Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Nie można być niepodatnym na ataki, ale można być dobrze chronionym

Wiaczesław Zakorzewski Kaspersky Lab Expert
Dodany 29 grudnia 2015, 12:26 CET
Tagi:

Luki w zabezpieczeniach oprogramowania to jeden z tych problemów, które mogą potencjalnie dotknąć wszystkich użytkowników. Luka to błąd w implementacji programu, który może zostać wykorzystany przez osoby atakujące w celu uzyskania nieautoryzowanego dostępu do danych, wstrzyknięcia szkodliwego kodu lub spowodowania awarii systemu. W większości przypadków, luki wynikają z pominięcia jakichś szczegółów na etapie projektowania, nie zaś z błędów w programowaniu. Czasami system może wydawać się praktycznie niepodatny na ataki na etapie projektowania, później jednak, w którymś momencie, powstaje nowa technologia i hakerzy udowodniają, że taki system można skutecznie zaatakować. Dobrym przykładem jest DES – algorytm szyfrowania z symetrycznym kluczem, który został opracowany w 1975 r. i był w owym czasie uważany za niezawodny. Jednak w 1990 roku został złamany w ciągu 39 dni przy użyciu ogromnej sieci komputerowej. Stworzony w 1998 r. superkomputer zdołał złamać DES w ciągu mniej niż trzech dni.    

Ciągłe testowanie popularnego oprogramowania w celu zidentyfikowania luk w zabezpieczeniach oraz publikowanie łat w celu usunięcia zidentyfikowanych luk stanowi część normalnego cyklu życia programu. Im bardziej wyrafinowany i popularny program, tym większe szanse, że luka zostanie wykryta.  

Poszukiwanie luk w zabezpieczeniach 

Większość twórców próbuje niezwłocznie usunąć wszystkie luki znalezione w ich produktach. Sami analizują swoje oprogramowanie lub wykorzystują do tego ekspertów zewnętrznych. Jednak na luki polują również zewnętrzni badacze. Niektórzy robią to po to, aby poprawił się ogólny poziom bezpieczeństwa online. Innym płacą za szukanie luk w zabezpieczeniach. Jeszcze inni wolą sprzedawać informacje na temat wszelkich wykrytych luk na czarnym rynku.

Robią to, ponieważ informacje dotyczące nowych luk są niezwykle cenne dla cyberprzestępców. Jeśli badacz znajdzie dziurę w systemie i udowodni, że można ją wykorzystać w praktyce (tzn. jeśli napisze exploita), może zarobić na czarnym rynku dziesiątki tysięcy dolarów. Istnieje cały sektor cyberprzestępczego podziemia, który specjalizuje się w znajdywaniu i sprzedawaniu luk w zabezpieczeniach.    

Na szczęście, biznes ten nie działa na skalę masową. Jedną z przyczyn jest to, że nie wszystkie luki mogą być wykorzystane w realny świecie. Często niezbędna jest kombinacja różnych warunków, aby mogła zostać wyrządzona realna szkoda, a szanse na wystąpienie takiej kombinacji nie są zbyt duże. Drugą przyczyną jest to, że aby napisać skutecznego exploita, programista musi posiadać duże umiejętności, a takich nie istnieje wielu.   


Dziura w bezpieczeństwie przeglądarki Safari firmy Apple

Wiaczesław Zakorzewski Kaspersky Lab Expert
Dodany 13 grudnia 2013, 11:34 CET
Tagi:

W trakcie naszych badań nad różnymi rodzajami szkodliwych programów dla systemu OS X firmy Apple natknęliśmy się na interesujący problem w przeglądarce internetowej Safari firmy Apple. Safari, podobnie jak wiele innych przeglądarek, wyposażone jest w funkcję przywracania poprzedniej sesji. Innymi słowy, wszystkie strony, które były otwarte w poprzedniej sesji przeglądarki – nawet te, które wymagają uwierzytelniania – mogą zostać ponownie otwarte w kilku prostych krokach. Wygodne? Oczywiście. Bezpieczne? Niestety nie.

Aby przeglądarka mogła wiedzieć, co było otwarte na końcu poprzedniej sesji, odpowiednie informacje muszą być gdzieś przechowywane. Oczywiście, dane takie powinny znajdować się w miejscu, które nie jest łatwo dostępne dla każdego i powinny być zaszyfrowane.

Safari jednak nie szyfruje tych informacji, a do tego przechowuje je w pliku LastSession.plist (jest to typowy format plików dla systemu OS...


Mediyes - dropper z ważną sygnaturą

Wiaczesław Zakorzewski Kaspersky Lab Expert
Dodany 16 marca 2012, 10:00 CET
Tagi:

W ostatnich dniach został wykryty szkodliwy program z ważną sygnaturą. Szkodnik ten jest 32- lub 64-bitowym dropperem, wykrywanym przez Kaspersky Lab odpowiednio jako Trojan-Dropper.Win32.Mediyes lub Trojan-Dropper.Win64.Mediyes.

Zidentyfikowano liczne pliki droppera z podpisami o różnych datach od grudnia 2011 do 7 marca 2012 r. We wszystkich tych przypadkach został użyty certyfikat wydany dla szwajcarskiej firmy Conpavi AG. Firma ta współpracuje ze szwajcarskimi organami rządowymi, takimi jak samorządy miejskie czy kantony.


Informacje o sygnaturze cyfrowej programu Trojan-Dropper.Win32.Mediyes

Nie znamy jeszcze dokładnego źródła szkodnika Trojan-Dropper.Win32/Win64.Mediyes, mamy jednak przesłanki, aby przypuszczać, że jest on instalowany na komputerach przy pomocy exploitów.

32-bitowy dropper przechowuje swój własny 32-bitowy sterownik – którego nazwa zaczyna się od ‘HID’ – w folderze sterowników...



Od czerwca 2011 roku obserwujemy znaczący spadek liczby fałszywych programów antywirusowych. Obecnie każdego dnia odnotowujemy 10 000 prób infekowania użytkowników szkodnikiem Trojan-FakeAV; jeszcze w czerwcu ilość ta kształtowała się na poziomie 50-60 000.


Dzienna liczba prób infekcji szkodnika Trojan-FakeAV na przestrzeni 5 ostatnich miesięcy

Pomimo spadku nadal pojawiają się nowe wersje tego typu szkodliwego oprogramowania. Niedawno do listy najpopularniejszych szkodliwych programów została dodana nowa rodzina: Trojan-FakeAV.Win32.OpenCloud.


Zrzut ekranu pokazujący program Trojan-FakeAV.Win32.OpenCloud.h w działaniu

Powyższy zrzut ekranu pokazuje, jak fałszywy program antywirusowy zidentyfikował standardowe pliki wykonywalne systemu Windows – w tym notepad, wmplayer, paint, calc, explorer itd. – jako “szkodliwe”. W ten sposób fałszywy antywirus ujawnia swoją obecność. Co ciekawe, szkodnik wspomina...


Chiński bootkit

Wiaczesław Zakorzewski Kaspersky Lab Expert
Dodany 6 kwietnia 2011, 13:20 CEST
Tagi:

Wykryliśmy nowego bootkita, czyli szkodliwy program infekujący sektor startowy dysku twardego. Nasze produkty identyfikują nowe zagrożenie jako Rookit.Win32.Fisp.a. Bootkit jest rozprzestrzeniany przez trojana Trojan-Downloader.NSIS.Agent.jd, który infekuje komputery użytkowników wchodzących na sfałszowaną chińską stronę, zawierającą materiały pornograficzne. Cechą wyróżniającą trojana jest to, że pobiera on inne szkodliwe programy przy użyciu mechanizmu NSIS. NSIS - Skryptowy System Instalacji Nullsoft (Nullsoft Scriptable Install System) - pozwala programistom na tworzenie plików instalacyjnych dla platformy Windows. Rozprowadzany jest na licencji open source i jest całkowicie darmowy dla dowolnego zastosowania.


Fragment skryptu NSIS pochodzący z trojana Trojan-Downloader.NSIS.Agent.jd

Pobrany przez trojana bootkit Rootkit.Win32.Fisp.a infekuje sektor startowy dysku twardego, a dokładniej zapisuje oryginalną...


Szkodliwy dodatek do odsyłacza do Faceboooka

Wiaczesław Zakorzewski Kaspersky Lab Expert
Dodany 23 grudnia 2010, 09:44 CET
Tagi:

W ostatnich dniach odkryliśmy, że za pośrednictwem komunikatorów internetowych wysyłane są wiadomości spamowe zawierające szkodliwe odsyłacze. Okazało się, że za tymi wysyłkami stoi robak Zeroll. Wiadomości, różniące się językiem w zależności od odbiorcy, były generowane przez bota. Oto kilka przykładów:
  • “Wie findest du das Foto?”
  • “seen this?? :D %s”
  • “This is the funniest photo ever!”
  • “bekijk deze foto :D”
  • “uita-te la aceasta fotografie :D”

Tak jak w przypadku wielu innych, podobnych incydentów, cyberprzestępcy wykorzystali socjotechnikę, zachęcając użytkowników do obejrzenia zdjęć o kuszących nazwach. Na końcu wiadomości znajduje się odsyłacz, taki jak http://www.facebook.com/l.php?u=********.org/Jenny.jpg. Oprócz odsyłacza do pliku Jenny.jpg wiadomości zawierały również podobne odsyłacze do Sexy.jpg.

Strona, do której prowadzi odsyłacz http://www.facebook.com/l.php?u= link,...


Zbot i luka CVE2010-0188

Wiaczesław Zakorzewski Kaspersky Lab Expert
Dodany 28 lipca 2010, 11:09 CEST
Tagi:

Właśnie natrafiłem na podejrzany plik PDF, postanowiłem więc przyjrzeć mu się uważniej. Po rozpakowaniu uzyskałem plik xml z obrazem TIFF. Jednak cała sprawa wyglądała bardzo podejrzanie, a na koniec okazało się, że plik xml zawierał exploita wykorzystujący lukę CVE-2010-0188.

Zdziwiło mnie, że nie natknęliśmy się na te pliki wcześniej, więc postanowiłem przyjrzeć się statystykom dotyczącym luki CVE-2010-0188.

Statystyki dla exploita wykorzystującego lukę CVE-2010-0188 dla 2010 r.

Z wykresu wynika, że szkodliwe oprogramowanie wykorzystujące lukę CVE=2010-0188 zaczęło się aktywnie rozprzestrzeniać pod koniec czerwca. Do tego czasu było raczej mało rozpowszechnione. Być może twórcy wirusów potrzebowali kilku miesięcy, aby stworzyć exploity dla nowej luki w produkcie Adobe – kto wie?

Po bliższym przyjrzeniu się okazało się, że głównym celem PDF-a było pobranie i uruchomienie kolejnego...