisco. Fakt ten jest związany z prowadzonymi od lipca na szeroką skalę badaniami nad kodem oprogramowania routerów, firewalli i innych produktów tej firmy. Zdarzeniem, które badania te rozpoczęło, był publiczny pokaz wykorzystania luki związanej z przetwarzaniem pakietów IPv6 podczas konferencji Black Hat w USA, o czym pisaliśmy w wiadomości http://www.cert.pl/news/713. Na początku listopada ogłoszone zostały dwie wiadomości o błędach w Cisco. Pierwszy błąd polegał na możliwości przepełnienia sterty we wszystkich produktach pracujących pod kontrolą systemu IOS. Dotyczył on systemowych liczników czasu. Wykorzystanie tej luki, podobnie jak i innych luk umożliwiających przepełnienie sterty, w zdecydowanej większości wypadków prowadzi do restartu urządzenia. W niektórych przypadkach może jednak powodować przejęcie całkowitej kontroli nad urządzeniem. Strona 4
Aktualizacje systemu Windows, opisane w artykule, można pobrać z witryny: http://www.microsoft. com/technet/security /default.mspx Druga wiadomość dotyczyła IPS Security Management Solution (VMS). Oprogramowanie to wgrywało konfigurację do IPS w sposób umożliwiający niezauważalne przeprowadzenie ataku do wewnątrz teoretycznie chronionej sieci. Kolejną luką w systemie IOS była możliwość ataku typu Command Injection na serwer HTTP. Przy jej wykorzystaniu atakujący mógł na urządzeniu wykonywać polecenia prowadzące do uzyskania pełnej kontroli. Na wszystkie błędy firma Cisco przygotowała poprawki bądź sposoby obejścia. Listę tych poprawek zamyka zestaw dotyczący przetwarzania wiadomości IPsec IKE (Internet Key Exchange). Wykorzystanie luk w tym mechanizmie prowadzi do wielokrotnych restartów urządzeń. Stosunkowo niewiele błędów krytycznych wykryto w produktach firmy Microsoft. Comiesięczny biuletyn w listopadzie zawierał zaledwie jeden, tak samo jak i w grudniu. Luka z listopada odkryta została w mechaniźmie Graphics Rendering Engine i umożliwiała przejęcie komputera pracującego pod systemem Windows przez atakującego. Poprawka grudniowa, na szereg błędów mogące powodować te same skutki, dotyczyła Internet Explorera. Microsoft wydał także jeden biuletyn w grudniu poza oficjalnym cyklem, a było to powtórne wydanie biuletynu MS05-50, dotyczącego Direct Show. Pierwotna poprawka zawierała błędy. Prawdziwym antyprzebojem końca roku 2005 była jednak luka w WMF Windows Metafile. Exploit na nią pojawił się przed opublikowaniem informacji o błędzie, a Microsoft udostępnił poprawkę dopiero w styczniu. Kod tego exploita został zawarty w wielu złośliwych programach krążących po Internecie, jak choćby w opisanym w tym numerze biuletynu malware reklamowanym za pośrednictwem Gadu-Gadu. Spośród wielu aktywnych robaków sieciowych warto wspomnieć wykrytego w listopadzie Luppera/Pluppi. Jest to robak linuksowy, atakujący serwery WWW poprzez luki w PHP XML RPC, awstats i Web Hints. Robak otwiera tylne furtki na portach UDP 7111 i 7222. Wśród wirusów, pojawiały się między innymi kolejne mutacje z rodzin Mytob, Beagle i Spybot. Ciekawym wydarzeniem była również rezygnacja Sony BMG Music z kontrowersyjnego pomysłu umieszczania rootkitów na swoich płytach muzycznych celem ukarania osób kopiujących je nielegalnie. Firma przyznała się do błędu i zaoferowała wymianę zawirusowanych płyt osobom, które je kupiły. Strona 5
Incydenty Raport CERT Polska Przemysław Jaroszewski Jak zwykle na początku roku, zespół CERT Polska opublikował raport, podsumowujący kolejne 12 miesięcy naszej działalności. Tegoroczna edycja, poza tym, że jubileuszowa (dziesiąta), wyróżnia się także z kilku innych względów. Przede wszystkim, po raz pierwszy w statystykach uwzględnione zostały zgłoszenia z automatycznego systemu wykrywania zagrożeń ARAKIS, stworzonego przez CERT Polska. Dane z systemu wpływają zarówno na liczbę obsługiwanych incydentów, jak i na rozkład ich typów oraz klasyfikację stron atakujących i poszkodowanych. W ubiegłym roku uruchomiliśmy także formularz online (https://www.cert.pl/formularz/), za pośrednictwem którego można zgłosić incydent. Okazało się, że takie rozwiązanie przekonało wielu użytkowników do skontaktowania się z nami. Rok 2005 był trzecim z rzędu, w którym konsekwentnie stosowaliśmy tę samą klasyfikację rodzajową incydentów. Pozwala to na łatwiejsze porównanie raportów z kolejnych lat i wyciągnięcie wniosków dotyczących trendów i nowych zjawisk. Wiele z nich, w tym także te, które wynikają z naszej subiektywnej oceny, zawartych zostało w pełnym tekście raportu. Pragniemy podkreślić, że prezentowane w raporcie statystyki nie aspirują do przekazania jedynego prawdziwego obrazu zagrożeń. Wynikają one wprost z charakteru i ilości incydentów obsłużonych przez nasz zespół. Mamy jednak nadzieję, że są tym bardziej interesujące, ponieważ dotyczą bezpośrednio użytkowników polskich sieci i zostały przez nich samych lub przez osoby poszkodowane za ich pośrednictwem uznane za szczególnie ważne. R oz kład procentow y typów incydentów Grom adzenie inform acji Złosliwe oprogramowanie Obraźliwe i inielegalne treści Oszustwa kom puterowe Próby włamań Inne Atak na dostęność zasobów W łamania Atak na bezpieczeństwo inform acji 0,0 10,0 20,0 30,0 40,0 50,0 60,0 procent Strona 6
Kalendarium CERT Polska 7 listopada 2005 Członkowie zespołu CERT Polska wygłosili referaty w trakcie konferencji Bezpieczeństwo systemów teleinformatycznych i elektroniczna wymiana dokumentów organizowanej przez PRESSCOM Sp. z o.o. Relacja z konferencji: http://www.presscom.pl/index.php?option=com_conte nt&task=view&id=21&itemid=2 7-9 listopada 2005 Członek zespołu CERT Polska (Sławomir Górniak) wziął udział w 4 th NATO Cyber Defense Workshop On Computer Security Incident Response. Celem odbywających się co pół roku warsztatów jest zorganizowanie współpracy wojskowych i rządowych zespołów typu CERT w krajach należących do NATO. 22 listopada 2005 Członek zespołu CERT Polska (Mirosław Maj) wziął udział w spotkaniu roboczym ENISA Working Group Computer Security Incident Response Team (http://www.enisa.eu.int/ad_hoc_wg/idex_en.htm ). W tej fazie działania grupy roboczej, ma ona za zadanie wypracowanie rekomendacji dla ENISA, dotyczącej strategii współpracy Agencji z zespołami typu CSIRT oraz strategii rozwoju tego typu zespołów w Europie. 23 listopada 2005 Publikacja oficjalnej informacji prasowej na temat spotkania forum zespołów reagujących na zagrożenia bezpieczeństwa w sieciach publicznych - http://www.cert.pl/news/731 6 grudnia 2005 Publikacja części materiałów (prezentacji) z konferencji SECURE 2005 - http://www.secure.edu.pl/historia/2005/ prezentacje2005.html 13-14 grudnia 2005 Członek zespołu CERT Polska (Mirosław Maj) wziął udział wraz z polską delegacją rządową (przedstawiciele MSWiA) w warsztatach organizowanych przez ENISA na temat strategii działań dotyczących zespołów reagujących typu CSIRT i prowadzenia akcji uświadamiających na temat zagrożeń w sieci. http://www.enisa.eu.int/news/workshop/index_en.htm 15 grudnia 2005 Następuje zakończenie pierwszego etapu prac związanych z budową systemu ARAKIS-GOV. Rozwiązanie powstało w ramach projektu CERT Polska ARAKIS (AgRegacja Analiza i Klasyfikacja Incydentów Sieciowych. 30 grudnia 2005 Uruchomiony został serwis www.bezpiecznyuczen.pl. Serwis powstał w ramach wspólnego projektu edukacyjnego nt. bezpiecznego korzystania z internetu przygotowanego wspólnie przez Federację Konsumentów oraz zespół CERT Polska. 5 stycznia 2006 Delagacja NASK / CERT Polska (dyr. Techniczny NASK Krzysztof Silicki, kierownik CERT Polska Mirosław Maj) spotkali się z przedstawicielami Ministerstwa Spraw Wewnętrznych i Administracji w sprawie podjęcia działań na rzecz osiągnięcia w Polsce funkcjonalności związanej z działaniem rządowego zespołu typu CERT. 9 stycznia 2006 Delegacja NASK / CERT Polska (dyr. NASK Maciej Kozłowski, dyr. Techniczny NASK Krzysztof Silicki, kierownik CERT Polska Mirosław Maj) spotkali się z przedstawicielami Ministerstwa Transportu i Budownictwa w sprawie podjęcia działań na rzecz zwalczania zjawiska spamu w Polsce i realizowania zobowiązań międzynarodowych w tym zakresie. Strona 7
Poznaj nas! Zespół CERT Polska: (od lewej) Bartosz Kwitkowski, Mirosław Maj, Przemysław Jaroszewski, Rafał Tarłowski, Dariusz Sobolewski, Ireneusz Parafjańczuk, Piotr Kijewski, Sławomir Górniak Co myślisz o Biuletynie? Wyraź swą opinię! CERT Polska, NASK ul.wąwozowa 18, 02-796 Warszawa Redakcja Biuletynu: biuletyn@cert.pl tel. 022 380 82 74, fax. 022 380 83 99 Kontakt z zespołem: info@cert.pl http://www.cert.pl Zgłaszanie incydentów: cert@cert.pl Strona 8